IDS /IPS

Par Dr RIAHLA Mohamed Amine

 IDS
• Introduction
• Applications Actuelles

• Généralités sur les systèmes de détection d’intrusion (IDS)

• Classification des IDS
• Méthodes de détection
• Approche comportementale
• Approche par scenarios
• Quelques systèmes présents sur le marché

Par Dr RIAHLA Mohamed Amine

 Introduction

• Un équipement permettant de surveiller l’activité d’un réseau ou d’un hôte

• But:
– Surveiller les données qui transitent sur un système,
– Détecter toute tentative d’intrusion
– Réagir à cette tentative.

• Il permet ainsi d’avoir une action de prévention et d’intervention sur les

risques.

Par Dr RIAHLA Mohamed Amine

 Introduction

• Certains termes sont souvent employés quand on parle d’IDS :

– Faux positif : une alerte provenant d’un IDS mais qui ne correspond pas à une
attaque réelle.
– Faux négatif : une intrusion réelle qui n’a pas été détectée par l’IDS

Par Dr RIAHLA Mohamed Amine

 Applications actuelles
• Systèmes distribués
– Repérer et d’empêcher l'intrusion d'un utilisateur malveillant dans un système distribué
comme une grille informatique ou un Cloud.

• Internet des objets

– 26 milliards en 2020
– IoT représente de nombreux enjeux de sécurité, : faible puissance de calcul,
hétérogénéité, le nombre de capteurs dans le réseau ainsi que la topologie du réseau.
– Les IDS traditionnels ne peuvent pas directement être appliqués aux réseaux de
capteurs

Par Dr RIAHLA Mohamed Amine

 Types d’IDS
• Les attaques utilisées par les pirates sont très variées.
• Des attaques utilisent des failles réseaux et d’autres de programmation.

• La détection d’intrusions doit se faire à plusieurs niveaux.

– Les systèmes de détection d’intrusions (IDS)
– Les systèmes de détection d’intrusions « réseaux » (NIDS)
– Les systèmes de détection d’intrusions de type hôte (HIDS)
– Les systèmes de détection d’intrusions « hybrides »
– Les systèmes de prévention d’intrusions (IPS)
– Les systèmes de prévention d’intrusions « kernel » (KIDS/KIPS)
– Systèmes de détection d'intrusion collaboratifs
– Les firewalls

Par Dr RIAHLA Mohamed Amine

 Les systèmes de détection d’intrusions
(IDS)
• Ensemble de composants logiciels et matériels pour détecter et analyser
toute tentative d’effraction (volontaire ou non).
• Rôle: Détection :
– des techniques de sondage (balayages de ports, fingerprinting),
– des tentatives de compromission de systèmes,
– d’activités suspectes internes,
– des activités virales,
– audit des fichiers logs.

• Remarque : il s’agit d’un système capable de détecter tout type d’attaque.

Par Dr RIAHLA Mohamed Amine

 Les systèmes de détection d’intrusions
« réseaux » (NIDS)
• But: analyser les flux réseau et détecter les intrusions en temps réel.

• Un NIDS écoute donc tout le trafic réseau, puis l’analyse et génère des
alertes si des paquets semblent dangereux.

• Les NIDS étant les IDS plus intéressants et les plus utiles du fait de
l’omniprésence des réseaux dans notre vie quotidienne,
• Peut être placé en deux positions: ?

Par Dr RIAHLA Mohamed Amine

 Les systèmes de détection d’intrusions
« réseaux » (NIDS)

il pourra alors générer des alertes pour le le NIDS produira moins de faux positifs, car le trafic
pare feu qui va pouvoir filtrer le réseau réseau qu'il analysera aura déjà été filtré par le pare feu

Par Dr RIAHLA Mohamed Amine

 NIDS et Cloud Computing

• Le positionnement des sondes dans le réseau devient stratégique.

• N'importe qui peut louer une machine chez un hébergeur et attaquer une
autre machine louée par quelqu'un d'autre chez le même hébergeur.
– C’est une attaque interne: les solutions disposées en bordure ne les détecteront pas
– il est nécessaire de disséminer plusieurs NIDS au sein de l'infrastructure Cloud

Par Dr RIAHLA Mohamed Amine

 Les systèmes de détection d’intrusions
de type hôte (HIDS)
• Il analyse uniquement l’activité se passant sur une machine.
• Il analyse en temps réel les flux relatifs à une machine ainsi que les log.

• Un HIDS a besoin d’un système sain pour vérifier l’intégrité des donnés. Si
le système a été compromis par un pirate, le HIDS ne sera plus efficace.

• Pour parer à ces attaques, il existe des KIDS (Kernel Intrusion Detection
System) et KIPS (Kernel Intrusion Prevention System) qui sont fortement
liés au noyau. Ces types d’IDS sont décrits un peu plus loin.

