MASTER SIS PRO : logique et sécurité DÉTECTION D INTRUSIONS Odile PAPINI, LSIS. Université de Toulon et du Var. papini@univ-tln.fr
Plan Introduction Généralités sur les systèmes de détection d intrusion (IDS) Classification des IDS Méthodes de détection approche comportementale approche par scénarios Quelques systèmes présents sur le marché
Modèle général d IDS Source Données Brutes Capteur Sonde Analyseur Evénements Manager Alertes Modèle général de systême de détection d intrusions
Introduction Système de détection d intrusion : processus de découverte et d analyse de comportement hostile dirigé vers le système d information informations collectées par des sondes traitement des informations comparaison avec des données de référence qui correspondent à des opérations interdites ou autorisées si anomalie : déclenchement d une alarme et eventuellement activation d une réponse active
Modèle de fonctionnement des IDS réponse de l administrateur Données de référence (signatures, profils) Données de configuration (comment répondre à une attaque) système surveillé Administration du système de sécurité Traitement Collecte d information d audit Stockage des donnés d audit (détection) Alarmes Données en cours de traitement réponse active à l intrusion
Notions de base faux-positif : détection en absence d attaque alarme générée par un IDS pour un évènement légal faux-négatif : abscence de détection en présence d attaque non génération d alarme par un IDS pour un évènement illégal log : ligne d un fichier d un logiciel qui enregistre les données transitant sur un système pour le surveiller ou faire des statistiques fichier log : contient les évènements s étant produits sur un système
Classification des IDS IDS systéme (HIDS) analyse du fonctionnement ou de l état du système IDS réseaux (NIDS) analyse du trafic réseau IDS hybrides constitués d IDS et de NIDS
Modèle Common Intrusion Detection Framework (CIDF) IDS contre-mesure D-box Moteur d analyse A-box Stockage C-box Générateur d évènements E-box Source (Rseaux, log,...) acquisition
Les composants d un IDS les sondes la console de gestion le concentrateur d évènements la console d alerte
Classification des IDS (L. Mé) OS source de données applications réseau autres IDS méthode de détection approche comportementale Système de détection d intrusion approche par scénarios architecture (collecte et analyse) centralisée distribuée granularité de l analyse par lot continue comportement après détection informatif défensif contre-attaquant
Méthodes de détection Modèles comportementaux (J. P. Anderson 1980) (anomaly detection) Détection d anomalies constatées sur le Système d Information phase d apprentissage du comportement normal du système puis détection toute déviation par rapport au comportement normal phase d apprentissage : etablir des profils correspondant aux comportements normaux par respect de la politique de sécurité par fonctionnement naturel des applications par habitude des utilisateurs
IDS probabiliste profil : définition du fonctionnement d une application construction du profil : à partir des évènements observés établissement de règles apprentissage des probabilités liées à chaque séquence dévènements suite d évènements E 1, E i probabilité de E i+1 si E i+1 n est pas prévu par le profil ou si E i+1 apparaît trop souvent par rapport à la probabilité du profil ou si E i+1 n est pas l évènement attendu par le profil alors une alarme est levée
IDS probabiliste Avantages construction du profil simple et dynamique réduction de faux positifs Inconvénients risque de déformation progressive du profil par des attaques répétées mise en place d un mécanisme d observation du profil
IDS statistique (D. E. Denning 1987) construction du profil : à partir des variables aléatoires echantillonnées à intervalles réguliers. attribution de valeurs statistiques aux différentes variables utilisées : taux d occupation mémoire l utilisation des processeurs la durée et l heure des connexions, utilisation d un modèle statistique : pour construire la distribution de chaque variable pour mesurer le taux de déviation entre comportement courant et passé
IDS statistique Avantages permet de détecter des attaques inconnues habitudes des utilisateurs apprises automatiquement Inconvénients difficulté de construire un modèle universel complexité en termes de maintenance
IDS à réseaux de neurones (H. Debar, M. Becker, D. Siboni 1992) surveillance directe du comportement des utilisateurs Chaque utilisateur peut être identifié par son comportement ses habitudes de travail ses activités ses outils de travail, profil : série de paramètres concernant l utilisateur construction du profil : réseau de neurones qui reconnaît une suite d opérations effectuées par l utilisateur but : prédire l action suivante de l utilisateur, en cas d échec une alerte est levée
