Cartographie du SI et

corrlation dalertes pour la

dtection dintrusions
Etat de lart
07 Fvrier 2005

RESPONSABLES

AUTEUR

France Telecom : Herv DEBAR

ENST Bretagne : Frdric CUPPENS

Diala ABIHAIDAR

La cartographie du SI et corrlation dalertes pour la dtection dintrusions

INTRODUCTION ..................................................................................................................................2
1. LES IDS...............................................................................................................................................3
1.1.
1.2.
1.3.
1.4.
2.

LES APPROCHES DE DETECTION ...........................................................................................3

COMPARAISONS DES APPROCHES ET DE LEURS LIMITES .....................................................3
LA DETECTION QUALIFIEE DE STATEFUL VERSUS STATELESS ...............................4
LA CORRELATION DALERTES ET LA CARTOGRAPHIE.........................................................4

LA CARTOGRAPHIE DES RESEAUX ....................................................................................4

2.1.
LA DEFINITION DE LA CARTOGRAPHIE ................................................................................4
2.2.
LES APPROCHES EXISTANTES ...............................................................................................5
2.2.1. Larchitecture agents ddis.........................................................................................5
2.2.2. Lapproche active.............................................................................................................5
2.2.3. Lapproche passive ..........................................................................................................5
2.3.
TAXONOMIE DES OUTILS EXISTANTS ...................................................................................6
2.3.1. NeVO ....................................................................................................................................6
2.3.2. RNA ......................................................................................................................................7
2.3.3. Snort .....................................................................................................................................7
2.3.4. EttercapNG...........................................................................................................................7
2.3.6. Nessus ...................................................................................................................................8
2.3.7. Scotty/Tkined........................................................................................................................9
2.3.8. Nmap ....................................................................................................................................9
2.3.9. Checkos et SIRC.................................................................................................................10
2.3.10. P0f.....................................................................................................................................10
2.3.11. OSSIM ..............................................................................................................................11
2.4.
SYNTHESE SUR LES OUTILS EXISTANTS ..............................................................................12

3.

LA CORRELATION DALERTES ET LES PERSPECTIVES ............................................13

3.1.
3.2.

LES TECHNIQUES DE CORRELATION ..................................................................................13

LES PERSPECTIVES .............................................................................................................14

CONCLUSION .....................................................................................................................................15
BIBLIOGRAPHIE ...............................................................................................................................16
ANNEXE A OUTILS UTILISES DANS OSSIM ..................................................................................17
ANNEXE B CARACTERISATION DUNE MACHINE PAR OSSIM .....................................................18

La cartographie du SI et corrlation dalertes pour la dtection dintrusions

Introduction
De nos jours, le monde de la communication et du multimdia est en perptuelle
mutation. De nouvelles technologies mergentes, telles la Voix sur IP, Internet, email,
intranet, extranet et le commerce Business to Business , forcent les entreprises ouvrir
leurs portes informatiques au reste du monde afin de rester comptitives. Malheureusement,
cette ouverture vers lextrieur augmente sensiblement les risques lis la scurit de
lentreprise.
Assurer la scurit informatique revient garantir lintgrit et la confidentialit des
donnes, la disponibilit, la non rpudiation auxquelles sajoute lauthentification si on
considre la scurit sur lensemble du rseau informatique. Tout systme informatique peut
tre la cible dune menace qui cherchera exploiter ses vulnrabilits. Une tape danalyse
complte du systme protger doit tre faite pour dtecter ses vulnrabilits et prendre
certaines contre-mesures indispensables pour la prvention des attaques malveillantes. La
deuxime tape consiste en une surveillance dite dynamique qui revient surveiller le rseau,
une fois la prvention faite, pour dtecter dventuelles intrusions. Dans le cadre de
lobservation des intrusions sur un rseau informatique il savre vident quil est ncessaire
dautomatiser la tche vu lnorme volume de donnes traiter. Ceci est confi aux outils de
dtections dintrusions (IDS, Intrusion Detection System). Cependant force est de constater
que de nombreuses intrusions sont non dtectes ou bien certaines sont dtectes alors
quelles ne compromettent pas le systme en question. Les IDS prsentent certainement des
lacunes que lon cherche depuis toujours combler. Une corrlation dalerte peut paratre une
solution pour rduire le nombre de fausses alertes. Une connaissance cartographique peut
parfois apporter des informations exploitables par le processus de corrlation.
Cette tude bibliographique est divise en trois grandes parties. La premire
consistera tudier les IDS pour voir pourquoi ils savrent insuffisants pour une gestion
optimale de la scurit du rseau. La deuxime partie traitera de la cartographie. Les
diffrentes techniques et les diffrents outils de cartographie seront tudis pour montrer leurs
avantages et leurs points faibles ainsi que les diffrentes informations quils sont capables de
fournir sur le rseau. La dernire partie sera consacre la corrlation dalertes ; une
prsentation rapide des mthodes existantes dbouchera sur les perspectives.

La cartographie du SI et corrlation dalertes pour la dtection dintrusions

1. Les IDS
Les IDS sont des outils automatiques de surveillance de trafic destins dtecter toute
activit anormale ou suspecte suppose tre une tentative de violation de la politique de
scurit mise en uvre. Les IDS sont classs sous deux catgories : les HIDS (Host based
Intrusion Detection System) et les NIDS (Network based Intrusion Detection System). Les
HIDS assurent la scurit au niveau des machines htes. Ils dtectent tout accs ou
modifications non autoriss de fichiers. Ils utilisent des modules logiciels implants sur les
machines htes surveiller qui lisent les fichiers de log pour collecter les informations utiles
dans des traces daudit. Les NIDS quant eux assurent la scurit des rseaux en enregistrant
des donnes observes sur le trafic rseau. Ils ncessitent des machines ddies places dans
des endroits bien prcis ( la sortie dun firewall, devant un serveur Web). Ils capturent et
lisent les paquets IP circulant sur le rseau (Sniffing).

1.1.

Les approches de dtection

Nous avons vu que le rle principal de lIDS est de dtecter des intrusions. Reste savoir
comment il va pouvoir le faire, en dautres termes quest-ce quun IDS cherchera savoir.
Deux approches de dtections existent [2]: lapproche comportementale et lapproche par
scnario.
Lapproche comportementale se base sur lide de profil dun utilisateur (ou groupe
dutilisateurs). Un profil dutilisateur est vu comme tant le trafic rseau relatif, la taille de
donnes changes, le nombre de connexions par jour tablies par cet utilisateur ou vers cet
utilisateur Cette approche consiste comparer le profil de ce dernier un profil dfini au
pralable correspondant un comportement normal et enregistr dans une base de
comportements dans le but de dtecter des dviations notables. Cette approche cherche donc
dtecter une anomalie de comportement.
La deuxime approche consiste analyser les traces daudit systme ou les donnes sur le
rseau pour dtecter des comportements interdits. Ces derniers sont reprs par certains
motifs ou signatures relatifs des attaques connues et enregistres dans une base de
signatures dattaques. Cette approche cherche donc dtecter des manifestations dattaques.
La rponse des IDS suite une dtection dintrusion peut tre de deux sortes. Elle peut
correspondre une simple alerte, notification envoye pour le personnel responsable via un
message dalerte sur une console, une mise jour de rapport dattaques Cest une rponse
passive. Mais il est aussi possible que lIDS rponde en exerant une action spcifique
comme par exemple dconnecter un utilisateur, fermer des ports, reconfigurer un firewall
Cest une forme active de rponse et nous avons tendance parler dIPS (Intrusion
Prevention System).