Par Dr RIAHLA Mohamed Amine

 Les systèmes de détection d’intrusions
« hybrides »
• Utilisés dans un décentralisé, ils permettent de réunir les informations de
diverses sondes placées sur le réseau.
• « hybride » provient du fait qu’ils sont capables de réunir aussi bien des
informations provenant d’un système HIDS qu’un NIDS. Aussi utiliser les
différentes techniques de détection.
• L’exemple le plus connu dans le monde Open-Source est Prelude. Ce
framework permet de stocker dans une base de données des alertes
provenant de différents systèmes relativement variés.
– Utilisant Snort comme NIDS,
– Samhain en tant que HIDS,
– il permet de combiner des outils puissants tous ensemble pour permettre une
visualisation centralisée des attaques.

Par Dr RIAHLA Mohamed Amine

 Les systèmes de prévention
d’intrusions (IPS)
• Ensemble de composants logiciels et matériels dont la fonction principale est
d’empêcher toute activité suspecte détectée au sein d’un système.

• Contrairement aux IDS simples, les IPS sont des outils aux fonctions «
actives », qui en plus de détecter une intrusion, tentent de la bloquer.

• Plusieurs stratégies de prévention d’intrusions existent :

– Host-based memory and process protection: surveille l'exécution des processus et
les tue s'ils ont l'air dangereux (buffer overflow)==KIPS.
– Session interception / session sniping : termine une session TCP avec la commande
TCP Reset==NIPS
– Gateway intrusion detection: si un système NIPS est placé comme routeur, il bloque
le trafic ; sinon il envoie des datas à d'autres routeurs pour modifier leur liste d'accès

Par Dr RIAHLA Mohamed Amine

 Les IPS: Inconvénients
1. Il bloque toute activité qui lui semble suspecte.
– Il est impossible d’assurer une fiabilité à 100% dans l’identification des attaques.
– Un IPS peut donc malencontreusement bloquer du trafic inoffensif !
– Il peut détecter une tentative Dos alors qu’il s’agit juste d’une période chargée en trafic.
– Les faux positifs sont donc très dangereux pour les IPS.
2. Un pirate utilise sa fonctionnalité de blocage pour bloquer un système.
– Un pirate attaque un système protégé par un IPS, en spoofant son IP.
– Si IP spoofée est celle d’un noeud important du réseau (routeur, service Web, ...) !!!!!
– Solution: les IPS disposent des « white lists »: des listes IP à ne jamais bloquer.
3. A chaque blocage d’attaque, IPS montre sa présence.
– Si un pirate remarque la présence d’un IPS, il tentera de trouver une faille dans celui-ci
afin de réintégrer son attaque en passant inaperçu.

Les IDS passifs sont préférés aux IPS. Mais plusieurs

IDS (Ex : Snort, RealSecure, Dragon, ...) ont des
réactions automatiques à certains types d’attaques.
Par Dr RIAHLA Mohamed Amine
 Les systèmes de prévention
d’intrusions « kernel » (KIDS/KIPS)
• Un IDS au niveau noyau est nécessaire pour sécuriser une station.
• Exemple:
– Serveur web, éliminer un accès en lecture/écriture dans d’autres répertoires que celui
consultable via http, ce qui pourrait nuire à l’intégrité du système. KIPS bloque tout accès
suspect directement par le noyau, empêchant toute modification dangereuse pour le syst..
– Le KIPS peut reconnaître des motifs caractéristiques du débordement de mémoire, et
interdire l’exécution du code.
– Le KIPS peut interdire l’OS d’exécuter un appel système qui ouvrirait un shell de cmd..

• KIPS analyse les appels systèmes, il ralentit l’exécution. C’est pourquoi ce sont
des solutions rarement utilisées sur des serveurs souvent sollicités.
• Exemple de KIPS : SecureIIS, qui est une surcouche du serveur IIS

Par Dr RIAHLA Mohamed Amine

 Systèmes de détection d'intrusion
collaboratifs
• Des systèmes reposant sur d'autres IDS.
• Le CIDS peut opérer sur des systèmes hétérogènes.
• Il existe trois façons de mettre en place un CIDS,
– L'approche centralisée,
– L'approche hiérarchique
– L'approche distribuée.

Par Dr RIAHLA Mohamed Amine

 Systèmes de détection d'intrusion collaboratifs
L'approche centralisée 
• IDS
– Détecter sur leur LAN ou hôte des anomalies à envoyer au système expert.