IDS à réseaux de neurones paramètre important : nombre d opérations sur lequel se base la prédiction entrée sortie fonctions de combinaison fonctions d activation Réseau de neurones
adaptés pour la détection : chevaux de Troie détournement d identité contournement d identification fiabilité mise en oeuvre IDS à réseaux de neurones Avantages Inconvénients construction du réseau paramétrage du réseau complexité pbs spécifiques liés aux réseaux de neurones
Autres approches Immunologie analogie avec le système immunitaire biologique basé sur le principe de reconnaissance de cellules étrangères comparaison du comportement observé et du comportement de référence Graphes modèle à base de graphes Système Expert + Data mining
Discussion sur les modèles comportementaux Avantages capacités de détecter de nouvelles attaques besoin de peu de maintenance Inconvénients risque d attaque lors de la construction des profils pas adapté au changement d entité modelisée évolution des profils au cours du temps peut être vu comme une faille
IDS par scénarios (S. E. Smaha 1988) ou à bibliothèques de signatures (misuse detection ou knowledge based detection) modélisation des comportements interdits signature de l attaque : spécifications propres de l attaque cas HIDS : analyse des actions d un utilisateur cas NIDS : vérification du flux d informations sur le réseau L IDS émet l hypothèse d un scénario d attaque s il sagit d un scénario connu dans la bibliothèque de signatures alors une alarme esr déclenchée
IDS à recherche de motifs recherche d une séquence d informations particulières dans un évènement d audit problème classique de reconnaissance de langage méthodes : Petri, machine de Turing, automates à états, réseaux de Langages de description des signatures d attaques : grande expressivité facilité d implantation STATL : description de plusieurs attaques en termes d états et de transitions ADeLe : donnée description unique et de haut niveau d une attaque
IDS à recherche de motifs Avantages efficace : algorithmes de Pattern matching fiable : déterministe et exacte Inconvénients mise en place des motifs : exigences contradictoires précis : eviter trop de faux-positifs générique : eviter trop de faux-négatifs
IDS à détection par inférences basé sur le principe d inférence de Bayes attaques connues : hypothèses pouvant expliquer les faits observés P (A S) = P (A) P (S A) c A : attaque, P (A) : probabilité de l occurence de A S : symptômes apparaissant sous forme dévènements dans l audit P (S A) :probabilité que A fasse apparaître S méthode calcul de la probabilité de chaque scénario d attaque sachant les symptômes P (A S) si probabilité élevée alors une alerte levée
IDS à détection par inférences Avantages minimisation du risque de non détection d une attaque seules les attaques inconnues ne sont pas détectées Inconvénients construction de la base d attaques : important travail d expert exhaustivité des symptômes définis pertinence des hypothèses formulées réalismes des probabilités associées aux hypothèses
IDS par model checking signature : formule de la logique temporelle du premier ordre (logique modale) F : il existe un état ultérieur où F est vrai séquence dévènements : sémantique de Kripke chercher si une signature satisfait un évènement : la formule de la logique temporelle admet un modèle implantation dans ORCHIDS (J. Goubault-Larrecq)
Discussion sur les modèles par scénarios Avantages fiabilité pour les attaques connues Inconvénients maintenance active, mise à jour régulière langage de description d attaque (pas d unanimité)
Quelques systèmes présents sur le marché snort http://www.snort.org Benids http://www.marlboro.edu/ ttoomey/benids Hank http://hank.sourcrforge.net/ Prelude http://www.prelude-ids.org Firestorm http://www.scaramangna.co.uk/firestorm/. Bro http://www.icir.org/ver/bro-info.html
Liens utiles http://www.e-atlantide.com/securite/ puis cliquer sur detection intrusions http://www.incidents.org/ : présente les attaques les plus fréquentes dans le monde bibliographie Stephen Northcutt, Judy Novak, Donald Mc Lachlan : Détection des intrusions réseaux. CampusPress. 2001. Thierry Evangelista : Les IDS - Les systèmes de détection des intrusions informatiques. Dunod / 01 Informatique. 2004 Jack Koziol : Référence Snort 2. Campuspress. 2003. Stephen Northcutt, Judy Novak : Network Intrusion Detection: An Analyst s Handbook (3nd Edition). New Riders. 2002