1.2.

Comparaisons des approches et de leurs limites

On peut dj noter quelques faits concernant les deux approches prcdentes surtout en ce
qui concerne les alertes gnres. Ces deux approches peuvent donner lieu des faux positifs
et des faux ngatifs. Les faux positifs sont la dtection dune intrusion en labsence de celle
ci. Les faux ngatifs sillustrent par le fait que le systme na pas dtect une intrusion qui a
eu lieu.
Avec lapproche comportementale, il est fort probable de dclencher un grand nombre de
faux positifs. En effet les comportements qualifis de normaux sont gnralement appris par
le module par une simple observation. Il peut y avoir une dviation normale du systme sans
que celle-ci reprsente une intrusion potentielle mais lIDS va dclencher une alerte (faux
positif). De mme un attaquant peut taler son attaque dans le temps pour quelle corresponde
un comportement normal appris par le module. Ceci est source de faux ngatifs.
Le problme avec la deuxime approche est quelle se base sur une bonne dfinition de la
politique de scurit et une prise en compte de toutes les attaques possibles puisque toute

La cartographie du SI et corrlation dalertes pour la dtection dintrusions

absence de signature dans la table de signatures pourrait induire un faux ngatif. Cette
approche demande galement une dfinition prcise de la signature sinon il y a un risque de
faux positifs qui reste cependant moins important compar avec la premire approche.

1.3.

La dtection qualifie de stateful versus stateless

Un autre aspect de comparaison des IDS est la mthode de dtection employe par ces
diffrents outils. En ce qui concerne lapproche par scnario, la majeure partie des IDS
prsents sur le march se contentent dune analyse paquet par paquet sans prendre en
considration quune attaque peut tre distribue sur plusieurs paquets. La dtection
dintrusion dans ce cas consiste chercher lexistence dune certaine signature dattaque dans
un paquet ; si cette dernire existe une alerte est dclenche sinon le paquet est accept et un
autre paquet est analys. Cette mthode est qualifie de stateless puisquelle ne garde pas
dinformation sur ltat des diffrents paquets analyss. Par contre une approche dite
stateful consiste garder des traces de chaque paquet analys mme si ce dernier ne
comporte pas une signature dattaque. Plusieurs informations relatives aux paquets (valeurs
des champs de lentte, certaines informations prsentes dans le contenu du paquet) sont
collectes au fur et mesure de lanalyse et ceci durant une fentre temporelle fixe (120
secondes dans certains exemples [19]). Ces informations seront exploites pour grouper les
paquets selon les sessions auxquelles ils appartiennent. Les diffrents groupes seront ensuite
analyss pour dtecter dventuel scnario dattaques. Les IDS employant cette mthode sont
dits SIDS (Stateful Intrusion Detection System). Ils ont lavantage de pouvoir dtecter des
attaques (TearDrop Attack, Loki Information Tunneling Attack [19]) difficilement dtectables
par un IDS dit stateless . Lapport de cette mthode de dtection tant la rduction du
nombre des faux ngatifs puisque de nouvelles attaques sont dsormais dtectables.

1.4.

La corrlation dalertes et la cartographie

Lautre problme auxquels on sintresse de nos jours est de trouver un moyen de rduire
le nombre dalertes. La meilleure faon de le faire est de corrler les diffrentes alertes
gnres par les dtecteurs dintrusions. De plus, les alertes gnres par les IDS peuvent tre
conformes aux signatures dfinies et illustrent des attaques sans pour autant que ces dernires
ne soient effectives. Prenons lexemple dune machine Unix avec un serveur Web Apache et
un IDS signalant une attaque sur Microsoft IIS. Cette attaque na pas rellement deffet sur la
machine. On dfinit un degr de fiabilit associ une alerte dIDS qui illustre quel point on
est certain sa rception, de lexistence dune attaque potentielle. Il est vident que si lIDS
nest pas trs fiable ceci implique lexistence de pas mal de faux positifs.
Ce genre de faux positifs gnrs par les IDS peut tre rduit si ces derniers ont une
meilleure connaissance des quipements du rseau. Il existe des modules de cartographie
quon dtaillera ci-aprs capables de connatre ce genre dinformation exploitable pour une
rduction du taux de fausses alertes. Ceci est lun des buts de la cartographie de rseaux.

2. La Cartographie des rseaux

2.1. La dfinition de la cartographie
Les systmes informatiques prsentent plusieurs failles et sont la cible des attaquants qui
exploitent certaines vulnrabilits existantes. La connaissance des caractristiques du systme
dexploitation ainsi que les services et leurs versions, permet davoir une meilleure approche
de la dtermination des vulnrabilits exploitables.
La cartographie dun rseau concerne aussi bien son niveau physique que son niveau
applicatif. On distingue deux aspects principaux de la cartographie [1]: son aspect
topologique qui dsigne la structure du rseau informatique. La topologie est aussi bien
physique (quipements, interconnexions physiques entre les quipements lexemple

La cartographie du SI et corrlation dalertes pour la dtection dintrusions

dEthernet) que logique (adressage, routage). Lautre aspect de la cartographie est laspect
applicatif qui dsigne lensemble des composants logiciels du systme. Le but principal de la
cartographie est davoir le plus de renseignements possibles sur le rseau qui pourront aider
avoir une connaissance en profondeur des diffrents composants ainsi que des vulnrabilits
correspondantes. Les informations recherches par les diffrents outils de cartographie
existants diffrent dun outil un autre mais nous pouvons citer : lOS et sa version, le nom
de la machine, son adresse MAC ou IP, le serveur hberg et sa version etc.

