Académique Documents
Professionnel Documents
Culture Documents
net/publication/335639245
CITATIONS READS
0 836
1 author:
Poulmanogo Illy
École de Technologie Supérieure
8 PUBLICATIONS 99 CITATIONS
SEE PROFILE
Some of the authors of this publication are also working on these related projects:
Securing Fog-to-Things Environment Using Intrusion Detection System Based On Ensemble Learning View project
All content following this page was uploaded by Poulmanogo Illy on 05 September 2019.
Sécurité informatique.
25 Avril 2018
ILLY Poulmanogo
Résumé : Ce rapport est issu d’une revue de littérature en profondeur sur la détection
d’intrusion. Partant d’exemples illustratifs de l’envergure des menaces de sécurité, il fait
une présentation complète des types d’IDS, des méthodes de détection et des
approches innovatrices et prospectives utilisant les potentiels technologiques de pointe
comme l’apprentissage machine et la fouille de données. Il propose aussi une analyse
des limites et des problèmes ouverts sur les systèmes de détection.
1
1. Introduction
Quel que soit le niveau des moyens techniques mis en place pour la prévention d'attaques dans
un système informatique, il peut succomber face à un adversaire endurant, utilisant des
techniques plus évoluées ou des moyens plus avancés. De ce fait, il faudra qu'en dessous de
toute couche de prévention, qu'il ait une couche de détection d'intrusion. C'est le fondement du
développement des systèmes de détection d’intrusion, plus connus sous le nom d’IDS (Intrusion
Detection Systems).
Un IDS est un système de sécurité qui surveille un système informatique et analyse le trafic pour
déceler des actions qui tendent à compromettre les objectifs de sécurité (confidentialité,
intégrité, disponibilité…) définis pour ce système informatique.
La figure 1, proposée par l’IDWG (Intrusion Detection Working Group) présente le processus
générique des systèmes de détection d’intrusion.
2
Les recherches sur la détection d'intrusion ont commencé il y a près de 40 ans. En 1980, James
P.Anderson, membre du "Defense Science Board Task Force on Computer Security" de l'U.S Air
Force, publie "Computer Security Threat Monitoring and Surveillance", un rapport souvent
reconnu comme ayant introduit l'IDS automatisé. Actuellement, les recherches dans le domaine
sont encore plus dynamiques, notamment en raison des évolutions technologiques comme le
cloud computing, le big data et l'intelligence artificiel.
Ce rapport est issu d’une revue de littérature en profondeur sur la détection d’intrusion. Il
présente d’abord (section 2) les problématiques de sécurité (cas d’attaques). Ensuite, la section
3 présente les types d’IDS. Dans la section 4 les méthodes de détection sont étudiées. La section
5 décrit des approches innovatrices et prospectives utilisant les potentiels technologiques de
pointe. Les limites des IDS sont analysées enfin dans la section 6 avant la conclusion.
2. Problématique de sécurité
Les attaques des systèmes informatiques se produisent tous les jours, dans nombreuses
endroits à la fois si bien qu’il est impossible de pouvoir les compter. Cependant nous rappelons
ici uniquement deux attaques qui suffisent à susciter des interrogations et à appréhender
l’importance du problème. La première attaque est caractérisée par l’étendu de la
compromission et des dégâts financiers et la deuxième attaque est caractérisée par la puissance
technologique utilisée.
En septembre 2016, Yahoo autrefois le géant d'Internet, a annoncé qu'il avait été victime d'une
grande attaque en 2014. L'attaquant aurait probablement été aidé par un État. L'attaque a
compromis les noms réels, les adresses électroniques, les dates de naissance et les numéros de
téléphone de 500 millions d'utilisateurs. La société a déclaré que la "grande majorité" des mots
de passe concernés avaient été protégés à l'aide d'un algorithme robuste de hachage
cryptographique. Et en décembre, Yahoo a révélé qu'une violation en 2013 par un autre groupe
de pirates avait compromis un milliard de comptes. Outre les noms, les dates de naissance, les
adresses électroniques et les mots de passe qui n'étaient pas aussi bien protégés qu'en 2014, les
questions de sécurité et les réponses ont également été compromises. En octobre 2017, Yahoo
a révisé cette estimation, affirmant qu'en fait, les 3 milliards de comptes d'utilisateurs avaient
été compromis.
