MODÉLISATION ET CLASSIFICATION AUTOMATIQUE DES INFORMATIONS DE SÉCURITÉ. le grade de docteur

Transcription

1 Numéro d ordre 2009-ISAL-XXXX Année 2009 Thèse MODÉLISATION ET CLASSIFICATION AUTOMATIQUE DES INFORMATIONS DE SÉCURITÉ présentée devant L Institut National des Sciences Appliquées de Lyon pour obtenir le grade de docteur Ecole doctorale : Informatique et Information pour la Société soumis le 4 Décembre 2008 Par Fatiha Benali Soutenue le 13 janvier 2009 devant la Commission d examen Jury Debar Hervé Expert Rapporteur France Télécom R&D Maknavicius-Laurent Professeur des Universités Rapporteur Maryline Institut National des Télécommunications - Paris De La Higuera Colin Professeur des Universités State Radu Ubéda Stéphane Legrand Véronique Jean Monnet Université - Saint-Etienne Directeur de recherche INRIA INRIA-Lorraine Professeur des Universités INSA de Lyon (Directeur de thèse) Chercheur Exaprotect R&D Villeurbanne Cette thèse a été préparée au Centre d Innovation en Télécommunications et Intégration de Services (CITI), INSA de Lyon - INRIA Rhône-Alpes et au sein de l équipe R&D Exaprotect à Villeurbanne.

2

3 Table des matières I Description du problème 7 1 Détection d intrusions Introduction IDS expérimentaux Les IDS commerciaux Modèle de détection d intrusions Coopération entre IDS L état actuel des infrastructures L état actuel des produits de sécurité Conclusion Problématique Introduction Caractéristiques du système surveillé Problèmes engendrés par la coopération : de la syntaxe à la sémantique Syntaxe des informations de sécurité Modèle IDMEF Synthèse Conclusion II Modélisation des informations de sécurité 29 3 État de l art sur la modélisation des informations de sécurité Introduction Modélisation des attaques Classification par listes Les taxonomies Les ontologies sur les attaques Les langages d attaques Modélisation des vulnérabilités Les caractéristiques des catégories des informations de sécurité iii

4 3.5 Discussion Proposition d une modélisation Introduction Source de données Niveau d abstraction L intention Le mouvement Les objets Le modèle conceptuel Ontologie des informations de sécurité La démarche de l attaquant Intention Movement Target Gain Expérimentations effectuées Expérience n 1 : Classification des informations de sécurité Expérience n 2 : Application de l ontologie aux processus de traitement Conclusion sur les expériences Conclusion III Classification automatique des informations de sécurité Processus de catégorisation de texte Indexation et réduction d attributs Introduction Représentation du document Réduction d attributs Sélection d attributs Extraction d attributs Analyse du corpus des informations de sécurité Format des messages bruts Étude de la fréquence des mots dans un corpus : la loi de Zipf Taille du vocabulaire Comparaison des méthodes de réduction et discussion Module d extraction Étiquetage morphosyntaxique des messages Normalisation des termes (analyse morphologique) Reconnaissance des concepts Reconnaissance de la nature des fichiers

5 5.6.5 Extraction des mots avec leurs équivalents par la traduction basée sur l exemple Traitement des mots qui n ont pas de sens Architecture du module d extraction Expérimentation Application de la méthode gain d information Application de la méthode LSI Résultat d application du module d extraction Conclusion Conclusion Algorithmes d apprentissage appliqués à la CT Introduction Approches de construction de système de classification Classifieurs probabilistes L arbre de décision Règle de décision Rocchio Réseaux de neurones (RN) Support Vector Machine (SVM) Classification par vote (voted classification) K plus proche voisin (k-ppv) Modèle de régression Évaluation des classifieurs Discussion Application de quelques approches de CT à la classification des messages de sécurité Notation Le bayésien naïf (BN) k plus proche voisin (k-ppv) SVM Expérimentation Choix des paramètres des classifieurs et la méthode de réduction Méthodes de classification Combinaison de classifieurs Conclusion IV Conclusion et perspectives Conclusions et perspectives Contributions Perspectives

6 A Modélisation des Informations de sécurité 147 A.1 Exemple de liste, de taxonomie et d ontologie à partir de la littérature A.1.1 Spécification des mouvements avec chaque type d intention A.1.2 Spécification des cibles avec le langage OWL A.1.3 Détail de la figure 4.5 sur la modélisation des cibles B Indexation et réduction d attributs 169 B.1 Exemple de comparaison du vocabulaire de deux produits B.2 Module d extraction B.2.1 Les étiquettes utilisées dans le programme de Brill B.2.2 Exemple d extensions de fichiers exécutables B.2.3 Quelques résultats du module d extraction Bibliographie 175 Liste de publications 185 B.2.4 A paraître dans les journaux B.2.5 Brevet B.2.6 Conférences & Workshops Internationaux B.2.7 Workshop National