2.2. Les approches existantes

Diffrentes approches de cartographie existent [14]. Lapproche agents ddis, les
approches active et passive.
2.2.1. Larchitecture agents ddis
Une des faons de collecter des informations sur une machine serait dutiliser le
principe des agents (utilis par certains IDS). Un agent logiciel est un code excutable qui
peut tre ddi ou mobile. Un agent ddi reste sur une seule machine alors quun agent
mobile peut se dplacer dune machine sur laquelle il sexcute pour se terminer sur une
deuxime [15]. Dans les deux cas, pour pouvoir sexcuter, il lui faut un environnement
agent install au niveau de la machine destinataire. On voit bien deux limites de cette
technique la premire tant la ncessit dune plateforme ddie qui nest pas tolrante au
facteur dchelle ; elle devient difficile mettre en uvre si le nombre de machine auditer
est trs grand. La deuxime limite est lchange de trafic rseau non ngligeable entre les
agents et leurs moniteurs.
2.2.2. Lapproche active
Cette approche consiste interagir avec la machine distante surveiller en lui
envoyant des paquets pour obtenir une rponse. Lanalyse des rponses donnera les
informations recherches surtout en ce qui concerne le type dOS et sa version ainsi que les
services utiliss et leurs versions. Cette approche est ralise via lenvoi de messages ICMP
ou TCP (avec certaines combinaisons de drapeaux et doption) pour forcer la machine
rpondre. Pour la dtermination de lOS existant sur la machine distante il suffit de rcuprer
un paquet TCP/IP forg par cette machine. Ceci fournit des informations sur le systme
dexploitation. En effet, chaque OS (Linux, Unix, Windows) a sa faon unique
dimplmenter les paquets TCP. Ces paquets contiennent des informations ncessaires la
dtermination de lOS et qui sont essentiellement les champs TTL, Dont Fragment, taille
initiale du paquet TOS, port source et les options TCP comme la taille de la fentre (Window
Size), MSS Size, options Nop et SACK... Linconvnient de cette mthode est quelle gnre
des paquets sur le rseau qui peuvent crer des instabilits pour le systme audit. A ceci
sajoute le fait quavec cette approche on ne peut dtecter en temps rel tous les changements
qui ont eu lieu sur le rseaux puisque toutes les informations sont apprises par des scans.
Entre deux scans successifs il y a des changements qui ne peuvent pas tre dtects. Par
consquent se pose la question de la dure de validit de linformation. Enfin cette mthode
nest pas adapte pour les grands rseaux car elle prendrait beaucoup de temps pour
caractriser toutes les machines.
2.2.3. Lapproche passive
Cette approche a besoin des mmes informations de la part de la machine distante que
celles demandes par lapproche active [16]. Par contre elle nest pas base sur lenvoi de
messages. Elle consiste en une simple coute du rseau. Les messages circulant sur le rseau
vont tre analyss pour dduire les caractristiques des machines mettrices (OS, services,...).
Cette approche optimale du point de vue charge du rseau ne permet pas par contre de
dtecter toutes les machines existantes sur un rseau. En effet sil ny a eu aucun change de

La cartographie du SI et corrlation dalertes pour la dtection dintrusions

messages entre cette machine et une autre sur le rseau on ne peut dtecter sa prsence, ce qui
nest pas le cas avec lapproche active qui teste la machine pour voir si elle est active ou pas.
On surmonte aussi avec cette mthode lobstacle du scan actif qui peut tre rejet par lhte
ou par un quipement intermdiaire.
Une solution pour pallier les diffrents inconvnients de chaque approche serait de
combiner les approches selon les besoins. Cest ce qui est mis en uvre dans certains outils
de cartographie ( lexemple dEttercapNG).

2.3. Taxonomie des outils existants

Les outils peuvent tre classs [6] dans diffrentes catgories. Suivant les fonctionnalits
offertes nous avons essentiellement les catgories suivantes :
Explorateur du rseau : prise dempreinte active ou passive dOS, dtermination des
htes/firewalls/services, balayage des ports, exploration gographique de rseaux.
Exemple : Nmap, NeVO, RNA, Ettercap.
Observateur : capture (active ou passive) et analyse dinformation rseau (entte et
donnes, protocole), analyse du trafic rseau. Exemple : Ethereal, Ettercap,
TCPDump, Ntop.
Dtecteur de scurit : scanning et recherche de vulnrabilits. Exemple : Nessus.
Outils de prise dempreintes dapplications : analyse des services pour dterminer les
applications et leurs versions. Exemple : THC-Amap.
Il existe un grand nombre doutils utiliss qui fournissent des renseignements sur le rseau
surveill. Nous en dtaillons quelques-uns ci aprs :

2.3.1. NeVO
NeVO (Network Vulnerability Observer) est un outil commercial en versions Windows
et UNIX. A la manire dun IDS, NeVO fait de lcoute passive sur le rseau en observant les
paquets qui y circulent. Il identifie les protocoles de communication utiliss entre les
diffrents quipements, les applications qui tournent sur chacun ainsi que les vulnrabilits
existantes qui peuvent tre exploites. Il identifie les Web proxies et les traite en tant que tels.
Il tablit pour chaque serveur une liste de tous les ports actifs et les observe pour
enregistrer les machines qui ont dialogu avec lui via ce port ainsi que le service accd.
NeVO a lavantage dobserver des sessions compltes tout au long du temps et plusieurs
sessions en parallle. Chaque session est observe pendant toute sa dure jusqu ce quune
attaque soit dtecte. Il est par contre vident que le plus vulnrable des serveurs ne peut tre
dtect par NeVO que sil existe une communication tablie avec lui. Ceci est un
inconvnient non seulement de NeVO mais de tout outil dcoute passive puisquil nmet
aucun paquet et se contente dobserver le rseau. NeVO, en observant les paquets SYN, peut
fournir des informations concernant le type dOS existant sur les machines actives du rseau.
Un des avantages de NeVO comme de tout autre outil passif est quil peut dtecter les
vulnrabilits non seulement du ct du serveur -comme le font les outils actifs- mais aussi du
ct client. Il permet de dtecter les applications (le browser Web par exemple Internet
Explorer) qui existent du ct client et identifie les vulnrabilits correspondantes. Ceci est
fait grce un mcanisme de signature bas sur des expressions rgulires regex
appliques aux paquets et qui permettent une recherche de motif (pattern matching) relatif
une vulnrabilit connue. Des exemples de signatures existent dans la rfrence [4]. Avec ces
expressions on a la possibilit dobserver des paquets corrls entre eux (requte/rponse).
Suite la dtection dun certain motif dans un paquet il est possible de chercher un autre
motif dans des paquets qui lont prcd. Comme NeVO a la caractristique de faire une
tude multi vnementielle, il est dit stateful .

La cartographie du SI et corrlation dalertes pour la dtection dintrusions

2.3.2. RNA
RNA (Real-time Network Awareness) [3] est un outil commercial qui surveille les
serveurs, routeurs, PCs Il englobe toutes les fonctionnalits doutils de cartographie quon a
numr au dbut du paragraphe.
Il sagit dun explorateur de rseau puisquil fournit des informations sur les adresses
MAC, les OS et leurs versions, les services et leurs versions ainsi que les ports actifs de
chaque quipement sur le rseau. Il fournit des informations sur le nombre de hop, paramtres
MTU, TTL Il est compltement passif et coute le rseau pour avoir des informations sur le
flot, type et volume de trafic. Cest aussi un dtecteur de scurit puisquil a laptitude
dassocier chaque machine une base de vulnrabilits correspondant au type dOS existant
et dvaluer selon cette base toutes les attaques qui arrivent pour dterminer leur impact.
Enfin il est capable de dtecter automatiquement tous les changements concernant
lintroduction de nouveaux services ou lments. Il dtecte aussi les comportements
anormaux ou constituant une violation de la politique de scurit applique. Ces
comportements sont analyss en tenant compte des vulnrabilits existantes pour dterminer
le risque correspondant une attaque possible. De ce fait RNA constitue un module idal pour
la corrlation dalertes.

