cours 5 : détection...
TRANSCRIPT
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Cours 5 : Detection d’intrusions
Odile PAPINI
ESILUniversite de la [email protected]
http://odile.papini.perso.esil.univmed.fr/sources/SSI.html
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Plan du cours 5
1 Introduction
2 Generalites sur les systemes de detection d’intrusion (IDS)
3 Classification des IDS
4 Methodes de detection
4 Approche comportementale
5 Approche par scenarios
6 Quelques systemes presents sur le marche
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Introduction
Modele general d’IDS
Alertes
Source
Donnees
BrutesCapteur
Analyseur
Evenements
Manager
Sonde
Modele general de systeme de detection d’intrusions
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Introduction
Systeme de detection d’intrusion :
processus de decouverte et d’analyse de comportementhostile dirige vers le systeme d’information
informations collectees par des sondes
traitement des informations
comparaison avec des donnees de reference qui correspondenta
des operations interdites ou autorisees
si anomalie : declenchement d’une alarme et eventuellementactivation d’une reponse active
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Generalites sur les systemes de detection d’intrusion (IDS)
Modele de fonctionnement des IDS
systemesurveille
Collecte
d’informationd’audit
Donnees de
reference
Stockage des
donnesd’audit
Traitement
(detection)
Donnees en cours
de traitement
Alarmes
Administration dusysteme de securite
(signatures, profils)
(comment repondre aune attaque)
reponse active a l’intrusion
reponse de l’administrateur
Donnees de configuration
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Generalites sur les systemes de detection d’intrusion (IDS)
Notions de base
faux-positif : detection en absence d’attaquealarme generee par un IDS pour un evenement legalfaux-negatif : abscence de detection en presence d’attaquenon generation d’alarme par un IDS pour un evenement illegallog : ligne d’un fichier d’un logiciel qui enregistre les donneestransitant sur un systeme pour le surveiller ou faire des statistiquesfichier log : contient les evenements s’etant produits sur unsysteme
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Classification des IDS
IDS systeme (HIDS)
analyse du fonctionnement ou de l’etat du systeme
IDS reseaux (NIDS)
analyse du trafic reseau
IDS hybrides
constitues d’IDS et de NIDS
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Classification des IDS
Modele Common Intrusion Detection Framework (CIDF) IDS
D-box
A-box
E-box
contre-mesure
Moteur d’analyseStockage
C-box
Source
(Rseaux, log, ...)
acquisition
Generateur
d’evenements
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Classification des IDS
Les composants d’un IDS
les sondes
la console de gestion
le concentrateur d’evenements
la console d’alerte
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Classification des IDS
Classification des IDS (L. Me)
par lot
continue
OS
applications
Systeme de
detection
d’intrusion
source de donnees
methode de detection
architecture
(collecte et analyse)
reseau
autres IDS
centralisee
distribuee
granularite de
l’analyse
comportement
apres detection
informatif
defensif
contre-attaquant
comportementaleapproche
approchepar scenarios
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Methodes de detection
Modeles comportementaux (J. P. Anderson 1980)(anomaly detection)
Detection d’anomalies constatees sur le Systeme d’Informationphase d’apprentissage du comportement normal du systemepuis detection toute deviation par rapport au comportementnormalphase d’apprentissage : etablir des profils correspondant auxcomportements normaux
par respect de la politique de securite
par fonctionnement naturel des applications
par habitude des utilisateurs
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Approche comportementale
IDS probabiliste
profil : definition du fonctionnement d’une applicationconstruction du profil : a partir des evenements observes
etablissement de reglesapprentissage des probabilites liees a chaque sequencedevenements
suite d’evenements E1, · · · Ei → probabilite de Ei+1
si Ei+1 n’est pas prevu par le profil ousi Ei+1 apparaıt trop souvent par rapport a la probabilite duprofil ou
si Ei+1 n’est pas l’evenement attendu par le profil
alors une alarme est leveeOdile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Approche comportementale
IDS probabiliste
Avantages
construction du profil simple et dynamique
reduction de faux positifs
Inconvenients
risque de deformation progressive du profil par des attaquesrepetees
mise en place d’un mecanisme d’observation du profil
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Approche comportementale
IDS statistique (D. E. Denning 1987)
construction du profil : a partir des variables aleatoiresechantillonnees a intervalles reguliers.attribution de valeurs statistiques aux differentes variablesutilisees :
taux d’occupation memoire
l’utilisation des processeurs
la duree et l’heure des connexions, · · ·
utilisation d’un modele statistique :
pour construire la distribution de chaque variable
pour mesurer le taux de deviation entre comportementcourant et passe
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Approche comportementale
IDS statistique
Avantages
permet de detecter des attaques inconnues
habitudes des utilisateurs apprises automatiquement
Inconvenients
difficulte de construire un modele universel
complexite en termes de maintenance
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Approche comportementale