7 Liste des tableaux 4.1 Cibles réseau Les Gains Les types de produits utilisés Différentes approches utilisées pour la sélection d attributs. La définition de chaque approche est évoquée dans Un échantillon de mots apparaissant une seule fois dans le corpus de Cisco. Les mots en gras sont des mots informatifs, par exemple land représente un type d attaque Statistiques sur les corpus des produits de surveillance Comparaison des méthodes de réduction d attributs Un exemple d application de l étiqueteur de Brill Exemple d étiquettes associées aux mots avec l étiqueteur de Brill. Les étiquettes indiquent la fonction syntaxique de chaque mot. Plus de détails sur les étiquettes attribuées aux mots illustrés dans le tableau B Exemple de messages lemmatisés Exemple de fichiers présents dans des messages de sécurité. Les fichiers sont représentés en caractère gras Classification des fichiers selon les extensions Un échantillon de 20 messages de sécurité provenant de produits différents. Les termes sont représentés par tous les mots qui apparaissent dans les messages bruts à l exception des articles Résultat du module d extraction Résultats identiques pour l exécution de vote1 et vote2 pour le classifieur k-ppv Résultats d extraction des valeurs des concepts, prenant comme corpus de test le corpus d apprentissage pour déterminer la valeur du k Pré-traitement du corpus par l application du module d extraction Résultat d extraction des valeurs des concepts avec l utilisation du module d extraction comme méthode de réduction Résultat d extraction des valeurs des concepts avec l utilisation de gain d information comme méthode de réduction vii

8 6.6 Résultat d extraction des valeurs des concepts avec l utilisation de LSI comme méthode de réduction et BN comme classifieur Résultat d extraction des valeurs des concepts avec l utilisation de LSI comme méthode de réduction et k-ppv comme classifieur Comparaison entre les performances des classifieurs Un petit échantillon des résultats d application de SVM basée sur un modèle de régression Produits impliqués dans l expérience Comparaison des performances de classification pour les différents classifieurs Comparaison des résultats des classifieurs Relation entre deux classifieurs Performance de k-ppv et BN sur la classification du corpus McAfee Collaboration entre classifier le classifier k-ppv et le classifier BN A.1 Liste de termes de Cohen [62] B.1 Comparaison du vocabulaire brut du pare-feux Cisco et du pare-feux Checkpoint. Le texte en bleu représente le vocabulaire commun entre les deux produits. Le texte en rouge représente le vocabulaire utilisé que par Checkpoint et Le texte en noir représente le vocabulaire utilisé que par Cisco B.2 Comparaison du vocabulaire brut du pare-feux Cisco et du pare-feux Checkpoint, suite du tableau refcomparaisonsonde B.3 Etiquettes associées aux mots par le tagger de Brill B.4 Un échantillon d extensions de fichiers exécutables B.5 Exemple de règles générées par le module d extraction B.6 Exemple de règles de généralisation

9 Table des figures 1 Impacts des attaques reportés par Clarke et Zeichner dans le magazine Bank Systems & Technology [26] Relation entre la sophistication des attaques et la connaissance des attaquants reportée par Philippe Evard et Eric Filiol dans le magazine Multi-sytem & Internet Security Cookbook (MISC) [49] Modèle général proposé par IDWG (Intrusion Detection Working Group) Architecture d un IDS (figure reprise de [7] avec modification) Architecture d une vision globale Le modèle de données IDMEF : (1) avec la description de l événement portée dans l événement brut (2) enrichi par une sémantique Système de détection d intrusion dans le contexte des grandes infrastructures Source de données Sémantique générale d une information de sécurité Démarche d un attaquant Démarche d un attaquant décrite par les intentions Ontologie des cibles. Un zoom de chaque partie de la figure est illustré sur l annexe A La cible web Distribution des événements de sécurité sur les catégories Distribution des Intentions sur les mouvements Distribution des Intentions sur le mouvement Vulnerability Contexte de l expérience Distribution des événements sur les catégories par journée d activité Distribution des événements sur les natures de mouvement par journée d activité Un graphe d événements sur l utilisation du SI CT appliquée à la classification des informations de sécurité Une partie de mots vides en anglais [50] Loi de Zips et le corpus des informations de sécurité ix

10 5.3 Comparaison des méthodes de sélection d attributs. Les figures sont reprises des travaux de Yang et Pedersen [136]. Les nouveaux attributs ont été utilisés pour définir le nouvel espace vectoriel pour deux systèmes de classification ; le KNN qui est l algorithme des k plus proches voisins et LLSF qui est Linear Least Squares Fit mapping [134] Types de relations sémantiques Processus d extraction des attributs d un message de sécurité La projection des termes et des documents dans les deux nouveaux axes Utilisation de la mesure macro-moyenne par les cinq classifieurs, et influence de l efficacité des classifieurs par la distribution des catégories dans le corpus de test [135]. knn, NN et NB représentent respectivement k-ppv, RN et BN sur les figures a et b Exemple de deux catégories linéairement séparables. L hyperplan de décision est la ligne continue. La marge est la distance entre deux lignes pointillées. Une ligne de décision avec une petite marge sur (a) et une ligne de décision avec une grande marge sur (b). Les points de données entourés par un carrées sombres (rouges) représentent les vecteurs à support Processus de catégorisation Distribution des catégories de chaque concept dans le corpus d apprentissage Résultat du classifieur BN pour le cas 0 et le cas 1 représentant respectivement, dans le calcul des probabilités, la valeur des occurrences des termes qui n appartiennent pas à une catégorie égale à 0 et à Comparaison entre les méthodes de réduction de la taille de l espace vectoriel du corpus. Pour le module d extraction, la taille des descripteurs est égale à 364. Pour la méthode IG, la taille des attributs retenue pour représenter un message pour l extraction des valeurs respectives de Intention, Movement, Movement- Type, Target et Gain est respectivement 20, 200, et 40. Pour LSI, la taille de descripteur est égale à Comparaison des performances des différents algorithmes de classification Distribution des catégories de concepts dans le corpus d apprentissage Comparaison des performances des différents algorithmes de classification Relation entre la fonction de classification réelle et les fonctions de classification automatique A.1 Taxonomie d Howard et Longstaff [59] A.2 Ontologie développée dans [119] A.3 Movement et MovementType de l intention Authentication A.4 Movement et MovementType de l intention System A.5 Movement et MovementType de l intention Rights A.6 Partie (1) A.7 Partie (2) A.8 Partie (3)