2.3.3. Snort
Snort est un NIDS tlchargeable gratuitement et qui peut tourner sur toutes les
plateformes (Linux, BSD, Solaris/Sun et MAC OS...) [13]. Facile installer et mettre en
uvre, Snort va faire de lcoute passive du rseau et gnrer des fichiers logs . Il est bas
sur libpcap qui enregistre les donnes circulant sur le rseau en mode promiscous. Il utilise
des rgles de dtection dintrusion trs simples bases sur des signatures pour faire du
pattern matching . Snort a la caractristique de pouvoir non seulement analyser les enttes
des paquets mais aussi les donnes de la couche applicative ce qui le dote du pouvoir de
dtection dattaque du type dbordement du buffer ou scanning CGI. Il fournit des
fonctionnalits dalerte en temps rel dues la simplicit de ses rgles. Il fait une analyse de
protocole et peut faire de la prise dempreinte dOS.

2.3.4. EttercapNG
EttercapNG tourne sur Windows, FreeBSD, Solaris, MAC OS, Linux Cest un outil
gratuit trs utilis et facilement tlchargeable donc la porte de tous [5]. EttercapNG peut
dcouvrir et identifier des htes de faon active ou en se contentant dune coute passive du
rseau. Dans son mode passif il peut dterminer les machines actives du rseau, les diffrents
OS en exploitant les paquets SYN et SYN+ACK, les ports ouverts (paquet SYN+ACK) et les
versions de services hbergs par les serveurs, la nature de la machine hte (simple hte,
routeur, passerelle) et mme une distance estime en nombre de hops jusqu la machine.
Sa recherche de motifs se fait avec des expressions rgulires regex . En mode actif il
envoie des requtes ARP pour toute adresse IP du rseau (en regardant une adresse IP et le
netmask) et reoit toutes les rponses. Par consquent il tablit la liste des machines actives
du rseau. Ainsi il est possible didentifier mme les machines qui nont pas encore dialogu.
EttercapNG est dot dun cache DNS pour la collecte des informations sur les noms des
machines acquises en mode passif.
Une caractristique dEttercap est sa possibilit dintercepter des paquets mis, les
exploiter pour en tirer le maximum dinformation et mme les modifier. Pour comprendre
comment ceci est possible, il faut noter que ARP est un protocole qui comme tout outil
informatique contient des vulnrabilits. Une machine accepte de recevoir une rponse ARP
mme si elle na pas demand de requtes et insre la rponse dans sa table ARP. Ettercap va
exploiter ceci pour envoyer des rponses ARP des machines quil veut intercepter en
prcisant chacune ladresse MAC qui est relative la machine sur laquelle il tourne. Il fait
ceci des deux cts et maintient la correspondance MAC/IP pour pouvoir renvoyer les

La cartographie du SI et corrlation dalertes pour la dtection dintrusions

messages leur vraie destination. Ainsi chaque fois que les machines veulent dialoguer les
messages sont intercepts puis renvoys la destination correspondante aprs leur tude.
Lexemple suivant (tir du fichier Readme de EttercapNG) illustre ce phnomne :
Machine 1: MAC: 01:01:01:01:01:01
IP: 192.168.0.1
Machine 2: MAC: 02:02:02:02:02:02
IP: 192.168.0.2
Machine Ettercap: MAC: 03:03:03:03:03:03
IP: 192.168.0.3
Il envoie des rponses ARP pour
Machine 1 disant que 192.168.0.2 se trouve 03:03:03:03:03:03
Machine 2 disant que 192.168.0.1 se trouve 03:03:03:03:03:03
Ainsi les machines sont empoisonnes et vont envoyer leurs paquets lui. Quand il
reoit des paquets de la Machine 1, il les enverra 02:02:02:02:02:02 et de la Machine 2
01:01:01:01:01:01.
Du fait quEttercapNG est capable de sintercaler au milieu de la communication il
permet de dchiffrer des sessions SSH1 et ceci en interceptant les paquets en dbut de session
et en remplaant la cl publique du serveur par une cl gnre par lui. Ainsi il rcupre les
paquets du client chiffrs par la cl gnre et prendra la cl de session qui sy trouve. Il sera
facile aprs dobserver tout le trafic.
Il offre la possibilit de collecter des mots de passe telnet, ftp, mySql Il peut
observer le trafic de donnes scurises dans http SSL mme si la connexion est faite via un
proxy.

2.3.5. THC- Amap

Cest un outil qui permet didentifier les applications et les services mme lorsquils
ne sont pas sur leur port par dfaut. A chaque fois quune application (client) se connecte sur
un serveur il y a un change initial de paquets handshake exchange . Amap profite de ce
comportement en envoyant de faon active des requtes sur les ports. Il va prendre le premier
paquet renvoy et comparer sa signature une base de signatures de rponses pour dterminer
le service correspondant. Cet outil est un nouvel outil gratuit qui est toujours en priode de
test et facilement tlchargeable sur le site [7].

2.3.6. Nessus
Le projet Nessus a dmarr en 1998, sous la direction de Renaud Deraison qui
voulait fournir un outil de balayage puissant, gratuit et facile grer. Nessus est un outil qui
emploie une mthode active pour la cartographie du rseau et le balayage des ports.
Lavantage vident dune telle approche est labondance dinformations recueillie par le
systme, linconvnient est le surplus de trafic inutile sur le rseau. Deux versions existent
pour cet outil, lune pour les systmes bass sur Unix (Mac OS X, FreeBSD, Linux, Solaris,
etc..) et une autre pour les plateformes Windows, appele NeWT (NeWT 2.0). Il est utile de
mentionner que la version Windows, bien quelle soit gratuite, nest cependant ni transfrable
ni sous licenciable et nest destine qu un usage strictement personnel. Nessus est le seul
outil offrir la possibilit de faire des contrles de scurit locaux, en plus des contrles
distance conventionnels. Cette caractristique se rsume en la capacit de Nessus, partir de
sa version 2.1, de se connecter sur le hte distance. Il peut ainsi valuer les patchs manquant
sur une plateforme donne et les dernires mises jour disponibles pour protger le systme.
Nessus a aussi lavantage de faire de la reconnaissance de services intelligente (Smart Service
Recognition) : Nessus ne part pas du principe que les outils cibls respectent les numros de
port dsigns par lIANA, ce qui veut dire quil peut reprer un serveur FTP sexcutant sur
un port non standard ou un serveur Web utilisant un port autre que 80. Nessus a t le premier
outil offrir cette possibilit et a t maintes fois copi depuis. Une autre caractristique trs
utile de Nessus est le recensement de tuples de service. Si un hte excute plusieurs instances
dun mme service, Nessus identifiera et testera chaque instance de ce service

