See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/335639245

Les systèmes de détection d'intrusion (IDS)

Research · April 2018

DOI: 10.13140/RG.2.2.10055.04001

CITATIONS READS
0 836

1 author:

Poulmanogo Illy
École de Technologie Supérieure
8 PUBLICATIONS   99 CITATIONS   

SEE PROFILE

Some of the authors of this publication are also working on these related projects:

Securing Fog-to-Things Environment Using Intrusion Detection System Based On Ensemble Learning View project

All content following this page was uploaded by Poulmanogo Illy on 05 September 2019.

The user has requested enhancement of the downloaded file.

Les systèmes de détection
d’intrusion (IDS)

Rapport de recherche pour le cours IFT6271-

Sécurité informatique.
25 Avril 2018

ILLY Poulmanogo

Résumé : Ce rapport est issu d’une revue de littérature en profondeur sur la détection
d’intrusion. Partant d’exemples illustratifs de l’envergure des menaces de sécurité, il fait
une présentation complète des types d’IDS, des méthodes de détection et des
approches innovatrices et prospectives utilisant les potentiels technologiques de pointe
comme l’apprentissage machine et la fouille de données. Il propose aussi une analyse
des limites et des problèmes ouverts sur les systèmes de détection.

Mots-clés : Détection d’intrusion, Détection d’anomalie, Détection basée sur les

signatures, Détection de spécification, Détection Hybride, Host-based IDS, Network-
based IDS, Hybrid-Based IDS, Network Node IDS, Application-based IDS.

1
1. Introduction
Quel que soit le niveau des moyens techniques mis en place pour la prévention d'attaques dans
un système informatique, il peut succomber face à un adversaire endurant, utilisant des
techniques plus évoluées ou des moyens plus avancés. De ce fait, il faudra qu'en dessous de
toute couche de prévention, qu'il ait une couche de détection d'intrusion. C'est le fondement du
développement des systèmes de détection d’intrusion, plus connus sous le nom d’IDS (Intrusion
Detection Systems).

Un IDS est un système de sécurité qui surveille un système informatique et analyse le trafic pour
déceler des actions qui tendent à compromettre les objectifs de sécurité (confidentialité,
intégrité, disponibilité…) définis pour ce système informatique.

La figure 1, proposée par l’IDWG (Intrusion Detection Working Group) présente le processus
générique des systèmes de détection d’intrusion.

Fig 1. – Modèle générique de la détection d’intrusions proposé par l’IDWG

L’administrateur configure les différents composants (capteur(s), analyseur(s), manager(s)). Les

capteurs accèdent aux données brutes, les filtrent et les formatent pour ne renvoyer que les
événements intéressants à un analyseur. Les analyseurs utilisent ces événements pour décider
de la présence ou non d’une intrusion et envoient le cas échéant une alerte au manager (qui
notifie l’opérateur humain). Une réaction éventuelle peut être menée automatiquement par le
manager ou manuellement par l’opérateur [3].

2
Les recherches sur la détection d'intrusion ont commencé il y a près de 40 ans. En 1980, James
P.Anderson, membre du "Defense Science Board Task Force on Computer Security" de l'U.S Air
Force, publie "Computer Security Threat Monitoring and Surveillance", un rapport souvent
reconnu comme ayant introduit l'IDS automatisé. Actuellement, les recherches dans le domaine
sont encore plus dynamiques, notamment en raison des évolutions technologiques comme le
cloud computing, le big data et l'intelligence artificiel.

Ce rapport est issu d’une revue de littérature en profondeur sur la détection d’intrusion. Il
présente d’abord (section 2) les problématiques de sécurité (cas d’attaques). Ensuite, la section
3 présente les types d’IDS. Dans la section 4 les méthodes de détection sont étudiées. La section
5 décrit des approches innovatrices et prospectives utilisant les potentiels technologiques de
pointe. Les limites des IDS sont analysées enfin dans la section 6 avant la conclusion.

2. Problématique de sécurité
Les attaques des systèmes informatiques se produisent tous les jours, dans nombreuses
endroits à la fois si bien qu’il est impossible de pouvoir les compter. Cependant nous rappelons
ici uniquement deux attaques qui suffisent à susciter des interrogations et à appréhender
l’importance du problème. La première attaque est caractérisée par l’étendu de la
compromission et des dégâts financiers et la deuxième attaque est caractérisée par la puissance
technologique utilisée.

En septembre 2016, Yahoo autrefois le géant d'Internet, a annoncé qu'il avait été victime d'une
grande attaque en 2014. L'attaquant aurait probablement été aidé par un État. L'attaque a
compromis les noms réels, les adresses électroniques, les dates de naissance et les numéros de
téléphone de 500 millions d'utilisateurs. La société a déclaré que la "grande majorité" des mots
de passe concernés avaient été protégés à l'aide d'un algorithme robuste de hachage
cryptographique. Et en décembre, Yahoo a révélé qu'une violation en 2013 par un autre groupe
de pirates avait compromis un milliard de comptes. Outre les noms, les dates de naissance, les
adresses électroniques et les mots de passe qui n'étaient pas aussi bien protégés qu'en 2014, les
questions de sécurité et les réponses ont également été compromises. En octobre 2017, Yahoo
a révisé cette estimation, affirmant qu'en fait, les 3 milliards de comptes d'utilisateurs avaient
été compromis.

