TITRE: Amélioration du mécanisme de détection d`intrusion des

TITRE: Amélioration du mécanisme de détection d‘intrusion des NIDS par
l’utilisaiotn de méthode de détection comportementale
EQUIPE/THEME: Coencadrement groupe ResCo (ENAC, Toulouse) et FSTE (Maroc)
LABORATOIRE: ENAC/TELECOM (Toulouse) et FSTE (Maroc)
ENCADRANT : Nicolas Larrieu & Yousef Farhaoui
DUREE DU STAGE : 12 mois (septembre 2014-aout 2015)
Septembre 2014 – février 2015 : temps partiel
Mars 2015 - aout 2015 : temps complet
MOTS-CLES: IDS, IPS, NIDS, NIPS, Intrusion, Méthode de détection, Faux positifs, Faux
négatifs.
SUJET de STAGE M2R DETAILLE :
L'efficacité d'un système de détection d'intrusion dépend de sa “configurabilité”
(possibilité de définir et d’ajouter de façon simple de nouvelles spécifications d'attaque), de sa
robustesse (résistance aux défaillances) et de la faible quantité de faux positifs (fausses alertes) et
de faux négatifs (attaques non détectées) qu'il génère. La majorité des systèmes de détection
d’intrusion (IDS) s’appuie sur des techniques de détection orientée profil. En effet, cette
technique leur confère une capacité très facilement un grand nombre d’attaques déjà connues et
donc déjà caractérisées par des signatures (profil) d’attaques spécifiques. Néanmoins, depuis
plusieur années, une lutte entre techniques d’intrusion et les systèmes d’IDS s’est engagée, les
IDS ayant pour conséquence une plus grande technicité des attaques qui doivent détecter sur le
réseau Internet, et les attaques actuelles imposant aux IDS d’être plus complets et plus puissants.
Les IDS sont actuellement des produits mûrs et aboutis. Ils continuent d'évoluer pour répondre
aux exigences technologiques du moment mais offrent d'ores et déjà un éventail de
fonctionnalités capable de satisfaire les besoins de tous les types d'utilisateurs.
Néanmoins, comme tous les outils techniques, ils ont des limites que seule une analyse
humaine peut compenser. A la manière des pare-feu, les détecteurs d'intrusion s’améliorent
chaque jour grâce à l'expérience acquise, mais ils deviennent aussi de plus en plus sensibles aux
erreurs de configuration et de paramétrage. Par conséquent, il est plus que fondamental de former
correctement les personnes chargées de la mise en œuvre et de l'exploitation des IDS.
Malheureusement, il semble que subsiste là une grande partie de la difficulté. A ce jour,
aucun outil ne permet de remplacer l'être humain dans un test d'intrusion. En effet, une attention
particulière doit être accordée aux discours commerciaux. Ainsi ,si la détection d’abus fonctionne
aujourd’hui plus ou moins correctement (par exemple, au travers du produit commercial Snort),
la détection d’anomalie en revanche n’est pas encore aussi fiable.
Si les IDS au niveau réseau ont déjà été énormément étudiés, depuis peu ils le sont aussi
au niveau service ; les articles produits sur les IDS réseau sont assez directement applicables au
1
niveau service. Un seul et unique modèle de détection d’anomalie au niveau service est fiable à
ce jour.
Les IPS, qui tentent de pour partie ces problèmes, ne sont pas encore suffisamment
efficaces pour être utilisés dans un contexte de production. Ils sont actuellement surtout utilisés
dans des environnements de tests afin d’évaluer leur fiabilité. Ils manquent également d’un
principe de fonctionnement "normalisé", comme il en existe pour les IDS. Néanmoins, ces
technologies sont amenées à se développer dans les prochaines années, du fait des besoins de
sécurité croissants des entreprises et de l’évolution des technologies qui permet un
fonctionnement plus efficace des systèmes de détection et de prévention d’intrusion.
Les travaux de ce stage de M2R devront se focaliser sur l'amélioration des techniques de
détection d‘intrusion comportementale des NIDS. Le travail devra en particulier se focaliser sur
la définition d’une nouvelle méthode permettant la diminution des fausses alertes. Pour cela,
l’étudiant devra validé son système de détection orienté profil pour un trafic aéronautique. En
effet, dans le domaine aéronautique, ils pourraient se révéler très performant : étant donné la
nature très stable du trafic aéronautique, il est possible de réaliser une phase d'apprentissage très
performante qui permet d'en un deuxième temps de détection différents types d'anomalies. Dans
des travaux précédents (ENAC/TELECOM/ResCo), un module pour le système SNORT basé sur
l'apprentissage a été développé, l’objet du stage pourra donc porter sur l’augmentation de cette
méthode de détection ainsi que considérer d'autres types de modules de détection par
apprentissage et d'autres types de trafic.
2
Commentaire [l1] : Pourriez
vous citer le modele auquel vous
faites référrence car je ne le
connais pas