La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Défaillance des IDS (?) Julien Bourgeois Maître de conférences – LIFC Symposium sur la sécurité des technologies de linformation.

Présentations similaires


Présentation au sujet: "Défaillance des IDS (?) Julien Bourgeois Maître de conférences – LIFC Symposium sur la sécurité des technologies de linformation."— Transcription de la présentation:

1 Défaillance des IDS (?) Julien Bourgeois Maître de conférences – LIFC Symposium sur la sécurité des technologies de linformation et de la communication

2 Symposium SSTIC : Rump Session 2/16 Plan n Introduction n Les IDS l Définition l Scénario l Comportemental n Améliorations n Conclusion

3 Symposium SSTIC : Rump Session 3/16 Introduction n Augmentation trafic réseau è Non analysable par humain è Détection automatique des attaques n Naissance des IDS (Intrusion Detection Systems) ou MDI (Module de Détection dintrusion) l Anderson l Denning

4 Symposium SSTIC : Rump Session 4/16 Introduction n Pas de standardisation, beaucoup de produits disponibles n Méthode google : l Commercial Products (46) l Free (14) l Research Projects (25) l Windows PC (3)

5 Symposium SSTIC : Rump Session 5/16 IDS : Définition n Deux approches pour la méthode de détection : l Par scénario, misuse detection ou detection by appearance l Comportementale, anomaly detection ou detection by behavior

6 Symposium SSTIC : Rump Session 6/16 IDS : Scénario n Trouver des schémas correspondant à des attaques + Peu de faux positifs + Description du schéma dattaque -> mesures préventives rapides ̶ Tenir à jour la base dattaques ̶ Lié à un environnement particulier ̶ Purement réactif

7 Symposium SSTIC : Rump Session 7/16 IDS : Comportemental n Détecter le comportement suspect dun «utilisateur» + Découverte de nouvelles attaques + Un peu plus indépendante de la technologie sous-jacente ̶ Nombreux faux positifs ̶ Fluctuation très grande de lefficacité

8 Symposium SSTIC : Rump Session 8/16 IDS : Tests n Tests menés par expérience l Attaques obsolètes l Attaques non-reproductibles (honeypot) l Attaques pas assez nombreuses l Base de log trop petite l Rarement des tests de performances

9 Symposium SSTIC : Rump Session 9/16 IDS : Tests n Peu de tests réels des IDS, les causes : l Jeu de tests fluctuant et important l Réticence à la transparence inhérente au domaine l Volume réel des logs prohibitif l Adaptation des logiciels au jeu de tests (SPEC) n …mais cest une nécessité scientifique !

10 Symposium SSTIC : Rump Session 10/16 IDS : Tests n F. Cuppens et A. Miège, IEEE SRSP 2002 n 87 attaques lancées n Alertes générées l Snort : 264 l E-Trust : 61 n Attaques détectées l Snort : 68 l E-Trust : 42 l Non-détectées : 18

11 Symposium SSTIC : Rump Session 11/16 Améliorations n Amélioration de lexistant l Adapter les règles à la politique de sécurité locale (M.J. Ranum, L. Mé) l Etablir des contre-mesures en cas dattaque l Adapter les AD-IDS à des environnements spécifiques

12 Symposium SSTIC : Rump Session 12/16 Améliorations n Vision globale du réseau (MIRADOR, SocBox, LogWeaver) l Extension des sources dinformation l Corrélation sur des données globales l Amélioration de la qualité des alertes

13 Symposium SSTIC : Rump Session 13/16 Améliorations n Vision distribuée (AAFID, GrIDS, EMERALD, LIDS, …) l Plus extensible l Plus tolérant aux pannes réseaux l Mieux adapté à certaines configurations (MANET)

14 Symposium SSTIC : Rump Session 14/16 Conclusion n IDS sont loin de lautonomie complète : l Définition dune politique de sécurité l Reprise des règles et adaptation l Réaction maîtrisée par ladmin n Vieux rêve dintelligence artificielle n Tout ce qui étend les IDS semble prometteur pour améliorer lefficacité n Nouveaux champs dapplications

15 Symposium SSTIC : Rump Session 15/16 Questions ouvertes n Quel avenir pour les IDS ? l Scénario ? l Comportementaux ? l Hybrides ? n Quels langages entre/dans les IDS ? l IDMEF ? l Propriétaire ? n Création dune organisation indépendante de test ? l Forum ? l Association ? l Groupe fermé dexperts ? l Gratuit ? Payant ? n Un IDS va t'il simposer ?

16 Symposium SSTIC : Rump Session 16/16 Bibliographie n Bibliographies complètes : l L. Mé, C. Michel, cmichel/bibid_raid2001.ps l M. Sobirey, n Articles : l H. Debar, M. Dacier, A. Wespi, « Towards a taxonomy of intrusion-detection systems », Comput. Networks 31 (8) (1999) l F. Cuppens « Managing Alerts in a Multi-Intrusion Detection Environment. » 17th Annual Computer Security Applications Conference New-Orleans, Décembre 2001.


Télécharger ppt "Défaillance des IDS (?) Julien Bourgeois Maître de conférences – LIFC Symposium sur la sécurité des technologies de linformation."

Présentations similaires


Annonces Google