Source: Security news, features and analysis about prevention, protection and business
innovation.

Le 28 février 2018, le réseau de distribution de contenu (CDN) Akamai a annoncé avoir été sous une
attaque par déni de service distribué (DDoS) en direction de GitHub, la principale plateforme en
ligne de développement logiciel, utilisée par de très nombreux projets open source. La tentative a

3
culminé à 1,3 Tbps, un trafic doublé par rapport à l'ancien record constaté par Akamai, à savoir celle
contre Dyn fin 2016, via un botnet Mirai. Cette nouvelle attaque utilise un nouveau vecteur :
memcached. Il s'agit d'un service destiné à accélérer les applications web, en maintenant un cache
en mémoire. Le problème est que le service écoute à la fois les trafics TCP et UDP, sans besoin de
s'authentifier, affirme Akamai. Des instances memcached ont donc été exploitées pour « refléter »
et amplifier le trafic reçu de l'attaquant vers GitHub, à la manière d'un miroir. « La vulnérabilité via
cette mauvaise configuration est assez unique pour ce type d'attaque, car l'amplification peut
atteindre un facteur de 51 000. Autrement dit, pour chaque octet envoyé par l'attaquant, jusqu'à 51
kilo-octets sont envoyés à la cible » constate GitHub.

Source : Next INpact - Actualités informatique et numérique au quotidien.

Ces exemples d’attaques permettent de démontrer que les moyens de sécurité préventive ne
peuvent être suffisants pour la protection d’un système. Plusieurs travaux de recherche sont
donc focalisés sur les autres couches de sécurité, en l’occurrence la couche de détection
d’intrusion.

3. Les types IDS

Au regard de la diversité des attaques qui peuvent être mises en œuvre, la détection d’intrusion
doit se faire à plusieurs niveaux. Il existe différents types d’IDS selon l'endroit qu'ils surveillent
et ce qu'ils contrôlent (les “sources d'information”) ou selon leurs fonctions. Ces différents types
ont été proposés dans [1].

3.1. Les IDS réseaux (Network-based IDS)

Ils sont connus aussi sous le nom de NIDS. Les IDS réseaux analysent et interprètent les paquets
circulant sur un réseau (ou un segment du réseau) afin de repérer les paquets à contenus
malicieux. La trame est analysée sur toutes ses couches (réseau, transport, application). Par
dissection des paquets et la connaissance des protocoles, les NIDS sont capables de détecter
des paquets malveillants conçus pour outrepasser un pare-feu.

Ce type d’IDS a l’avantage d’être plus facile à protéger (contre les attaques sur l’IDS lui-même)
du faite qu’ils ne font qu’une observation du trafic. Cependant, une des contraintes des NIDS est
que, pour pouvoir écouter l’ensemble des paquets, ils nécessitent une bande passante qui est
proportionnelle à l’importance du trafic. Aussi, le positionnement des NIDS dans le réseau doit
être stratégique afin de pouvoir surveiller tout le trafic. Par ailleurs les NIDS présentent des
limites dans la protection des réseaux aux trafics chiffrés.

Quelques exemples de NIDS sur le marché sont NetRanger, NFR, Snort, DTK et ISS RealSecure.

4
 3.2. Les IDS hôtes (Host-based IDS)
Les systèmes de détection d'intrusion basés sur l'hôte, aussi appelés HIDS, analysent
exclusivement les activités concernant l’hôte sur lequel ils sont installés (serveur, poste client,
pare-feu, etc.), recherchant des activités suspectes. La détection peut se faire en utilisant les
logs d’audit de sécurité, les logs systèmes, le trafic réseau de l’hôte, les processus en cours
d’exécutions, les accès aux fichiers, les changements de configurations des applications, etc. Le
plus souvent les HIDS sont déployés sur les hôtes critiques comme les serveurs contenant des
informations de sensibilités élevées et les serveurs publiquement accessibles.

Etant focalisés sur la sécurité d’un seul hôte, les HIDS ont l’avantage d’avoir plus de précision
sur les variétés d'attaques. Aussi l'impact d'une attaque peut être constaté et permet une
meilleure réaction. Des attaques dans un trafic chiffré peuvent être détectées (impossible avec
un IDS réseau). Cependant les HIDS sont plus vulnérables aux attaques de dénis de service.
Aussi, en raison de leurs volumes de données, l'analyse des logs peut nécessiter d’importantes
ressources (puissance de calcul et stockage).

Des exemples de HIDS sont OSSEC (Open Source Security), Tripwire, Radmind, EMERALD’s
eXpert-BSM AIDE (Advanced Intrusion Detection Environment) et PortSentry.

3.3. Les IDS hybrides (Hybrid-Based IDS)

La nouvelle tendance en matière de détection d'intrusion est de combiner les NIDS et les HIDS
pour concevoir des IDS hybrides. Les systèmes hybrides de détection d'intrusion sont flexibles et
augmentent le niveau de sécurité. Ils combinent plusieurs localisations des systèmes IDS et
recherchent si bien les attaques visant des éléments particuliers que celles visant l'ensemble du
système. Un exemple d’IDS hybride est ISS RealSecure.