La cartographie du SI et corrlation dalertes pour la dtection dintrusions

indpendamment. Cet outil a aussi la capacit de tester des services bass sur SSL tels https,
smtps, imaps Enfin, Nessus donne le choix entre deux modes de balayage : Un audit de
scurit normal, dit non destructif, et un mode exhaustif o il essaie didentifier et dexploiter
les vulnrabilits du systme audit, ce qui risquerait dentraner un crash complet de
lhte cible, mais permettant davoir des informations nettement plus pertinentes sur le
systme en question. Un atout fort de cet outil est la panoplie de programmes et dapplications
complmentaires qui sont dveloppes autour de celui-ci : des programmes facilitant
linteraction avec la base de donnes, des programmes centralisant la gestion de plusieurs
domaines dadministration (the Lightning Console), des applications permettant dintgrer les
logs provenant de plusieurs sources (the Thunder Log) entre autres. Nessus est fort aussi de
son langage de formalisation de tests de scurit, le Nessus Attack Scripting Language
(NASL), qui permet facilement la cration de nouveaux plug-ins. Ces scripts ne reprsentent
aucun danger pour la machine sur laquelle Nessus tourne, puisquils sont excuts dans un
environnement confin, au-dessus dune machine virtuelle. Les rapports de scurit peuvent
tre gnrs en HTML, XML, LaTex, ou texte ASCII. Une caractristique importante de
Nessus est la possibilit dy intgrer dautres outils tels Nmap, Hydra ou Nikto pour amliorer
ses capacits de scanning . Enfin, un site Web trs instructif [8], une abondance de
publications, des plug-ins rgulirement disponibles et une base dutilisateurs norme permet
de faire de Nessus un outil incontournable quand on parle de cartographie et dvaluation de
vulnrabilits.

2.3.7. Scotty/Tkined
Scotty/Tkined est un outil permettant la surveillance de rseau en utilisant des API
(Application Programming Interface) de haut niveau [17]. Linnovation de ce programme se
trouve dans le fait quil est base de Tcl (Tool Command Language), ce qui facilite sa
portabilit sur tous genres de plateformes. Il se scinde en deux packages principaux : le
premier, Tnm Tcl Extension, fournit laccs aux sources dinformation de gestion de rseau.
Le second, Tkined (Tcl/tK-based Interactive Network EDitor), est lditeur de rseau,
fournissant un environnement graphique facile grer et comprendre la fois. Tnm Tcl
Extension supporte les protocoles suivants:
1.
2.
3.
4.
5.
6.
7.

SNMP (SNMPv1, SNMPv2c, SNMPv2u)

ICMP (echo, mask, timestamp et les requtes udp/icmp de traceroute)
DNS
HTTP (cts serveur et client)
RPC SUN (portmapper, mount, rstat, etherstat, services pcnfs)
NTP (version 3)
UDP

La distribution de Scotty/Tkined comporte aussi quelques exemples de scripts illustrant la

faon de rdiger des scripts pour automatiser les tches de gestion et contrles spcifiques au
site ou rseau de lutilisateur. Cet outil comporte un dfaut qui nest pas des moindres : Scotty
fait rellement de la surveillance de rseau et non pas de la dcouverte et reconnaissance
dhtes ; cest lutilisateur qui dessine, laide de Tkined, le rseau monitorer, Scotty ne
prenant pas linitiative didentifier les htes dans un rseau donn. Un autre dfaut, moins
important, est le fait que Scotty est plutt destin sexcuter sous des plateformes Unix. Une
version rcente a t dveloppe pour les systmes Windows NT mais elle est, toutefois,
encore crible de bugs.

2.3.8. Nmap
Nmap (Network Mapper) est un outil gratuit [9], disponible sous licence GNU GPL,
servant lexploration de rseaux et laudit scuritaire. Il utilise une mthode active de
recherche dinformations. Cet outil est aussi bien adapt des tests sur des centaines de

La cartographie du SI et corrlation dalertes pour la dtection dintrusions

milliers de cibles qu des tests visant un hte particulier. Nmap comprend plus de 500
empreintes dans sa base. Il exploite les paquets IP bruts (TCP et UDP) de faons
innovantes pour tenter, entre autres, de dcouvrir les htes existant sur un certain rseau,
dterminer les services offerts par ceux-ci (nom de lapplication et sa version) via un balayage
de ports, les diffrents OS sur lesquels ils tournent, les diffrents genres de filtres et de parefeu mis en place. Nmap est portable sur une grande varit de systmes dexploitation :
Linux, Windows, FreeBSD, OpenBSD, Solaris, IRIX, Mac OS X, HP-UX, NetBSD, Sun OS,
Amiga De mme, deux types dinterface sont possibles : interface graphique et console de
commande classique. Un point fort que cet outil partage avec Nessus est labondance de
documentation constamment mise jour et traduite en plusieurs langues. Quelques proprits
intressantes de Nmap sont :
Calcul dynamique du dlai : faute dimposer explicitement un certain dlai entre les
transmissions conscutives de paquets vers un mme hte, Nmap essaie de trouver le
meilleur intervalle de temps implmenter, intervalle qui sadapte dynamiquement
un changement de comportement ventuel de la cible.
Retransmission de paquets : certains scanners nenvoient quune seule fois un paquet
vers une cible, ne prenant pas en compte ainsi la possibilit de pertes de paquets dans
le rseau. Ceci pourrait gnrer des faux ngatifs. Nmap est conu pour renvoyer un
certain nombre de fois un paquet un port qui ne rpond pas.
Balayage parallle de ports : nmap excute plusieurs balayages de ports
simultanment, rduisant ainsi le temps de scan total dun hte. Ceci permet
doptimiser les performances.
Balayage flexible de ports: une certaine plage de ports cibles peut tre spcifie,
rduisant ainsi le temps total de laudit.
Dtection dun hte hors service : avant de procder un balayage de ports coteux
en temps, Nmap sassure que la cible est bel et bien en service.
Cependant, le fait quil ait recours des mthodes actives daudit, de prise dempreinte et
de balayage fait quil nest pas appropri nos besoins. Curieusement, Microsoft a dcid de
ne plus permettre Nmap dtre excut sur sa plateforme : Windows SP2 ne permet plus
denvoyer des paquets TCP sur des sockets RAW.

2.3.9. Checkos et SIRC

Ces deux outils partagent bon nombre de lignes de code, Checkos tant bas sur
SIRC. Ce sont deux outils de prise dempreinte plutt rudimentaires, plaant une cible sous
lune de quatre catgories : Linux, 4.4BSD, Win95 ou Unknown, en ayant recours de
simples tests sur les flags des paquets TCP [12]. Une chose que Checkos ajoute, est la
vrification de la bannire telnet, qui est utile mais qui possde linconvnient de ne pas tre
trs crdible puisqu'un nombre croissant de personnes dsactivent ces bannires ; de plus
beaucoup de systmes fournissent peu d'information et il est facile de "mentir" dans ses
bannires.

