Détection d`intrusion dans un syste`me informatique
Contents
1. chou Pour r pondre ces questions l officier de s curit doit sp cifier les utilisateurs et les activit s syst me auditer assurer la collecte des v nements dans le fichier d audit et analyser r guli rement ce fichier De plus il essayera de r parer les d g ts ventuellement d tect s 2 1 Sp cification des activit s syst me auditer Nous donnons ici une liste non exhaustive inspir e de BRO 79 des informations pertinentes auditer Selon le niveau de s curit qu il souhaite atteindre l officier de s curit d finira des v nements auditables correspondant certaines de ces informa tions 2 1 1 Informations sur les acc s au syst me Il s agit d obtenir des informations sur ce qui constituera le point de d part de toute investigation sur une violation ventuelle de la s curit qui a acc d au syst me identifiant de l utilisateur ou du processus quand horodatage de l acc s au syst me ou identifiant du terminal adresse comment mode d entr e interactif batch local connexion distante 2 1 2 Informations sur l usage fait du syst me Il s agit de montrer quelles ressources du syst me ont t utilis es et comment commandes syst mes utilis es et leur r sultat chec ou succ s acc s une unit d entr e sortie utilisation de la CPU taux d occupation m moire par utilisateur 4 2 1 3 Informations sur l2. s un fichier donn nombre d utilisation des diff rents diteurs de texte disponibles sur le syst me Supposons que n mesures X1 X Xn soient pertinentes pour valuer le com portement des utilisateurs du syst me cible A chaque variable X est associ e une densit de probabilit Q L intervalle des valeurs possibles de X est divis en seize sous intervalles croissants g om triquement avec un facteur 2 Q est donc constitu e de seize fr quences ce d coupage peut tre affin lorsqu on acquiert plus d exp rience sur le syst me cible Les densit s de probabilit sont mises jour quotidiennement selon un algorithme qui permet de tenir compte du pass en favorisant ce qui est proche On se reportera LUN 90c ou Me92 pour plus de d tails Les diverses variables al atoires X peuvent tre exprim es dans des unit s quel conques quantum de temps nombre d acc s fichier par minute nombre de pages imprim es par jour De mani re pouvoir synth tiser l ensemble des informations apport es par les diverses variables en un r sum statistique RS qui donne le degr de normalit du comportement de l utilisateur on associe chaque variable X une grandeur D qui s exprime dans la m me unit pour toutes les variables X D est proche de z ro lorsque la valeur observ e de X est normale c est dire conforme au pass et Dj croit lorsque la valeur observ e de X s loigne de ce qu
3. Fourth USENIX Security Symposium 1993 SEB 88 M M SEBRING E SHELLHOUSE M E HANNA et R A WHITEHURST ExpertSystem in Intrusion Detection A Case Study Dans Proceedings of the 1 1th National Computer Security Conference pages 74 81 1988 SMA 88 S E SMAHA Haystack An Intrusion Detection System Dans Proceedings of the 4th Aerospace Computer Security Application Conference pages 37 44 December 1988 STA 91 Timothy STARKWEATHER S MCDANIEL K MATHIAS et C Whitley DARRELL WHIT LEY A comparison of Genetic Sequencing Operators Dans Proceedings of the Fourth International Conference on Genetic Algorithms and their Applications pages 69 76 1991 TSU 88 Gene TSUDIK An Expert System for Security Auditing Rapport Technique IBM Los Angeles Scientific Software 1988 22 TSU 90 Gene TSUDIK et R SUMMERS AudES An Expert System for Security Auditing Dans Proceedings of the AAAI Conference on Innovative Application in Artificial Intelli gence May 1990 VAC 89 H S VACCARO et G E LIEPINS Detection of Anomalous Computer Session Acti vity Dans Proceedings of the IEEE Symposium on Security and Privacy May 1989 WIN 90 J R WINKLER AUNIX Prototype for Intrusion Detection and Anomaly Detection in Secure Networks Dans Proceedings of the 13th National Computer Security Conference 1990 WIN 92 J R WINKLER Intrusion and Anomaly Detection ISOA Update Dans Pro
4. collecte des v nements d audit n est pas sans perturber le travail des utilisateurs En effet les m canismes de collecte des syst mes Unix actuels sont particuli rement gourmands en temps CPU et en acces disque 6 Bibliographie AND 80 J P ANDERSON Computer Security Threat Monitoring and Surveillance Rapport Technique James P Anderson Company Fort Washington Pennsylvania April 1980 AND 94 Debra ANDERSON Teresa LUNT Harold JAVITZ Ann TAMARU et Alfonso VALDES Safeguard Final Report Detecting Unusual program Behavior Using the NIDES Statistical Component Rapport Technique SRI 1994 BAU 88 D S BAUER et M E KOBLENTZ NIDX a Real Time Intrusion Detection Expert System Dans Proceedings of the USENIX 88 Conference pages 261 272 June 1988 BRO 79 P BROWNE The Security Audit gt Dans Checklist For Computer Security Center Self Audits pages 173 184 1979 DAC 91 Marc DACIER et Michel RUTSAERT Comment g rer la transitivit en s curit Dans Actes de la convention UNIX 91 pages 205 217 1991 DEB 92 Herv DEBAR Monique BECKER et Didier SIBONI A Neural Network Component for an Intrusion Detection System Dans Proceedings of the IEEE Symposium of Research in Computer Security and Privacy pages 240 250 May 1992 DEB 93 Herv DEBAR Application des r seaux de neurones la d tection d intrusions sur les syst mes informatiques Th se de doctorat Unive