Source: Security news, features and analysis about prevention, protection and business
innovation.
Le 28 février 2018, le réseau de distribution de contenu (CDN) Akamai a annoncé avoir été sous une
attaque par déni de service distribué (DDoS) en direction de GitHub, la principale plateforme en
ligne de développement logiciel, utilisée par de très nombreux projets open source. La tentative a
3
culminé à 1,3 Tbps, un trafic doublé par rapport à l'ancien record constaté par Akamai, à savoir celle
contre Dyn fin 2016, via un botnet Mirai. Cette nouvelle attaque utilise un nouveau vecteur :
memcached. Il s'agit d'un service destiné à accélérer les applications web, en maintenant un cache
en mémoire. Le problème est que le service écoute à la fois les trafics TCP et UDP, sans besoin de
s'authentifier, affirme Akamai. Des instances memcached ont donc été exploitées pour « refléter »
et amplifier le trafic reçu de l'attaquant vers GitHub, à la manière d'un miroir. « La vulnérabilité via
cette mauvaise configuration est assez unique pour ce type d'attaque, car l'amplification peut
atteindre un facteur de 51 000. Autrement dit, pour chaque octet envoyé par l'attaquant, jusqu'à 51
kilo-octets sont envoyés à la cible » constate GitHub.
Ces exemples d’attaques permettent de démontrer que les moyens de sécurité préventive ne
peuvent être suffisants pour la protection d’un système. Plusieurs travaux de recherche sont
donc focalisés sur les autres couches de sécurité, en l’occurrence la couche de détection
d’intrusion.
Ce type d’IDS a l’avantage d’être plus facile à protéger (contre les attaques sur l’IDS lui-même)
du faite qu’ils ne font qu’une observation du trafic. Cependant, une des contraintes des NIDS est
que, pour pouvoir écouter l’ensemble des paquets, ils nécessitent une bande passante qui est
proportionnelle à l’importance du trafic. Aussi, le positionnement des NIDS dans le réseau doit
être stratégique afin de pouvoir surveiller tout le trafic. Par ailleurs les NIDS présentent des
limites dans la protection des réseaux aux trafics chiffrés.
Quelques exemples de NIDS sur le marché sont NetRanger, NFR, Snort, DTK et ISS RealSecure.
4
3.2. Les IDS hôtes (Host-based IDS)
Les systèmes de détection d'intrusion basés sur l'hôte, aussi appelés HIDS, analysent
exclusivement les activités concernant l’hôte sur lequel ils sont installés (serveur, poste client,
pare-feu, etc.), recherchant des activités suspectes. La détection peut se faire en utilisant les
logs d’audit de sécurité, les logs systèmes, le trafic réseau de l’hôte, les processus en cours
d’exécutions, les accès aux fichiers, les changements de configurations des applications, etc. Le
plus souvent les HIDS sont déployés sur les hôtes critiques comme les serveurs contenant des
informations de sensibilités élevées et les serveurs publiquement accessibles.
Etant focalisés sur la sécurité d’un seul hôte, les HIDS ont l’avantage d’avoir plus de précision
sur les variétés d'attaques. Aussi l'impact d'une attaque peut être constaté et permet une
meilleure réaction. Des attaques dans un trafic chiffré peuvent être détectées (impossible avec
un IDS réseau). Cependant les HIDS sont plus vulnérables aux attaques de dénis de service.
Aussi, en raison de leurs volumes de données, l'analyse des logs peut nécessiter d’importantes
ressources (puissance de calcul et stockage).
Des exemples de HIDS sont OSSEC (Open Source Security), Tripwire, Radmind, EMERALD’s
eXpert-BSM AIDE (Advanced Intrusion Detection Environment) et PortSentry.
