11.5.6.3 Mode de fonctionnement d'un
IDS
Il faut distinguer deux aspects dans le fonctionnement d'un
IDS : le mode de détection utilisé et la
réponse apportée par l'IDS lors de la
détection d'une intrusion.
Pour la détection, il existe deux modes de
détection qui sont l'approche par scénario ou
approchepar signature basée sur un modèle
constitué des actions interdites contrairement à
l'approche comportementale qui est basé sur un
modèle constitué des actions autorisées.
De même, il existe deux types de réponses qui
sont la réponse passive et la réponse
active. Nous allons tout d'abord étudier les méthodes de
détection d'un IDS, avant de présenter les réponses
possibles à une attaque.
· Méthode de détection
Il faut noter que la reconnaissance de signature est le mode
de fonctionnement le plus implémenté par les IDS présents
sur le marché. Cependant, les nouveaux produits tendent à
combiner les deux méthodes pour la détection d'intrusion.
Ø La détection d'anomalies :
Les détecteurs d'intrusion comportementaux reposent sur la
création d'un modèle de référence qui
représente le comportement de l'entité surveillée en
situation de fonctionnement normale. Ce modèle est ensuite
utilisé durant la phase de détection afin de pouvoir mettre en
évidence d'éventuelles déviations comportementales. Pour
cela, le comportement de l'entité surveillée est comparé
à son modèle de référence. Le principe de cette
approche est de considérer tout comportement n'appartenant pas au
modèle de comportement normal comme une anomalie symptomatique d'une
intrusion ou d'une tentative d'intrusion.
Ø Approche par signature : Dans cette
approche, les détecteurs d'intrusion reposent sur la création
d'une base de motifs qui représente des scénarios d'attaque
connus au préalable et qui sera utilisé par la suite, le plus
souvent en temps réel, sur les informations fournies par les sondes de
détection. C'est donc un système de reconnaissance de motifs qui
permet de mettre en évidence dans ces informations la présence
d'une intrusion connue par la base de signature.
Une fois une attaque détectée, un IDS a le choix
entre deux types de réponses : réponse passive et réponse
active.
· Réponses passive et active
Les types de réponses d'un IDS varient suivant les IDS
utilisés. La réponse passive est disponible pour tous les IDS et
la réponse active est moins implémentée.
Ø Réponse passive : la
réponse passive d'un IDS consiste à enregistrer les intrusions
détectées dans un fichier de log qui sera analysé par
l'administrateur ;
Ø Réponse active : la
réponse active, au contraire, a pour but de stopper une attaque au
moment de sa détection. Pour cela on dispose de deux techniques : la
reconfiguration du « firewall » et l'interruption d'une connexion
TCP.
| 
