Ids systémes de détection d'intrusion
Motivations
Les Firewalls ne protègent pas contre les abus et les accès non autorisés à l’intérieur d’un périmètre de sécurité. Nécessité de contrôler les abus à l’intérieur des règles d’accès
Un trafic TCP 80 autorisé à passer peut véhiculer des attaques non détectables par les Firewalls. Un utilisateur autorisé à se connecter à distance, est capable de remonter son privilège en exploitant une vulnérabilité.
Les techniques et les outils d’intrusions ne cessent de se sophistiquer. Nécessité d’automatiser le processus de détection d’intrusions. Nécessité de collecter les traces d’intrusions pour servir comme preuve. Nécessité de détecter les attaques ayant réussi à surpasser les mécanismes de sécurité déployés.
Motivations
Prévention
Détection
Réaction
Hypothèse sur la détection l’activité des utilisateurs malveillants est observable. Les activités légitimes et malveillantes possèdent des signes différents
Définitions
Intrusion: Ensemble d’actions entraînant la compromission de la sécurité (intégrité, confidentialité, disponibilité, etc.) de l’information possédée par une organisation.
Détection d’Intrusions: L’identification de
Ceux qui utilisant le système sans autorisation (ex: intrus).
Ceux qui ont un accès légitime au système mais sont en train d’abuser de leurs privilèges.
Les tentatives d’utilisation aux systèmes sans autorisation et les tentatives d’abus de privilèges.
Définitions
Système de Détection d’Intrusions: un système informatique permettant de
Analyse en temps réel ou différé des évènements en provenance des différents systèmes. Détection des signes de violation de la politique de sécurité. Alerte en cas d’occurrence d’une attaque Collecte des traces d’intrusions pour servir comme preuve. Réaction aux attaques.
Caractéristiques d’un IDS
Architecture