Télécharger pour lire hors ligne
IDS système intrusion détection . objectif .
- 1.
- 2. La sécurité informatiquec’est l’ensemble des moyens mis en œuvre pour réduire la vulnérabilité d’un système contre les menaces.
- 3. Authentification 01 Non-répudiation 02 Disponibilité 03 Intégrité 04 Confidentialité 05 l’identité des acteursde la communication est vérifiée. Authentification les données (et l'objet et les acteurs) de la communication ne peuvent pas être connues d’un tiers non-autorisé. Confidentialité les données de la communication n’ont pas été altérées.. Intégrité les acteurs de la communication accèdent aux données dans de bonnes conditions. Disponibilité les acteurs impliqués dans la communication ne peuvent nier y avoir participer. Non-répudiation objectifs de Sécurité Assurer la sécurité revient alors à assurer les objectifs suivantes: Les objectifs de la sécurité Iot
- 4. 4 Quelque types d'attaques MANINTHE MIDDLE DDOS BOTNET MIRAI L’USURPATION D’IDENTITÉ LESATTAQUES DE CARTES À PUCE Sniffing Attaque : recherche des failles dans le réseau et son exploitation Intrusion : prise de contrôle d’une machine
- 5. 5 Logiciels conçus pouridentifier, neutraliser et éliminer des logiciels malveillants. Antivirus Est un système permettant de créer un lien direct entre des ordinateurs distants, qui isole leurs échanges du reste du trafic se déroulant sur des réseaux de télécommunication publics... VPN Un outil des spécialistes en sécurité des systèmes d'information, permettant de prendre des mesures afin de diminuer les impacts d'une attaque , ex: les IDS’s. Détection et prévention d’intrusions Le chiffrement est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d'un document impossible à toute personne qui n'a pas la clé de chiffrement. Cryptage Un pare-feu est un logiciel et/ou un matériel permettant de faire respecter la politique de sécurité du réseau. Pare-feu Les mécanismes de sécurité
- 6. Motivation 6 • Volume importantdes données 1 • l'augmentation du nombre et de la complexité des attaques 2 • les IDS actuels génèrent de trop fréquentes fausses alertes 3 Intrusion Détection System IDS ….
- 7. 7 Intrusion Détection SystemIDS …. Un IDS est un outil logiciel ou matériel qui permet d’écouter, analyser le trafic réseau et détecter les tentatives d’attaques. But : la détection des activités anormales qui pourraient être assimilées à des intrusions.
- 8. Objectif 8 Un système IDSpour : Diminuer le taux de fausse alertes Maximiser le taux de détection sur les attaques. Intrusion Détection System IDS ….
- 9. Attaque :recherche des failles dans le réseau et son exploitation Intrusion : prise de contrôle d’une machine 9 Intrusion Détection System IDS ….
- 10. Un IDS estun outil logiciel ou matériel qui permet d’écouter, analyser le trafic réseau et détecter les tentatives d’attaques. But : la détection des activités anormales qui pourraient être assimilées à des intrusions. 10 Intrusion Détection System IDS ….
- 11. Les familles desIDS HIDS ( Host IDS) Les IDS hybrides (NIDS+HIDS) NIDS (Network IDS) 11 Intrusion Détection System IDS ….
- 12. L’architecture d’un IDS 12 IntrusionDétection System IDS ….
- 13. Le classement desdifférents IDS : Système de détection d’intrusion Source de données Réseau Hôte Réponse Active Passive Fréquence d’utilisation Périodique Continue Technique de détection Par scénarios Par comportement 13 Intrusion Détection System IDS ….
- 14. 1. L’approche parscénarios: Données d’audit Scénarios d’attaques Attaque détectée Ajout de nouvelles règles Correspondance Avec l’une des scénarios + faible taux de faux positives inefficaces face à des attaques inconnues - 14 Intrusion Détection System IDS ….
- 15. 2. L’approche parcomportement: Données d’audit Profil système Attaque détectée Déviation Statistique + Détecter de nouvelles attaques taux élevé de faux positives - 15 Intrusion Détection System IDS ….
- 16. les mesures deperformance d'une IDS (1) 16 Le taux de détection Le taux d'exactitude Le taux de fausses alarmes Intrusion Détection System IDS ….
- 17. les mesures deperformance d'une IDS (1) 17 Intrusion Détection System IDS …. Il y a un ensemble des facteurs pour mesurer la performance d’un IDS : Taux de détection : mesure le taux des attaques détectées par un IDS dans un environnement donné et pendant une durée donnée. C’est le nombre des attaques détecté sur le nombre des attaques existants dans le corpus Taux d’Exactitude : montre à qu’elle point le système est exacte, c’est le nombre des cas bien classés sur le nombre de type de tous les cas. Les fausses alarmes : ce critère mesure le taux de fausses alertes générées par un IDS dans un environnement donné et pendant une durée donnée. C’est le nombre des alertes généré comme attaque sur le nombre des types classés comme normal existants dans le corpus.
