cours 5 : détection...

IntroductionGeneralites sur les systemes de detection d’intrusion (IDS)

Classification des IDSMethodes de detection

Approche comportementaleApproche par scenarios

Quelques systemes presents sur le marche

Cours 5 : Detection d’intrusions

Odile PAPINI

ESILUniversite de la [email protected]

http://odile.papini.perso.esil.univmed.fr/sources/SSI.html

Odile PAPINI Securite des Systemes d’Information





Plan du cours 5

1 Introduction

2 Generalites sur les systemes de detection d’intrusion (IDS)

3 Classification des IDS

4 Methodes de detection

4 Approche comportementale

5 Approche par scenarios

6 Quelques systemes presents sur le marche






Introduction

Modele general d’IDS

Alertes

Source

Donnees

BrutesCapteur

Analyseur

Evenements

Manager

Sonde

Modele general de systeme de detection d’intrusions






Introduction

Systeme de detection d’intrusion :

processus de decouverte et d’analyse de comportementhostile dirige vers le systeme d’information

informations collectees par des sondes

traitement des informations

comparaison avec des donnees de reference qui correspondenta

des operations interdites ou autorisees

si anomalie : declenchement d’une alarme et eventuellementactivation d’une reponse active






Generalites sur les systemes de detection d’intrusion (IDS)

Modele de fonctionnement des IDS

systemesurveille

Collecte

d’informationd’audit

Donnees de

reference

Stockage des

donnesd’audit

Traitement

(detection)

Donnees en cours

de traitement

Alarmes

Administration dusysteme de securite

(signatures, profils)

(comment repondre aune attaque)

reponse active a l’intrusion

reponse de l’administrateur

Donnees de configuration






Generalites sur les systemes de detection d’intrusion (IDS)

Notions de base

faux-positif : detection en absence d’attaquealarme generee par un IDS pour un evenement legalfaux-negatif : abscence de detection en presence d’attaquenon generation d’alarme par un IDS pour un evenement illegallog : ligne d’un fichier d’un logiciel qui enregistre les donneestransitant sur un systeme pour le surveiller ou faire des statistiquesfichier log : contient les evenements s’etant produits sur unsysteme






Classification des IDS

IDS systeme (HIDS)

analyse du fonctionnement ou de l’etat du systeme

IDS reseaux (NIDS)

analyse du trafic reseau

IDS hybrides

constitues d’IDS et de NIDS







Modele Common Intrusion Detection Framework (CIDF) IDS

D-box

A-box

E-box

contre-mesure

Moteur d’analyseStockage

C-box

Source

(Rseaux, log, ...)

acquisition

Generateur

d’evenements







Les composants d’un IDS

les sondes

la console de gestion

le concentrateur d’evenements

la console d’alerte







Classification des IDS (L. Me)

par lot

continue

OS

applications

Systeme de

detection

d’intrusion

source de donnees

methode de detection

architecture

(collecte et analyse)

reseau

autres IDS

centralisee

distribuee

granularite de

l’analyse

comportement

apres detection

informatif

defensif

contre-attaquant

comportementaleapproche

approchepar scenarios






Methodes de detection

Modeles comportementaux (J. P. Anderson 1980)(anomaly detection)

Detection d’anomalies constatees sur le Systeme d’Informationphase d’apprentissage du comportement normal du systemepuis detection toute deviation par rapport au comportementnormalphase d’apprentissage : etablir des profils correspondant auxcomportements normaux

par respect de la politique de securite

par fonctionnement naturel des applications

par habitude des utilisateurs






Approche comportementale

IDS probabiliste

profil : definition du fonctionnement d’une applicationconstruction du profil : a partir des evenements observes

etablissement de reglesapprentissage des probabilites liees a chaque sequencedevenements

suite d’evenements E1, · · · Ei → probabilite de Ei+1

si Ei+1 n’est pas prevu par le profil ousi Ei+1 apparaıt trop souvent par rapport a la probabilite duprofil ou

si Ei+1 n’est pas l’evenement attendu par le profil

alors une alarme est leveeOdile PAPINI Securite des Systemes d’Information






IDS probabiliste

Avantages

construction du profil simple et dynamique

reduction de faux positifs

Inconvenients

risque de deformation progressive du profil par des attaquesrepetees

mise en place d’un mecanisme d’observation du profil







IDS statistique (D. E. Denning 1987)

construction du profil : a partir des variables aleatoiresechantillonnees a intervalles reguliers.attribution de valeurs statistiques aux differentes variablesutilisees :

taux d’occupation memoire

l’utilisation des processeurs

la duree et l’heure des connexions, · · ·

utilisation d’un modele statistique :

