Ids systémes de détection d'intrusion

Pages: 9 (2073 mots) Publié le: 23 mai 2013
Les Systèmes de Détection d’Intrusions (IDS)

Motivations




Les Firewalls ne protègent pas contre les abus et les accès non autorisés à l’intérieur d’un périmètre de sécurité. Nécessité de contrôler les abus à l’intérieur des règles d’accès




Un trafic TCP 80 autorisé à passer peut véhiculer des attaques non détectables par les Firewalls. Un utilisateur autorisé à seconnecter à distance, est capable de remonter son privilège en exploitant une vulnérabilité.









Les techniques et les outils d’intrusions ne cessent de se sophistiquer. Nécessité d’automatiser le processus de détection d’intrusions. Nécessité de collecter les traces d’intrusions pour servir comme preuve. Nécessité de détecter les attaques ayant réussi à surpasser les mécanismes desécurité déployés.

Motivations

Prévention


Détection

Réaction

Hypothèse sur la détection  l’activité des utilisateurs malveillants est observable.  Les activités légitimes et malveillantes possèdent des signes différents

Définitions


Intrusion: Ensemble d’actions entraînant la compromission de la sécurité (intégrité, confidentialité, disponibilité, etc.) de l’informationpossédée par une organisation.



Détection d’Intrusions: L’identification de


Ceux qui utilisant le système sans autorisation (ex: intrus).



Ceux qui ont un accès légitime au système mais sont en train d’abuser de leurs privilèges.
Les tentatives d’utilisation aux systèmes sans autorisation et les tentatives d’abus de privilèges.



Définitions


Système de Détectiond’Intrusions: un système informatique permettant de


Analyse en temps réel ou différé des évènements en provenance des différents systèmes. Détection des signes de violation de la politique de sécurité. Alerte en cas d’occurrence d’une attaque Collecte des traces d’intrusions pour servir comme preuve. Réaction aux attaques.



 



Caractéristiques d’un IDS


Architecture



Centralisée
Distribuée Réseau Système


Comportement après détection d’intrusions
 

Passif
actif Surveillance directe Surveillance indirecte



Source de données
 

Mécanisme de collection




Méthode de détection d’intrusions
 



Approche par scénario Approche comportementale Internes Externes



Senseurs (ou sondes)
 

Composantes d’un IDSL’activité système est observable

Données capturées /évènements

Prétraitement (Preprocessing) Activité

Modèle de détection

Composante de détection
Alarmes

Modèle de décision

Composante de Décision

Action

Erreurs commises par un IDS


False Positives


L’IDS considère une activité légitime comme malveillante (erreur d’interprétation)



False Negatives
L’IDS considère une activité malveillante comme légitime

Les erreurs False Negatives sont plus graves que les erreurs False Positives

Architecture des IDS


Centralisée: Les données utilisées pour la détection sont collectées dans des endroits dont les nombre est indépendant du nombre de composantes surveillées (réseaux, systèmes).


Ex: IDES, NSM, NADIR, … Les données utiliséespour la détection d’intrusions sont collectées dans des endroits dont les nombre est proportionnel aux nombre de composantes surveillés. Corrélation des alertes provoquées sur différent niveaux (réseau, système). Comprendre comment une attaque affecte le réseau entier, et non pas des systèmes individuels. Ex: DIDS, GrIDS, EMERALD, AAFID



Distribuée (DIDS)








Mécanisme decollection


Direct Monitoring (surveillance directe)






Prise de mesures ou d’observations d’un comportement dans la composante surveillée en obtenant des données directement de cette composante. Ex: les processus actifs sont lus directement avec la commande « ps » sous Unix. Ex: Un paquet est lu dans la machine avant d’être envoyé
Prise de mesures ou d’observations d’un...
Lire le document complet

Veuillez vous inscrire pour avoir accès au document.

Vous pouvez également trouver ces documents utiles

  • Evaluation des systeme de detection d'intrusion
  • detection
  • La detection
  • Ids rapport
  • Detection incendie
  • PFE IDS SNORT
  • Blocage détection des ports usb
  • Exemple rapport ids

Devenez membre d'Etudier

Inscrivez-vous
c'est gratuit !