•L’intrusion est l’action d'intervenir, de s'intégrer dans un réseau sans en

avoir le droit.
•Les intrus peuvent être des individus internes ou externes, qui tentent
d'accéder aux ressources ou de nuire au système d’information.
La tentative d’attaque ou d’ intrusion vise la confidentialité, l’intégrité
et/ou la disponibilité d’un système, d’une application et/ou d’un réseau.
•La détection d’intrusion consiste à:
1.Collecter de façon automatisé les activités (évènements) du système,
d’application ou du réseau à surveiller
2.Analyser les données des activités collectées
3.Alerter en cas de détection d’une signature d’intrusion
Sonde:
 Le composant d’IDS qui collecte les informations brutes
Après avoir collecté des données à partir d’une source de
données (système), l’IDS stocke ses données afin de les traiter.
L’étape de traitement consiste à détecter les intrusions, il y a
toujours un traitement parallèle afin d’augmenter le taux de
détection.
Pour la détection, IDS compare les données traitées avec les
données de références (afin de signaler une attaque s’il existe).
S’il y a une détection, IDS exploite les contre-mesures (données
de configuration) propre à cet attaque et déclenche une alarme
au système: c’est la réponse active à l’intrusion.
Parfois, au niveau de traitement, l’IDS bloque des données qui
peuvent être une intrusion malgré elle n’est pas enregistrée dans
les données de configurations. Donc une alarme est envoyée au
administrateur du système de sécurité afin de réagir.
Dans le cas d’une décision positive (présence d’une attaque), il
va déterminer un contre-mesure concernant cette attaque et
enregistre son profil ou sa signature dans les données de
références afin d’être une attaque connue lors d’un prochain
traitement.
Evasion: Attaque informatique ou technique qui détourne les équipements de
détection d’intrusion ( non détecté par les IDS)
1 . Source de données:
 OS 4 . granularité de l’analyse:
 Application  Par lot
 Réseau
 continue
 Autres IDS
5. comportement après analyse:
2 . méthode de détection:
 informatif
 Approche
 Défensif
comportementale
 Contre-attaque
 Approche par scénarios
3 . Architecture (analyse et collecte):
 Centralisée
 Distribuée
• Se base sur une base de signature d’attaques
 Recherche s’il existe une signature qui correspond à
l’évènement collecté.
• Nécessite la mise a jour en continue de la base de signature.
• Inconvénient: ne peut pas identifier de nouvelles attaques
• Deux types:
 Pattern matching: Comparer les paquets aux signatures
 Stateful matching: Comparer les signatures aux plusieurs
évènements en même temps.
 IDS à recherche de motifs (exemple)
recherche d’une séquence d’informations particulières dans un
évènement d’audit
problème classique de reconnaissance de langage

méthodes : machine de Turing, automates à états, réseaux de

Petri, · · ·
Langages de description des signatures d’attaques :
grande expressivité
facilité d’implantation
STATL : description de plusieurs attaques en termes d’états et de
transitions
ADeLe : description unique et de haut niveau d’une attaque donnée
 Discussion sur les modèles par scénarios (signature)

Avantages
fiabilité pour les attaques connues

Inconvénients

 maintenance active, mise à jour régulière

langage de description d’attaque (pas d’unanimité)
• Techniques basées sur le comportement qui passe par l’apprentissage
des activités « normales » d’un environnement.

• il existe trois types:

 Statistical anomaly-based: création d’un profil appelé «normal
», auquel les événements sont comparées
 Protocol anamaly-based: identifie les protocoles utilisés hors de
leurs limites connues
 Trafic anomaly-based: identifie un événement inhabituel sur le
trafic du réseau
 IDS statistique (D. E. Denning 1987) (exemple)

construction du profil : à partir des variables aléatoires

échantillonnées à intervalles réguliers.
attribution de valeurs statistiques aux différentes variables utilisées :
taux d’occupation mémoire
l’utilisation des processeurs
la durée et l’heure des connexions, · · ·
utilisation d’un modèle statistique :
pour construire la distribution de chaque variable
pour mesurer le taux de déviation entre comportement courant et
passé
 IDS probabiliste (exemple)
profil : définition du fonctionnement d’une application
construction du profil : à partir des évènements observés
établissement de règles
apprentissage des probabilités liées à chaque séquence
d´evènements
suite d’évènements E1, · · · Ei → probabilité de Ei+1
si Ei+1 n’est pas prévu par le profil ou
si Ei+1 apparaît trop souvent par rapport à la probabilité
du profil ou
si Ei+1 n’est pas l’´evènement attendu par le profil
alors une alarme est levée
 Discussion sur les modèles comportementaux
Avantages
 capacités de détecter de nouvelles attaques
 besoin de peu de maintenance
Inconvénients

 risque d’attaque lors de la construction des profils

 pas adapté au changement d’entité modélisée
 évolution des profils au cours du temps peut être vu comme
une faille
• C’est une technique de détection basée sur la comparaison des
évènements avec un ensemble de règles.
•Utilisation de règles à base de condition if/else dans un système
expert.
•L’utilisation d'un système expert permet d’intégrer des
caractéristiques de l'intelligence artificielle
•Les règles utilisées peuvent être complexes ce qui demande
généralement plus de ressources matérielle et temps de
traitement des activités
 La signalisation par alerte suite à une attaque ou intrusion
n’est pas toujours en temps réel.
•Cette technique ne permet pas de détecter de nouvelles attaques
 IDS à réseaux de neurones
(H. Debar, M. Becker, D. Siboni 1992)
surveillance directe du comportement des utilisateurs
Chaque utilisateur peut être identifié par son comportement
ses habitudes de travail
 ses activités
ses outils de travail, · · ·
profil : série de paramètres concernant l’utilisateur
construction du profil : réseau de neurones qui reconnaît une suite
d’opérations effectuées par l’utilisateur
but : prédire l’action suivante de l’utilisateur, en cas d’échec une
alerte est levée
 IDS à réseaux de neurones
Avantages : adaptés pour la détection de
chevaux de Troie
détournement d’identité
contournement d’identification