pour construire la distribution de chaque variable

pour mesurer le taux de deviation entre comportementcourant et passe







IDS statistique

Avantages

permet de detecter des attaques inconnues

habitudes des utilisateurs apprises automatiquement

Inconvenients

difficulte de construire un modele universel

complexite en termes de maintenance







IDS a reseaux de neurones(H. Debar, M. Becker, D. Siboni 1992)

surveillance directe du comportement des utilisateursChaque utilisateur peut etre identifie par son comportement

ses habitudes de travail

ses activites

ses outils de travail, · · ·

profil : serie de parametres concernant l’utilisateurconstruction du profil : reseau de neurones qui reconnaıt unesuite d’operations effectuees par l’utilisateurbut : predire l’action suivante de l’utilisateur, en cas d’echec unealerte est levee







IDS a reseaux de neurones

parametre important : nombre d’operations sur lequel se base laprediction

· · ·

· · ·

· · ·

fonctions d’activation

sortieentree

Reseau de neurones

fonctions de combinaison







IDS a reseaux de neurones

Avantages : adaptes pour la detection de

chevaux de Troie

detournement d’identite

contournement d’identification

Inconvenientsfiabilitemise en oeuvre

construction du reseauparametrage du reseaucomplexitepbs specifiques lies aux reseaux de neurones







Autres approches

Immunologieanalogie avec le systeme immunitaire biologiquebase sur le principe de reconnaissance de cellules etrangerescomparaison du comportement observe et du comportement dereferenceGraphesmodele a base de graphesSysteme Expert + Data mining







Discussion sur les modeles comportementaux

Avantages

capacites de detecter de nouvelles attaques

besoin de peu de maintenance

Inconvenients

risque d’attaque lors de la construction des profils

pas adapte au changement d’entite modelisee

evolution des profils au cours du temps peut etre vu commeune faille






Approche par scenarios

IDS par scenarios (S. E. Smaha 1988)ou a bibliotheques de signatures

(misuse detection ou knowledge based detection)

modelisation des comportements interditssignature de l’attaque : specifications propres de l’attaque

cas HIDS : analyse des actions d’un utilisateur

cas NIDS : verification du flux d’informations sur le reseau

L’IDS emet l’hypothese d’un scenario d’attaque

s’il sagit d’un scenario connu dans la bibliotheque designatures

alors une alarme esr declenchee







IDS a recherche de motifs

recherche d’une sequence d’informations particulieres dans unevenement d’auditprobleme classique de reconnaissance de langagemethodes : machine de Turing, automates a etats, reseaux dePetri, · · ·Langages de description des signatures d’attaques :

grande expressivitefacilite d’implantation

STATL : description de plusieurs attaques en termes d’etats et detransitions

ADeLe : description unique et de haut niveau d’une attaquedonnee Odile PAPINI Securite des Systemes d’Information






IDS a recherche de motifs

Avantages

efficace : algorithmes de ”Pattern matching”

fiable : deterministe et exacte

Inconvenients

mise en place des motifs : exigences contradictoires

precis : eviter trop de faux-positifsgenerique : eviter trop de faux-negatifs







IDS a detection par inferences

base sur le principe d’inference de Bayesattaques connues : hypotheses pouvant expliquer les faits observes

P(A | S) = P(A) × P(S | A) × c

A : attaque, P(A) : probabilite de l’occurence de AS : symptomes apparaissant sous forme devenements dans l’auditP(S | A) :probabilite que A fasse apparaıtre S

methode

calcul de la probabilite de chaque scenario d’attaque sachantles symptomes P(A | S)si probabilite elevee alors une alerte levee







IDS a detection par inferences

Avantages

minimisation du risque de non detection d’une attaque

seules les attaques inconnues ne sont pas detectees

Inconvenients

construction de la base d’attaques : important travail d’expertexhaustivite des symptomes definispertinence des hypotheses formuleesrealismes des probabilites associees aux hypotheses







IDS par model checking

signature : formule de la logique temporelle du premier ordre(logique modale)

⋄F : il existe un etat ulterieur ou F est vrai

sequence devenements : semantique de Kripkechercher si une signature satisfait un evenement :

la formule de la logique temporelle admet un modele

implantation dans ORCHIDS (J. Goubault-Larrecq)







Discussion sur les modeles par scenarios

Avantages

fiabilite pour les attaques connues

Inconvenients

maintenance active, mise a jour reguliere

langage de description d’attaque (pas d’unanimite)








snort http ://www.snort.org

Benids http ://www.marlboro.edu/ ttoomey/benids

Hank http ://hank.sourcrforge.net/

Prelude http ://www.prelude-ids.org

Firestorm http ://www.scaramangna.co.uk/firestorm/.

Bro http ://www.icir.org/ver/bro-info.html


cours 5 : détection...

Documents