Le fait qu’ils ne font pas une analyse de chaque paquet sur la ligne leurs permet d'être
beaucoup plus rapides et nécessiter moins de ressources. Cela leur permet d'être installés sur la
plupart des serveurs. Ils sont également particulièrement adaptés aux segments fortement
chargés ou aux trafics chiffrés, domaines où les NIDS traditionnels ont des limitations.
Cependant il est nécessaire d'installer plusieurs NNIDS, un pour chaque serveur à sécuriser.
5
programme en ajoutant des fichiers de logs afin de fournir de plus amples informations sur les
activités. Opérant entre utilisateur et programme, il est facile pour l’ABIDS de filtrer tout
comportement notable. Ses principaux avantages sont de travailler en clair (contrairement aux
NIDS, par exemple) d'où une analyse plus facile, et la possibilité de détecter et d’empêcher des
commandes particulières dont l'utilisateur pourrait se servir avec le programme. Deux
inconvénients majeurs sont identifiés : le peu de chances de détecter, par exemple, un cheval
de Troie (puisque l’ABIDS n'agit pas dans l'espace du noyau) ; en outre, les fichiers de logs
générés par ce type d'IDS sont des cibles faciles pour les attaquants (ils ne sont pas aussi sûrs
que les traces d'audit du système, par exemple).
3.7. Les Pots de miel de prévention : les pots de miel ne sont pas les systèmes les
plus appropriés pour éviter les attaques. Un pot de miel mal programmé et mal
configuré peut même faciliter les attaques.
Les Pots de miel de détection : l'un des principaux avantages des pots de miel vient de
ce qu'ils excellent à la détection d'attaques. Dans ce contexte, ils peuvent surtout
analyser et interpréter les logs. Le placement du pot de miel joue un rôle décisif : les
administrateurs ne peuvent tirer bénéfice des pots de miel que s'ils sont placés et
6
configurés correctement. Souvent, ils sont placés entre des serveurs importants pour
détecter des scans éventuels du réseau entier, ou à proximité d'un serveur essentiel
pour détecter les accès illégaux à l'aide d'une redirection de port (si quelqu'un essaie
d'accéder au serveur par certains ports, il est redirigé vers le pot de miel, et comme cet
accès ne doit pas être autorisé, une alerte est générée).
Les Pots de miel de réaction: selon sa configuration, un pot de miel peut réagir aux
événements.
De même, les pots de miel peuvent être classés en deux sous-catégories : recherche et
production. Les pots de miel de production ont pour objectif de diminuer les risques sur un
réseau alors que ceux de recherche servent à obtenir des informations sur les attaquants.
Par ailleurs, les pots de miel ne sont pas totalement légaux et il convient d’être prudent dans
leur utilisation. Un pot de miel peut être considéré comme une “invitation à l'attaque” et si
l'hôte attaqué n’a pas pris de mesures réactives, cette “non-réaction” peut être interprétée
comme une négligence. Quelques argumentations judiciaires contre les pots de miel sont aussi
de vigueur et il est préférable de vérifier ce que dit la loi en vigueur dans le pays d’installation. Si
quelqu'un attaque un autre réseau à partir du réseau du pot de miel et cause des dommages,
l’entité qui a installé le pot de miel sera considérée comme responsable.
7
d’anomalie, la détection basée sur les signatures et la détection basée sur des spécifications et
l’analyse des protocoles avec Etat. Des solutions combinant plusieurs méthodes de détection
sont appelées détections hybrides.
Le système illustré ici est constitué de quatre composantes à savoir la collecte de données (Data
Collection), le profil normal du système (System Profile), la détection d'anomalie (Anomaly
Detection) et la réaction (response). Les activités normales du système ou les données relatives
au trafic sont enregistrées par la composante de collection de données. Des techniques de
modélisation spécifiques sont utilisées pour créer les profils normaux du système. La
composante de détection d'anomalie détermine combien les activités en cours s'écartent des
profils normaux du système et à quel seuil d'écart ces activités devraient être signalées comme
anormales. Enfin, la composante de réaction signale l'intrusion et éventuellement les
informations de timing correspondantes.
