IDS – Intrusion Detection System – Système de Détection d’Intrusions – Sentinelle de sécurité en temps réel
(semblable à un détecteur de mouvement) protégeant le périmètre du réseau, les extranets et les réseaux
internes de plus en plus vulnérables. Les systèmes IDS analysent le flux de données du réseau à la
recherche de signatures d’attaques ou d’activités considérées comme non autorisées, déclenchent l’alarme
et lancent les actions nécessaires face à cette activité.
Système alliant des ressources logicielles et matérielles surveillant en temps réel les flux de données entrant
dans un système d’information pour te protéger. Il compare les objets surveillés avec une base de signatures
d’attaques connues et détecte des anomalies de fonctionnement.
Deux principales méthodes sont appliquées pour détecter les intrusions, suivant deux approches : l’approche
comportementale et l’approche par scénarios.
- L’approche comportementale – Cette approche correspond à chercher à savoir si un utilisateur a un
comportement déviant de ses habitudes. Il existe différentes méthodes mises en oeuvre pour détecter un
utilisateur déviant de ses habitudes. Une méthode statistique se base sur l’observation du comportement
normal d’un utilisateur, en considérant un certain nombre de variables aléatoires, une autre méthode se
base sur le comportement passé de l’utilisateur et une troisième méthode consiste à prévoir la prochaine
commande de l’utilisateur avec une certaine probabilité. L’avantage de cette approche est qu’elle détecte
un très grand nombre d’intrusions. On peut également détecter des intrusions « nouvelles « , c’est à dire des
attaques inconnues jusqu’alors. Par contre, l’inconvénient réside dans les choix des paramètres à prendre
en considération.
- L’approche par scénarios – Cette deuxième approche se base sur la reconnaissance des signatures des
attaques. Approche la plus utilisée dans les IDS. Les signatures d’attaques sont recherchées dans les
différents audits de sécurité. Les différentes attaques connues sont répertoriées, ainsi que les actions
indispensables à ce type d’attaque. Ces deux points forment ensemble la signature de l’attaque. En
analysant les audits, on compare les actions effectuées sur le système avec les signatures d’attaques
connues afin de les détecter. Si on reconnaît une signature parmi les actions effectuées par un utilisateur,
on peut en déduire qu’il est en train d’attaque le système. Il existe plusieurs méthodes utilisées pour gérer
les signatures des attaques. Tout d’abord, la plus fréquente, est la reconnaissance de signature par pattern
matching (reconnaissance de formes), où les signatures d’attaques sont représentées comme une suite de
lettres d’un alphabet, chaque lettre correspondant à un événement. La deuxième méthode se base sur
l’utilisation des algorithmes génétiques pour analyser les traces des audits. Une troisième méthode est de
considérer la signature d’attaque comme une séquence de changement d’état du système. L’inconvénient
est justement que par cette approche, on ne peut détecter que les attaques déjà connues
Placement des IDS :
On peut placer les IDS à différents endroits sur le réseau, en fonction de la partie du réseau qu’on souhaite
protéger. Néanmoins, il y a des points essentiels à protéger contre les intrusions externes. On place donc
généralement les IDS :
Dans le périmètre du réseau – de préférence de chaque coté du firewall, pour le renforcer. On peut aussi
placer l’IDS sur les connexions aux autres réseaux pour filtrer ce qui arrive et repart du réseau.
- Sur le backbone du WAN – on renforce ainsi la sécurité sur ce qui passe vers ou en provenance du WAN
- Dans les « fermes à serveurs » ou sur les « brins du réseau » contenant les serveurs. Il paraît judicieux de
placer un IDS à ce niveau pour protéger les serveurs.
- Dans les DMZ : les DMZ (de-militarized zone : segment de réseau avec une protection partielle et
contrôlée permettant l’accès entre autres de l’Internet) sont des points particulièrement sensibles sur un
réseau. En effet, la plupart des attaques externes se font par l’intermédiaire des services en ligne,
regroupés dans la DMZ. En plaçant un IDS à cet endroit, on protège l’accès aux services en ligne et on
réduit le nombre d’attaque provenant de ces services.