2.3.10. P0f
P0f est un outil de prise dempreinte passive qui propose quatre modes diffrents de
fingerprinting [10]:
Incoming connection fingerprinting (SYN mode, mode par dfaut): pour
identifier lOS install sur un hte qui se connecte notre plateforme,
Outgoing connection fingerprinting (SYN+ACK mode): pour dterminer le
systme dexploitation de lhte sur lequel on se connecte,
Outgoing connection refused fingerprinting (RST+ mode): pour une prise
dempreinte dun systme qui rejette notre trafic,
Established connection fingerprinting (stray ACK mode): pour examiner des
sessions en cours sans interfrence de sa part.

10

La cartographie du SI et corrlation dalertes pour la dtection dintrusions

Un outil de prise dempreinte passive ne peut jamais fournir de rsultats aussi prcis
et exhaustifs quun autre utilisant la mthode active. Cependant, il peut parfois surmonter
certains obstacles que peut rencontrer un outil de prise dempreinte active : P0f russit
contourner les pare-feu quand dautres outils tel que Nmap ny arrivent pas. Il comporte aussi
des mtriques qui nexistent que dans cet outil, ou du moins qui y ont t mises en uvre pour
la premire fois (Non-zero ACK in initial SYN, Non-zero "unused" TCP fields, Non-zero
urgent pointer in SYN, Non-zero second timestamp, WSS to MSS/MTU correlation checks,
EOL presence and trailing option data, Data payload in control packets, SEQ number equal to
ACK number, Zero SEQ number).
Jusqu ce jour, p0f ne dispose pas dun module intgr de connectivit aux bases de
donnes. Un module extrieur, p0f_db, est utilis dans cet objectif.
P0f tourne sous tous genres de systmes dexploitation : NetBSD, FreeBSD,
OpenBSD, Mac OS X, Linux (2.0 et plus), Solaris, Windows La version 2 de cet outil a t
rcrite afin dajouter de la flexibilit aux signatures et pour implmenter des contrles sur
des caractristiques subtiles des paquets et, par consquent, amliorer la prcision de la prise
dempreinte.

2.3.11. OSSIM
OSSIM (Open Source Security Information Management) illustre une mise en uvre
de la cartographie pour amliorer la dtection dintrusions. Son principal atout est que OSSIM
nest pas un outil en tant que tel mais regroupe un grand nombre doutils open source
existants pour offrir une meilleure gestion de la scurit du rseau. OSSIM offre un
environnement centralis de monitorat et de gestion de toutes les informations dlivres par
les diffrents outils quil gre. Avec OSSIM il est possible de dfinir des rgles de scurit
relatives la politique de scurit adopte, de connatre la cartographie du rseau et de
corrler les diffrents outils pour optimiser la supervision (rduire les faux positifs par
exemple). On cherche exploiter les caractristiques des diffrents outils dj existants pour
collecter le plus dinformation ncessaire pour une meilleure vision du rseau. OSSIM
garantit linteroprabilit des diffrents outils.
Il possde trois caractristiques principales :

Intgration : OSSIM regroupe et intgre sur une mme plateforme plusieurs outils de
scurit (Snort, Nessus, POf, Nmap) (voir Annexe A) offrant des fonctionnalits de
gestion de rseau (audit, pattern matching, dtection danomalies)
Corrlation : OSSIM offre la possibilit de corrler les alertes et de rduire par
consquent le nombre de faux positifs.
Analyse de vulnrabilits : OSSIM offre des fonctionnalits qui permettent une bonne
inspection des mesures de scurit du rseau. Lusage de Nessus par exemple va
permettre OSSIM de faire un inventaire de toutes les vulnrabilits existantes et donner
une ide sur la situation du rseau.

OSSIM est capable de fournir sur chaque quipement les informations suivantes : OS,
adresse MAC, nom Netbios ou DNS, ports ouverts ainsi que versions et type de services sur
ces ports et enfin des informations sur lusage du rseau (le trafic par connexion, par
jour)(Voir Annexe B). Toutes ces informations sont collectes de faon active et passive. Il
peut aussi dtecter automatiquement tout changement de ces diffrents paramtres et le
signale si ncessaire.

11

La cartographie du SI et corrlation dalertes pour la dtection dintrusions

Concernant larchitecture, nous pouvons voir OSSIM comme un composant trois
couches :

Interaction avec lutilisateur : dfinitions des

variables de scurit
BD
Serveur
Protocole
propritaire

Console

Corrlation, analyse de vulnrabilits

interface Web

Capteurs
IDS, dtection
danomalie, monitorat temps rel

Figure 1 : Architecture dOSSIM vu comme un composant 3 niveaux

En ce qui concerne les capteurs, ils incluent des outils de dtection dintrusions bass
sur le principe de signatures ainsi que des outils de dtection danomalie. La supervision du
rseau se fait en temps rel. OSSIM permet de faire une corrlation dalerte en provenance
des diffrents capteurs pour ne garder que celles pertinentes et constituant une attaque
potentielle pour le systme dexploitation existant. Pour cela il maintient jour des tables de
correspondance alertes/versions et alertes/vulnrabilits.
Enfin il faut prciser que OSSIM demande une plateforme Linux et a des
fonctionnalits limites sur BSD, MacosX, Solaris.

2.4. Synthse sur les outils existants

On a essay dans cette partie de faire une taxonomie de tous les outils existants en
essayant de les comparer. Le but final est de rechercher celui qui collecte le plus
dinformations sur le rseau, exploitables ultrieurement, tout en tant le plus efficace
possible (en terme de dploiement et de charge rseau). Il faut noter que NeVO et RNA sont
les deux seuls outils commerciaux quon a cits. Ces outils sont bien connus dans le domaine
de la cartographie puisquils fournissent beaucoup de renseignements sur les diffrents
quipements du rseau. Dautres outils qui sont aussi intressants ( lexemple de Bro,
Siphon, Queso) nont pas t traits ici. Parmi les outils dont nous avons parl il y en a qui
taient plus riches que dautres en terme de connaissance du rseau mais qui dun autre ct
prsentaient un certain nombre dinconvnients. Lidal serait de pouvoir grouper certains
dentre eux pour essayer de profiter de leur richesse sans pour autant accumuler leurs
inconvnients. Enfin OSSIM semble tre une faon de tirer profit de certains outils existants
pour aller en profondeur dans la connaissance du rseau.
La connaissance du rseau va du plus bas niveau (adresses MAC, topologie) jusqu
un niveau suprieur dabstraction concernant les vulnrabilits auxquelles les quipements
existants pourraient tre assujettis. En pratique la connaissance de telles informations est
indispensable pour un administrateur de rseau pour dtecter les vulnrabilits au niveau des
applications de certaines machines de son rseau et par consquent offrir les patchs
correspondants. Mais aussi ces informations sont trs utiles en terme doptimisation du
processus de dtection dintrusions. Comme on la vu la cartographie peut aussi tre exploite
au moment de la corrlation dalertes pour rduire le grand nombre dalertes qui reste le
problme majeur des IDS.