8
De nombreuses techniques de détection anomalie ont été proposées dans la littérature. Ces
modèles vont des modèles statistiques avancés à des modèles d'intelligence artificielle et des
modèles biologiques basés sur les systèmes immunitaires humains. Bien qu'il soit difficile de
classer ces techniques, nous pouvons les diviser en quatre catégories sur la base des enquêtes
précédentes sur les systèmes de détection d’anomalie [5, 6, 7, 8, 9, 10, 11, 12]. Il s'agit
notamment de modèles statistiques avancés, de modèles fondés sur des règles, de modèles
d'apprentissage, de modèles biologiques et de modèles fondés sur des techniques de
traitement du signal.
Notre modèle comprend cinq composantes : System events qui collecte les évènements
courants du système, Pattern generator qui génère les signatures des évènements du système à
partir des évènements collectés, Pattern matching qui compare les signatures générées à partir
des évènements courants avec celles des attaques connues, Signatures database qui est la base
9
de données des signatures connues. La dernière composante, response, est la réaction
effectuée quand un matching est positif.
10
Fig. 4. Vue d’ensemble des approches de détection proposé dans [13]
11
Le modèle d’approche opérationnelle (Threshold Metric ou Operational Model Approach) : Ce
modèle particulier se base sur hypothèse et fait l'identification d'anomalie en comparant
l'observation avec une limite prédéfinie. Sur la base de la cardinalité d'une observation faite sur
une certaine période de temps, une alarme est générée. Le modèle opérationnel s'applique
surtout aux métriques pour lesquels l'expérience a montré que certaines valeurs sont souvent
associées à des intrusions. C’est le cas par exemple d’un compteur d'événements pour le
nombre d'erreurs de mot de passe pendant une brève période [14].
12
5.3. Approche basée sur la connaissance (Knowledge-Based approach)
Dans cette approche, une collection des connaissances sur les attaques spécifiques et les
vulnérabilités des systèmes est d'abord effectuée. Ensuite on applique ces connaissances pour
reconnaitre les attaques et les vulnérabilités du système à sécuriser. Tout autre événement que
le système est incapable de reconnaître comme une attaque est accepté et, par conséquent,
l'exactitude de l'IDS basé sur la connaissance est considérée comme élevée. Cependant, leur
principale exigence est que la base de connaissances soit suffisamment fournie et mise à jour
régulièrement. Les techniques de détection basées sur la connaissance peuvent être classifiées
comme :
L’approche de système expert (Expert System Approach): Elles sont principalement utilisées
par les IDS basés sur la connaissance. Pour décrire les attaques, il y a un ensemble de règles. Les
événements d'audit sont ensuite traduits en faits porteurs de leur signification sémantique dans
le système expert, et ces règles et faits serviront au moteur d'inférence pour tirer des
conclusions. Cette méthode augmente le niveau d'abstraction des données d'audit en y
attachant une sémantique.
L’analyse des transitions d’états (State Transition Analysis) : Cette technique est
conceptuellement identique au raisonnement basé sur un modèle. Elle définit les attaques avec
un ensemble d'objectifs et de transitions et les représente sous la forme d'un diagramme de
transition d'état. Le diagramme de transition d'état est une représentation graphique des
actions effectuées par un intrus pour pour la compromission d'un système. Dans cette
technique, une intrusion est considérée comme une séquence d'actions effectuées par un
intrus, c'est-à-dire des pointeurs allant d'un état initial d'un à un état final qui est la
compromission visée. Les diagrammes d'analyse de transition d'état reconnaissent les exigences
et le compromis de la pénétration. Ils dressent des listes d'actions clés qui doivent se produire
pour qu'une intrusion puisse s'effectuer.
13
avec les techniques statistiques et celles de fouille de données [17]. Les techniques
d'apprentissage machine peuvent être classées comme suit :
L’Approche de logique floue (Fuzzy Logic Approach) : Le système logique floue est hautement
responsable à la fois de la gestion du grand nombre de paramètres d'entrée et de l'inexactitude
des données d'entrée. Ainsi si la logique floue est combinée avec la technique de fouille de
données, elle réduit la taille de l'ensemble de données d'entrée et sélectionne les paramètres
qui caractérisent des anomalies. Dans [18] Dickerson et al. développent un moteur de
reconnaissance d'intrusion basé sur la logique floue (the Fuzzy Intrusion Recognition Engine-
FIRE) à l'aide d'ensembles flous et de règles floues.
