Académique Documents
Professionnel Documents
Culture Documents
Prévention, Détection Et Réponses Aux Intrusions (Part 3)
Prévention, Détection Et Réponses Aux Intrusions (Part 3)
La détection d’intrusions a
longtemps été vue comme le
moyen le plus prometteur de
combattre les intrusions. Pourtant
elle fait partie d’un ensemble
plus grand de techniques anti-
intrusion qui ont aussi leur place.
Le schéma suivant propose une
taxonomie de toutes ces
techniques, que l’on peut
résumer sur le schéma suivant
• Déflection : La déflection d’intrusion fait croire à un cyber-malfaiteur qu’il a réussi à accéder aux
ressources système alors qu’il a été dirigé dans un environnement préparé et contrôlé. L’observation
contrôlée à son insu, d’un intrus qui dévoilerait tous ses tours est une excellente source d’information
sans prendre de risques pour le vrai système. Certaines techniques de déflection peuvent être considérées
comme une sorte de contre-mesure, mais le concept inclus aussi des techniques qui ne nécessitent pas
l’accès au vrai système, comme les systèmes paratonnerre.
• Un système de détection d’intrusions par recherche de signatures connaît ce qui est mal, alors qu’un système de
détection d’intrusions par analyse de comportement connaît ce qui est bien.
De plus, un utilisateur peut beaucoup plus difficilement élargir le comportement accepté comme dans un
profil individuel. Mais il est parfois dur de trouver le groupe le plus approprié à une personne : deux
individus ayant le même poste peuvent avoir des habitudes de travail très différentes. Il est de plus parfois
nécessaire de créer un groupe pour un seul individu
On peut aussi observer les changements dans l’utilisation des protocoles réseau,
rechercher les ports qui voient leur trafic augmenter anormalement. Ces profils ne
dépendant pas des utilisateurs et peuvent permettre la détection de plusieurs intrus qui
collaboreraient.
Le profilage peut se faire par type d’exécutable. On peut par exemple détecter le fait
qu’un daemon d’impression se mette à attendre des connexions sur des ports autres que
celui qu’il utilise d’habitude.