• Système expert
– Déterminer s'il s'agit d'une attaque globale contre les différents systèmes ou plus locale

• Inconvenants:
– Système expert est le maillon faible
– En cas de grosse attaque, certaines des
alertes reçues soient ignorées en raison
de la quantité reçue par le système expert

Par Dr RIAHLA Mohamed Amine

 Systèmes de détection d'intrusion collaboratifs
L'approche centralisée 
• Eviter le point de défaillance unique
• Plusieurs nœuds (Système expert) sont chargés de la corrélation des alertes

Par Dr RIAHLA Mohamed Amine

 Systèmes de détection d'intrusion collaboratifs
L'approche distribuée
• Eviter d'avoir des points de défaillance,
• Chaque nœud est collecteur d'information ainsi qu'analyseur.
• Ces nœuds détectent localement les attaques et sont capables de corréler les
informations des nœuds voisins pour détecter les attaques globales.

Par Dr RIAHLA Mohamed Amine

 Les technologies complémentaires
• Les scanners de vulnérabilités :
– Enumérer les vulnérabilités présentes sur un système.
– Ces programmes utilisent une base de vulnérabilités connues (Nessus).

• Les systèmes de leurre :

– Le but est de ralentir la progression d’un attaquant, en générant des fausses réponses telle
que renvoyer une fausse bannière du serveur Web utilisé.

• Les systèmes de leurre et d’étude (Honeypots) :

• Le pirate est également leurré,
• Toutes ses actions sont enregistrées.
• Elles seront ensuite étudiées afin de connaître les mécanismes d’intrusion utilisés.
• Il sera ainsi plus facile d’offrir des protections par la suite.

Par Dr RIAHLA Mohamed Amine

 Les technologies complémentaires
• Les systèmes de corrélation et de gestion des intrusions (SIM – Security
Information Manager) :
– Centralisent et corrèlent les informations de sécurité provenant de plusieurs sources (IDS,
firewalls, routeurs, applications, …).
– Les alertes sont ainsi plus faciles à analyser.

• Les systèmes distribués à tolérance d’intrusion :

– L'information sensible est répartie à plusieurs endroits géographiques pour assurer la
disponibilité de l’information.
– Si un pirate arrive à s’introduire sur le système, il n’aura qu’une petite partie de l’information
et celle-ci lui sera inutile.

Par Dr RIAHLA Mohamed Amine

 Les technologies complémentaires
• WIDS (Wireless Intrusion Detection System)
– Détecter et d'avertir sur les attaques spécifiques aux réseaux sans-fil 
– Découverte de réseau, attaque de l'homme du milieu, attaque par déni de service, ...

• APHIDS (Agent-Based Programmable Hybrid Intrusion Detection System)

– Des agents autonomes réactifs, capables de communiquer avec d'autres systèmes
– Se déplacer d'hôte en hôte (agents mobiles), permettant de réduire l'impact réseau du
système de détection d'intrusion pour sa collecte de données

• HAMA-IDS (Hybrid Approach-based Mobile Agent Intrusion Detection System)

– Basée sur des agents mobiles, possédant à la fois une base de signature d'intrusion
(SIDS), et une base contenant des informations sur le système recueilli à l'aide de
statistiques (peut être assimilé à un AIDS)

Par Dr RIAHLA Mohamed Amine

 Les méthodes de détection
• Comment une intrusion est elle détectée par un tel système ?
• Quel critère différencie un flux contenant une attaque d’un flux normal ?

• Deux techniques mises en place dans la détection d’attaques.

– Détecter des signatures d’attaques connues dans les paquets circulant sur le réseau.
– Détecter une activité suspecte dans le comportement de l’utilisateur.

• Ces deux techniques peuvent être combinées au sein d’un même système afin
d’accroître la sécurité.

Par Dr RIAHLA Mohamed Amine

 L’approche par scénario (misuse
detection)
• S’appuie sur la connaissance des techniques utilisées par les attaquants pour
déduire des scénarios typiques.

• Ne tient pas compte des actions passées des users et utilise des signatures

• Signature= ensemble de caractéristiques permettant d’identifier une activité

intrusive :
– Une chaîne alphanumérique,
– Une taille de paquet inhabituelle,
– Une trame formatée de manière suspecte, …).

Par Dr RIAHLA Mohamed Amine

 L’approche par scénario
Recherche de motifs (pattern matching)
• Recherche de motifs (chaînes de caractères/suite d’octets) dans un flux data
• L’IDS comporte une base de signatures où chaque signature contient:
– Les protocole et port utilisés par l’attaque
– Le motif qui permettra de reconnaître les paquets suspects.

• Inconvénients:
– Ne détecte pas les nouvelles attaques non reconnues: MAJ des la BDD est nécessaire
– Une attaque n’est pas toujours identique à 100%

• il est nécessaire d’adapter la BDD en fonction du système à protéger.