11 Préambule Initialement, Internet fût conçu comme le vecteur de communication d une communauté de chercheurs travaillant dans un contexte de confiance et ne se souciant pas des utilisateurs malveillants. En conséquence, il était inutile de prévoir dans leurs équipements des fonctions dédiées à la sécurité, seule la connectivité des réseaux était assurée pour le besoin de la communication. Aujourd hui, aucune entreprise, aucun organisme ne peut se permettre de rester non connecté ; le nombre de réseaux reliés à Internet ne cesse de croître mais les mêmes mécanismes sont toujours utilisés. Il devient donc facile pour un attaquant d exploiter l ouverture des réseaux dans un but malveillant. La sécurité est donc tout naturellement devenue un enjeu majeur, aussi bien pour l économie que pour le fonctionnement de nos sociétés humaines. Fig. 1 Impacts des attaques reportés par Clarke et Zeichner dans le magazine Bank Systems & Technology [26]. Clarke et Zeichner dans [26] reportent qu il y avait incidents de virus en Trois ans seulement après, ce nombre a été multiplié par six! En 2002, le coût mondial de vers et virus a été estimé à 45 milliards de dollars, tandis qu en août 2003 il était estimé à 180 milliards. On estime que le coût annuel augmente de 300% par an. Entre 1998 et 2003, vingt-sept millions d Américains ont été victimes de vol d identité, mais un tiers de ce chiffre ont été victimes rien que pour l année Les entreprises aux États-Unis ont dépensé de 2 à 3% de leur budget IT sur la sécurité en 1999, contre environ 8 à 12% en Les patchs qui corrigent les vulnérabilités des logiciels commerciaux les plus ciblés par les pirates ont été publiés à un taux de 10 par mois. En 2002, ils ont atteint le taux d une dizaine par semaine. Et en 2003, les vers 1

12 2 qui avaient l habitude de mettre plusieurs jours pour voyager au sein des systèmes, se diffusent aujourd hui sur plus de systèmes sur les cinq continents en moins de 15 minutes (figure 1). Fig. 2 Relation entre la sophistication des attaques et la connaissance des attaquants reportée par Philippe Evard et Eric Filiol dans le magazine Multi-sytem & Internet Security Cookbook (MISC) [49]. Les attaques sont en augmentation à la fois en nombre, en sévérité, en sophistication et en impact. Les attaques peuvent générer de sérieux problèmes telles que la perte de revenu, de propriété intellectuelle ainsi qu une perturbation des opérations critiques au sein d un organisme. En effet, Internet permet maintenant à chacun d accéder à une masse d informations sur les attaques informatiques, sur les failles des systèmes et même de trouver les outils et scripts prêts à mener des attaques sophistiquées sans avoir autant de grandes connaissances sur le sujet. Si un bon niveau initial de connaissances techniques est nécessaire, ce niveau de connaissances décroît rapidement avec le temps, au fur et à mesure que les outils sont mis sur le marché. La figure 2 [49] illustre la relation entre la sophistication des attaques et la connaissance des attaquants. Le système d information (SI) d une entreprise ou d un organisme est devenu capital et possède une très grande valeur ; la sécurité de ce système est devenue un enjeu stratégique important. Les utilisateurs et les administrateurs des réseaux informatiques ont compris cela et sont conscients qu il faut se protéger. Les administrateurs de sécurité prennent des dispositions pour empêcher les intrusions, via des mécanismes d authentification qui permettent aux utilisateurs du système de prouver leur identité, de contrôles d accès qui permettent de mettre les droits aux utilisateurs sur les ressources, de pare-feux pour filtrer les flux et la recherche de