3.4. Les IDS de nœuds réseaux (Network Node IDS)

Les systèmes de détection d’intrusion de nœud réseau, appelés NNIDS, fonctionnent comme les
NIDS classiques mais n’analysent que les paquets du trafic réseau destinés à un nœud
spécifique.

Le fait qu’ils ne font pas une analyse de chaque paquet sur la ligne leurs permet d'être
beaucoup plus rapides et nécessiter moins de ressources. Cela leur permet d'être installés sur la
plupart des serveurs. Ils sont également particulièrement adaptés aux segments fortement
chargés ou aux trafics chiffrés, domaines où les NIDS traditionnels ont des limitations.
Cependant il est nécessaire d'installer plusieurs NNIDS, un pour chaque serveur à sécuriser.

3.5. Les IDS basés sur une application (Application-based IDS)

Les IDS basés sur les applications (ABIDS pour Application-Based IDS) sont un sous-groupe des
IDS hôtes, parfois mentionnés séparément. Ils contrôlent l'interaction entre un utilisateur et un

5
programme en ajoutant des fichiers de logs afin de fournir de plus amples informations sur les
activités. Opérant entre utilisateur et programme, il est facile pour l’ABIDS de filtrer tout
comportement notable. Ses principaux avantages sont de travailler en clair (contrairement aux
NIDS, par exemple) d'où une analyse plus facile, et la possibilité de détecter et d’empêcher des
commandes particulières dont l'utilisateur pourrait se servir avec le programme. Deux
inconvénients majeurs sont identifiés : le peu de chances de détecter, par exemple, un cheval
de Troie (puisque l’ABIDS n'agit pas dans l'espace du noyau) ; en outre, les fichiers de logs
générés par ce type d'IDS sont des cibles faciles pour les attaquants (ils ne sont pas aussi sûrs
que les traces d'audit du système, par exemple).

3.6. Les IDS basés sur la pile (Stack-Based IDS)

Les systèmes de détection d'intrusion basés sur une pile (SBIDS pour Stack-Based IDS),
travaillant étroitement avec la pile TCP/IP, octroient la consultation des paquets lorsqu’ils
montent à travers les couches OSI et permettent ainsi à l’IDS de retirer les paquets de la pile
avant que le système d’exploitation ou l’application n’ait eu la possibilité d’élaborer la charge
virale. L’IDS basé sur une pile peut être efficace contre certaines formes de chiffrement en
retraçant les paquets après qu’ils aient été déchiffrés par la pile TCP/IP.

3.7. Les Pots de miel (honeypot)

Possédant de nombreuses similitudes avec les IDS, les pots de miel sont quelquefois considérés
comme faisant partie des IDS. Un pot de miel est un outil informatique (système, serveur,
programme, etc.), volontairement exposé et vulnérable à une ou plusieurs failles connues,
destiné à attirer et à piéger les pirates, tout en permettant d'observer leur comportement en
pleine action et d'enregistrer leurs méthodes d'attaque pour mieux les étudier, les comprendre
et les anticiper. La tâche principale d'un pot de miel consiste à analyser le trafic, c'est-à-dire à
informer du démarrage de certains processus, de la modification de fichiers... permettant ainsi
de créer un profil élaboré des attaquants potentiels. Tout l'art du pot de miel consiste à
remonter jusqu'à l'origine de l'attaque, sans que le pirate s'en doute et que jamais il ne puisse
soupçonner le fait que le site visité ne soit qu'un leurre (montage). Le réseau interne n'est pas
exposé puisque le pot de miel est généralement placé dans la DMZ (zone démilitarisée). Il existe
trois variantes de pots de miel :

 3.7. Les Pots de miel de prévention : les pots de miel ne sont pas les systèmes les
plus appropriés pour éviter les attaques. Un pot de miel mal programmé et mal
configuré peut même faciliter les attaques.
 Les Pots de miel de détection : l'un des principaux avantages des pots de miel vient de
ce qu'ils excellent à la détection d'attaques. Dans ce contexte, ils peuvent surtout
analyser et interpréter les logs. Le placement du pot de miel joue un rôle décisif : les
administrateurs ne peuvent tirer bénéfice des pots de miel que s'ils sont placés et
6
 configurés correctement. Souvent, ils sont placés entre des serveurs importants pour
détecter des scans éventuels du réseau entier, ou à proximité d'un serveur essentiel
pour détecter les accès illégaux à l'aide d'une redirection de port (si quelqu'un essaie
d'accéder au serveur par certains ports, il est redirigé vers le pot de miel, et comme cet
accès ne doit pas être autorisé, une alerte est générée).
 Les Pots de miel de réaction: selon sa configuration, un pot de miel peut réagir aux
événements.

De même, les pots de miel peuvent être classés en deux sous-catégories : recherche et
production. Les pots de miel de production ont pour objectif de diminuer les risques sur un
réseau alors que ceux de recherche servent à obtenir des informations sur les attaquants.