L’Approche des réseaux de neurones (Neural Networks Approach) : Les réseaux neuronaux ont
sont largement utilisés avec succès pour des problèmes complexes. L'idée de base du réseau de
neurones est que le système apprend à chercher la prochaine commande basée sur une
séquence de commandes précédentes d'un utilisateur spécifique. Il apporte une meilleure
solution au problème de modélisation du comportement de l'utilisateur dans la détection
d'anomalies car ils ne nécessitent pas de modèle utilisateur explicite. Il existe de nombreux
réseaux de neurones qui peuvent être utilisés pour les ABIDS comme le Perceptron multicouche
et Radial Basis Function-Based. Pour se protéger contre les attaques, le document [21] présente
un modèle pour un crypto système utilisant un réseau de neurones, qui est de haute sécurité et
de faible coût. Sur la base de ce modèle, un algorithme de cryptage et de décryptage séparé est
présenté. Aussi un algorithme d’apprentissage pour un réseau de neurone multicouche est
également fourni pour garder des données multimédias sécurisées. Les travaux proposés
trouvent leur application dans les systèmes d'imagerie médicale, les bases de données d'images
militaires et les vidéoconférences confidentielles, ainsi que dans d'autres applications similaires
[21].
Avec l'approche de réseau neurones, les faux positifs ont été réduits de moitié (à environ une
fausse alarme par jour) et ont augmenté le taux de détection à environ 80 % avec la base de
données DARPA. Le système pourrait détecter les anciennes et les nouvelles attaques non
14
incluses dans les données d’apprentissage et, dans une moindre mesure, les attaques
distribuées sur plusieurs sessions. Deux types d'architectures des réseaux de neurones peuvent
être distingués :
La modélisation des systèmes de détection d'intrusion basée sur les réseaux de neurones et la
logique floue est proposée dans [22]. Dans cette recherche, la préparation des données
d’entrainement est mise en œuvre sous la forme d'un bloc de prétraitement composé d'une
SOM (Self-Organizing Maps). Plusieurs réseaux avec des caractéristiques différentes sont reliés
en cascade et en parallèle dans le but de créer un bloc SOM. Ce bloc est utilisé pour la réduction
des données d’entrainement par le processus de clustering des données dans des sous-
ensembles plus petits. Les données d’entrainement sont divisées en clusters et utilisées pour la
l’entrainement des composantes ANFIS (Adaptive Network Based Inference System) du système.
La structure hybride IDS se compose d'une cascade de blocs SOM reliés par un système flou. La
structure hybride proposée est entrainée, testée et validée en utilisant le data set KDDD CUP 99.
Par ailleurs les IDS sont le plus souvent les cibles même des adversaires et leur protection
peuvent être difficile en fonction du type d’IDS.
7. Conclusion
Les menaces de sécurité sur les systèmes informatiques sont multiples et les attaques sont
quotidiennes et de plus en plus sophistiquées. La compromission d’un système reste une
éventualité quel que soit les moyens préventives mis en place. Ainsi dans ce rapport nous avons
fait une revue de littérature sur les systèmes de détection d’intrusion. Il est fait une
présentation complète des types d’IDS, des méthodes de détection et des approches
innovatrices et prospectives utilisant les potentiels technologiques de pointe telle que
l’apprentissage machine et la fouille de données. Ces approches permettent d’améliorer
considérablement la précision de la détection et de détecter tout de même des attaques très
sophistiquées. Nous y proposons en dernier lieu une analyse des limites et des problèmes
ouverts sur les systèmes de la détection d’intrusion. L’utilisation de ces systèmes est de plus en
plus répandue car ils démontrent leurs importances par la détection au quotidien d’attaques qui
échappent aux moyens préventifs de sécurité.