13 3 vulnérabilités connues qu un intrus pourrait essayer d exploiter. Ces mécanismes de prévention seuls ont montré qu ils ne sont pas suffisants pour fournir le niveau de sécurité adéquat. Les expériences montrent qu il est difficile d empêcher et de prévenir bon nombre de types d attaques très différentes. Naturellement, aucun mécanisme ne peut identifier un intrus avant que cet intrus n initie une interaction avec le système. Contre ce danger bien réel, les efforts actuels dans le domaine de la sécurité se focalisent sur la détection d intrusions. Le concept d intrusion est défini par toute action non légalement autorisée effectuée par un utilisateur d un système d information. L intrus peut être externe comme il peut être un utilisateur interne qui tente de dépasser ses privilèges. Les systèmes de détection d intrusions (Intrusion detection System ou IDS) ont une vision locale de ce qui se déroule dans toute l infrastructure ; ils ne peuvent pas capturer les étapes logiques ou les stratégies d attaques derrière ces attaques. Les approches de détection d intrusions actuelles sont fondées sur le constat que la plupart des intrusions ne sont pas isolées, mais sont reliées entre elles, constituant différentes étapes d une attaque complexe. L approche dominante pour la détection d intrusions se base sur la corrélation des informations contenues dans les fichiers journaux générés par les produits de sécurité déployés dans un SI. Avec le développement rapide des infrastructures, l énorme quantité de données générées rend leur traitement de moins en moins avantageux notamment du fait que ces informations sont générés par des sources hétérogènes. De plus, il n existe pas de standard pour représenter ces informations. Il devient donc difficile d analyser les fichiers journaux et de réaliser la corrélation même pour les petits réseaux. L apport de notre travail s inscrit dans le cadre de la modélisation des informations de sécurité dans le but d analyser la sécurité du SI de tout comportement qui peut mettre en danger sa sécurité. Cette thèse aborde le domaine de recherche en détection d intrusions sur trois axes. La première contribution, comme elle est décrite dans la partie I, propose une architecture pour un système de détection d intrusions basée sur la vision globale de ce qui arrive dans un SI. La partie I est organisée comme suit. Dans le chapitre 1, nous passons en revue les travaux de recherches qui ont marqué l évolution des systèmes de détection d intrusions. Nous focalisons notre étude sur les différentes architectures proposées dans la littérature, en particulier sur les sources de données impliquées dans les mécanismes de détection. Nous proposons ensuite une architecture pour un système de détection d intrusions. Dans cette architecture, les mécanismes d évaluation de la sécurité d un SI (comme la corrélation) se basent sur les données contenues dans les fichiers journaux des produits de sécurité et les fichiers journaux des ressources jugées critiques dans un SI. Cette architecture offre de nombreux avantages que nous détaillons. Le chapitre 2 s attache à analyser les principaux problèmes auxquels nous serons confrontés lors de la mise en application de cette architecture. En effet, les données générées par cette architecture ne sont pas homogènes : elles n ont pas la même syntaxe ni la même description de la sémantique. Nous arrivons à la conclusion que la représentation de ces données doit être homogène. Nous adoptons le format Intrusion Detection Message exchange Format (IDMEF) pour la représentation de la syntaxe d un événement généré dans ce type d architecture et nous cernons le problème sur la modélisation de la description de l événement à l intérieur du format IDMEF. La deuxième et principale contribution de la thèse, comme détaillée dans la partie II, est

14 4 une modélisation de la connaissance sur les activités qui ont eu lieu dans un SI, et qui sont utiles pour les mécanismes de gestion des informations de sécurité, permettant la distinction entre les différents comportements qui se produisent au sein du système surveillé. Cette partie est organisée comme suit. Tout d abord, dans le chapitre 3, nous dressons un état de l art des travaux de recherches qui portent sur la modélisation des attaques et des vulnérabilités. Ces travaux définissent des catégories d attaques et de vulnérabilités puis organisent les informations de sécurité dans ces catégories. Nous passons en revue les caractéristiques qui doivent exister dans les catégories décrivant les informations de sécurité. Nous dressons ensuite les contraintes à respecter lors de la réalisation d une modélisation pour les informations de sécurité grâce d une part, à l étude de l état de l art et d autre part, à notre expérience acquise en travaillant sur de vrai système au sein d Exaprotect, entreprise dans laquelle cette thèse c est déroulée. A la différence des travaux cités dans l état de l art, dans le chapitre 4, nous présentons notre modélisation pour la description de la sémantique des informations générées dans les fichiers journaux des produits de sécurité et dans les fichiers journaux des ressources critiques d un SI. Ces informations pouvant décrire des activités dangereuses ou non. Nous avons effectué une abstraction de l hétérogénéité des sources de données par la modélisation des informations de sécurité via le concept d action observée. Nous classons les informations comme étant représentatives d un type particulier d activité réalisée au sien du SI à l aide d une ontologie que nous appelons Ontology for Intrusion Detection (OID). Nous travaillons à l aide de la théorie de l action du domaine de la philosophie pour définir les concepts d une action. Le rapprochement entre la théorie de l action et les évènements de sécurité nous a permis de définir contologie basée sur quatre concepts : l intention de l utilisateur, le mouvement effectué, la cible de l action effectuée et le gain représentant le résultat de l action effectuée. Nous présentons en détail les différents concepts, nous spécifions le vocabulaire de chaque concept et les règles qui gèrent l utilisation de ce vocabulaire. Nous détaillerons ensuite les résultats d expériences menées d une part, pour l application de l ontologie sur un corpus d événements contenus dans des fichiers journaux de certains produits de sécurité, et d autre part, pour la validation de la solution, à l aide d un cas d utilisation réelle, à travers la corrélation d événements générés dans une infrastructure d une entreprise. Le processus de classification des événements dans les catégories de l ontologie est réalisé manuellement par des experts en sécurité. Les expériences nous montrent que le nombre d événements à analyser par un expert ou à fournir à un processus de gestion d informations de sécurité diminue et que ces derniers sont applicables et efficaces sur des données homogènes. La troisième contribution de la thèse, comme elle est exposée dans la partie III, est une approche pour la classification automatique des informations de sécurité dans les catégories de l OID. Nous adoptons dans notre travail les techniques de catégorisation automatique de texte (CT) aux problèmes de classification automatique des informations de sécurité. La classification de texte se base sur les machines d apprentissage. Nous utilisons un corpus qui a été classifié manuellement par les experts afin d appliquer la CT. Cette partie est structurée comme suit. Dans le chapitre 5, nous effectuons le traitement des informations de sécurité dans le but de les mettre dans un format manipulable par les algorithmes d apprentissage. Tout d abord, nous survolons les travaux de recherche permettant la réduction des attributs représentant un corpus de texte. Nous effectuons une analyse du langage des produits de sécurité et des mécanismes

