Défaillance des IDS (?)

1. Défaillance des IDS (?) Julien Bourgeois Maître de conférences – LIFC Julien.Bourgeois@univ-fcomte.fr Symposium sur la sécurité des technologies de l’information et de la communication

2. Plan • Introduction • Les IDS • Définition • Scénario • Comportemental • Améliorations • Conclusion

3. Introduction • Augmentation trafic réseau • Non analysable par humain • Détection automatique des attaques • Naissance des IDS (Intrusion Detection Systems) ou MDI (Module de Détection d’intrusion) • Anderson • Denning

4. Introduction • Pas de standardisation, beaucoup de produits disponibles • Méthode google : • Commercial Products (46) • Free (14) • Research Projects (25) • Windows PC (3)

5. IDS : Définition • Deux approches pour la méthode de détection : • Par scénario, misuse detection ou detection by appearance • Comportementale, anomaly detection ou detection by behavior

6. IDS : Scénario • Trouver des schémas correspondant à des attaques • Peu de faux positifs • Description du schéma d’attaque -> mesures préventives rapides • Tenir à jour la base d’attaques • Lié à un environnement particulier • Purement réactif

7. IDS : Comportemental • Détecter le comportement suspect d’un «utilisateur» • Découverte de nouvelles attaques • Un peu plus indépendante de la technologie sous-jacente • Nombreux faux positifs • Fluctuation très grande de l’efficacité

8. IDS : Tests • Tests menés par expérience • Attaques obsolètes • Attaques non-reproductibles (honeypot) • Attaques pas assez nombreuses • Base de log trop petite • Rarement des tests de performances

9. IDS : Tests • Peu de tests réels des IDS, les causes : • Jeu de tests fluctuant et important • Réticence à la transparence inhérente au domaine • Volume réel des logs prohibitif • Adaptation des logiciels au jeu de tests (SPEC) • …mais c’est une nécessité scientifique !

10. IDS : Tests • F. Cuppens et A. Miège, IEEE SRSP 2002 • 87 attaques lancées • Alertes générées • Snort : 264 • E-Trust : 61 • Attaques détectées • Snort : 68 • E-Trust : 42 • Non-détectées : 18

11. Améliorations • Amélioration de l’existant • Adapter les règles à la politique de sécurité locale (M.J. Ranum, L. Mé) • Etablir des contre-mesures en cas d’attaque • Adapter les AD-IDS à des environnements spécifiques

12. Améliorations • Vision globale du réseau (MIRADOR, SocBox, LogWeaver) • Extension des sources d’information • Corrélation sur des données globales • Amélioration de la qualité des alertes

13. Améliorations • Vision distribuée (AAFID, GrIDS, EMERALD, LIDS, …) • Plus extensible • Plus tolérant aux pannes réseaux • Mieux adapté à certaines configurations (MANET)

14. Conclusion • IDS sont loin de l’autonomie complète : • Définition d’une politique de sécurité • Reprise des règles et adaptation • Réaction maîtrisée par l’admin • Vieux rêve d’intelligence artificielle • Tout ce qui étend les IDS semble prometteur pour améliorer l’efficacité • Nouveaux champs d’applications

15. Questions ouvertes • Quel avenir pour les IDS ? • Scénario ? • Comportementaux ? • Hybrides ? • Quels langages entre/dans les IDS ? • IDMEF ? • Propriétaire ? • Création d’une organisation indépendante de test ? • Forum ? • Association ? • Groupe fermé d’experts ? • Gratuit ? Payant ? • Un IDS va t'il s’imposer ?

16. Bibliographie • Bibliographies complètes : • L. Mé, C. Michel,http://www.supelec-rennes.fr/ren/perso/ cmichel/bibid_raid2001.ps • M. Sobirey,http://www-rnks.informatik.tu-cottbus.de/sobirey/ • Articles : • H. Debar, M. Dacier, A. Wespi, « Towards a taxonomy of intrusion-detection systems », Comput. Networks 31 (8) (1999) 805—922 • F. Cuppens « Managing Alerts in a Multi-Intrusion Detection Environment. » 17th Annual Computer Security Applications Conference New-Orleans, 10-14 Décembre 2001.