5. rer des v nements au sein des applications Dans ce cas on doit fournir au d veloppeur une boite outils s curit lui offrant les primitives de g n ration et de collecte ad quates Le code source des applications devra tre examin pour v rifier que l audit est bien r alis Nous ne tenons pas d velopper davantage l aspect collecte dans cet article Le lecteur int ress se reportera au manuel d utilisation du syst me d exploitation sur lequel il souhaite faire de l audit 2 3 Analyse du journal d audit Le but de l analyse est de r v ler toute violation des r gles de la politique de s curit de mani re identifier les responsables identifier les d g ts ventuels et les r parer si possible et proposer des changements dans les l ments qui assurent la s curit du syst me L analyse doit permettre de d tecter toutes sortes de transgressions depuis l intrusion dans le syst me par un utilisateur non autoris jusqu aux abus de toutes formes imputables aux utilisateurs connus du syst me Cependant l audit de s curit se fera parfois dans un ou plusieurs objectifs pr cis Ainsi on parle parfois d audit des canaux cach s d tection de fuite par canal cach d audit des gains de privil ges ou d audit des acc s au syst me et des acc s aux donn es d tection d intrusion Nous nous int ressons ici ce dernier cas L analyse du journal d audit se fera donc dans l objectif de d couvrir des co
6. sait la pr cision limit e GASSATA est un prototype en cours de finalisation 4 5 Synth se sur les outils Un certain nombre d outils reprennent les principes de IDES On pourra se r f rer MCA 90 POR 92 DEB 93 pour une pr sentation rapide des outils suivants AudES Auditing Expert System TSU 88 TSU 90 Computer Watch Audit Trail Analysis Tool de AT amp T DIDS Distributed Intrusion Detection System de Lawrence Livermore National Laboratory de Haystack Laboratories et de l Universit de Californie Davis pour l U S Air Force STA 91 HAYSTACK Haystack Laboratories pour le compte du Los Alamos National Laboratory SMA 88 ISOA Information Security Officier s Assistant WIN 90 WIN 92 MIDAS Multix Intrusion Detection and Alerting System SEB 88 NADIR Network Anomaly Detection and Intrusion Reporter du Los Alamos National Laboratory JAC 91 NIDX Network real time Intrusion Detection Expert system BAU 88 D tection d intrusion m thodes et outils 19 W amp S Wisdom and Sense du Los Alamos National Laboratory VAC 89 Par ailleurs certains outils utilisent d autres approches comme IDIOT Intrusion Detection In Our Time KUM 95 qui est bas sur le pattern matching Nous avons regroup dans la table 1 un certain nombre d outils de d tection d intrusion en indiquant les m thodes utilis es par chacun notre connaissance Outil M thode Syst m
7. suite de ce paragraphe 3 1 1 M thodes statistiques le mod le de Denning Le mod le de Denning est un mod le de comportement qui se compose de six l ments les sujets ce sont les initiateurs de toute activit observ e sur le syst me c est dire les utilisateurs ou les processus agissant pour leurs comptes les objets ce sont toutes les ressources du syst me fichiers de donn es fichiers de programme messages p riph riques La granularit des objets sera plus ou moins fine selon le degr de s curit recherch dans certains cas chaque fichier donnera lieu la d finition d un objet dans un autre il faudra descendre au niveau des enregistrements dans un troisi me cas le niveau r pertoire sera suffisant les enregistrements d audit ils sont g n r s par le syst me lors de toute action entreprise par un sujet sur un objet Ils se composent des informations suivantes le sujet ayant entrepris l action letype de l action par exemple login lecture criture les objets affect s une action peut impliquer plusieurs objets chec ou succ s de la commande des l ments quantitatifs sur l action par exemple nombre d octets ou d enregis trements transf r s dans une copie de fichier un horodatage de l action les profils ce sont des structures qui caract risent le comportement des sujets vis a vis des objets par l interm diaire de valeurs statis
8. usage fait des fichiers C est bien s r un point tr s sensible puisque les fichiers contiennent l information Pour chaque acc s un fichier on s int ressera aux points suivants horodatage de l acc s type de l acc s ouverture fermeture lecture ajout d enregistrement s modifica tion d enregistrement s purge du fichier source de l acc s triplet utilisateur terminal application volume d informations chang es lors de l acc s 2 1 4 Informations relatives chaque application Chaque application conduit des v nements qui peuvent influer sur la s curit du syst me On pourra enregistrer les v nements suivants les lancements et arr ts d application les modules r ellement ex cut s es commandes ex cut es et leurs r sultats chec ou succ s les donn es entr es les sorties produites 2 1 5 Informations sur les violations ventuelles de la s curit Il s agit d enregistrer tous les v nements pour lesquels il y a eu une tentative d acc s une ressource du syst me sans que cet acc s soit autoris par les r gles de la politique de s curit Parmi ces v nements on peut citer la tentative d ex cution d une application dans un mode privil gi par exemple la modification des droits d acc s sous Unix a tentative d acc s un fichier non autoris ou la fourniture d un mot de passe erron pour cet a