15 5 de surveillance utilisés. Nous proposons un module pour l extraction d un vecteur représentatif d un message de sécurité tout en gardant la sémantique portée dans l événement. Ensuite, nous mettons en application le module d extraction et certaines méthodes de la littérature dans le but de réduire la taille du corpus d information de sécurité. Dans le chapitre 6, nous évoquons les travaux de recherches sur les approches d apprentissage utilisées dans le domaine de la CT. Nous détaillons quelques approches que nous adopterons pour la classification des informations de sécurité. Nous présentons les séries d expériences sur différents corpus de sécurité. Les expériences sont menées pour : adapter une méthode de réduction des attributs d un corpus d informations de sécurité, effectuer le choix sur le bon classifieur et enfin faire collaborer différents classifieurs dans le but de produire une classification unique à partir des résultats des différents classifieurs. La collaboration entre classifieurs permet de présenter à l analyste un sous ensemble de messages de sécurité classés avec un maximum de vraissemblance. Finalement, nous concluons dans le chapitre 7 par une réflexion sur des extensions à apporter à la modélisation ainsi que des axes de recherche pour continuer ce travail. Les annexes comprennent quelques compléments techniques : exemple de vocabulaire utilisé par les produits de sécurité ou encore des détails sur les méthodes utilisées.

16 6

17 Première partie Description du problème 7

18

19 9 La détection d intrusions a été étudiée en recherche depuis le début des années 1980 et l intérêt pour le problème n a cessé de croître depuis. En 1990, des Intrusion Detection System (IDS) commerciaux commencent à émerger. Un certain nombre de prototypes de recherche existent également, dont certains se sont transformés en produits commerciaux. Le but de la détection d intrusions par l analyse des fichiers journaux est de déterminer à quel moment un système a été violé, comment cette attaque s est produite ou mieux, de détecter la violation du système pendant l attaque! Plusieurs survols [5, 41, 82] sur les systèmes de détection d intrusions ont été publiés ; Ludovic Mé et Cédric Michel dans [83] ont collecté plus de 600 références sur la détection d intrusions datées de 1980 à Le chapitre 1 s articule autour d un état de l art sur l évolution des systèmes de détection d intrusions et en déduit une architecture générique d un système de détection d intrusions. L étude de l état de l art focalise sur la nature des données qui sont impliquées dans les différents systèmes de détection d intrusions développés dans la littérature. L architecture proposée se base sur l interopérabilité des produits de sécurité (IDS, IPS, pare-feu, antivirus, VPN, etc.), des mécanismes de prévention, des équipements de connectivité (routeur, switch, etc.), des fichiers journaux des services (mail, web, ftp, etc.), des applications ou des systèmes d exploitation. Cette architecture permet d une part d alimenter le moteur de corrélation avec toute l information nécessaire pour la détection des intrusions contre le SI, et d autre part, elle permet de donner à l administrateur de sécurité une vision globale de la sécurité du SI. En effet, le besoin de l administrateur de sécurité a changé. Actuellement, les administrateurs de sécurité désirent connaître les activités des utilisateurs autorisés à accéder au SI en plus des activités menées par les attaquants afin de pouvoir contrôler tout abus d utilisation du SI. Dans le chapitre 2, nous exposons tout d abord les caractéristiques d un système de détection d intrusions au moyen de l architecture que nous avons proposée. Nous décrivons les problèmes qui surgissent avec une telle architecture, permettant ainsi d identifier les conditions nécessaires à l interopérabilité entre les différents mécanismes de surveillances dans un SI. La vie et l efficacité d une telle architecture est conditionnée par une modélisation homogène de données remontées par les mécanismes de surveillances. Nous interprétons l homogénéité des données dans notre travail par une représentation commune de la syntaxe et de la sémantique des informations de sécurité. Nous adoptons le format IDMEF pour la représentation de la syntaxe. La mise en correspondance d un événement brut dans le format IDMEF reprend le message textuel qui décrit le fait porté par l événement et l incorpore dans la classe classification text du format IDMEF. Nous réduisons le problème à la modélisation de la sémantique de la description portée dans l événement à l intérieur du format IDMEF dans la classe classification text.