12

La cartographie du SI et corrlation dalertes pour la dtection dintrusions

3. La corrlation dalertes et les perspectives

Le besoin dalgorithmes de corrlation dcoule en premier lieu, comme on la dj
fait remarquer, du nombre dalertes traiter. Ce nombre est en gnral trs grand et
complique la tache de loprateur de scurit. Ce dernier doit ragir face certaines alertes
mais pas dautres qui savrent tre redondantes ou bien correspondre des fausses alertes
(faux positifs). Le but actuel est de rduire ce nombre dalertes et de ne faire parvenir
loprateur de scurit que les alertes pertinentes qui demanderont ventuellement une
intervention. On cherche aussi prciser le degr de priorit relatif de chaque alerte pour
optimiser la tche de traitement.
Rduire le nombre dalertes ne veut en aucun cas dire la dsactivation immdiate
dune alerte ce qui pourrait induire une non dtection dune attaque ventuelle. Lide
principale derrire la rduction du volume dalertes est de faire une analyse automatique des
diffrentes alertes pour en dduire celles qui, dans la configuration actuelle du systme
dinformation superviser, ne constituent pas un risque majeur et ne demandent pas une
intervention immdiate de loprateur de scurit. Dans de nombreux cas, le processus de
corrlation dalertes va liminer les alertes surnumraires en gnrant une alerte synthtique
regroupant plusieurs alertes.
Pour optimiser le traitement des alertes il faut amliorer leur smantique; une bonne
corrlation repose dabord sur une bonne expressivit et une richesse de lalerte en terme
dinformations. Ceci veut dire que chaque alerte doit contenir un nombre minimal
dinformation pour pouvoir aboutir une bonne corrlation. Notons que la smantique de
lalerte obtenue par corrlation doit contenir une dfinition prcise de lattaque encourue, des
risques auxquels est confront le systme en question ainsi quune classification par niveau de
priorit pour le traitement ultrieur des alertes. Une amlioration consiste slectionner les
contre-mesures pour faire face la menace. Toutes ces amliorations, comme vous pouvez le
remarquer, demandent une certaine connaissance topologique du rseau surveill ainsi quune
connaissance des vulnrabilits des diffrents systmes pour pouvoir dterminer les menaces
et les contre-mesures. Choses que le systme de dtection dintrusion, seul, ne peut savoir.
Do lintrt davoir des outils de cartographie qui fourniront ces diffrentes informations.
La corrlation dalertes peut aussi bien concerner des alertes en provenance dun seul
quipement de dtection, que des alertes en provenance de diffrents quipements dans le cas
dune supervision distribue du rseau. Ce dernier cas pose le problme de la reprsentation
des donnes collectes par les alertes. En effet les systmes de dtections tant dans la plupart
des cas htrognes, lchange de donne dalertes ncessaire dans le processus de corrlation
doit se faire en utilisant un format standard de reprsentation de ces donnes.
Plusieurs travaux sur le modle de reprsentation des donnes dalertes ont eu lieu
donnant naissance diffrents modles de description dalerte. Citons M2D2 [21] qui est un
modle intgrant des informations relatives la topologie et prenant en compte les
vulnrabilits des machines sur le rseau. La partie suivante se consacre aux diffrentes
techniques de corrlation existantes pour faire ressortir les diffrents points non encore
abords ou qui peuvent tre amliors.

3.1.

Les techniques de corrlation

Plusieurs techniques de corrlation ont t mises en place durant les dernires annes.
Une de ces techniques est celle utilise dans le dtecteur EMERALD et dite corrlation
bayesienne [20] qui repose sur lagrgation. Cette approche consiste dgager des similarits
entre les diffrents attributs communs un sous ensemble dalertes. Ces attributs sont
ladresse de lattaquant, ladresse de la cible, lidentifiant de la sonde gnrant lalerte, la date
doccurrence et le type dattaque. Une mta-alerte est ensuite cre. Elle aura comme attributs
lunion des diffrents attributs des alertes de lensemble constitu par les alertes considres
similaires. Linconvnient de cette mthode est que daprs la dfinition des types dattaques,
une alerte ne peut appartenir qu un seul type dattaque. En plus aucune information sur la

13

La cartographie du SI et corrlation dalertes pour la dtection dintrusions

cartographie du rseau nest exploite et ceci ne permettra pas une optimisation du processus
de corrlation.
Dautres approches comme celle de Lambda [22] et CRIM [23] reposent sur une
description dun scnario dattaque dans un langage bas sur la logique. Une attaque est
dcrite comme une succession dvnements. Chaque vnement est dcrit par des prconditions et des post-conditions. Les pr-conditions doivent tre remplies pour que lattaque
puisse avoir lieu et les post-conditions doivent tre vrifies par chaque vnement pour
pouvoir affirmer quune attaque est en_train de se produire. Dans ce cadre, la corrlation
consiste donc lier les post-conditions dun vnement (dtect par une alerte) aux prconditions de lvnement suivant du scnario dcrit. Ceci demande la description pralable
dans ce langage dun grand nombre dvnements. Mme si dans ce cadre il est possible
dintgrer des informations de type cartographiques dans les conditions, ceci na pas encore
t mis en uvre.
Il existe cependant une approche qui est utilise dans loutil OWL [20] et qui prend
en compte, dans le processus de corrlation, des informations en provenance des outils daudit
de vulnrabilit. Ceci est une tape vers une exploitation dinformations autres que celles
directement connues par les outils de dtections dintrusions. Elle permet, quand une alerte se
produit et signalant lexistence dune attaque qui exploite une certaine vulnrabilit, de
vrifier partir des informations recueillies dans les outils daudit si cette vulnrabilit existe
effectivement et quelles sont les menaces engendres sur le systme. Ainsi il serait possible
de gnrer une nouvelle alerte et de lui attribuer un niveau de priorit en fonction de la gravit
de la situation. Cependant il ny a aucun autre moyen de vrifier si vraiment le systme est
compromis. De plus, les outils daudit dtectent la prsence de vulnrabilit et non pas son
absence. Cette dernire information pourrait tre utile pour une limination dalertes
correspondant lexploitation dune vulnrabilit non existante au niveau du systme. Le
problme reste trouver un moyen ou un outil permettant davoir une telle information.
Une autre technique de corrlation est base sur les chroniques [24]. Cette approche
est surtout utile pour une rduction du nombre dalertes correspondant une attaque
caractre rptitif dans le temps (les vers). Cette technique introduit une notion dhorodatage
qui consiste reconnatre un flux ordonn et born temporellement. Prenons lexemple dune
attaque constitue de la propagation dun certain virus. Ce dernier, pour se propager, ralise
un certain nombre de requtes (le ver NIMDA titre dexemple [20]). Cette technique va
permettre de suivre et de corrler les alertes relatives chacune de ces requtes durant un
certain espace temporel. Si cette suite dalertes a eu lieu, une alerte correspondant la
tentative de propagation de ce virus est gnre. Cette technique demande un travail dcriture
relativement important. Elle ne prend pas en compte non plus les caractristiques du systme
attaqu. Il est fort probable que mme si lattaque a eu lieu le systme ne soit pas compromis
puisquil ne prsente pas de vulnrabilit ce genre prcis dattaques. Do encore une fois
une ncessit dintgration de nouvelles donnes dans ce modle.