9. ASAX dans lequel une attaque est d finie par une s quence d v nements GASSATA d finie une attaque comme un ensemble de couples v ne ment d audit nombre d occurrences de cet v nement durant la session d audit Ces attaques sont regroup es dans une matrice appel e matrice attaques v nements L algorithme g n tique d termine le sous ensemble d attaques potentiellement pr sentes dans le fichier d audit si N attaques sont d finies on peut construire 2 sous ensembles Chaque individu de la population que manipule l algorithme g n tique correspond un sous ensemble d attaques particulier La valeur s lective d un individu est proportionnelle son degr de r alisme au vu du fichier d audit L al gorithme g n tique ne faisant survivre que les individus de forte valeur s lective la polulation finale est constitu e de clones de l individu codant l hypoth se la plus r aliste L ordre temporel des v nements dans le fichier d audit n est pas pris en compte Il en r sulte une alt ration de la pertinence de la d tection Cependant on peut y voir un avantage car dans la pratique l ordonnancement total des v nements est bien souvent difficile voire impossible r aliser C est particuli rement vrai lorsque l unit de temps minimale offerte par le syst me d audit est trop importante Si l audit s tend tout un r seau le probl me s accentue puisqu il faut alors construire un temps global dont on
10. SYNTHESE D tection d intrusion dans un syst me informatique m thodes et outils Ludovic M V ronique Alanou SUP LEC BP 28 35511 Cesson S vign Cedex R SUM Nous appelons intrusion toute violation de la s curit logique d un syst me infor matique Le m canisme d audit de s curit consistant en l enregistrement de tout ou partie des actions effectu es sur le syst me pour en faire une analyse a posteriori permet de d tecter des intrusions Pour cela deux approches sont actuellement utilis es l approche comportementale et l approche par sc narios Nous pr sentons ces deux approches et en donnons les avantages et inconv nients respectifs Divers outils mettent en uvre l une ou l autre de ces approches voire les deux Nous d crivons quatre de ces outils NIDES Hyperview ASAX et Gassata et donnons un tableau de synth se indiquant la ou les approches utilis es par ces quatre outils et quelques autres Dans la pratique l utilisation simultan e de plusieurs m thodes et outils semble indispensable afin de cumuler leurs avantages respectifs ABSTRACT We call intrusion any violation of computer security in which software mechanisms are used rather than physical ones The security audit mechanism i e the recording and examination of system activities allows intrusion detection In this paper the two current approaches for intrusion detection are discussed in detail behavioral approach and rule based a
11. as l habitude d utiliser donnera lieu un plus grand volume d enregistrements d au dit utilisera une imprimante sur laquelle il ne sort g n ralement pas de document etc un cheval de Troie diff rera du programme l gal dont il a pris la place en terme d utilisation des ressources d entr e sortie une attaque par d ni de service donnera lieu un taux d utilisation anormalement lev de certaines ressources du syst me Bien str les ph nom nes d crits dans ces exemples peuvent avoir une autre cause qu une attaque du systeme par exemple un changement de fonction de l utilisateur au sein de l entreprise On s attachera donc trouver des m thodes poss dant le plus fort taux de discrimination possible c est dire ayant le plus fort taux de d tection d intrusion et le plus faible taux de fausses alarmes De plus on se r f rera un seuil au del duquel on consid rera que le comportement est intrusif Cette approche dont la question de base est le comportement actuel de l utilisateur est il coh rent avec son comportement pass est appel e approche comportemen tale Pour caract riser le comportement normal d un utilisateur on parle de mod le de comportement l approche la plus imm diate consiste utiliser des m thodes statistiques Il est galement possible d envisager l utilisation de syst mes experts ou de r seaux de neurones Nous pr sentons successivement ces trois approches dans la
12. cc s la tentative d utilisation de certaines commandes du syst me r serv es des utili sateurs privil gi s e changement des droits d acc s des fichiers sensibles l acc s au syst me des moments ou depuis des lieux inhabituels Il faut d finir ce qui est habituel pour chaque utilisateur un groupe d utilisateurs ou tous les utilisateurs Les informations de ce type doivent tre exploit es rapidement de mani re limiter les effets ventuels d une atteinte la politique de s curit M me si on a une exploitation en quasi temps r el on gardera une trace de ces informations pour en permettre une tude ult rieure 2 1 6 Informations statistiques sur le syst me Il est possible de rep rer des activit s anormales dans un syst me en observant attentivement quelques facteurs cl Par exemple on pourra tirer des conclusions des informations suivantes niveau anormalement lev des refus d acc s au syst me D tection d intrusion m thodes et outils 5 niveau anormalement lev ou bas de l usage de certaines commandes du syst me en particulier les commandes demandant des privil ges particuliers 2 2 Collecte des v nements La plupart des syst mes d exploitation disposent d un sous syst me d audit capable de g n rer certains types d v nement Le noyau du syst me assure alors la g n ration et la collecte de ces v nements Il est galement possible de g n
13. cee dings of the 15th National Computer Security Conference 1992