20 10

21 1 Détection d intrusions 1.1 Introduction Le concept de détection d intrusions est né avec les travaux de James Anderson en 1980 [96]. Il a apporté l idée que les traces d audit contiennent des informations vitales pour la détection de l utilisation abusive du système. La trace d audit, aussi appelée fichier journal, est un fichier contenant un ensemble d enregistrements sur les activités surveillées ainsi que les dates de leurs manifestations. Anderson a fourni les bases pour la conception et pour le développement d un système de détection d intrusions, comme il a étendu l idée à la détection de violations de la politique de sécurité. Dans ce chapitre, nous allons exposer l évolution des travaux menés dans le domaine de la détection d intrusions. Nous allons évoquer les approches utilisées par les travaux de recherches ainsi que les approches utilisées dans le milieu industriel. Nous nous intéressons notamment à l évolution des architectures des différents systèmes de détection d intrusions afin de justifier l architecture dont nous nous basons dans ce manuscrit IDS expérimentaux L idée de l analyse du fichier journal à la recherche d indices d intrusion a été reprise plus tard par Dorothy Denning et Peter Denning. Ils ont réalisé le premier modèle de détection d intrusions appelé Intrusion Detection Expert System (IDES) [43] dans le cadre d un projet gouvernemental au SRI International 1. Le but du projet a consisté à analyser les fichiers de trace d audit d activités d utilisateurs sur un serveur du gouvernement américain pour créer des 1 http :// 11

22 12 Introduction profils. Le modèle utilise des techniques statistiques pour caractériser un comportement anormal et des règles pour détecter les violations prédéfinies de la sécurité du système. IDES représente le premier prototype d un IDS. Tout en se basant sur ces travaux, Dorothy a publié dans [46] un modèle de détection d intrusions indépendant de n importe quel système surveillé, de n importe quelles applications installées, ou vulnérabilités du système surveillé, et de n importe quels intrusion. Denning a présenté l idée que les intrusions dans un système informatique peuvent être détectées à travers la construction de modèles de comportements des utilisateurs du système par le système de détection d intrusions, et que tout comportement déviant du modèle construit est considéré comme une anomalie et donc un indice d éventuelles intrusions. L auteur a présenté plusieurs modèles basés sur les chaînes de Markov, les statistiques et les séries temporelles. Son article a organisé l information nécessaire pour le développement des systèmes de détection d intrusions ; il est à la base de la plupart des travaux sur les IDS qui l ont suivi. Haystack[113] représente une variante de ce type de modèle. MIDAS [87] représente le premier IDS qui surveille un système opérationnel connecté à Internet. Il a donné un apeçu des menaces qui peuvent provenir d Internet et il a apporté une démonstration du besoin de présence d un mécanisme assurant une forte identification et authentification dans le système. L utilisation de la connaissance de l expert a été évoqué par TRW Defense Systems Group dans [53] (sect. 3.4). Ce dernier a développé un IDS pour le gouvernement des États-Unis en utilisant la technologie des systèmes experts. Les règles ont été écrites avec l aide des experts de sécurité et peuvent de façon dynamique être mises à jour. A la différence des modèles cités ci-dessus, Discovery [131] surveille les fichiers journaux d une application. En effet, il a été conçu pour la détection d intrusions en ligne sur une base de données d un système de crédit. En particulier, le système analyse les fichiers journaux de la base de données à la recherche de requêtes non autorisées. Ce système utilise des méthodes statistiques pour la création de profils et d un système expert pour effectuer la détection d intrusions. On voit apparaître une nouvelle approche pour modéliser le comportement des utilisateurs dans Hyperview [40] ; cette approche se base sur les réseaux de neurones. L auteur conclut dans son travail que l approche consistant en la construction d un modèle d utilisateur par les réseaux de neurones doit être une approche complémentaire à l approche qui construit un modèle statistique d utilisateur. Advanced Security audit-trail Analysis on unix (ASAX) [56] est un IDS basé sur des règles pour détecter les intrusions. La particularité de cet IDS est qu un langage de description de règles, appelé RUSSEL, a été créé. Dans ce modèle, les enregistrements des fichiers journaux sont transformés dans un format canonique puis évalués avec les règles décrites par le dit langage. State Transition Analysis Tool for UNIX (USTAT) [63] apporte une nouvelle approche pour représenter une intrusion. Une intrusion est identifiée par une séquence de changement d état qui mène le système attaqué d un état initial vers un état compromis. Kumar et Spafford généralisent cette idée en modélisant les intrusions par les réseaux de Pétri dans leur protocole appelé Intrusion Detection In Our Time (IDIOT) [72]. Les systèmes que nous avons évoqué ci-dessus sont dédiés à la détection d intrusions sur un