16
Références
[1] Nathalie Dagorn, « Détection et prévention d’intrusion : présentation et limites », HAL Id:
inria-00084202, 6 Juillet 2006.
[2] Karen Scarfone, Peter Mell, “Guide to Intrusion Detection and Prevention Systems (IDPS)”,
Recommendations of the National Institute of Standards and Technology, Special Publication
800-94, February 2007.
[3] Cédric Michel, « Langage de description d’attaques pour la détection d’intrusions par
corrélation d’événements ou d’alertes en environnement réseau hétérogène ». Informatique
[cs]. Universite Rennes 1, 2003.
[5] Ali A. Ghorbani, Wei Lu, Mahbod Tavallaee, « Network Intrusion Detection and Prevention:
Concepts and Techniques », Page 34-35, 28 octobre 2009.
[6] S. Axelsson, « Intrusion detection systems: A survey and taxonomy », Tech. Report 99-15,
Chalmers University of Technology, Department of Computer Engineering, 2000.
[7] J. Lee, S. Moskovics, and L. Silacci, « A Survey of Intrusion Detection Analysis Methods »,
1999.
[8] A. Jones and R. Sielken, « Computer system intrusion detection: A survey », Tech. report,
Department of Computer Science, University of Virginia, Thornton Hall, Charlottesville, VA,
September 2000.
[10] M. Dacier H. Debar and A. Wespi, « A revised taxonomy for intrusion-detection systems »,
Tech. report, IBM Research Report, 1999.
[11] Teresa F. Lunt, « Detecting intruders in computer systems », Proceedings of the 1993
Conference on Auditing and Computer Technology, 1993.
17
[13] Manu Bijone, « A Survey on Secure Network: Intrusion Detection & Prevention
Approaches», American Journal of Information Systems, vol. 4, no. 3 (2016): 69-88. doi:
10.12691/ajis-4-3-2.
[14] Qayyum, A., Islam, M.H., Jamil, M., «Taxonomy of statistical based anomaly detection
techniques for intrusion detection» IEEE Symposium on Emerging Technologies, pp. 270,276,
17-18 Sept.2005.
[15] ian P., Shambhu U., Faisal F., Venugopal G., «Data Mining for Intrusion Detection –
Techniques, Applications and Systems», Data Mining Techniques for Intrusion Detection and
Computer Security, University at Buffalo, New York, 2004.
[16] Varun C, Arindam B., Vipin K., « Anomaly Detection: A Survey », ACM Computing Surveys,
Vol. 41, No. 3, Article 15, July 2009.
[17] Garcia-Teodoro, Pedro, J. Diaz-Verdejo, Gabriel M.; Enrique V., « Anomaly-based network
intrusion detection: Techniques, systems and challenges » computers & security, vol.28, no. 1,
pp. 18, 28, 2009.
[18] Dickerson; John E., Julie D., « Fuzzy network profiling for intrusion detection »,, 19th
International Conference of the North American Fuzzy Information Processing Society (NAFIPS),
Atlanta, GA, pp. 301, 306, 2000.
[19] Eskin; Eleazar, Andrew A., Michael P., Leonid P., Sal S., « A geometric framework for
unsupervised anomaly detection: Detecting intrusions in unlabeled data », D. Barbar and S.
Jajodia (Eds.), Data Mining for Security Applications, Boston: Kluwer Academic Publishers, May
2002.
[20] Honig; Andrew, Andrew H., Eleazar E., Salvatore S., « Adaptive model generation: An
architecture for the deployment of data mining based intrusion detection systems », D. Barbar
and S. Jajodia (Eds.), Data Mining for Security Applications. Boston, Kluwer Academic Publishers,
May 2002.
[21] Shyam Nandan Kumar, « Technique for Security of Multimedia using Neural Network»,
International Journal of Research in Engineering Technology and Management, vol. 2, issue 5,
pp.1-7, 2014.
[22] A. Midzic, Z. Avdagic, and S. Omanovic, “Intrusion detection system modeling based on
neural networks and fuzzy logic”, IEEE 20th Jubilee International Conference on Intelligent
Engineering Systems (INES), 2016
18