Par ailleurs, les pots de miel ne sont pas totalement légaux et il convient d’être prudent dans
leur utilisation. Un pot de miel peut être considéré comme une “invitation à l'attaque” et si
l'hôte attaqué n’a pas pris de mesures réactives, cette “non-réaction” peut être interprétée
comme une négligence. Quelques argumentations judiciaires contre les pots de miel sont aussi
de vigueur et il est préférable de vérifier ce que dit la loi en vigueur dans le pays d’installation. Si
quelqu'un attaque un autre réseau à partir du réseau du pot de miel et cause des dommages,
l’entité qui a installé le pot de miel sera considérée comme responsable.

3.8. Les systèmes capitonnés (padded cell systemps)

Ces systèmes fonctionnent généralement avec l'un ou l'autre des systèmes présentés
précédemment. Si l'IDS utilisé informe d'une attaque, l'attaquant est dirigé vers un hôte
“capitonné”. Une fois dans cet hôte, il ne peut plus causer de dommages puisque
l'environnement est simulé. Cet environnement doit être aussi réaliste que possible, autrement
dit, l'attaquant doit penser que son attaque a été couronnée de succès. Il est alors possible
d'enregistrer, de suivre et d'analyser toute activité de l'attaquant. Les systèmes “capitonnés”
présentent des inconvénients : d’une part leur usage peut être illégal (comme pour les pots de
miel, ils sont tolérés en Europe) ; d’autre part, la mise en œuvre d'un tel système est assez
difficile et réclame des compétences puisque l'ensemble de l'environnement doit être simulé
correctement (si l'administrateur fait une petite erreur, ce système peut être à l'origine de
nouveaux trous de sécurité).

4. Les méthodes de détection d’intrusion

L’idée de base de la détection d’intrusion part de l’hypothèse que les comportements d’une
activité intrusive sont plus ou moins différents de ceux des activités normales et sont donc
détectables *4+. Plusieurs approches de détection d’intrusion ont été proposées dans la
littérature. Généralement ces approches sont classées en quatre catégories : la détection

7
d’anomalie, la détection basée sur les signatures et la détection basée sur des spécifications et
l’analyse des protocoles avec Etat. Des solutions combinant plusieurs méthodes de détection
sont appelées détections hybrides.

4.1. La détection d’anomalie (anomaly detection)

Le principe de base de la détection d’anomalie est de modéliser durant une première période,
dite phase d'apprentissage, le comportement « normal » du système en définissant une ligne de
conduite (dite Baseline ou profil). Ensuite, en une seconde phase, période de détection, il est
considéré comme suspect tout comportement inhabituel c’est-à-dire les déviations significatives
par rapport au modèle de comportement « normal ». [5] propose un modèle typique de
détection d'anomalie illustré par la figure 2.

Fig 2 – Système typique de détection d’anomalie proposé dans [5]

Le système illustré ici est constitué de quatre composantes à savoir la collecte de données (Data
Collection), le profil normal du système (System Profile), la détection d'anomalie (Anomaly
Detection) et la réaction (response). Les activités normales du système ou les données relatives
au trafic sont enregistrées par la composante de collection de données. Des techniques de
modélisation spécifiques sont utilisées pour créer les profils normaux du système. La
composante de détection d'anomalie détermine combien les activités en cours s'écartent des
profils normaux du système et à quel seuil d'écart ces activités devraient être signalées comme
anormales. Enfin, la composante de réaction signale l'intrusion et éventuellement les
informations de timing correspondantes.

L'avantage principal de la détection d'anomalie est sa capacité à trouver de nouvelles attaques.

Ce qui constituera la plus grande limitation de la détection d'abus. Cependant, en raison des
hypothèses sous-jacentes aux mécanismes de détection des anomalies, leurs taux de fausses
alarmes sont en général très élevés.

8
De nombreuses techniques de détection anomalie ont été proposées dans la littérature. Ces
modèles vont des modèles statistiques avancés à des modèles d'intelligence artificielle et des
modèles biologiques basés sur les systèmes immunitaires humains. Bien qu'il soit difficile de
classer ces techniques, nous pouvons les diviser en quatre catégories sur la base des enquêtes
précédentes sur les systèmes de détection d’anomalie [5, 6, 7, 8, 9, 10, 11, 12]. Il s'agit
notamment de modèles statistiques avancés, de modèles fondés sur des règles, de modèles
d'apprentissage, de modèles biologiques et de modèles fondés sur des techniques de
traitement du signal.

4.2. La détection basée sur les signatures (signature-based detection)

La détection basée sur les signatures est aussi connue sous le nom de détection d’abus (misuse
detection). Cette approche vise à coder les connaissances sur les modèles de flux de données
qui correspondent à des procédures intrusives sous la forme de signatures spécifiques. Ainsi,
une signature est un modèle qui correspond à une menace spécifique étudiée. Les intrusions
sont détectées en faisant un matching entre les évènements du système et les signatures. Les
correspondances trouvées sont considérées comme des intrusions. Pour illustrer la détection
basée sur les signatures nous avons conçu la figure 3. Elle est inspirée de l’illustration de la
figure 2 dans [5].

Fig 3 – Système typique de détection basée sur les signatures

Notre modèle comprend cinq composantes : System events qui collecte les évènements
courants du système, Pattern generator qui génère les signatures des évènements du système à
partir des évènements collectés, Pattern matching qui compare les signatures générées à partir
des évènements courants avec celles des attaques connues, Signatures database qui est la base

9
de données des signatures connues. La dernière composante, response, est la réaction
effectuée quand un matching est positif.

