D - PowerPoint PPT Presentation

About This Presentation
Title:

D

Description:

Symposium sur la s curit des technologies. de l'information et de la communication ... Vieux r ve d'intelligence artificielle. Tout ce qui tend les IDS semble prometteur pour ... – PowerPoint PPT presentation

Number of Views:122
Avg rating:3.0/5.0
Slides: 17
Provided by: F333
Learn more at: http://actes.sstic.org
Category:

less

Transcript and Presenter's Notes

Title: D


1
Défaillance des IDS (?)
  • Julien Bourgeois
  • Maître de conférences LIFC
  • Julien.Bourgeois_at_univ-fcomte.fr
  • Symposium sur la sécurité des technologies
  • de linformation et de la communication

2
Plan
  • Introduction
  • Les IDS
  • Définition
  • Scénario
  • Comportemental
  • Améliorations
  • Conclusion

3
Introduction
  • Augmentation trafic réseau
  • Non analysable par humain
  • Détection automatique des attaques
  • Naissance des IDS (Intrusion Detection Systems)
    ou MDI (Module de Détection dintrusion)
  • Anderson
  • Denning

4
Introduction
  • Pas de standardisation, beaucoup de produits
    disponibles
  • Méthode google
  • Commercial Products (46)
  • Free (14)
  • Research Projects (25)
  • Windows PC (3)

5
IDS Définition
  • Deux approches pour la méthode de détection
  • Par scénario, misuse detection ou detection by
    appearance
  • Comportementale, anomaly detection ou detection
    by behavior

6
IDS Scénario
  • Trouver des schémas correspondant à des attaques
  • Peu de faux positifs
  • Description du schéma dattaque -gt mesures
    préventives rapides
  • Tenir à jour la base dattaques
  • Lié à un environnement particulier
  • Purement réactif

7
IDS Comportemental
  • Détecter le comportement suspect dun
    utilisateur
  • Découverte de nouvelles attaques
  • Un peu plus indépendante de la technologie
    sous-jacente
  • Nombreux faux positifs
  • Fluctuation très grande de lefficacité

8
IDS Tests
  • Tests menés par expérience
  • Attaques obsolètes
  • Attaques non-reproductibles (honeypot)
  • Attaques pas assez nombreuses
  • Base de log trop petite
  • Rarement des tests de performances

9
IDS Tests
  • Peu de tests réels des IDS, les causes
  • Jeu de tests fluctuant et important
  • Réticence à la transparence inhérente au domaine
  • Volume réel des logs prohibitif
  • Adaptation des logiciels au jeu de tests (SPEC)
  • mais cest une nécessité scientifique !

10
IDS Tests
  • F. Cuppens et A. Miège, IEEE SRSP 2002
  • 87 attaques lancées
  • Alertes générées
  • Snort 264
  • E-Trust 61
  • Attaques détectées
  • Snort 68
  • E-Trust 42
  • Non-détectées 18

11
Améliorations
  • Amélioration de lexistant
  • Adapter les règles à la politique de sécurité
    locale (M.J. Ranum, L. Mé)
  • Etablir des contre-mesures en cas dattaque
  • Adapter les AD-IDS à des environnements
    spécifiques

12
Améliorations
  • Vision globale du réseau (MIRADOR, SocBox,
    LogWeaver)
  • Extension des sources dinformation
  • Corrélation sur des données globales
  • Amélioration de la qualité des alertes

13
Améliorations
  • Vision distribuée (AAFID, GrIDS, EMERALD, LIDS,
    )
  • Plus extensible
  • Plus tolérant aux pannes réseaux
  • Mieux adapté à certaines configurations (MANET)

14
Conclusion
  • IDS sont loin de lautonomie complète
  • Définition dune politique de sécurité
  • Reprise des règles et adaptation
  • Réaction maîtrisée par ladmin
  • Vieux rêve dintelligence artificielle
  • Tout ce qui étend les IDS semble prometteur pour
    améliorer lefficacité
  • Nouveaux champs dapplications

15
Questions ouvertes
  • Quel avenir pour les IDS ?
  • Scénario ?
  • Comportementaux ?
  • Hybrides ?
  • Quels langages entre/dans les IDS ?
  • IDMEF ?
  • Propriétaire ?
  • Création dune organisation indépendante de test
    ?
  • Forum ?
  • Association ?
  • Groupe fermé dexperts ?
  • Gratuit ? Payant ?
  • Un IDS va t'il simposer ?

16
Bibliographie
  • Bibliographies complètes
  • L. Mé, C. Michel, http//www.supelec-rennes.fr/ren
    /perso/ cmichel/bibid_raid2001.ps
  • M. Sobirey, http//www-rnks.informatik.tu-cottbus.
    de/sobirey/
  • Articles
  • H. Debar, M. Dacier, A. Wespi, Towards a
    taxonomy of intrusion-detection systems ,
    Comput. Networks 31 (8) (1999) 805922
  • F. Cuppens Managing Alerts in a Multi-Intrusion
    Detection Environment. 17th Annual Computer
    Security Applications Conference New-Orleans,
    10-14 Décembre 2001.
Write a Comment
User Comments (0)
About PowerShow.com