2.1.3.4 Systèmes de détection
d'intrusion par analyse des protocoles
Les systèmes de détection d'intrusion peuvent
également reposer sur l'analyse des protocoles. Cette analyse
(appelée en anglais SPA : Stateful Protocol Analysis) a pour objectif de
s'assurer du fonctionnement normal d'un protocole (par exemple de transport ou
d' application). Celle-ci repose sur des modèles définis, par
exemple par des normes RFC. Ces normes n'étant pas exhaustives, cela
peut entraîner des variations dans les implémentations. De plus,
les éditeurs de logiciels peuvent rajouter des fonctionnalités
propriétaires, ce qui a pour conséquence que les modèles
pour ces analyses doivent être régulièrement mis à
jour afin de refléter ces variations d'implémentations.
Cette méthode d'analyse a pour principal
inconvénient que les attaques ne violant les caractéristiques du
protocole, comme une attaque par déni de service, ne seront pas
détectées[12].
2.1.3.5 Systèmes de détection
d'intrusion par temporalité de détection
Il existe deux types de temporalité dans les
systèmes de détection d'intrusion : la détection en temps
réel (système temps réel), et la détection
post-mortem (analyse forensique). Le plus souvent, l'objec-tif est de remonter
les alertes d'intrusion le plus rapidement possible à l'administrateur
système. La
Chapitre 2. Les systèmes de détection d'intrusion
2.1. Systèmes de détection d'intrusion
21
détection en temps réel sera donc
privilégiée. Cette temporalité de détection
présente des défis de conception pour s'assurer que le
système puisse analyser le flux de données aussi rapidement qu'il
est généré. Cependant, il est aussi envisageable
d'utiliser un système de détection d'intrusion dans le cadre
d'analyse post-mortem. Dans ce cas, ce dernier permettra de comprendre le
mécanisme d'at-taque pour aider à réparer les dommages
subis et réduire le risque qu'une attaque du même genre se
reproduise[12].
2.1.3.6 Systèmes de détection
d'intrusion par corrélation des alertes
La corrélation des alertes a pour objectif de produire
un rapport de sécurité de la cible surveillée (un
réseau par exemple). Ce rapport sera basé sur l'ensemble des
alertes produites par les différentes sondes de détection
d'intrusion disséminées sur l'infrastructure[12]. Pour cela, il
est nécessaire de différencier deux composants:
· les sondes : chargées de
récupérer les données depuis les sources concernant leurs
cibles (fichiers de logs, paquets réseaux,...) et de
générer, si nécessaire, des alertes;
· les composants d'agrégation et de
corrélation : chargés de récolter les
données des sondes et des autres composants d'agrégation et de
corrélation afin de les corréler et produire le rapport de
sécurité transmis à l'administrateur.
| 