Plusieurs catégories de techniques sont couramment utilisées pour mettre en œuvre la

détection basée sur les signatures, à savoir le pattern matching, les techniques basées sur des
règles, les techniques basées sur des états et le data mining. Nous discutons de ces techniques
dans la section des approches innovatrices et prospectives.

4.3. La Detection de spécification (specification-based detection)

Dans les approches de détection basées sur des spécifications, les experts en sécurité
prédéfinissent les comportements autorisés du système et les événements qui ne
correspondent pas aux spécifications sont étiquetés comme des attaques. Au lieu d’apprendre
les profils normaux du système, ici la détection est basée sur la connaissance des experts. Cette
approche, en théorie, permet de détecter des attaques invisibles qui pourraient être menées.
Cependant, spécifier le comportement d'un grand nombre de programmes s'exécutant dans des
environnements d'exploitation réels est une tâche excessivement difficile.

4.4. L’analyse de protocoles avec Etat (Stateful protocol analysis)

L'analyse de protocole avec état consiste à comparer des profils prédéfinis de définitions
généralement acceptées de l'activité de protocole bénigne pour chaque état de protocole par
rapport aux événements observés afin d'identifier les déviations. Contrairement à la détection
fondée sur les anomalies, qui utilise des profils propres à l'hôte ou au réseau, la détection par
état s'appuie sur des profils universels développés par les fournisseurs qui précisent comment
des protocoles particuliers devraient et ne devraient pas être utilisés. L'état "stateful" dans
Stateful protocol analysis signifie que l'IDS est capable de de comprendre et de suivre l'état du
réseau, des protocoles de transport et d'application qui ont une notion de l'État.

5. Les approches innovatrices et prospectives

Cette section présente les approches qui sont les plus couramment utilisés ou qui suscitent de
plus en plus d’intérêts dans le domaine de la recherche. La classification proposée est basée sur
les travaux dans [13]. La figure 4, tirée de [13] présente une vue d’ensemble de ces approches.

10
 Fig. 4. Vue d’ensemble des approches de détection proposé dans [13]

5.1. Approche basée sur l’analyse statistique (Statistical Approach)

La modélisation statistique est une des techniques les plus récemment utilisées pour la
détection d’intrusion. Les techniques statistiques de détection d’anomalie utilisent des
propriétés et des tests statistiques pour s’assurer si le comportement observé dévie
considérablement du comportement attendu [14]. Il y a deux étapes principales dans le
processus de cette approche : première elle créé des profils de comportement pour les activités
normales et les activités courantes. Ces profils sont matchés à travers plusieurs techniques pour
détecter toute sorte de déviation par rapport au comportement normal. Les approches
statistiques peuvent être classifiées en deux catégories :

Le modèle d’approche de Markov (Markov Process Model ou Markov Model Approach) : Le

modèle Markovien est utilisé avec la métrique de comptage d’évènement pour déterminer la
régularité d’évènements particuliers, sur la base de l’évènement qui le précède. Ce modèle
caractérise chaque observation comme un état spécifique et utilise une matrice de transition
d’état pour déterminer si la probabilité de l’évènement est élevée ou normale au regard des
évènements précédents. Cela est très efficace quand les séquences d’activités sont
particulièrement importantes. La chaîne de Markov maintien à jour sa recherche d’intrusion en
examinant le système à intervalles de temps fixes et garde les enregistrements de son état. Si
un changement d'état a lieu, il calcule la probabilité pour cet état à un l’intervalle de temps
donné et si cette probabilité est faible à cet intervalle de temps, alors cet événement est
compté comme une anomalie [14].

11
Le modèle d’approche opérationnelle (Threshold Metric ou Operational Model Approach) : Ce
modèle particulier se base sur hypothèse et fait l'identification d'anomalie en comparant
l'observation avec une limite prédéfinie. Sur la base de la cardinalité d'une observation faite sur
une certaine période de temps, une alarme est générée. Le modèle opérationnel s'applique
surtout aux métriques pour lesquels l'expérience a montré que certaines valeurs sont souvent
associées à des intrusions. C’est le cas par exemple d’un compteur d'événements pour le
nombre d'erreurs de mot de passe pendant une brève période [14].

5.2. Approche basée sur la fouille de données (Data mining Approach)

La fouille de données peut être une meilleure solution pour la détection d'intrusion. Elle
permet, à partir d'un grand volume de données, d'extraire des modèles ou patterns utiles et qui
étaient méconnus. L'approche de fouille de données est susceptible de réduire la quantité de
données qui doit être retenue pour l'étude de l'activité du système, créant ainsi des données
plus pertinentes pour la détection des d'intrusion. Cette approche a l'avantage de pouvoir
identifier les générateurs de fausses alarmes et les "mauvaises" signatures et trouver les
activités anormales qui sont des attaques réelles. Les approches de détection basées sur la
fouille de données peuvent être classées selon les techniques suivantes :

L’approche de Clustering : L'analyse de cluster ou Clustering est une opération de

regroupement d'un ensemble d'objets de telle sorte que les éléments d'un même groupe
(appelé cluster) sont plus similaires (dans un sens ou un autre) les uns aux autres que les
éléments d'autres clusters. Le Clustering est une technique non supervisée pour la découverte
de patterns dans des données non labélisées è grandes dimensions. Généralement k-mean
Clustering est utilisé pour trouver le regroupement naturel d'instances similaires. Les éléments
qui se trouvent à une distance grande de tous les groupes indiquent une activité inhabituelle qui
peut être considérée comme une nouvelle attaque [15].

