D

1
Défaillance des IDS (?)

• Julien Bourgeois
• Maître de conférences LIFC
• Julien.Bourgeois_at_univ-fcomte.fr
• Symposium sur la sécurité des technologies
• de linformation et de la communication

2
Plan

• Introduction
• Les IDS
• Définition
• Scénario
• Comportemental
• Améliorations
• Conclusion

3
Introduction

• Augmentation trafic réseau
• Non analysable par humain
• Détection automatique des attaques
• Naissance des IDS (Intrusion Detection Systems)
  ou MDI (Module de Détection dintrusion)
• Anderson
• Denning

4
Introduction

• Pas de standardisation, beaucoup de produits
  disponibles
• Méthode google
• Commercial Products (46)
• Free (14)
• Research Projects (25)
• Windows PC (3)

5
IDS Définition

• Deux approches pour la méthode de détection
• Par scénario, misuse detection ou detection by
  appearance
• Comportementale, anomaly detection ou detection
  by behavior

6
IDS Scénario

• Trouver des schémas correspondant à des attaques
• Peu de faux positifs
• Description du schéma dattaque -gt mesures
  préventives rapides
• Tenir à jour la base dattaques
• Lié à un environnement particulier
• Purement réactif

7
IDS Comportemental

• Détecter le comportement suspect dun
  utilisateur
• Découverte de nouvelles attaques
• Un peu plus indépendante de la technologie
  sous-jacente
• Nombreux faux positifs
• Fluctuation très grande de lefficacité

8
IDS Tests

• Tests menés par expérience
• Attaques obsolètes
• Attaques non-reproductibles (honeypot)
• Attaques pas assez nombreuses
• Base de log trop petite
• Rarement des tests de performances

9
IDS Tests

• Peu de tests réels des IDS, les causes
• Jeu de tests fluctuant et important
• Réticence à la transparence inhérente au domaine
• Volume réel des logs prohibitif
• Adaptation des logiciels au jeu de tests (SPEC)
• mais cest une nécessité scientifique !

10
IDS Tests

• F. Cuppens et A. Miège, IEEE SRSP 2002
• 87 attaques lancées
• Alertes générées
• Snort 264
• E-Trust 61
• Attaques détectées
• Snort 68
• E-Trust 42
• Non-détectées 18

11
Améliorations

• Amélioration de lexistant
• Adapter les règles à la politique de sécurité
  locale (M.J. Ranum, L. Mé)
• Etablir des contre-mesures en cas dattaque
• Adapter les AD-IDS à des environnements
  spécifiques

12
Améliorations

• Vision globale du réseau (MIRADOR, SocBox,
  LogWeaver)
• Extension des sources dinformation
• Corrélation sur des données globales
• Amélioration de la qualité des alertes

13
Améliorations

• Vision distribuée (AAFID, GrIDS, EMERALD, LIDS,
  )
• Plus extensible
• Plus tolérant aux pannes réseaux
• Mieux adapté à certaines configurations (MANET)

14
Conclusion

• IDS sont loin de lautonomie complète
• Définition dune politique de sécurité
• Reprise des règles et adaptation
• Réaction maîtrisée par ladmin
• Vieux rêve dintelligence artificielle
• Tout ce qui étend les IDS semble prometteur pour
  améliorer lefficacité
• Nouveaux champs dapplications

15
Questions ouvertes

• Quel avenir pour les IDS ?
• Scénario ?
• Comportementaux ?
• Hybrides ?
• Quels langages entre/dans les IDS ?
• IDMEF ?
• Propriétaire ?
• Création dune organisation indépendante de test
  ?
• Forum ?
• Association ?
• Groupe fermé dexperts ?
• Gratuit ? Payant ?
• Un IDS va t'il simposer ?

16
Bibliographie

• Bibliographies complètes
• L. Mé, C. Michel, http//www.supelec-rennes.fr/ren
  /perso/ cmichel/bibid_raid2001.ps
• M. Sobirey, http//www-rnks.informatik.tu-cottbus.
  de/sobirey/
• Articles
• H. Debar, M. Dacier, A. Wespi, Towards a
  taxonomy of intrusion-detection systems ,
  Comput. Networks 31 (8) (1999) 805922
• F. Cuppens Managing Alerts in a Multi-Intrusion
  Detection Environment. 17th Annual Computer
  Security Applications Conference New-Orleans,
  10-14 Décembre 2001.