14. de seconde de quantums de temps CPU occup s par un programme entre son lancement et sa terminaison nombre de fois qu une commande syst me particuli re est ex cut e par un utilisa teur donn pendant le temps ou il est connect etc Le mod le statistique permet de d terminer au vu de n observations 1 En faites sur une variable x si la valeur x 4 de la n 1 observation est normale ou non DENNING DEN 87 propose plusieurs mod les Comparaison de la nouvelle valeur de x avec une limite fixe dans ce cas les n Observations pr c dentes ne sont utiles que pour se donner une id e de la limite en question Exemple on consid re qu il y a essai d intrusion si on mesure dix mots de passe erron s en une minute Utilisation de la moyenne et de l cart type des n observations pr c dentes l observation n 1 est consid r e comme anormale si x sort de l intervalle de confiance d fini par un cart de D x e autour de la moyenne Ce mod le pr sente l avantage d tre capable d apprendre ce qui est normal partir des observations pass es Pour cela on met jour la moyenne et l cart type chaque nouvelle observation en pond rant les observations de mani re ce que les plus r centes aient le plus fort poids Utilisation des covariances ce mod le est similaire au pr c dent mais il permet de combiner plusieurs variables afin d en tirer une synth se Il permet d exploit
15. e R seau Pattern Al gorithme Ca Set enn ai ne ms x gt AudES Computer Watch DIDS HAYSTACK ISOA MIDAS NADIR NIDX W amp S GASSApAC i e e a X X X X X X X E Table 1 Outils de la d tection d intrusion 5 Conclusion Dans cet article nous avons pr sent un tat de l art en mati re de d tection d intrusion partir des enregistrements d audit de s curit Le volume de donn es g n r par les m canismes d audit des syt mes actuels est tr s important de l ordre du m ga octet par utilisateur et par heure sur les syst mes Unix comme SunOS et AIX d IBM Il est donc indispensable d offrir aux officiers de s curit des m thodes et des outils leur permettant d en extraire les informations utiles Deux grandes approches existent pour cela l approche comportementale et l ap proche base de r gles Chacune d entre elles pr sentant des avantages et des incon v nients leur utilisation simultan e est n cessaire Les outils existant mettent en uvre l une ou l autre de ces m thodes voire les deux Il est du ressort de l officier de s curit de choisir le ou les outils les plus appropri s non seulement au syst me informatique mais aussi la politique de s curit et au 20 niveau d expertise des intrus potentiels L exp rience et la comp tence de l officier de s curit sont ici essentielles Pour terminer il faut noter qu en amont de l analyse la
16. e fait avec un tr s bon quilibre entre l exploitation des r sultats d j acquis et l exploration de nouvelles r gions de l espace ce qui permet d obtenir un tr s faible rapport entre le nombre de points chantillon s et le nombre de points total dans l espace de recherche M Me94 donne un exemple d application des algorithmes g n tiques la re cherche de sc narios d attaque pr d finis dans les traces d audit chaque sc nario tant d fini comme un ensemble d v nements Tous les entrem lements possibles de ces sc narios doivent tre pris en compte On al un ph nom ne d explosion combinatoire qui interdit l utilisation d algorithmes de recherche classiques L approche g n tique grace son bon quilibre exploration exploitation permet d obtenir en un temps de trai tement raisonnable quelques secondes quelques minutes selon le nombre d attaques consid r es sur un IBM RS6000 320 le sous ensemble des attaques potentiellement pr sentes dans les traces d audit 3 3 Approche comportementale ou approche par sc narios Chacune de ces deux approches pr sente des avantages et des inconv nients 3 3 1 Avantage de l approche comportementale la d tection d intrusion inconnue est possible 3 32 Avantage de l approche par sc narios la prise en compte des comportements exacts des attaquants potentiels est possible 3 3 3 Inconv nients de l approche comportementale le choi
17. ents d audit en provenance des diff rentes machines connect es sur le r seau de mani re constituer un journal d audit global Ces transferts d information doivent tre s curis s par exemple par un m canisme de chiffrement 3 M thodes de d tection d intrusion Dans chacune des phases de l audit l exp rience et la comp tence de l officier de s curit sont essentielles Pour mener bien la phase de sp cification des v nements et des utilisateurs auditer il doit avoir tout la fois une vision globale et une vision pr cise du syst me D tection d intrusion m thodes et outils 7 de mani re d finir correctement c est dire sans effet de passoire les activit s syst me auditer Dans la phase d analyse du journal le travail de l officier de s curit est norme En effet les syst mes d exploitation actuels g n rent un tel volume d informations m me lorsque le nombre d activit s audit es est faible qu il est quasiment impossible de traiter manuellement les informations du fichier d audit Dans la pratique les traces d audit ne sont utilis es qu en cas de probl mes graves pour tenter d en d terminer la cause En d autres termes les traces d audit ne sont pas actuellement utilis es pour faire de la d tection d intrusion sauf dans des environnements tr s particuliers hautement s curis s Il est donc particuli rement n cessaire d offrir l officier de s curit un outil o