L’approche de Classification : L'objectif principal de la classification est de se baser sur des

classes déjà connues de données d'apprentissage, pour prédire les classes de nouvelles
données. Les avantages des techniques de détection basées sur la classification [16], en
particulier les techniques multi-classes, sont qu'elles utilisent des algorithmes puissants qui
permettent de distinguer les éléments appartenant à différentes classes. La phase de prédiction
des techniques basées sur la classification est rapide. Chaque activité du système est comparée
avec le modèle pré-calculé.

12
 5.3. Approche basée sur la connaissance (Knowledge-Based approach)
Dans cette approche, une collection des connaissances sur les attaques spécifiques et les
vulnérabilités des systèmes est d'abord effectuée. Ensuite on applique ces connaissances pour
reconnaitre les attaques et les vulnérabilités du système à sécuriser. Tout autre événement que
le système est incapable de reconnaître comme une attaque est accepté et, par conséquent,
l'exactitude de l'IDS basé sur la connaissance est considérée comme élevée. Cependant, leur
principale exigence est que la base de connaissances soit suffisamment fournie et mise à jour
régulièrement. Les techniques de détection basées sur la connaissance peuvent être classifiées
comme :

L’approche de système expert (Expert System Approach): Elles sont principalement utilisées
par les IDS basés sur la connaissance. Pour décrire les attaques, il y a un ensemble de règles. Les
événements d'audit sont ensuite traduits en faits porteurs de leur signification sémantique dans
le système expert, et ces règles et faits serviront au moteur d'inférence pour tirer des
conclusions. Cette méthode augmente le niveau d'abstraction des données d'audit en y
attachant une sémantique.

L’analyse des transitions d’états (State Transition Analysis) : Cette technique est
conceptuellement identique au raisonnement basé sur un modèle. Elle définit les attaques avec
un ensemble d'objectifs et de transitions et les représente sous la forme d'un diagramme de
transition d'état. Le diagramme de transition d'état est une représentation graphique des
actions effectuées par un intrus pour pour la compromission d'un système. Dans cette
technique, une intrusion est considérée comme une séquence d'actions effectuées par un
intrus, c'est-à-dire des pointeurs allant d'un état initial d'un à un état final qui est la
compromission visée. Les diagrammes d'analyse de transition d'état reconnaissent les exigences
et le compromis de la pénétration. Ils dressent des listes d'actions clés qui doivent se produire
pour qu'une intrusion puisse s'effectuer.

5.4. Approche basée sur l’apprentissage machine (Machine Learning

Approach)
L'apprentissage machine est un ensemble de techniques pour permettre à une application
d’apprendre et d’améliorer ses performances pour certaines tâches au fil de l’expérience. Il
consiste principalement à la mise en place d'un système d'amélioration de la performance sur la
base des résultats précédents. Cela se fait par l’auto-adaptation continuelle des données
d'exécution du programme sur la base des nouvelles acquisitions. Cette caractéristique rend
cette technique utile dans diverses situations, mais l'inconvénient est leur mise en œuvre
coûteuse en ressource. Dans de nombreux cas, la technique d'apprentissage machine coïncide

13
avec les techniques statistiques et celles de fouille de données [17]. Les techniques
d'apprentissage machine peuvent être classées comme suit :

L’Approche de logique floue (Fuzzy Logic Approach) : Le système logique floue est hautement
responsable à la fois de la gestion du grand nombre de paramètres d'entrée et de l'inexactitude
des données d'entrée. Ainsi si la logique floue est combinée avec la technique de fouille de
données, elle réduit la taille de l'ensemble de données d'entrée et sélectionne les paramètres
qui caractérisent des anomalies. Dans [18] Dickerson et al. développent un moteur de
reconnaissance d'intrusion basé sur la logique floue (the Fuzzy Intrusion Recognition Engine-
FIRE) à l'aide d'ensembles flous et de règles floues.

SVM (Support Vector Machines) : Le fonctionnement de SVM consiste d'abord à effectuer un

mapping entre le vecteur d'entrée et un espace comparatif de paramètres à dimensionnalités
plus élevé. Et on obtient l'hyperplan de séparation optimal dans un espace de dimensions plus
élevées. Ensuite, une limite de décision, c'est-à-dire l'hyperplan de séparation, est déterminée
par des vecteurs de support plutôt que par l'ensemble des échantillons d'entraînement et est
donc extrêmement forte pour les valeurs anormales. En particulier, un classificateur SVM est
conçu pour la classification binaire. Eskin et al[19] et Honig et al[20] ont utilisé un SVM ainsi que
leur méthode de clustering pour de l'apprentissage non supervisé. La performance obtenue
était comparativement meilleure que les deux méthodes de clustering précédentes.

