Etude théorique sur les systèmes de détection d’intrusion
Système de détection d’intrusion
Définition d’un IDS
Le premier modèle de détection d’intrusion est développé en 1984 par Dorothy Denning et Peter Neuman, qui s’appuie sur des règles d’approche comportementale. Ce système appelé IDES (Intrusion Detection Expert System), en 1988 Il est développé à un IDS (système de détection d’intrusion). Ce dernier est un ensemble de composants logiciels et/ou matériels destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte), son rôle est de surveiller les données qui transitent sur ce système. Il permet ainsi d’avoir une action de détection et/ou d’intervention sur les risques d’intrusion. Afin de détecter les attaques que peut subir un système ou un réseau informatique. Deux notions sont utilisées lorsque nous parlons d’IDS : • Faux positif : Qui consiste à une alerte provenant d’un système de détection d’intrusion mais qui ne correspond pas à une attaque réelle. • Faux négatif : Qui consiste à une attaque ou à une intrusion réelle mais qui n’est pas alertée.
L’architecture d’un IDS
Le schéma suivant décrit les trois composants qui composent un système de détection d’intrusion. Dans ce schéma nous voyons les interactions entre ces trois éléments. Architecture d’un IDS Capteur : Les capteurs sont placés sur le réseau et ont généralement deux cartes réseaux : l’une est en mode furtif c’est-à-dire ne possède aucune adresse IP, l’autre est reliée à l’appareil de sécurité. Les capteurs observent donc l’activité par le biais d’une source de données et fournit à l’analyseur une séquence d’évènement qui renseignent l’évolution de l’état du système. On distingue trois types de capteurs : les capteurs systèmes, les capteurs réseaux et les capteurs applicatifs. Analyseur : L’analyseur analyse la séquence fournit par le capteur et détermine s’il y’a des éléments caractéristiques d’une activité malveillante Manager : Le manager collecte les alertes produites par le capteur les met en forme et les présente à l’opérateur. Eventuellement le manager peut être chargé de la réaction à adopter.
Les types d’IDS
Les types d’attaque mis en œuvre par les attaquants étant divers, il existe différents types d’IDS :
Les systèmes de détection d’intrusion basée sur l’hôte (HIDS) L’HIDS surveille le trafic sur une seule machine. Il analyse des données telles que les journaux système et vérifie l’intégrité des fichiers. Pour que le HIDS soit efficace il faut que le système soit sain. En effet si le système a été préalablement compromis le HIDS ne sera pas efficace. Exemple d’un HIDS dans un réseau
Les systèmes de détection d’intrusion basée sur le réseau (NIDS)
Les NIDS sont des IDS dédiés aux réseaux. Ils comportent généralement une sonde qui écoutent sur le segment réseau à surveiller en temps réel. Donc, le NIDS analyse et génère des alertes si les paquets sembles dangereux et s’il détecte une intrusion. Exemple d’un NIDS dans un réseau
Le système de détection d’intrusion hybride
IDS hybride rassemble les caractéristiques de HIDS et NIDS. En effet, l’IDS hybride permet de surveiller et d’analyser le réseau et les hôtes du réseau. Les sondes agissent comme des NIDS ou des HIDS selon leur emplacement, ils réunissent toutes les alertes et les remontent au niveau d’une machine ou elles sont centralisées.