Par Xavier GRUSELLE et Grégory ALLAIN (Site optimisé pour Firefox 1.5)

Liens conseillés

• Détection d'intrusion Systèmes de détection d'intrusion: vocabulaire, terminologie, critère de choix, positionnement, utilité...
• La sécurité "by-design"Une vue d'ensemble sur la sécurité informatique par la société TWD Industries
• Présentation sur les IDSUne présentation simple mais efficace des systèmes IDS par la societe HSC
• Serveur-proxy type FirewallComme son nom l'indique : Qu'est ce qu'un serveur proxy de type Firewall
• HIDS/NIDSUn site trés complet sur les IDS et la sécurité informatique en général
• FAQ IDS (Anglais)Un FAQ complet sur les IDS et autres, malheureusement en anglais
• Définitions IDSUn rapide rappel sur les définitions liées aux IDS
• Site officiel de SquidComme son nom l'indique, le site officiel du célébre serveur proxy
• Wiki sur SquidUn court aperçu du logiciel avec quelques liens
• CCM - les IDSLe célébre site 'Comment ça marche' s'intéresse ici aux IDS
• Un tutorial sur les ACLsQu'est ce qu'une ACL, comment la modifier...Un paranorama sur les listes de contrôles d'accès
• Tenable Network SecurityLe site de la société Tenable Network Security Inc.
• Internet Security SystemsLe site de la société Internet Security Systems (ISS)
• Solution IPS CiscoUn apercu des solutions IPS proposées par la société Cisco
• Solution IDS EnteraSysUn apercu des solutions IDS proposées par la société EnteraSys Security

L'approche comportementale

Contrairement à l'approche par scénario, la méthode comportementale consiste à détecter une intrusion en fonction du comportement passé de l'utilisateur. L'idée sous-jacente est de parvenir à dresser un profil utillisateur établi selon ses habitudes de travail et à déclencher des alertes lorsque des évènements hors gabarit se produisent. Cette approche était celle de Paul Anderson lorsqu'il écrivit son papier dans les années 80. Aujourd'hui le concept de modélisation comportementale ne concerne plus uniquement l'utilisateur, il englobe également les applications et les services.

Cette description séduit souvent les utilisateurs non familiarisés avec les sytèmes de détection des intrusions mais elle n'est quasiment jamais implémentée dans les systèmes commerciaux disponibles sur le marché. Ceci est dû essentiellement à sa compléxité et à son manque de fiabilité par rapport aux contraintes des entreprises.

Il est relativement complexe d'élaborer un modèle qui prenne en compte tous les différents comportements possibles. Avant même de vouloir élaborer des règles de modélisation, il convient de sélectionner les métriques qui seront utilisées pour défnir le gabarit de comportement normal, comme par exemple :

• la charge CPU
• le volume de données échangées
• le temps de connexion sur des ressources névralgiques
• la répartition statistique des protocoles et application utilisés
• les heures de connexion
• le nombre moyen de sessions par heure
• etc....

Il est toutefois difficile de prendre nen compte les différentes déviations de comportement des utilisateurs. Supposons par exmple qu'un société organise une réunion générale extraordinaire afin d'annoncer sa nouvelle stratégie. Il n'est pas surprenant qu'à l'issue de cette réunion les employés se connectent sur leur messagerie ou sur l'intranet pour essayer d'obtenir plus de précisions par rapport à cette réunion. D'un point de vue réseau, cela risque de se traduire par un pic brutal des sessions SMTP et HTTP. Faut-il en déduire pour autant que tous les utilisateurs sont en dehors de leur profil normal d'utilisation des ressources et générer alors autant d'alertes?

1- Approche probabiliste

Cette approche est quelquefois qualifiée de bayésienne : les réseaux bayésiens permettent de modéliser des situations dans lesquelles la causalité joue un rôle, mais où la connaissance de l'ensemble des relations entre les phénomènes est imcomplète, si bien qu'il est nécessaire de les décrire de manière probabiliste. Ainsi, pour chaque élément du profil, on spécifie la probabilité de chaque événement susceptible de se produire par la suite. Les indications obtenues progressivement sur l'état du système modélisé influent sur la confiance que l'on accorde à une proposition donnée.

Considérons le cas d'un utilisateur qui se connecte sur la page d'acceuil du site Web de la SNCF afin de consulter un horaire de train :

• Nous allons observer une connexion sur le port 80 du serveur Web de la SNCF :

source.4188  > www.sncf.fr.80  : S 247 : 247  (0) win 64240 (DF)

• Il y a une forte probabilité (0,90) que cette demande de connexion soit suivie de la requête suivante :

GET http://www.sncf.fr/HTTP/1.0

• On peut de même estimer que celle-ci aura toutes les chances (0,80) d'être suivie de :

HTTP/1.1 200 OK

Une alerte pourra être générée quand le nombre d'événements ne correspondant pas aux probabilités définies aura dépassé une certain seuil sur une période donnée. Il est capital pour l'administrateur d'un système utilisant cette méthode de suivre l'évolution du gabarit dans le temps et de s'assurer que celui-ci se conforme aux habitudes de travail des utilisateurs, sans quoi le taux d faux positifs risque d'être élevé.

2- Approche statistique

Ce modèle diffère quelque peu de la technique précédente dans la mesure où il consiste à attribuer des valeurs statistiques aux différentes variables utilisées pour défnir le gabarit.
Plutôt que de dresser des relations de cause à effet entre les différentes requêtes de l'utilisateur, l'idée ici est de quantifier de manière fine toute une série de paramètres liés à l'utilisateur tels que :

• le taux d'occupation de la mémoire
• l'utilisation des processeurs
• la valeur de la charge réseau
• le nombre d'accès à l'Intranet par jour, etc...

Il existe plusieurs branches de la recherche qui explorent activement les techniques de modélisation de l'utilisateur et qui font appel notamment aux réseaux neuronaux et au data mining. Cela permet de prendre en compte d'autres événements atomiques d'avantage liés à l'utilisateur tels que la vitesse moyenne de frappe au clavier, les commandes préférées, le type de site Web le plus souvent visité...
Ces techniques ne sont toutefois pas encore implémentées au sein des systèmes de détection actuels utilisés par les entreprises tant elles sont complexes à exploiter (pour un niveau de fiabilité encore faible).

Avantages de cette méthode :

• Permet de détecter des attaques inconnues
• Ne nécessite que peu d'intervention de la part de l'exploitant dans la mesure où les habitudes des utilisateurs sont apprises automatiquement

Inconvénients de cette méthode

• Difficulté de construire un modèle universel
• Complexité en terme de maintenance du système

3- Autres méthodes

Il existe d'autres méthodes d'approches comportementales actuellement à l'étude, parmi lesquelles on peut citer :

• L'immunologie : cette analogie avec l'immunologie biologique consiste à construire un modèle de comportement normal des services (et non des utilisateurs) au travers de courtes séquences d'appels système qui sont considérées comme représentatives de l'exécution normale des sevices considérés. L'objet de la méthode consiste donc à observer les services pendant un temps suffisamment représentatif de manière à établir une base des séquences d'appels normales.
• Les graphes : certaines approches théoriques utilisent des modèles à base de graphes. Le but est de mettre en évidence des propriétés et des relations entre ces propriétés. L'intérêt de cette approche est qu'elle permet de traiter plus facilement des événements rares.

Dream © 2006