L’Approche des réseaux de neurones (Neural Networks Approach) : Les réseaux neuronaux ont
sont largement utilisés avec succès pour des problèmes complexes. L'idée de base du réseau de
neurones est que le système apprend à chercher la prochaine commande basée sur une
séquence de commandes précédentes d'un utilisateur spécifique. Il apporte une meilleure
solution au problème de modélisation du comportement de l'utilisateur dans la détection
d'anomalies car ils ne nécessitent pas de modèle utilisateur explicite. Il existe de nombreux
réseaux de neurones qui peuvent être utilisés pour les ABIDS comme le Perceptron multicouche
et Radial Basis Function-Based. Pour se protéger contre les attaques, le document [21] présente
un modèle pour un crypto système utilisant un réseau de neurones, qui est de haute sécurité et
de faible coût. Sur la base de ce modèle, un algorithme de cryptage et de décryptage séparé est
présenté. Aussi un algorithme d’apprentissage pour un réseau de neurone multicouche est
également fourni pour garder des données multimédias sécurisées. Les travaux proposés
trouvent leur application dans les systèmes d'imagerie médicale, les bases de données d'images
militaires et les vidéoconférences confidentielles, ainsi que dans d'autres applications similaires
[21].

Avec l'approche de réseau neurones, les faux positifs ont été réduits de moitié (à environ une
fausse alarme par jour) et ont augmenté le taux de détection à environ 80 % avec la base de
données DARPA. Le système pourrait détecter les anciennes et les nouvelles attaques non

14
incluses dans les données d’apprentissage et, dans une moindre mesure, les attaques
distribuées sur plusieurs sessions. Deux types d'architectures des réseaux de neurones peuvent
être distingués :

1) Les algorithmes d’apprentissage supervisés (Supervised training algorithms), où

dans la phase d'apprentissage, le réseau apprend la sortie désirée pour une entrée ou un
modèle donné. L'architecture bien connue du réseau de neurones supervisé est le
Perceptron à niveaux multiples (MLP) ; le MLP est utilisé pour les problèmes de
reconnaissance de formes.

2) Les algorithmes d’apprentissage non supervisés (Unsupervised training algorithms),

où dans la phase d'apprentissage, le réseau apprend sans spécifier le résultat désiré. Les
SOM (Self-Organizing Maps) sont des algorithmes d'apprentissage non supervisés
populaires ; un SOM essaie de trouver une mapping topologique depuis l'espace
d'entrée jusqu'aux clusters. Les SOM sont utilisés pour les problèmes de classification.

La modélisation des systèmes de détection d'intrusion basée sur les réseaux de neurones et la
logique floue est proposée dans [22]. Dans cette recherche, la préparation des données
d’entrainement est mise en œuvre sous la forme d'un bloc de prétraitement composé d'une
SOM (Self-Organizing Maps). Plusieurs réseaux avec des caractéristiques différentes sont reliés
en cascade et en parallèle dans le but de créer un bloc SOM. Ce bloc est utilisé pour la réduction
des données d’entrainement par le processus de clustering des données dans des sous-
ensembles plus petits. Les données d’entrainement sont divisées en clusters et utilisées pour la
l’entrainement des composantes ANFIS (Adaptive Network Based Inference System) du système.
La structure hybride IDS se compose d'une cascade de blocs SOM reliés par un système flou. La
structure hybride proposée est entrainée, testée et validée en utilisant le data set KDDD CUP 99.

6. Limites des systèmes de détection d’intrusion

Les limites des systèmes de détection d’intrusion sont de plus en plus résolues grâce à la
combinaison de techniques de pointe comme la fouille de données et l’apprentissage machine.
Aussi l’accessibilité à coût optimal de puissance de calcul et de stockage par les technologies
cloud permettre d’améliorer la précision des résultats. Cependant des problèmes restent
fondamentaux selon les méthodes de détection. En effet Le modèle de comportement normal
des systèmes est basé sur des données collectées sur une période de fonctionnement normal ;
les activités intrusives manquées pendant cette période sont susceptibles d'être considérées
comme des comportements normaux. Ainsi certains adversaires peuvent biaiser le processus en
compromettant les données des IDS. Aussi les techniques de détection peuvent difficilement
détecter les attaques furtives parce que ces types d'attaques sont généralement cachés dans un
grand nombre d'instances de comportements normaux. De plus, les types de paramètres utilisés
15
comme entrées des modèles normaux sont généralement décidés par des experts en sécurité.
Toute erreur survenant au cours du processus de définition de ces paramètres augmentera le
taux de fausses alarmes et diminuera l'efficacité du système de détection d’intrusion. Par
conséquent, la conception des méthodes de détection et la sélection des caractéristiques du
système ou du réseau à surveiller sont deux des principaux problèmes ouverts dans la détection
d’intrusion.

Par ailleurs les IDS sont le plus souvent les cibles même des adversaires et leur protection
peuvent être difficile en fonction du type d’IDS.

