III.5. Modules de base d'un
IDS :
Stefan AXELSSON donne un modèle d'architecture
de base pour un système de détection d'intrusions (voir le
schéma ci-dessous).
Du système surveillé, un module s'occupe de la
collecte d'informations d'audit, ces données étant
stockées quelque part. Le module de traitement des données
interagit avec ces données de l'audit et les données en cours de
traitement, ainsi qu'avec les données de référence
(signatures, profils) et de configuration entrées par l'administrateur
du système de sécurité. En cas de détection, le
module de traitement remonte une alarme vers l'administrateur du système
de sécurité ou vers un autre module. Une réponse sera
ensuite apportée sur le système surveillé par
l'entité alertée.
Architecture générale pour un
système de détection d'intrusion
Les trois modules de base de l'IDS qui sont communs à
tous les modèles qui existent sont :
III.5.1. Collecteur de
données (Sensors) :
C'est un module qui s'occupe de la collecte d'informations.
L'entrée pour ce collecteur doit être n'importe quelle partie du
système qui peut contenir des informations pouvant nous permettre de
détecter une intrusion. Un exemple d'un type d'entrée est les
paquets du réseau (on les présentera en détail dans les
prochains paragraphes). Après la collecte ces informations seront
transférées vers un autre module qui est l'analyseur.
III.5.2. Analyseur :
Les analyseurs reçoivent comme entrée les
données qui proviennent d'un ou plusieurs collecteurs ou à partir
d'autres analyseurs qui auraient au préalable procédés
à un premier traitement des données en vue de les raffiner et
faciliter la tache à l'analyseur final.
L'analyseur est la partie de l'IDS qui est responsable de
déterminer si une intrusion a eu lieu ou pas .Comme sortie l'analyseur
doit en plus d'un indicateur indiquant si une attaque c'est produite,
retourner des informations sur l'état du système, et guider
l'administrateur en proposant des solutions aux problèmes
rencontrés.
L'analyseur peut être considéré comme le
noyau de l'IDS.
III.5.3. Interface
utilisateur :
C'est un module qui permet à l'IDS d'interagir avec
l'utilisateur (généralement un administrateur système),
pour pouvoir configurer et fixer quelques paramètres en relation avec
la politique de sécurité qu'on veuille mettre en oeuvre.
III.6. Qu'eST ce QU'UN IDS peut
faire ?
a- Un IDS permet d'avoir un haut niveau
d'intégrité pour les autres solutions de sécurité
cohabitant dans le système. En effet un attaquant cible
généralement les outils de sécurité (comme les
Firewalls, les systèmes de cryptage ...), comme première
étape avant de commettre son forfait. Les systèmes de
détection d'intrusion peuvent reconnaître l'attaque dés les
premiers agissements de l'adversaire, et potentiellement d'y répondre
à ces attaques, évitant les dommages. En plus de ça, quand
les autres outils de sécurité échouent à cause de
la configuration, d'erreur d'utilisateur, Les IDS peuvent détecter
l'anomalie et la signaler à l'administrateur.
b- Un IDS peut donner un sens à des
informations provenant de l'extérieur, enregistrées par le
système dans différents endroits en vrac, qui ne peuvent par
conséquent être directement exploitées par l'administrateur
système. Ainsi l'IDS peut révéler des
problèmes avant d'occasionner des pertes. En effet un IDS remonte
l'information jusqu'à l'obtention de données qui ont une
signification (protocole utilisé, @ IP, numéros de port, flags
positionnés, service demandé ....) toutes ces informations,
apparaissent au bas niveau du système, sous forme brute comme du code en
ascii ou en Unicode et ne peuvent ainsi être directement
exploitées.
c- Un IDS peut tracer l'activité d'un
utilisateur du point d'entrée jusqu'au point de sortie. Ces
informations peuvent être d'importance capitale, dans le cas d'une
attaque que l'IDS ne peut reconnaître directement ; dans ce cas ce
sera l'administrateur qui en consultant les activités des utilisateurs
pourra être attiré par des agissements suspects.
d- IL peut reconnaître et rapporter des
altérations dans les données des fichiers, et pouvoir
ainsi déjouer les attaques qui se basent sur les modifications de
fichiers système (les trojans).
e- Un IDS peut repérer les erreurs de
configuration du système qui ont des implications sur la
sécurité.
f- Un IDS peut servir d'un guide pour
l'établissement d'une politique de sécurité.
g- Un IDS peut Fournir une analyse statistique des
activités anormales.
h- Il peut décharger le personnel qui s'occupe
de la sécurité de la tache de définition de signatures
d'attaques. Ceci en intégrant une base de données qui
doit être mise à jour périodiquement.
| 