3.2.

Les perspectives

Daprs cette brve description des techniques existantes on peut dj noter quil
existe toujours des lacunes dans chacune de ces mthodes. Ces lacunes pourraient tre
combles si dautres informations plus prcises sur les diffrents systmes du rseau peuvent
tre recueillies.
On peut mme se demander si on ne pouvait pas descendre un rang dans la dtection
dintrusion. Au lieu de chercher corrler des alertes pourquoi ne pas optimiser le processus
de dtection lui-mme en essayant de faire un suivi des activits dun attaquant dans le temps.
Ceci est dj vu dans ce que lon a appel lapproche stateful de la dtection. Ce qui ne va
pas sans problme de stockage de donnes mais pourra, en dfinissant les signatures ou les
scnarii de faon y corrler des informations en provenance des outils de cartographie,
rduire peut-tre le nombre dalertes gnres. Le problme est que lattaquant pourra essayer
de faire exploser la sonde stateful en initialisant un grand nombre dattaques sans jamais les
terminer, un peu comme dans un syn-flooding.

14

La cartographie du SI et corrlation dalertes pour la dtection dintrusions

Pour optimiser les informations recueillies par les outils daudit de vulnrabilit, il
serait intressant aussi de pouvoir dresser un bilan des diffrents services actifs sur une
machine donne en leur associant les informations sur leurs versions et vulnrabilits pour
pouvoir rduire de faon optimale le nombre de fausses alertes.
Cest ce niveau que va se situer le travail durant le stage ; on va essayer dlaborer
partir des diffrents outils dont on dispose, un moyen dextraction dinformations pertinentes
qui pourraient nous tre utiles pour lamlioration du processus de corrlation. Quelles sont
les informations demandes ? Comment les prendre en compte dans le mcanisme de
corrlation ? Toutes ces questions sont ouvertes et on espre apporter quelques rponses.

Conclusion
Actuellement la demande en matire de scurit est de plus en plus importante. Les
attaques quant elles, sont devenues invitables et les outils de dtection prsentent certaines
limites. La tendance optimiser ces derniers va de pair avec la recherche de nouvelles sources
de donnes exploitables.
La corrlation dalertes est un domaine prometteur. Beaucoup de travaux sont
actuellement en cours pour laborer de nouvelles mthodes et de nouveaux outils permettant
doptimiser le processus de dtection dintrusions. Un autre domaine de recherche est en_train
de progresser, celui de la cartographie de rseaux qui, on lespre, va venir en aide aux
techniques de corrlation dalertes.
Cest dans cette voie de recherche que va seffectuer notre stage avec lespoir de
pouvoir apporter des rponses certaines questions qui se posent toujours dans ce domaine

15

La cartographie du SI et corrlation dalertes pour la dtection dintrusions

Bibliographie
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
[18]
[19]
[20]
[21]
[22]

H. Debar, Etat de lart sur la cartographie de sites, techniques de corrlation a_priori et

les techniques de corrlation explicite, draft 0.1, 2002.
B. Mukherjee, L.Heberlein, K.Levitt, Network Intrusion Detection, IEEE Network,
May/June 1994.
Site Web de RNA http://www.sourcefire.com/products/rna.html
R.Deraison, R.Gula, T.Hayton, Passive Vulnerability Scanning Intoduction to NeVO,
Tenable Network Security, August 2003.
Site Web dEthercapNG http://ettercap.sourceforge.net/index.php
J.Melton, Gail-Joon Ahn, Application Penetration Testing: Concepts and Taxonomy,
http://uncc.servehttp.com/php/cgi-bin/apt_presentation.pdf
Site THC http://www.thc.org/releases.php
Site Web Nessus http:// www.nessus.org
Site Web Nmap http://www.insecure.org/nmap/index.html
Site Web p0f http://lcamtuf.coredump.cx/p0f/
Site Web OSSIM http://www.ossim.net
Site Web SIRC/Checkos http://www.papyrusweb.ch/Syspinner/StackFingerprinting.asp
Martin Roesch, Snort-Lightweight Intrusion Detection for Networks, Stanford
Telecommuniactions,Inc. November 7-12, 1999.
R.Deraison, R.Gula, Blended Security Assessments, Combining Active, Passive and
Host Assessment Techniques, Tenable Network Security, July 2004.
W.Jansen, P.Mell, T.Karygiannis, D.Marks , Mobile Agents in Intrusion Detection And
Response, National Institute for Standards and Technology Gaithersburg, 2000.
B.Dayioglu, A.Ozgit, Use of Passive Network Mammping to Enhance Signature
Quality of Misuse Network Intrusion Detection Systems, Proceedings of the 16th
International Symposium on Computer and Information Sciences, November 2001.
Site Web Scotty/Tkined http://wwwhome.cs.utwente.nl/~schoenw/scotty/
Yohann Thomas, Acquisition passive de la cartographie dun rseau, rapport de stage de
fin dtudes, France Telecom R&D Caen, Juin 2004.
S. Krishnamurthy, A. Sen, Stateful Intrusion Detection System (SIDS), Proceedings of
the 2nd International Information Warfare and Security Conference, Perth, Australia,
November 2001.
H. Debar, Dtection dintrusions vers un usage rel des alertes, rapport dhabilitation
diriger des recherches.
B. Morin, L. M, H. Debar, M. Ducass, M2D2 : A Formal Data Model for IDS Alert
Correlation, Proceedings of the 5th symposium on Recent Advances in Intrusion
Detection (RAID 2002), Zurich, Switzerland, October 2002.
F.Cuppens, R.Ortalo, LAMBDA : A Language to Model a Database for Detection of
Attacks, Third International Workshop on Recent Advances in Intrusion Detection
(RAID2000), Toulouse, Octobre 2000.

[23] F. Cuppens et A. Mige. Alert correlation in a cooperative intrusion detection

framework. IEEE Symposium on Research in Security and Privacy, Oakland,

Mai 2002.
[24] B.Morin, H.Debar, Correlation of Intrusion Symptoms: an Application of Chronicles,
Proceedings of the 6th symposium on Recent Advances in Intrusion Detection (RAID
2003),Carnegie Mellon University, Pittsburg, Septembre 2003.

16

La cartographie du SI et corrlation dalertes pour la dtection dintrusions

ANNEXES
Annexe A Outils utiliss dans OSSIM

La table ci-dessus a t retire du site de OSSIM.

17

La cartographie du SI et corrlation dalertes pour la dtection dintrusions

Annexe B Caractrisation dune machine par OSSIM

Windows

Linux

18

La cartographie du SI et corrlation dalertes pour la dtection dintrusions

Moniteur de session TCP

Dtection de changement dOS

19