18. er le fait que deux mesures ou plus repr sentent des mani res diff rentes de caract riser le m me aspect du comportement d un utilisateur Utilisation des processus de Markov ce mod le permet de d finir la probabilit du passage d un tat d fini par le contenu d un enregistrement d audit un autre tat galement d fini par un enregistrement d audit Est consid r comme anormal un enregistrement qui apparait et dont la probabilit au regard des tats pr c dents est trop faible Cette approche est int ressante pour les attaques dans lesquelles est requis un enchainement de commandes dans un certain ordre Utilisation des s ries temporelles une nouvelle observation est anormale si sa probabilit d apparition au moment o elle appara t est trop faible DENNING envisage la possibilit d utiliser d autres mod les utilisant plus que les deux premiers moments mais moins que l ensemble complet des enregistrements d audit 10 3 1 2 Syst mes experts Pour repr senter l usage normal qu un utilisateur fait du syst me il est possible d utiliser un ensemble de r gles au lieu d un mod le statistique Cela permet d utiliser un syst me expert comme outil de d tection d intrusion Les r gles d un tel syst me expert peuvent tre soit entr es manuellement soit g n r es automatiquement partir des enregistrements d audit L entr e manuelle sera par exemple utilis e pour exprimer une polit
19. es vuln rabilit s inconnues et une approche syst me expert pour celles exploitant les vuln rabilit s connues JAV 93 JAV 94 AND 94 NIDES fonctionne sur une machine d di e ind pendante du syst me surveill auquel elle est reli e par un r seau Le syst me surveill appel syst me cible produit 2 NIDES est le nom donn la cinqui me g n ration de cet outil Les quatre premi res g n rations portait le nom IDES LUN 88 LUN 90b LUN 90c GAR 91 14 des enregistrements d audit qu il transmet NIDES par le r seau apr s les avoir convertis au format NIDES et chiffr s L avantage que pr sente cette approche est d avoir un impact acceptable bien qu il reste valuer pr cis ment sur les perfor mances du syst me cible Le syst me cible est un r seau de stations Sun La machine d di e est galement une station Sun et elle communique avec chaque station du sys t me cible en utilisant SunRPC sur un canal TCP IP Les principes de NIDES restent cependant totalement ind pendants du syst me cible SRI a d velopp une version pour mainframe NIDES exploite les enregistrements du fichier d audit qui lui parviennent dans le but d apprendre les habitudes des utilisateurs ou groupes d utilisateurs et de s adapter toute modification de ces habitudes de mani re d tecter et rapporter l officier de s curit les activit s anormales des utilisateurs Les v nements compris par NIDES sont e
20. est d clench e 16 Chaque r gle d clench e accroit un taux de suspicion qui est propre chaque utilisateur Lorsque le taux d passe un certain seuil un rapport d anomalie est mis vers l officier de s curit NIDES est logiciel gratuit fonctionnant sur un syst me Unix SunOS Cependant la personnalisation du systeme expert pour un site donn n cessite une n gociation commerciale Une version pour mainframe a galement t r alis e sur demande par le SRI NIDES est actuellement utilis par le FBI Federal Bureau of Investigations P U S Navy etc 4 2 Hyperview L outil Hyperview a t d velopp par la soci t CS Telecom partir de travaux men s depuis le d but des ann es 90 GAU 91 DEB 92 DEB 93 Hyperview est utilis dans un r seau de machines Unix Il centralise les donn es fournies par chaque syst me surveill fait de la d tection d intrusion en quasi temps r el et fournit des alarmes l officier de s curit Hyperview est constitu de quatre modules un module d analyse statique un module statistique un module neuronal et un syst me expert 4 2 1 Le module d analyse statique Hyperview permet d automatiser la v rification de points sensibles ou les failles potentielles dans la configuration et l administration des syst mes sous surveillance Un module appel Distributed Diagnostic Tool DDT effectue des contr les portant par exemple sur l int grit du syst me d exp
21. i est normal De cette mani re plus l enregistrement d audit est proche du comportement ant rieur de l utilisateur plus son r sum statistique est faible il est m me nul dans le cas o tous les X sont dans l intervalle pour lequel leur probabilit est la plus forte Il est alors possible de d finir des seuils tels que par exemple si RS 22 pas de probl me si 22 lt RS lt 28 alerte jaune si RS gt 28 alerte rouge RS est calcul pour chaque enregistrement d audit Cela signifie que si un utilisateur g n re Nea enregistrements par jour l officier de s curit dispose de Nea r sum s statistiques qualifiant le comportement de cet utilisateur Puisqu ils d pendent du pass ces Nea r sum s ne sont pas ind pendants Ils voluent lentement dans un sens ou dans l autre De mani re ne pas submerger l officier de s curit NIDES met une alerte soit lorsque le r sum d un utilisateur change de zone soit lorsque le r sum est en zone jaune ou rouge depuis un certain temps 4 1 2 Le syst me expert de NIDES NIDES int gre un syst me expert qui value le comportement des utilisateurs d apr s une base de r gles d crivant des comportements anormaux Le syst me expert de NIDES value les enregistrements d audit au moment o ils sont produits Il v rifie si certains champs de l enregistrement correspondent ce qui est sp cifi dans les r gles Si c est le cas la r gle correspondante