23 Détection d intrusions 13 seul hôte : ce sont des HIDS (Host-besed IDS). En effet, l analyse se porte sur les traces d audit générées par le système d exploitation ou par les applications, ce qui pousse les administrateurs de sécurité à déployer plusieurs HIDS afin de détecter les intrusions mais ce déploiement rend la tâche des administrateurs de sécurité complexe. A partir de 1990, on voit apparaître des modèles d IDS qui se basent sur l analyse du trafic des réseaux. Ces systèmes ont été nommés NIDS (Network-based IDS). Ils sont munis d une configuration spéciale de leurs interfaces réseau (mode promiscuité) afin de pouvoir écouter et capturer le trafic réseau. La librairie libpcap 2 est souvent utilisée dans ce but. Ces outils sont positionnés dans des endroits stratégiques du réseau observé. Network Security Monitor (NSM) [57], développé à l université de Californie, représente le premier système qui analyse le trafic réseau. NSM écoute passivement tout le trafic réseau, analyse ce dernier et détecte les comportements intrusifs. Un NIDS peut surveiller un réseau d hôtes hétérogènes (ayant différents systèmes d exploitation) sans avoir besoin de convertir la multitude de formats de fichiers journaux dans un format uniforme. Les NIDS ont des perspectives différentes par rapport aux HIDS. Ils élargissent le champ de détection d intrusions, de l analyse de ce qui se passe sur l hôte aux infrastructures de communication (le réseau et ses protocoles). Air Force Cryptologic Support Center (AFCSC) a développé en 1994 le système Automated Security Incident Measurement (ASIM) pour surveiller le trafic réseau sur le réseau de l armée de l air des États-Unis. ASIM représente la première solution de détection d intrusions réseau combinant à la fois une solution matérielle et logicielle Les IDS commerciaux Le développement des IDS est passé des laboratoires de recherche à l industrie au début de l année La compagnie Haystack Labs est la première à avoir édité un IDS commercial notamment avec leur ligne appelée Stalker. Science Applications International Corporation (SAIC)SAIC a développé un HIDS commercial appelé Computer Misuse Detection System (CMDS). Les concepteurs d ASIM ont créé l entreprise Wheel Group en 1994 et ont édité NetRanger. En 1998, Cisco Systems reconnaît l importance de l IDSn rachète Wheel Group et commercialise à la fois les HIDS et les NIDS. Internet Security Systems (ISS) rachète Network Ice, reconnue pour ses développements dans la détection à haut débit et lance l IDS RealSecure. ISS a fourni la solution d un IDS hybride (à la fois HIDS et NIDS) en 2006 avant d être racheté par IBM. Actuellement, il existe plusieurs éditeurs comme ISS qui continue à développer leur produit de sécurité, Symantec qui est un éditeur important dans le domaine de la sécurité, Cisco Systems et McAfee / Network Associates. L approche utilisée par un IDS commercial est souvent difficile à connaître. Les algorithmes utilisés, les fichiers de données, etc... des les produits commerciaux sont propres à l éditeur du produit. L information disponible auprès d eux est en général plus orientée vers le marketing que vers la technique utilisée. 2 http ://www-nrg.ee.lbl.gov/

24 14 Introduction Modèle de détection d intrusions Sur la figure 1.1, nous reprenons le modèle général de détection d intrusions défini par l IDWG (Intrusion Detection Working Group) qui est un groupe de travail de l IETF. Ce modèle est composé des éléments suivants : Source de données : un dispositif qui génère de l information sur les activités des entités du système d information comme un analyseur réseau ou un système d audit. Capteur : un mécanisme de filtrage et de formatage de l information brute provenant d une source de données ; il génère des événements. Événement : un message émis par un capteur. C est l unité élémentaire utilisée pour représenter une étape d un scénario d attaque connu. Ces événements sont parfois appelés événements d audit, ou données d audit. Analyseur : un mécanisme d analyse des événements à la recherche de traces d intrusions. Alerte : un message émis par un analyseur s il trouve des traces d intrusion. Sonde : un ensemble constitué d un capteur et d un analyseur. Manager : un composant permettant à l administrateur du système de configurer les différents éléments (capteur, analyseur) et de gérer les alertes reçues. Fig. 1.1 Modèle général proposé par IDWG (Intrusion Detection Working Group) En se basant sur une synthèse des différents travaux de recherche évoqués dans la section 1.1.1, nous présentons sur la figure 1.2 un modèle général d architecture pour la détection d intrusions (plus détaillé que celui de la figure 1.1). Les tâches majeures d un IDS sont : 1. La collecte de données sur les activités surveillées. Le processus de collecte de données s occupe des types d informations à recueillir, comment et quand les collecter. Le choix des procédures de collecte de données peut être affecté par le type d algorithme de détection utilisé et le type de système dans lequel la détection sera effectuée. Les deux principales sources de données sont les données sur le trafic réseau (généralement les données sont lues directement sur certains supports Ethernet) et le fichier journal de l hôte. Les fichiers journaux de l hôte peuvent inclure les fichiers journaux du noyau du système d exploitation, des applications, des équipements réseau, etc. Ces données (appelées aussi événements) contiennent la plupart des informations pertinentes nécessaires pour la détection d intrusions. Toutefois, l information fournie peut être encore renforcée par

