Défaillance des IDS (?) Julien Bourgeois Maître de conférences – LIFC

Présentation au sujet: "Défaillance des IDS (?) Julien Bourgeois Maître de conférences – LIFC"— Transcription de la présentation:

1 Défaillance des IDS (?) Julien Bourgeois Maître de conférences – LIFC
Symposium sur la sécurité des technologies de l’information et de la communication

2 Plan Introduction Les IDS Améliorations Conclusion Définition Scénario
Comportemental Améliorations Conclusion

3 Introduction Augmentation trafic réseau Non analysable par humain
Détection automatique des attaques Naissance des IDS (Intrusion Detection Systems) ou MDI (Module de Détection d’intrusion) Anderson Denning

4 Introduction Pas de standardisation, beaucoup de produits disponibles
Méthode google : Commercial Products (46) Free (14) Research Projects (25) Windows PC (3)

5 IDS : Définition Deux approches pour la méthode de détection :
Par scénario, misuse detection ou detection by appearance Comportementale, anomaly detection ou detection by behavior

6 IDS : Scénario Trouver des schémas correspondant à des attaques
Peu de faux positifs Description du schéma d’attaque -> mesures préventives rapides Tenir à jour la base d’attaques Lié à un environnement particulier Purement réactif

7 IDS : Comportemental Détecter le comportement suspect d’un «utilisateur» Découverte de nouvelles attaques Un peu plus indépendante de la technologie sous-jacente Nombreux faux positifs Fluctuation très grande de l’efficacité

8 IDS : Tests Tests menés par expérience Attaques obsolètes
Attaques non-reproductibles (honeypot) Attaques pas assez nombreuses Base de log trop petite Rarement des tests de performances

9 IDS : Tests Peu de tests réels des IDS, les causes :
Jeu de tests fluctuant et important Réticence à la transparence inhérente au domaine Volume réel des logs prohibitif Adaptation des logiciels au jeu de tests (SPEC) …mais c’est une nécessité scientifique !

10 IDS : Tests F. Cuppens et A. Miège, IEEE SRSP 2002 87 attaques lancées
Alertes générées Snort : 264 E-Trust : 61 Attaques détectées Snort : 68 E-Trust : 42 Non-détectées : 18

11 Améliorations Amélioration de l’existant
Adapter les règles à la politique de sécurité locale (M.J. Ranum, L. Mé) Etablir des contre-mesures en cas d’attaque Adapter les AD-IDS à des environnements spécifiques

12 Améliorations Vision globale du réseau (MIRADOR, SocBox, LogWeaver)
Extension des sources d’information Corrélation sur des données globales Amélioration de la qualité des alertes

13 Améliorations Vision distribuée (AAFID, GrIDS, EMERALD, LIDS, …)
Plus extensible Plus tolérant aux pannes réseaux Mieux adapté à certaines configurations (MANET)

14 Conclusion IDS sont loin de l’autonomie complète :
Définition d’une politique de sécurité Reprise des règles et adaptation Réaction maîtrisée par l’admin Vieux rêve d’intelligence artificielle Tout ce qui étend les IDS semble prometteur pour améliorer l’efficacité Nouveaux champs d’applications

15 Questions ouvertes Quel avenir pour les IDS ?
Scénario ? Comportementaux ? Hybrides ? Quels langages entre/dans les IDS ? IDMEF ? Propriétaire ? Création d’une organisation indépendante de test ? Forum ? Association ? Groupe fermé d’experts ? Gratuit ? Payant ? Un IDS va t'il s’imposer ?

16 Bibliographie Bibliographies complètes : Articles :
L. Mé, C. Michel, cmichel/bibid_raid2001.ps M. Sobirey, Articles : H. Debar, M. Dacier, A. Wespi, « Towards a taxonomy of intrusion-detection systems », Comput. Networks 31 (8) (1999) 805—922 F. Cuppens « Managing Alerts in a Multi-Intrusion Detection Environment. » 17th Annual Computer Security Applications Conference New-Orleans, Décembre 2001.