• Cela permet de diminuer les ressources nécessaires=augmenter les performances ;
• Réduire considérablement le nombre de fausses alertes.

Par Dr RIAHLA Mohamed Amine

 L’approche par scénario
Autres techniques
• Recherche de motifs dynamiques
– Même principe mais les signatures des attaques évoluent dynamiquement.
– L’IDS est de ce fait doté de fonctionnalités d’adaptation et d’apprentissage.

• Analyse de protocole
– Se base sur une vérification de la conformité (par rapport aux RFC) des flux d’un protocoles
– un ensemble de préprocesseurs, où chacun est chargé d’analyser un protocole particulier (FTP, HTTP, ICMP, ...)
– Peut détecter les nouvelles attaques mais L’utilisation des préprocesseurs dégrade les performances du système

• Analyse heuristique et détection d’anomalies

– Par une analyse intelligente, de détecter une activité suspecte
– Exemple: une alarme quand le nombre de sessions à destination d’un port donné dépasse un seuil dans un
intervalle de temps prédéfini.

Par Dr RIAHLA Mohamed Amine

 L’approche comportementale
(Anomaly Detection)
• Détecter une intrusion en fonction du comportement passé de l’utilisateur.
• Il faut dresser un profil utilisateur ou du flux réseau à partir de ses habitudes
et déclencher une alerte lorsque des événements hors profil se produisent.
• Deux phases:
– Apprentissage: étudier des comportements normaux de flux réseau.
– Détection: analyse le trafic et identifier les faits anormaux selon ses connaissances.
• Cette technique peut être appliquée aussi à des applications et services.
– La charge CPU,
– Le volume de données échangées,
– Le temps de connexion sur des ressources,
– La répartition statistique des protocoles et applications utilisés,
– Les heures de connexion, …

Par Dr RIAHLA Mohamed Amine

 L’approche comportementale
(inconvénients)
• Peu fiable : tout changement dans les habitudes de l’utilisateur est une alerte.

• Nécessite une période de non fonctionnement (d’auto-apprentissage) :

– Si un pirate attaque pendant ce moment, ses actions seront assimilées à un profil
utilisateur,.

• L’établissement du profil doit être souple (pour limiter les fausses alertes)
– Le pirate peut discrètement intervenir pour modifier le profil de l’utilisateur afin d’obtenir un
profil qui lui permettra de mettre en place son attaque sans qu’elle ne soit détectée.

Par Dr RIAHLA Mohamed Amine

 L’approche comportementale
(Approches)
• Approche probabiliste
– Des probabilités sont établies pour représenter une utilisation courante d’une app ou
proto.
– Toute activité ne respectant pas le modèle probabiliste provoquera une alerte.
– Exemple HTTP: il y a une probabilité de 0.9 qu’un GET soit faite après une connexion sur
le port 80. ensuite une probabilité de 0.8 que la réponse soit « HTTP/1.1 200 OK »

• Approche statistique
– Quantifier les paramètres liés à l’utilisateur : taux d’occupation de la mémoire, utilisation
des processeurs, valeur de la charge réseau, nombre d’accès à l’Intranet par jour,
vitesse de frappe au clavier, sites les plus visités, …
– Cette méthode est très difficile à mettre en place.
– Les chercheurs utilisent des réseaux neuronaux et le data mining….

Par Dr RIAHLA Mohamed Amine

 L’approche comportementale
(Autres Approches)
• Les réseaux de neurones artificiels
• Le modèle de Markov caché
• Les machines à vecteurs de support
• Deep learning

En 2019, la détection d'intrusion par anomalies est reconnue par la

communauté comme étant très efficace. En effet, selon les méthodes
d'apprentissage implémentées, l'exactitude des résultats peut rapidement
atteindre plus de 90% de détection

Par Dr RIAHLA Mohamed Amine

 Exemples de systèmes de détection
d’intrusion
• NIDS
– Snort , Bro, Suricata, Enterasys, Check Point, Tipping Point, Sophos, Pfsense

• HIDS
– AIDE, Chkrootkit, DarkSpy, Fail2ban, IceSword (fr), OSSEC, Rkhunter, Rootkit Unhooker,
Tripwire

• Hybride
– Prelude, OSSIM

Par Dr RIAHLA Mohamed Amine

 SNORT
• Les règles de filtrages seront composées des éléments suivants5 :
– l'action (alert, log, pass, activate, dynamic) déterminant le comportement à adopter en cas
de détection d'intrusion ;
– le protocole à filtrer ;
– les adresses IP source et destination ;
– les numéros de ports ;
– la direction du trafic (->, <- ou <>), s'il est entrant, sortant ou bidirectionnelle ;
– les options (motifs dans le paquet, drapeaux, taille, etc.).

Par Dr RIAHLA Mohamed Amine