22. idus repr sentant chacun le codage d une solution potentielle au probl me r soudre Chaque individu prend la forme d une chaine de caract res Dans les cas classiques l alphabet chromosomique est binaire les deux all les possibles sont O et 1 mais parfois les sp cificit s du probl me r soudre am nent choisir un alphabet de cardinalit sup rieure 2 La population volue en g n rations successives La taille constante de la popula tion induit un ph nom ne de comp tition entre les individus les plus forts survivant et se reproduisant entre eux pour cr er de nouveaux individus les plus faibles dispa 12 raissant petit petit De plus lors des cr ations d individus des mutations g n tiques c est dire la modification d un caract re dans la cha ne se produisent Cette analogie avec la nature conduit d finir les trois op rateurs g n tiques de base s lection recombinaison et mutation La traduction algorithmique des adjectifs faible et fort appliqu s aux indi vidus conduit d finir une fonction s lective qui permet d associer une valeur dite s lective chaque individu de la population La fonction s lective f est souvent une transformation o de la fonction objective f x g o z L application des op rateurs g n tiques sur des individus jug s par une fonction s lective particuli re permet d explorer l espace des solutions la recherche d un extremum Cette recherche s
23. ique de s curit Les r gles g n r es d crivent quant elle des comportements Les syst mes experts pr sentent un inconv nient souvent cit la base de r gles est ni simple cr er ni simple maintenir 3 1 3 R seaux de neurones On peut envisager l application des r seaux de neurones la d tection d intrusion de plusieurs mani res Pour donner une mod lisation statistique du comportement des utilisateurs LUN 90a On est alors tr s proche des m thodes statistiques telles que celles pr sent es ci dessus l avantage des r seaux de neurones tant qu il n est pas n cessaire de faire d hypoth ses sur les variables al atoires Pour classifier le comportement des utilisateurs LUN 90a FOX 90 par un algo rithme de type carte de Kohonen classification automatique et non supervis e Pour pr dire le comportement des utilisateurs DEB 92 DEB 93 Le r seau ap prend les s quences de commandes usuelles chaque utilisateur Il lui est alors possible apr s chaque commande pass e par l utilisateur de pr dire la commande suivante sur la base de ce qu il a appris En cas de d viation entre la pr vision et la r alit une alarme est mise Il faut cependant noter qu un r seau de neurones ne fournit pas d explication sur le raisonnement l ayant amen proposer un diagnostic d intrusion que le param trage d un r seau de neurones est d licat et peut influer co
24. loitation les droits d acc s aux fichiers les mots de passe ou la configuration r seau Les fonctionnalit s de DDT sont rapprocher de celles de COPS Toutefois cer taines fonctions limit es de COPS ont t am lior es en s inspirant d outils tels que Crack MUF 92 contr le des mots de passe et Tiger SAF 93 4 2 2 Le module statistique Ce module permet de mod liser le comportement des utilisateurs gr ce aux don n es issues des m canismes de comptabilit et d audit Il est possible de d tecter les d viations de comportement des utilisateurs par rapport aux profils statistiques construits Le module statistique d Hyperview a des objectifs plus modestes que celui de NIDES la fonction de mod lisation fine du comportement tant laiss e au module neuronal Le mod le statistique est un simple mod le seuil prenant en compte les d passements de moyennes statistiques pr c demment tablies Il a pour but de d tecter les vols de ressource c est dire les utilisations abusives ou en tous cas inhabituelles des ressources du syst me CPU entr es sorties D tection d intrusion m thodes et outils 17 4 2 3 Le module neuronal Le r seau de neurones mod lise le comportement des utilisateurs par les s quences de commandes que ceux ci utilisent Il se distingue donc du module statistique pr sent ci dessus qui ne prend en compte que les utilisations isol es des commandes En phase d apprenti
25. mportements des types suivants Intrusions portant atteinte la confidentialit vol de donn es lecture copie ou prise copie suivie d une destruction furetage parcours des r pertoires la recherche d informations dont on ne connait pas forc ment l existence fuite d informations par canal cach inf rence ill gitime corr lation ill gitime entre des donn es pour lesquelles on a des droits d acc s Intrusions portant atteinte l int grit fraude modification ill gitime de fichiers de donn es introduction de programmes malveillants Intrusions portant atteinte la disponibilit de service destruction ill gitime ou abusive de fichiers donn es ou programmes occupation ill gitime ou abusive de ressource s avec ou sans b n fice d usage r duction illicite ou abusive des droits des usagers De plus les programmes malveillants virus cheval de Troie ver bombe logique peuvent aussi bien porter atteinte la confidentialit qu l int grit ou la disponibi lit de service Les actions qui peuvent tre entreprises si on d tecte une intrusion en cours sont la d connexion de l intrus ou son confinement dans des r pertoires particuliers limitant les dommages possibles mais permettant d tudier plus pr cis ment son comporte ment 2 3 1 Fr quence de l analyse des traces d audits Les analyses doivent tre fr quentes afin que le minimum de malversations