7. Conclusion
Les menaces de sécurité sur les systèmes informatiques sont multiples et les attaques sont
quotidiennes et de plus en plus sophistiquées. La compromission d’un système reste une
éventualité quel que soit les moyens préventives mis en place. Ainsi dans ce rapport nous avons
fait une revue de littérature sur les systèmes de détection d’intrusion. Il est fait une
présentation complète des types d’IDS, des méthodes de détection et des approches
innovatrices et prospectives utilisant les potentiels technologiques de pointe telle que
l’apprentissage machine et la fouille de données. Ces approches permettent d’améliorer
considérablement la précision de la détection et de détecter tout de même des attaques très
sophistiquées. Nous y proposons en dernier lieu une analyse des limites et des problèmes
ouverts sur les systèmes de la détection d’intrusion. L’utilisation de ces systèmes est de plus en
plus répandue car ils démontrent leurs importances par la détection au quotidien d’attaques qui
échappent aux moyens préventifs de sécurité.

16
Références
[1] Nathalie Dagorn, « Détection et prévention d’intrusion : présentation et limites », HAL Id:
inria-00084202, 6 Juillet 2006.

[2] Karen Scarfone, Peter Mell, “Guide to Intrusion Detection and Prevention Systems (IDPS)”,
Recommendations of the National Institute of Standards and Technology, Special Publication
800-94, February 2007.

[3] Cédric Michel, « Langage de description d’attaques pour la détection d’intrusions par
corrélation d’événements ou d’alertes en environnement réseau hétérogène ». Informatique
[cs]. Universite Rennes 1, 2003.

[4] DE Denning, « An intrusion-detection model», IEEE Transactions on software engineering

(1987), 222–232.

[5] Ali A. Ghorbani, Wei Lu, Mahbod Tavallaee, « Network Intrusion Detection and Prevention:
Concepts and Techniques », Page 34-35, 28 octobre 2009.

[6] S. Axelsson, « Intrusion detection systems: A survey and taxonomy », Tech. Report 99-15,
Chalmers University of Technology, Department of Computer Engineering, 2000.

[7] J. Lee, S. Moskovics, and L. Silacci, « A Survey of Intrusion Detection Analysis Methods »,
1999.

[8] A. Jones and R. Sielken, « Computer system intrusion detection: A survey », Tech. report,
Department of Computer Science, University of Virginia, Thornton Hall, Charlottesville, VA,
September 2000.

[9] J. McHugh, « Intrusion and intrusion detection », International Journal of Information

Security 1 (2001), no. 1, 14–35.

[10] M. Dacier H. Debar and A. Wespi, « A revised taxonomy for intrusion-detection systems »,
Tech. report, IBM Research Report, 1999.

[11] Teresa F. Lunt, « Detecting intruders in computer systems », Proceedings of the 1993
Conference on Auditing and Computer Technology, 1993.

[12] A. Sundaram, « An introduction to intrusion detection », Crossroads 2 (1996), no. 4, 3–7.

17
 [13] Manu Bijone, « A Survey on Secure Network: Intrusion Detection & Prevention
Approaches», American Journal of Information Systems, vol. 4, no. 3 (2016): 69-88. doi:
10.12691/ajis-4-3-2.

[14] Qayyum, A., Islam, M.H., Jamil, M., «Taxonomy of statistical based anomaly detection
techniques for intrusion detection» IEEE Symposium on Emerging Technologies, pp. 270,276,
17-18 Sept.2005.

[15] ian P., Shambhu U., Faisal F., Venugopal G., «Data Mining for Intrusion Detection –
Techniques, Applications and Systems», Data Mining Techniques for Intrusion Detection and
Computer Security, University at Buffalo, New York, 2004.

[16] Varun C, Arindam B., Vipin K., « Anomaly Detection: A Survey », ACM Computing Surveys,
Vol. 41, No. 3, Article 15, July 2009.

[17] Garcia-Teodoro, Pedro, J. Diaz-Verdejo, Gabriel M.; Enrique V., « Anomaly-based network
intrusion detection: Techniques, systems and challenges » computers & security, vol.28, no. 1,
pp. 18, 28, 2009.

[18] Dickerson; John E., Julie D., « Fuzzy network profiling for intrusion detection »,, 19th
International Conference of the North American Fuzzy Information Processing Society (NAFIPS),
Atlanta, GA, pp. 301, 306, 2000.

[19] Eskin; Eleazar, Andrew A., Michael P., Leonid P., Sal S., « A geometric framework for
unsupervised anomaly detection: Detecting intrusions in unlabeled data », D. Barbar and S.
Jajodia (Eds.), Data Mining for Security Applications, Boston: Kluwer Academic Publishers, May
2002.

[20] Honig; Andrew, Andrew H., Eleazar E., Salvatore S., « Adaptive model generation: An
architecture for the deployment of data mining based intrusion detection systems », D. Barbar
and S. Jajodia (Eds.), Data Mining for Security Applications. Boston, Kluwer Academic Publishers,
May 2002.

[21] Shyam Nandan Kumar, « Technique for Security of Multimedia using Neural Network»,
International Journal of Research in Engineering Technology and Management, vol. 2, issue 5,
pp.1-7, 2014.

[22] A. Midzic, Z. Avdagic, and S. Omanovic, “Intrusion detection system modeling based on
neural networks and fuzzy logic”, IEEE 20th Jubilee International Conference on Intelligent
Engineering Systems (INES), 2016

18

View publication stats