- 18. les mesures deperformance d'une IDS (2) 18 Intrusion Détection System IDS …. La classe prédite Negative (Normal) Positive (Attaque) La classe actuel Negative (Normal) Vrai Négative VN Faux Positive FP Positive (Attaque) Faux Négative FN Vrai Positive VP
Notes de l'éditeur
- #6 Ce travail est motivé par qlq pb actuels : tout d’abord, les volumes important de données Deuxièmement, l'augmentation du nombre et de la complexité des attaques que l’on observe aujourd’hui IDS actuels génèrent de trop fréquentes fausses alertes
- #7 Ce travail est motivé par qlq pb actuels : tout d’abord, les volumes important de données Deuxièmement, l'augmentation du nombre et de la complexité des attaques que l’on observe aujourd’hui IDS actuels génèrent de trop fréquentes fausses alertes
- #8 Dans ce contexte, l'objectif de ce travail est d'améliorer la qualité de système de détection d'intrusions, On cherche à en vise à : Proposer un système hybride qui combiner la décision de 03 classificateurs différents. Minimiser les fausses alertes Maximiser le taux de détection surtout les attq rares
- #9 En présente quelque terminologie de sécurité Attaque ,intrusion Parmi les types d’attaques qui existe : DOS rendre un service indisponible (saturé bande passante par msg initul) MAN IN THE MIDDLE écoute le trafic de transaction BRUTE FORCE Il s'agit de tester toutes les combinaisons possibles
- #10 Generalment un IDS est un outil matériel ou logiciel qui écoute et analyse le trafic et donne des alertes on cas d’attaque , dans le but de détection…..
- #11 Selon la source d’information on distinct trois catégorie IDS : Les NIDS ou détections d'intrusions réseaux qui assurent la sécurité au niveau du réseau Les HIDS sont des systèmes orientés poste qui assurent la sécurité au niveau des hôtes. Les IDS hybrides (NIDS+HIDS) qui combine ls nids et hids et utilisé les deux technique
- #12 L’architecture d’un IDS présente dans cette figure un IDS est composé d’un ensemble des capteurs qui permet de surveiller un source de donnée (trafic réseau ou system d’exploitation) après il va analyser le trafic en cas de présence des signés il va avertir l’administrateur par des alertes.
- #13 On peut classé un IDS selon plusieurs critères Source….. technique L’approche par scénarios : recherche explicitement les signatures des attaques connues dans le fichiers de sécurité et le trafic réseau L’approche comportementale : modélise le comportement normal des utilisateurs du système informatique et de l’activité réseau, Ensuite toute déviation par rapport à la normal constitue un évènement suspect La reponse Les réponses actives : si le détecteur réagit activement par des actions correctives, ou proactives ( changer les règle de filtrage de firewall des connexions TCP, ou attaquer l’attaquant, etc) Les réponses passive : génère simplement des alarmes ( afficher un message sur l’écran générer un son spécifique, envoi un mail, etc) Fréquence d’utilisation Continue (Surveillance en temps réel) Surveillance périodique (L’IDS analyse périodiquement)
- #14 La technique de cette classe consiste à utiliser une base de données, contenant des spécifications de scénario d'attaques (on parle de signatures d'attaque et de base de signatures). Le détecteur d'intrusions compare le comportement observé du système à cette base et remonte une alerte si ce comportement correspond à une signature prédéfinie. inefficaces face à des attaques inconnues, ce qui peut générer un important taux de faux négatifs. faible taux de faux positifs car, par définition, une alerte n‘est donnée que si le scénario de l‘attaque est observé. L'audit de sécurité est un mécanisme intégré aux systèmes d'exploitation et à toutes les grandes catégories d'applications. Il permet d'enregistrer tout ou partie des actions effectuées sur le système.
- #15 Contrairement a l’approche par scénario cette approche compare le comportement actuel du système au profil du système ,toute déviation du comportement normal du système sera considérer comme attaque . l'avantage principal de l'approche comportementale est de pouvoir être utilisée pour détecter de nouvelles attaques. Cependant, cette approche présente également plusieurs inconvénients. cette approche génère souvent de nombreux faux positifs car une déviation du comportement normal ne correspond pas toujours à l'occurrence d'une attaque.
- #16 Il y a un ensemble des facteurs pour mesurer la performance d’un IDS : Taux de détection : mesure le taux des attaques détectées par un IDS dans un environnement donné et pendant une durée donnée. C’est le nombre des attaques détecté sur le nombre des attaques existants dans le corpus Taux d’Exactitude : montre à qu’elle point le système est exacte, c’est le nombre des cas bien classés sur le nombre de type de tous les cas. Les fausses alarmes : ce critère mesure le taux de fausses alertes générées par un IDS dans un environnement donné et pendant une durée donnée. C’est le nombre des alertes généré comme attaque sur le nombre des types classés comme normal existants dans le corpus.
- #17 Il y a un ensemble des facteurs pour mesurer la performance d’un IDS : Taux de détection : mesure le taux des attaques détectées par un IDS dans un environnement donné et pendant une durée donnée. C’est le nombre des attaques détecté sur le nombre des attaques existants dans le corpus Taux d’Exactitude : montre à qu’elle point le système est exacte, c’est le nombre des cas bien classés sur le nombre de type de tous les cas. Les fausses alarmes : ce critère mesure le taux de fausses alertes générées par un IDS dans un environnement donné et pendant une durée donnée. C’est le nombre des alertes généré comme attaque sur le nombre des types classés comme normal existants dans le corpus.
- #18 Taux de détection : mesure le taux des attaques détectées par un IDS dans un environnement donné et pendant une durée donnée. C’est le nombre des attaques détecté sur le nombre des attaques existants dans le corpus Taux d’Exactitude : montre à qu’elle point le système est exacte, c’est le nombre des cas bien classés sur le nombre de type de tous les cas. Les fausses alarmes : ce critère mesure le taux de fausses alertes générées par un IDS dans un environnement donné et pendant une durée donnée. C’est le nombre des alertes généré comme attaque sur le nombre des types classés comme normal existants dans le corpus.