26. nsid ra blement sur les r sultats fournis 32 D tection d une attaque exploitant une vuln rabilit connue approche par sc narios S il n est pas envisageable de d crire statistiquement le comportement d un at taquant il est possible de donner des r gles sur sa mani re de proc der Ces r gles prennent la forme de sc narios d attaque exploitant des vuln rabilit s du syst me pr c demment identifi es On parle parfois pour cette approche dont la question de base est le comportement de l utilisateur correspond il une attaque connue de mod le de sc nario Avec de tels syst mes toute attaque non pr vue reste ind tect e D tection d intrusion m thodes et outils 11 3 2 1 Syst mes experts Dans l optique d une d tection d attaque exploitant une vuln rabilit connue il est possible d utiliser un syst me expert dont la base de connaissances contient des r gles pr cisant ce qui est suspect a priori en fonction de la politique de s curit en vigueur sur le site surveill des r gles concernant les failles de s curit connues suite de pr c dentes in trusions ou suite un avis du CERT Computer Emergency Response Team par exemple des r gles codant le savoir faire d un officier de s curit en mati re de d tection d intrusion 3 2 2 Pattern Matching reconnaissance de formes Chaque v nement d un sc nario d attaque peut tre consid r comme une lettre p
27. plusieurs contextes comme celui de la surveillance d un serveur d application pour un grand compte du domaine t l com ou celui de la surveillance de syst mes Unix pour un grand compte du domaine spatial 4 3 ASAX ASAX Advanced Security audit trail Analysis on uniX d velopp par l Universit de Namur et Siemens Nixdorf S A offre un langage base de r gles RUSSEL qui permet d associer un sc nario d attaque une action entreprendre si ce sc nario se r alise HAB 92 ASAX d finit un format standard de donn es d audit NADF Normalized Audit Trail Format vers lequel sont traduites les traces d audit au format syst me Les traces standard ainsi g n r es sont analys es s quentiellement en une seule passe car un instant donn un ensemble de r gles est actif et repr sente l ensemble des connaissances pr cedemment acquises ASAX grace RUSSEL permet donc de reconnaitre des s quences particuli res dans les traces d audit et de d clencher les actions en cons quence ASAX est un prototype distribu gratuitement 18 4 4 GASSATA GASSATA est un prototype de d tection d intrusion construit autour d un algo rithme g n tique impl mentant les trois op rateurs de base d finis par John HOL LAND s lection proportionnelle crossover un point et mutation simple Il s appuie sur les r sultats de Me94 et a t d velopp sur une machine IBM RS6000 sous AIX 3 2 5 X11RS Contrairement
28. pproach We give some examples of tools implementing these approaches and conclude on the necessity to use several detection methods simultaneously in order to combine their individual advantages MOTS CL S D tection d intrusion Audit de s curit KEY WORDS Intrusion detection Security audit 1 Introduction La s curit d un syst me informatique peut tre abord e de plusieurs mani res qu il est souvent indispensable de combiner pour atteindre un niveau de s curit 2 suffisant 1 l approche pr ventive coercitive consiste contraindre les usagers respecter certaines proc dures lors de toute utilisation du syst me Le m canisme le plus r pandu dans ce cadre est la simple authentification par mot de passe Dans le cas o un haut niveau de s curit est demand on peut mettre en ceuvre une politique de s curit plus labor e ROL 94 2 l approche pr ventive analytique permet d identifier les menaces pesant sur un sys t me donn On dispose d outils qui pour un type de syst me particulier effectuent certains contr les permettant de caract riser l tat de s curit du syst me en ques tion par rapport un tat de r f rence d fini pr c demment Ces outils sont dits outils de contr le statique Les outils COPS Computer Oracle and Password System FAR 91 et CAS Conseiller Automatique en S curit DAC 91 font partie de cette cat gorie Une variante de ce type d approche est
29. propos e par les syst mes d analyse base de r gles Ces outils sont des syst mes experts auxquels l utilisateur propose un but par exemple s approprier les droits en criture sur le fichier etc passwd d un syst me Unix sachant qu on leur conf re initialement tels et tels droits et ils tentent d atteindre ce but par un enchainement intelligent de commandes du syst me Du succ s ou de l chec du d fi on tire des informations pertinentes sur la s curit du syst me L outil KUANG inclus dans COPS entre dans cette famille 3 l approche curative consiste enregistrer tout ou partie des actions effectu es sur le syst me pour en faire une analyse a posteriori permettant de d masquer les auteurs d intrusions Le m canisme permettant l enregistrement des actions est appel audit de s curit Nous pr sentons dans le paragraphe 2 les activit s li es l audit de s curit Dans le paragraphe 3 nous exposons les deux approches actuelles de la d tection d intrusion et en donnons les avantages et inconv nients respectifs Dans le paragraphe 4 nous pr sentons quelques outils de d tection d intrusion et dressons un tableau comparatif indiquant les m thodes mises en ceuvre par ces outils Nous concluons sur la n cessit d utiliser simultan ment plusieurs m thodes de d tection de mani re cumuler leurs avantages respectifs 2 Activit s li es l audit de s curit Toute op ration entreprise sur un
