Par Xavier GRUSELLE et Grégory ALLAIN (Site optimisé pour Firefox 1.5)

Liens conseillés

• Détection d'intrusion Systèmes de détection d'intrusion: vocabulaire, terminologie, critère de choix, positionnement, utilité...
• La sécurité "by-design"Une vue d'ensemble sur la sécurité informatique par la société TWD Industries
• Présentation sur les IDSUne présentation simple mais efficace des systèmes IDS par la societe HSC
• Serveur-proxy type FirewallComme son nom l'indique : Qu'est ce qu'un serveur proxy de type Firewall
• HIDS/NIDSUn site trés complet sur les IDS et la sécurité informatique en général
• FAQ IDS (Anglais)Un FAQ complet sur les IDS et autres, malheureusement en anglais
• Définitions IDSUn rapide rappel sur les définitions liées aux IDS
• Site officiel de SquidComme son nom l'indique, le site officiel du célébre serveur proxy
• Wiki sur SquidUn court aperçu du logiciel avec quelques liens
• CCM - les IDSLe célébre site 'Comment ça marche' s'intéresse ici aux IDS
• Un tutorial sur les ACLsQu'est ce qu'une ACL, comment la modifier...Un paranorama sur les listes de contrôles d'accès
• Tenable Network SecurityLe site de la société Tenable Network Security Inc.
• Internet Security SystemsLe site de la société Internet Security Systems (ISS)
• Solution IPS CiscoUn apercu des solutions IPS proposées par la société Cisco
• Solution IDS EnteraSysUn apercu des solutions IDS proposées par la société EnteraSys Security

Approche par scénario - 2

3- Analyse heuristique et détection d'anomalies

Les méthodes dites de détection d'anomalies sont encore plus difficiles à catégoriser que les deux précedentes. Outre l'ambiguïté que soulève le terme anomalie, ces méthodes relèvent à la fois de l'analyse protocolaire et de l'approche comportementale (détaillée ci-dessous). La détection d'anomalies s'appuie grandement sur l'analyse heuristique.

Les méthodes d'analyse heuristique sont issues des technologies utilisées par les antivirus. Le concept a été introduit au début des années 1990 par les chercheurs de ThunderBYTE; le principe est de détecter les virus d'origine inconnue (notamment les macrovirus) par leur mode de foncitonnement et non pas au moyen d'une signature alphanumérique.

Le terme a ensuite été repris par divers éditeurs de logiciels IDS mais on ne peut pas vraiment considérer qu'il s'agisse d'une nouvelle technique de détection à part entière. Les techniques heuristiques sont parfois appelées « détection d'anomalies » par certains éditeurs. Encore faut il se mettre d'accored sur la définition d'une anomalie! Les spécialistes n'aiment pas trop ce terme car, dans une certaine mesure, tout événement généré par un IDS est relatif à une nomalie.

La détection des scans de ports est un bon exemple de détection heuristique : quand le nombre de sessions à destination d'un port donné pendant un intervalle de temps prédéfini dépasse un seuil, une alarme est générée. La règle peut être affinée en corrélant cet événement en fonciton des adresses IP sources utilisées afin de détecter des scans de prots distribués par exemple.

Par ailleurs, si nous prenons l'exemple de la comprommission d'un système au moyen d'un cheval de Troie tel que Back Orifice, la détection d'anomalies ne générera aucune alarme au moment de la compromission. En revanche, une série de connexion entrantes à destination d'un port qui ne correspond pas à une application connue génèrera une alarme car ceci sera considéré comme une anomalie liée au système attaqué.

A contrario, si la compromission s'effectue sur un port autorisé, le moteur de détection d'anomalies ne déclenchera aucune alarme.
De même, la détection de Back Orifice au moyen de l'analyse protocolaire ne déclenchera aucune alerte si le pirate formule ses requêtes de manière « normale », sauf si l'IDS possède des règles spécifiques d'analyse du protocole de Back Orifice. Compte tenu de la diversité des portes dérobées de type Back Orifice, il est toutefois difficile de développer un moteur d'analyse protocolaire qui puisse détecter toutes les attaques de ce type.

Dream © 2006