Académique Documents
Professionnel Documents
Culture Documents
• But:
– Surveiller les données qui transitent sur un système,
– Détecter toute tentative d’intrusion
– Réagir à cette tentative.
• Un NIDS écoute donc tout le trafic réseau, puis l’analyse et génère des
alertes si des paquets semblent dangereux.
• Les NIDS étant les IDS plus intéressants et les plus utiles du fait de
l’omniprésence des réseaux dans notre vie quotidienne,
• Peut être placé en deux positions: ?
il pourra alors générer des alertes pour le le NIDS produira moins de faux positifs, car le trafic
pare feu qui va pouvoir filtrer le réseau réseau qu'il analysera aura déjà été filtré par le pare feu
• Un HIDS a besoin d’un système sain pour vérifier l’intégrité des donnés. Si
le système a été compromis par un pirate, le HIDS ne sera plus efficace.
• Pour parer à ces attaques, il existe des KIDS (Kernel Intrusion Detection
System) et KIPS (Kernel Intrusion Prevention System) qui sont fortement
liés au noyau. Ces types d’IDS sont décrits un peu plus loin.
• Contrairement aux IDS simples, les IPS sont des outils aux fonctions «
actives », qui en plus de détecter une intrusion, tentent de la bloquer.
• KIPS analyse les appels systèmes, il ralentit l’exécution. C’est pourquoi ce sont
des solutions rarement utilisées sur des serveurs souvent sollicités.
• Exemple de KIPS : SecureIIS, qui est une surcouche du serveur IIS
• Système expert
– Déterminer s'il s'agit d'une attaque globale contre les différents systèmes ou plus locale
• Inconvenants:
– Système expert est le maillon faible
– En cas de grosse attaque, certaines des
alertes reçues soient ignorées en raison
de la quantité reçue par le système expert
• Ces deux techniques peuvent être combinées au sein d’un même système afin
d’accroître la sécurité.
• Ne tient pas compte des actions passées des users et utilise des signatures
• Inconvénients:
– Ne détecte pas les nouvelles attaques non reconnues: MAJ des la BDD est nécessaire
– Une attaque n’est pas toujours identique à 100%
• Analyse de protocole
– Se base sur une vérification de la conformité (par rapport aux RFC) des flux d’un protocoles
– un ensemble de préprocesseurs, où chacun est chargé d’analyser un protocole particulier (FTP, HTTP, ICMP, ...)
– Peut détecter les nouvelles attaques mais L’utilisation des préprocesseurs dégrade les performances du système
• L’établissement du profil doit être souple (pour limiter les fausses alertes)
– Le pirate peut discrètement intervenir pour modifier le profil de l’utilisateur afin d’obtenir un
profil qui lui permettra de mettre en place son attaque sans qu’elle ne soit détectée.
• Approche statistique
– Quantifier les paramètres liés à l’utilisateur : taux d’occupation de la mémoire, utilisation
des processeurs, valeur de la charge réseau, nombre d’accès à l’Intranet par jour,
vitesse de frappe au clavier, sites les plus visités, …
– Cette méthode est très difficile à mettre en place.
– Les chercheurs utilisent des réseaux neuronaux et le data mining….
• HIDS
– AIDE, Chkrootkit, DarkSpy, Fail2ban, IceSword (fr), OSSEC, Rkhunter, Rootkit Unhooker,
Tripwire
• Hybride
– Prelude, OSSIM