Un système de détection d'intrusion, (ou IDS pour Intrusion detection system), tente de découvrir ces exploits illégaux commis sur le système en s’appuyant sur une norme. Si les activités s’éloignent de la norme, l’IDS lance une alerte.
Système de détection d'intrusion (Intrusion Detection System)
1. Intrusion Detection System
Elaboré par :
HADJ-AZZEM Yousra Chahinez
Dr:Beghriche
Année Universitaire 2018-2019 1/21
Université Ferhat Abbas Sétif-1-
Faculté des sciences
2. Introduction
De nos jours, les attaques sont rapides qu’avant, et tout le monde est
exposé aux pertes des données essentielles. Malheureusement, les systèmes
antivirus ou les pare-feux sont la plupart du temps inefficaces face à ces
nouvelles menaces.
C’est pour pallier ce manque que sont apparus des nouveaux composants de
sécurité appelés systèmes de détection des intrusions.
2/21
3. Qu’est-ce qu’une intrusion ?
Une intrusion est une tentative de pénétration ou d’utilisation abusive de
votre système.
3/21
4. Qu’est-ce qu’un IDS ?
Un système de détection d'intrusion, (ou IDS pour Intrusion detection
system), tente de découvrir ces exploits illégaux commis sur le système en
s’appuyant sur une norme. Si les activités s’éloignent de la norme, l’IDS lance
une alerte.
4/21
5. Exemple
Lorsque vous placez une alarme antivol
sur les portes de votre maison
Vous avez installez un système de
détection des intrusions (IDS) pour
votre maison.
5/21
6. Types d’IDS
L’IDS remplit son objectif en surveillant les activités d’une
cible qui peut être :
● Un réseau (N-IDS) .
● Des machines hôtes (H-IDS).
6/21
7. Network IDS
Les NIDS sont des IDS utilisés pour protéger un réseau. Ils
comportent généralement une sonde (machine par exemple) qui
écoute et surveille en temps réel tout le trafic réseau, puis
analyse et génère des alertes s’il détecte des intrusions ou des
paquets semblent dangereux.
7/21
9. Host IDS
Les H-IDS : analyse des activités de la machine hôte, de
l’utilisateur et les activités malicieuses.
Exemple:
❏ Surveille les appels système.
❏ Vérifie l'intégrité des systèmes de fichiers.
❏ Capturer les paquets réseaux entrant/sortant de l’hôte.
9/21
10. Host IDS
Dans le cas d'une attaque réussie .Ces IDS utilisent deux
types de ressources pour fournir une information sur l'activité de la
machine : les logs et les traces d'audit du système d'exploitation.
Fichier log : contient les évènements s’étant produits sur un
système.
Les traces d’audit : correspond à l'approche par scénarios /
comportementale.
10/21
12. IDS Hybrid
12/21
Les IDS hybrides rassemblent les
caractéristiques de plusieurs IDS
différents.
En pratique, on ne retrouve que la
combinaison de NIDS et HIDS. Ils
permettent, en un seul outil, de sur-
veiller le réseaux et les terminaux.
13. Méthodes de détection des
intrusions
IL existe deux types d’approches pour la détection d’intrusion:
l’approche par scénario «ou bien dite par signature» basé sur un
modèle constitué des actions interdites ,contrairement à l’approche
comportementale «ou par Anomalie» qui est basé sur un modèle
constitué des actions autorisées.
13/21
14. L'approche comportementale
Cette approche consiste donc à « dresser un profil de
l'utilisateur» Pour faire cela, on aura une période d'apprentissage
pendant laquelle le système enregistrera les actions courantes de
l'utilisateur
Plusieurs paramètres sont possibles : la charge CPU, les
horaires de connexion ou d'utilisation de certains fichiers , la
répartition statistique des protocoles et applications utilisés...etc.
14/21
16. L’approche par scénario
Cette approche base sur une signature d'attaque.
Les attaques connues sont répertoriées et les actions indispensables
de cette attaque forment sa signature. On compare ensuite les
actions effectuées sur le système avec ces signatures d'attaques. Si
on retrouve une signature d'attaque dans les actions d'un utilisateur,
on peut en déduire qu'il tente d'attaquer le système par cette
méthode.
16/21
17. Deux notions fondamentales
1.Faux positif : Une alerte provenant d’un IDS mais qui ne
correspond pas à une attaque réelle.
2.Faux négatif:Une intrusion réelle qui n’a pas été détecté
par IDS.
17/21
18. Comparaison simple
Chacune des deux approches a ses avantages et ses inconvénients, et les
systèmes de détection d'intrusions implémentent généralement ces deux
aspects. Avec l'approche comportementale, on a la possibilité de détecter une
intrusion par une attaque inconnue jusqu'alors. Par contre, on obtient beaucoup
de faux positifs.
De plus l'approche par scénarios ne permet pas de détecter une attaque
inconnue car lorsqu'un nouveau type d'attaque voit le jour, sa signature
correspondante n'est pas publiée instantanément.
18/21
19. Après la détection d’intrusion
Il existe deux types de réponses, suivant les IDS utilisés. La réponse passive
est disponible pour tous les IDS, la réponse active est plus ou moins implémentée.
★ Réponse passive : Lorsqu’une attaque est détectée, le système
d’intrusionne prend aucune action, il génère seulement une alarme.
★ Réponse active : La réponse active consiste à répondre directement
à une attaque.
19/21
20. Conclusion
Cet exposé permis de découvrir les systèmes de détection
d’intrusion leurs fonctionnements et on a paru évident que ces
systèmes sont à présent indispensables aux entreprises afin d’assurer
leur sécurité informatique.
20/21
21. "Se faire battre est excusable, mais se faire surprendre est impardonnable "
- NAPOLEON
21/21
Définition : Opération qui consiste à accéder, sans autorisation, aux données d'un système informatique ou d'un réseau, en contournant ou en désamorçant les dispositifs de sécurité mis en place.
Un IDS peut analyser les couches suivantes : > Couche Réseau (IP, ICMP) > Couche Transport (TCP, UDP) > Couche Application (HTTP, Telnet)
Voici quelques exemples de NIDS : Dragon, ISSRealSecure, NetRanger, NFR, Snort.
Quelques HIDS connus: Tripwire, WATCH, DragonSquire, Tiger, Security Manager…
Illégal log : ligne d’un fichier d’un logiciel qui enregistre les données transitant sur un système pour le surveiller ou faire des statistiques