TITRE: Amélioration du mécanisme de détection d`intrusion des
Transcription
TITRE: Amélioration du mécanisme de détection d`intrusion des
TITRE: Amélioration du mécanisme de détection d‘intrusion des NIDS par l’utilisaiotn de méthode de détection comportementale EQUIPE/THEME: Coencadrement groupe ResCo (ENAC, Toulouse) et FSTE (Maroc) LABORATOIRE: ENAC/TELECOM (Toulouse) et FSTE (Maroc) ENCADRANT : Nicolas Larrieu & Yousef Farhaoui DUREE DU STAGE : 12 mois (septembre 2014-aout 2015) Septembre 2014 – février 2015 : temps partiel Mars 2015 - aout 2015 : temps complet MOTS-CLES: IDS, IPS, NIDS, NIPS, Intrusion, Méthode de détection, Faux positifs, Faux négatifs. SUJET de STAGE M2R DETAILLE : L'efficacité d'un système de détection d'intrusion dépend de sa “configurabilité” (possibilité de définir et d’ajouter de façon simple de nouvelles spécifications d'attaque), de sa robustesse (résistance aux défaillances) et de la faible quantité de faux positifs (fausses alertes) et de faux négatifs (attaques non détectées) qu'il génère. La majorité des systèmes de détection d’intrusion (IDS) s’appuie sur des techniques de détection orientée profil. En effet, cette technique leur confère une capacité très facilement un grand nombre d’attaques déjà connues et donc déjà caractérisées par des signatures (profil) d’attaques spécifiques. Néanmoins, depuis plusieur années, une lutte entre techniques d’intrusion et les systèmes d’IDS s’est engagée, les IDS ayant pour conséquence une plus grande technicité des attaques qui doivent détecter sur le réseau Internet, et les attaques actuelles imposant aux IDS d’être plus complets et plus puissants. Les IDS sont actuellement des produits mûrs et aboutis. Ils continuent d'évoluer pour répondre aux exigences technologiques du moment mais offrent d'ores et déjà un éventail de fonctionnalités capable de satisfaire les besoins de tous les types d'utilisateurs. Néanmoins, comme tous les outils techniques, ils ont des limites que seule une analyse humaine peut compenser. A la manière des pare-feu, les détecteurs d'intrusion s’améliorent chaque jour grâce à l'expérience acquise, mais ils deviennent aussi de plus en plus sensibles aux erreurs de configuration et de paramétrage. Par conséquent, il est plus que fondamental de former correctement les personnes chargées de la mise en œuvre et de l'exploitation des IDS. Malheureusement, il semble que subsiste là une grande partie de la difficulté. A ce jour, aucun outil ne permet de remplacer l'être humain dans un test d'intrusion. En effet, une attention particulière doit être accordée aux discours commerciaux. Ainsi ,si la détection d’abus fonctionne aujourd’hui plus ou moins correctement (par exemple, au travers du produit commercial Snort), la détection d’anomalie en revanche n’est pas encore aussi fiable. Si les IDS au niveau réseau ont déjà été énormément étudiés, depuis peu ils le sont aussi au niveau service ; les articles produits sur les IDS réseau sont assez directement applicables au 1 niveau service. Un seul et unique modèle de détection d’anomalie au niveau service est fiable à ce jour. Les IPS, qui tentent de pour partie ces problèmes, ne sont pas encore suffisamment efficaces pour être utilisés dans un contexte de production. Ils sont actuellement surtout utilisés dans des environnements de tests afin d’évaluer leur fiabilité. Ils manquent également d’un principe de fonctionnement "normalisé", comme il en existe pour les IDS. Néanmoins, ces technologies sont amenées à se développer dans les prochaines années, du fait des besoins de sécurité croissants des entreprises et de l’évolution des technologies qui permet un fonctionnement plus efficace des systèmes de détection et de prévention d’intrusion. Les travaux de ce stage de M2R devront se focaliser sur l'amélioration des techniques de détection d‘intrusion comportementale des NIDS. Le travail devra en particulier se focaliser sur la définition d’une nouvelle méthode permettant la diminution des fausses alertes. Pour cela, l’étudiant devra validé son système de détection orienté profil pour un trafic aéronautique. En effet, dans le domaine aéronautique, ils pourraient se révéler très performant : étant donné la nature très stable du trafic aéronautique, il est possible de réaliser une phase d'apprentissage très performante qui permet d'en un deuxième temps de détection différents types d'anomalies. Dans des travaux précédents (ENAC/TELECOM/ResCo), un module pour le système SNORT basé sur l'apprentissage a été développé, l’objet du stage pourra donc porter sur l’augmentation de cette méthode de détection ainsi que considérer d'autres types de modules de détection par apprentissage et d'autres types de trafic. 2 Commentaire [l1] : Pourriez vous citer le modele auquel vous faites référrence car je ne le connais pas