Inconvénients
fiabilité
mise en œuvre:
construction du réseau, paramétrage du réseau, complexité,
problèmes spécifiques liés aux réseaux de neurones
Trois types d’IDS:
 Network Intrusion Detection System (NIDS) IDS Réseau:
• Surveiller le trafic réseaux: contenu des paquets (entête et
données) et paramètres du trafic (Volume, cibles, etc.)
• L’utilisation d’une sonde permet la surveillance d’une zone du
réseaux (plusieurs machines)
 Host-based Intrusion Detection System (HIDS) IDS Système:
• Surveiller les évènements sur les journaux de logs, l’intégrité des
fichiers et les accès au processus.
• L’utilisation d’une sonde propre pour chaque machine
 IDS Hybride
•Combinaison d’un NIDS et d’un HIDS
• Les NIDS surveillent le trafic sur le réseau en analysant les paquets

collectés à l’aide de signatures ou règles pour détecter les attaques.

• Un NIDS place la carte réseau du système hôte en mode promiscuité

(toutes les trames sont remontées à la couche réseau
indépendamment de l'adresse MAC de destination) afin de remonter
tout le trafic réseau au logiciel NIDS.

• Solutions NIDS:
 Libre: Snort, Suricata IDS, Bro IDS
 Propriétaire: Cisco Secure IDS
•Avantages:
 Avec seulement quelques NIDS bien positionnés on peut surveiller de
très grand réseaux.
 Déployer un NIDS a un faible impact sur le réseau
 Une sonde d’un NIDS est un équipement passif écoutant le trafic sur sa
carte réseau
 Invisible aux attaquants (pas besoin d’avoir une adresse sur le réseau).

•Inconvénients:
 Problèmes de charges réseaux une attaque peut ne pas être
détectée.
 Impossible d’analyser le trafic chiffré (VPN, HTTPS, SSH).
 Problèmes liés aux paquets mal formés faux positifs.
 Base de signatures toujours incomplètes et à mettre à jour
•Le Host based IDS analyse le fonctionnement ou l'état d’une machine sur
laquelle il est installé.
• Il a pour rôle de:
Analyser les journaux systèmes
Contrôler l’accès aux processus système
Vérifier l’intégrité des fichier du système
•Pour vérifier l'intégrité des fichiers et générer des alertes, les Host- based IDS
sont basées sur une analyse des information provenant du système, mais
peuvent s‘appuyer sur des fonctionnalités d'audit propres et non au système
d'exploitation.
•Les HIDS sont installées sur des machines sensibles
•Les alertes sont remontées vers une machine centrale appelée console
d’administration.
 Host-based IDS (HIDS)

•Avantages:
 La capacité des HIDS à traiter des évènements locaux
qu’un NIDS ne peut pas collecter.
 Les HIDS peuvent aider à détecter des chevaux de Trois ou
d’autres problèmes d’intégrité.

•Inconvénients:
 Difficultés d’administration : HIDS à configurer et à
manager pour chaque machine surveillée.
 Certains types d’attaques exemple Déni de service
peuvent gêner le fonctionnement d’un HIDS (il ne sont pas
invisibles).
• Un IDS hybride rassemble les fonctionnalités d’un NIDS et HIDS

 Surveillance du réseau et de terminaux.

• L’IDS hybride est utilisé dans un environnement décentralisé avec une supervisons
centralise.
 Placement stratégique des sondes sur le réseau.
 Centraliser les informations en provenance de plusieurs
emplacements (sondes) sur le réseau.
 Avoir une vision globale sur les composants du système
d’information.
• Le déploiement d’un IDS se fait en fonction de la topologie du réseau et de la
politique de sécurité.

• L’emplacement des sondes ( senseurs) IDS lors du déploiement est très

important.
 Protéger les serveurs dans la zone DMZ
 Protéger contre attaques vers et depuis le réseau local (réseau
interne).
 Détection de signes d’attaques avant filtrage (sonde à l’extérieur
des firewalls)

• L’efficacité de l’IDS dépend aussi de la correcte installation et la mise à

jour des bases de règles et de signatures.
 Position (1):
-Détection de tout le trafic entre l’Internet et le réseau
- Trafic entre le réseau local et DMZ invisible pour l’IDS

Position (2):
- Seul le trafic vers le DMZ est analysé.
- Détecter les attaques non filtré par le Firewall.

Position (3):
- Analyser le trafic et détecter les attaques au niveau réseau locale.
- Détecter la majorité des attaques
-Les attaques internes sont les plus fréquents (Virus, Cheval de Troie, …)
• L’IPS est un outil de défense proactif (prévention/protection) contre les intrusions

et attaques actives.
 L’IPS ne remplace pas l’IDS ou le Firewall
 IPS et IDS sont des systèmes complémentaires

• Il permet de prendre des mesures afin de diminuer les impacts d'une attaque.

 Interrompre une connexion

 Ralentir la connexion
 Blacklister les sources

• Il existe des IPS réseau (NIPS) et IPS hôte (HIPS).

IPS=IDS+ réaction