IDS a reseaux de neurones(H. Debar, M. Becker, D. Siboni 1992)
surveillance directe du comportement des utilisateursChaque utilisateur peut etre identifie par son comportement
ses habitudes de travail
ses activites
ses outils de travail, · · ·
profil : serie de parametres concernant l’utilisateurconstruction du profil : reseau de neurones qui reconnaıt unesuite d’operations effectuees par l’utilisateurbut : predire l’action suivante de l’utilisateur, en cas d’echec unealerte est levee
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Approche comportementale
IDS a reseaux de neurones
parametre important : nombre d’operations sur lequel se base laprediction
· · ·
· · ·
· · ·
fonctions d’activation
sortieentree
Reseau de neurones
fonctions de combinaison
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Approche comportementale
IDS a reseaux de neurones
Avantages : adaptes pour la detection de
chevaux de Troie
detournement d’identite
contournement d’identification
Inconvenientsfiabilitemise en oeuvre
construction du reseauparametrage du reseaucomplexitepbs specifiques lies aux reseaux de neurones
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Approche comportementale
Autres approches
Immunologieanalogie avec le systeme immunitaire biologiquebase sur le principe de reconnaissance de cellules etrangerescomparaison du comportement observe et du comportement dereferenceGraphesmodele a base de graphesSysteme Expert + Data mining
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Approche comportementale
Discussion sur les modeles comportementaux
Avantages
capacites de detecter de nouvelles attaques
besoin de peu de maintenance
Inconvenients
risque d’attaque lors de la construction des profils
pas adapte au changement d’entite modelisee
evolution des profils au cours du temps peut etre vu commeune faille
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Approche par scenarios
IDS par scenarios (S. E. Smaha 1988)ou a bibliotheques de signatures
(misuse detection ou knowledge based detection)
modelisation des comportements interditssignature de l’attaque : specifications propres de l’attaque
cas HIDS : analyse des actions d’un utilisateur
cas NIDS : verification du flux d’informations sur le reseau
L’IDS emet l’hypothese d’un scenario d’attaque
s’il sagit d’un scenario connu dans la bibliotheque designatures
alors une alarme esr declenchee
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Approche par scenarios
IDS a recherche de motifs
recherche d’une sequence d’informations particulieres dans unevenement d’auditprobleme classique de reconnaissance de langagemethodes : machine de Turing, automates a etats, reseaux dePetri, · · ·Langages de description des signatures d’attaques :
grande expressivitefacilite d’implantation
STATL : description de plusieurs attaques en termes d’etats et detransitions
ADeLe : description unique et de haut niveau d’une attaquedonnee Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Approche par scenarios
IDS a recherche de motifs
Avantages
efficace : algorithmes de ”Pattern matching”
fiable : deterministe et exacte
Inconvenients
mise en place des motifs : exigences contradictoires
precis : eviter trop de faux-positifsgenerique : eviter trop de faux-negatifs
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Approche par scenarios
IDS a detection par inferences
base sur le principe d’inference de Bayesattaques connues : hypotheses pouvant expliquer les faits observes
P(A | S) = P(A) × P(S | A) × c
A : attaque, P(A) : probabilite de l’occurence de AS : symptomes apparaissant sous forme devenements dans l’auditP(S | A) :probabilite que A fasse apparaıtre S
methode
calcul de la probabilite de chaque scenario d’attaque sachantles symptomes P(A | S)si probabilite elevee alors une alerte levee
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Approche par scenarios
IDS a detection par inferences
Avantages
minimisation du risque de non detection d’une attaque
seules les attaques inconnues ne sont pas detectees
Inconvenients
construction de la base d’attaques : important travail d’expertexhaustivite des symptomes definispertinence des hypotheses formuleesrealismes des probabilites associees aux hypotheses
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Approche par scenarios
IDS par model checking
signature : formule de la logique temporelle du premier ordre(logique modale)
⋄F : il existe un etat ulterieur ou F est vrai
sequence devenements : semantique de Kripkechercher si une signature satisfait un evenement :
la formule de la logique temporelle admet un modele
implantation dans ORCHIDS (J. Goubault-Larrecq)
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Approche par scenarios
Discussion sur les modeles par scenarios
Avantages
fiabilite pour les attaques connues
Inconvenients
maintenance active, mise a jour reguliere
langage de description d’attaque (pas d’unanimite)
Odile PAPINI Securite des Systemes d’Information
IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)
Classification des IDSMethodes de detection
Approche comportementaleApproche par scenarios
Quelques systemes presents sur le marche
Quelques systemes presents sur le marche
Quelques systemes presents sur le marche
snort http ://www.snort.org
Benids http ://www.marlboro.edu/ ttoomey/benids
Hank http ://hank.sourcrforge.net/
Prelude http ://www.prelude-ids.org
Firestorm http ://www.scaramangna.co.uk/firestorm/.
Bro http ://www.icir.org/ver/bro-info.html
Odile PAPINI Securite des Systemes d’Information