25 Détection d intrusions 15 d autres informations comme la configuration du système surveillé. En réalité, les événements prennent une variété de formats représentant les différents événements qui peuvent engendrer les événements enregistrés. Cette phase peut inclure le processus de filtrage et de formatage des données brutes afin de les préparer à l étape de détection. 2. La détection par le moteur d analyse à la recherche de traces d intrusions. Ce moteur implante l algorithme de détection. L algorithme peut être différent d un travail de recherche à un autre ou d un produit à un autre et prend ses décisions sur la base d une politique de détection. Cette base contient les informations au sujet de la détection des intrusions, certaines données étant stockées a priori dans la base (comme les signatures d intrusions). Parfois des seuils sur certaines mesures sont calculés par le système comme des informations sur la description des comportements normaux ou des anomalies. Chaque modèle décrit sa propre politique de détection. Les informations sur les événements classés comme une intrusion ou comme une anomalie sont appelées alertes et sont envoyées à l unité de réponse, chaque modèle décrivant ses propres alertes. 3. La réponse : l unité de réponse décide comment répondre aux différents événements à l aide de règles préprogrammées dans la base de la politique de réponse. Parmi les réponses possibles, l envoi d une notification à l administrateur est souvent la plus utilisée. Les alertes remontées par ces systèmes peuvent aider l administrateur de sécurité à comprendre les parties des systèmes qui sont attaquées. Avec ces informations, l administrateur peut empêcher des éventuelles intrusions en corrigeant des vulnérabilités, installant des correctifs et supprimant tout programme qui peut être installé par l attaquant pour faciliter les accès futurs au système. L analyse des intrusions peut également permettre à un administrateur de fixer les problèmes de sécurité qui ont permis aux intrusions de se produire. Fig. 1.2 Architecture d un IDS (figure reprise de [7] avec modification). Les activités des utilisateurs et du réseau évoluent au fur et à mesure dans le temps. Parallèlement, les intrusions évoluent aussi. Si la base de la politique de détection ainsi que la base des informations sur l état du système ne sont pas mises à jour, le modèle de détection peut générer des faux-positifs (tout un lot d alertes non désirées car ne correspondant pas réellement à des intrusions) ou des faux-négatifs (des alertes manquantes car la présence d intrusions n a pas été détectées par le modèle de détection).

26 16 Introduction Les HIDS ont une vue limitée par leur nature et le NIDS n est pas capable de voir tout le trafic. En effet, chaque IDS est installé indépendamment sur un hôte ou sur un segment de réseau. Il est dédié à surveiller son périmètre pour détecter les intrusions. Chaque décision prise est basée uniquement sur le traitement des informations collectées sur son propre noeud, car il n existe pas de coopération entre les noeuds du réseau. Par conséquent, aucune information n est échangée et les noeuds d un même réseau n ont aucune information sur la situation des autres noeuds du réseau. Un problème sérieux rencontré lors de ce déploiement est le nombre considérable de faux-positifs et de faux-négatifs. Chaque alerte remontée par le moteur de décision requiert une investigation de la part de l expert. Le grand nombre de faux-positifs coûte cependant beaucoup de temps en investigation, risquant de détourner l attention des vrais alertes. En outre, le nombre de faux positifs pourrait devenir si grand que les administrateurs de sécurité risquent de simplement ignorer toutes les alertes. Cette architecture où chaque système de détection fonctionne seul, sans communiquer ses informations sur les menaces détectées, ne passe absolument pas à l échelle dès lors que les systèmes sont de taille moyenne ou de grande taille! Coopération entre IDS Les administrateurs de sécurité ont commencé à multiplier le nombre d IDS déployés afin de pouvoir couvrir toute l organisation. Ce déploiement a généré d autres problèmes : il devient impossible pour l administrateur de gérer manuellement le nombre d alertes générées par ce type d architecture (une architecture où chaque produit travaille seul dans son coin) ainsi que le nombre de faux-positifs et de faux-négatifs. Pour remédier à ces problèmes, de nouvelles techniques de détection d intrusions ont été développées. Ces techniques proposent la coopération entre les différents IDS déployés au sein d une organisation. L idée principale derrière la coopération est la fusion de données provenant de multiples IDS afin d exploiter le pouvoir de raisonnement par inférence sur ces données et de pouvoir par la suite diminuer le nombre de faux-positifs et ainsi augmenter la détection d intrusions potentielles. Cette coopération a donné naissance à la détection d intrusions par agrégation et corrélation de toutes les alertes générées dans une infrastructure. L agrégation permet de regrouper les alertes suivant des critères de similarité définis par l algorithme d agrégation. La corrélation [31, 42, 88, 97, 106, 121] permet de découvrir des liens entre les alertes afin de construire les scénarios d attaques, les liens peuvent être implicites ou explicites et définis par l algorithme de corrélation. Plusieurs travaux de recherche existent sur ces deux techniques. Généralement, les travaux de recherche se focalisent sur la corrélation car l agrégation peut être considérée comme une sorte de corrélation. Les algorithmes utilisés sont inspirés des techniques utilisées dans le moteur d analyse du modèle de base de la détection d intrusions évoqué dans les sections précédentes. Avec l évolution du domaine de l intelligence artificielle et notamment des techniques d apprentissage, les algorithmes de corrélation sont devenus un domaine d application important de l intelligence artificielle. La coopération se fait suivant deux types d analyses : centralisée ou distribuée. Les systèmes