III.2. L'audit de
sécurité :
L'audit de sécurité permet d'enregistrer tout ou
une partie des actions effectuées sur le système. L'analyse de
ses informations permet de détecter d'éventuelles intrusions. Les
systèmes d'exploitation disposent généralement de
systèmes d'audit intégrés, certaines applications aussi.
Les différents évènements du système sont
enregistrés dans un journal d'audit qui devra être analysé
fréquemment, voire en permanence. Sur les réseaux, il est
indispensable de disposer d'une base de temps commune pour estampiller les
évènements.
Voici les types d'informations à collecter sur les
systèmes pour permettre la détection d'intrusions. On y trouve
les informations sur les accès au système (qui y a
accédé, quand et comment), les informations sur l'usage fait du
système (utilisation du processeur, de la mémoire ou des
entrées/sorties) et les informations sur l'usage fait des fichiers.
L'audit doit également permettre d'obtenir des informations relatives
à chaque application (le lancement ou l'arrêt des
différents modules, les variables d'entrée et de sortie et les
différentes commandes exécutées). Les informations sur les
violations éventuelles de la sécurité (tentatives de
commandes non autorisées) ainsi que les informations statistiques sur le
système.
Notons que ces nombreuses informations occupent beaucoup de
place et sont très longues à analyser. Ces informations devront
être, au moins pour un temps, stockées quelque part avant
d'être analysées par le système de détection
d'intrusions.
III.3. Définition d'un
IDS :
Les IDS sont des systèmes qui collectent des
informations de différentes manières, soit à partir du
système et/ou du réseau, sur les différentes
activités se rapportant à ce même système pour les
analyser à la recherche de signes d'une intrusion (attaques suspectes)
et alerter dans le cas positif.
Le schéma précédent montre une vue
générale d'un système qui implémente un IDS.
Ø Modèle de détection des abus
: la détection est réalisée en examinant les
faiblesses du système ce qui peut être décrit par des
schémas spécifiques ou des séquences
d'événements et de données (la signature de l'intrusion).
Ø Modèle de détection d'anomalie
: la détection est réalisée en recherchant les
changements dans le schéma d'utilisation ou dans le comportement du
système. Elle est réalisée en créant un
modèle statistique qui contient des données, issues
d'opérations du système, qui pointent en tant qu'intrus tout
comportement déviant dans une certaine proportion par rapport au
modèle statistique.
Un système de détection d'intrusion (IDS) doit
être capable d'effectuer ces fonctions par combinaison de
différentes techniques. Un IDS sera plus performant en réalisant
sa tâche en temps réel.
Les systèmes de détection d'intrusions remontent
des alarmes lorsqu'ils détectent une intrusion.
Deux types d'événements particuliers
caractérisent les IDS. La fréquence avec laquelle ces
événements surviennent est un des paramètres qui nous
permet de se prononcer sur les performances d'un IDS donnée. Ces
événements sont :
Ø Faux négatif (False
négative) : C'est un événement qu'un IDS
n'arrive pas à classer comme intrusion alors qu'il est lié
à une attaque.
Ø Faux positif (False positive) :
Ici c'est plutôt un évènement qui est
identifié par l'IDS comme faisant partie d'une intrusion sans pour
autant l'être.
| 
