Défaillance des IDS (?) Julien Bourgeois Maître de conférences – LIFC Julien.Bourgeois@univ-fcomte.fr Symposium sur la sécurité des technologies de l’information et de la communication

Plan Introduction Les IDS Améliorations Conclusion Définition Scénario Comportemental Améliorations Conclusion

Introduction Augmentation trafic réseau Non analysable par humain Détection automatique des attaques Naissance des IDS (Intrusion Detection Systems) ou MDI (Module de Détection d’intrusion) Anderson Denning

Introduction Pas de standardisation, beaucoup de produits disponibles Méthode google : Commercial Products (46) Free (14) Research Projects (25) Windows PC (3)

IDS : Définition Deux approches pour la méthode de détection : Par scénario, misuse detection ou detection by appearance Comportementale, anomaly detection ou detection by behavior

IDS : Scénario Trouver des schémas correspondant à des attaques Peu de faux positifs Description du schéma d’attaque -> mesures préventives rapides Tenir à jour la base d’attaques Lié à un environnement particulier Purement réactif

IDS : Comportemental Détecter le comportement suspect d’un «utilisateur» Découverte de nouvelles attaques Un peu plus indépendante de la technologie sous-jacente Nombreux faux positifs Fluctuation très grande de l’efficacité

IDS : Tests Tests menés par expérience Attaques obsolètes Attaques non-reproductibles (honeypot) Attaques pas assez nombreuses Base de log trop petite Rarement des tests de performances

IDS : Tests Peu de tests réels des IDS, les causes : Jeu de tests fluctuant et important Réticence à la transparence inhérente au domaine Volume réel des logs prohibitif Adaptation des logiciels au jeu de tests (SPEC) …mais c’est une nécessité scientifique !

IDS : Tests F. Cuppens et A. Miège, IEEE SRSP 2002 87 attaques lancées Alertes générées Snort : 264 E-Trust : 61 Attaques détectées Snort : 68 E-Trust : 42 Non-détectées : 18

Améliorations Amélioration de l’existant Adapter les règles à la politique de sécurité locale (M.J. Ranum, L. Mé) Etablir des contre-mesures en cas d’attaque Adapter les AD-IDS à des environnements spécifiques

Améliorations Vision globale du réseau (MIRADOR, SocBox, LogWeaver) Extension des sources d’information Corrélation sur des données globales Amélioration de la qualité des alertes

Améliorations Vision distribuée (AAFID, GrIDS, EMERALD, LIDS, …) Plus extensible Plus tolérant aux pannes réseaux Mieux adapté à certaines configurations (MANET)

Conclusion IDS sont loin de l’autonomie complète : Définition d’une politique de sécurité Reprise des règles et adaptation Réaction maîtrisée par l’admin Vieux rêve d’intelligence artificielle Tout ce qui étend les IDS semble prometteur pour améliorer l’efficacité Nouveaux champs d’applications

Questions ouvertes Quel avenir pour les IDS ? Scénario ? Comportementaux ? Hybrides ? Quels langages entre/dans les IDS ? IDMEF ? Propriétaire ? Création d’une organisation indépendante de test ? Forum ? Association ? Groupe fermé d’experts ? Gratuit ? Payant ? Un IDS va t'il s’imposer ?

Bibliographie Bibliographies complètes : Articles : L. Mé, C. Michel, http://www.supelec-rennes.fr/ren/perso/ cmichel/bibid_raid2001.ps M. Sobirey, http://www-rnks.informatik.tu-cottbus.de/sobirey/ Articles : H. Debar, M. Dacier, A. Wespi, « Towards a taxonomy of intrusion-detection systems », Comput. Networks 31 (8) (1999) 805—922 F. Cuppens « Managing Alerts in a Multi-Intrusion Detection Environment. » 17th Annual Computer Security Applications Conference New-Orleans, 10-14 Décembre 2001.