30. reste ind tect Les analyses journali res pr conis es il y a quelques ann es BRO 79 semblent aujourd hui insuffisantes L objectif atteindre est la surveillance du syst me en quasi temps r el A ce titre on peut envisager que l cart entre deux analyses successives des traces d audit soit r duit quelques minutes voire quelques dizaines de secondes ce doit tre un l ment de la politique de s curit Cette contrainte a des cons quences fortes sur les m thodes d analyse utilisables qui doivent permettre de traiter tr s rapidement des volumes de donn es consid rables 2 3 2 Protection du journal d audit La confidentialit l int grit et la disponibilit du journal d audit sont essentielles un utilisateur malicieux ne devant pas pouvoir effacer ou modifier les traces de ses op rations Le fichier d audit doit donc tre prot g contre toute lecture ou modification par des utilisateurs autres que ceux qui sont autoris s 2 3 3 Le cas des r seaux Lorsque l on souhaite faire de l audit sur un syst me distribu il est imp ratif de disposer d une base de temps commune qui permettra d estampiller les v nements survenants sur toutes les machines connect es Il faut donc construire un temps global sur le r seau ECM 88 ou accepter l utilisation d une fen tre de temps KIM 91 Par ailleurs il faut tre capable de diffuser les types d v nement auditer et de collecter les enregistrem
31. rise dans un alphabet constitu par l ensemble des v nements auditables sur le syst me cible Le fichier d audit peut tre vu comme une chaine de caract res principale et les sc narios d attaque comme des sous suites qu il s agit de localiser dans cette chaine principale Le probl me de d tection d intrusion se ram ne alors un probl me de pattern matching De cette analogie d coule la n cessit de disposer d un langage de description des sc narios d attaque et d un algorithme de pattern matching efficace 3 2 3 Algorithmes g n tiques Les algorithmes g n tiques G A propos s par JoHN HOLLAND dans les ann es 70 HOL 75 s inspirent de l volution g n tique des esp ces plus pr cis ment du prin cipe de s lection naturelle Il s agit d algorithmes de recherche d optimum construits en s inspirant de la nature dans laquelle vivent dans des conditions parfois difficiles des organismes robustes et adaptables La fonction dont on recherche l optimum est dite fonction objective On ne fait aucune hypoth se sur cette fonction en particulier elle n a pas tre d rivable ce qui repr sente un avantage sur certaines m thodes de recherche d extremum par exemple les m thodes bas es sur le gradient Pour r soudre un probl me quelconque par approche g n tique on devra l exprimer sous la forme d une fonction objective Un algorithme g n tique manipule une population de taille constante form e d indiv
32. rsit de Paris 6 1993 DEN 87 D E DENNING An Intrusion Detection Model IEEE transaction on Software Engineering 13 2 222 232 1987 ECM 88 ECMA Security In Open Systems A Security Framework 1988 FAR 91 Dan FARMER et E H SPAFFORD The COPS Security Checker System Dans Proceedings of the 14th National Computer Security Conference pages 372 385 October 1991 FOX 90 Kevin L Fox Ronda R HENNING Jonathan H REED et Richard P SIMONIAN A Neural Network Approach Towards Intrusion Detection Rapport Technique Harris Corporation 1990 GAR 91 T D GARVEY et T F LUNT Model based Intrusion Detection Dans Proceedings of the 14th National Computer Security Conference October 1991 GAU 91 G GAUDIN Gestion de s curit en environnement h t rog ne Dans De nou velles architectures pour les communications les r seaux informatiques qualit de service s curit et performances pages 73 80 octobre 1991 GEN 92 C R GENT et C P SHEPPARD Predicting Time Series by a Fully Connected Neural Network Trained by Back Propagation Computing and Control Engineering Journal May 1992 HAB 92 Naji HABRA Baudouin Le CHARLIER Abdelaziz MOUNII et Isabelle MATHIEU ASAX Software Architecture and Rule Based Language for Universal Audit Trail Analysis Dans European Symposium on Research in Computer Security ESORICS pages 435 450 1992 HOL 75 John H HOLLAND Adap
33. ssage le r seau apprend pour chaque utilisateur les s quences qui lui sont habituelles En phase d exploitation il lui est donc possible de pr dire la commande que l utilisateur devrait saisir au vu des s quences apprises Si la commande saisie diff re de la pr diction le comportement est jug anormal Le r seau de neurones impl ment par Hyperview est un r seau r current simple avec architecture de GENT GEN 92 Ce type de r seau a t choisi car il est bien adapt la pr diction de s ries temporelles 4 2 4 Le syst me expert La base de r gles du syst me expert d Hyperview porte sur l enchainement des appels syst mes et sur la r f rence des objets sensibles Ce syst me fournit des alarmes de type acquisition de privil ges ou changement de droits d acces Le syst me expert traite directement les appels syst me enregistr s dans les fichiers d audit de s curit Le syst me expert utilis est IlogRules Sur SunOS 4 1 3 environ 60 r gles sont n cessaires pour r aliser la surveillance de 120 ressources sensibles L ensemble des modules d crits ci dessus permet de fournir I officier de s curit des niveaux de risques par utilisateur et des niveaux de risques par syst me surveill Hyperview est implant sur station Sun sous SunOS 4 1 3 La gestion de toutes les donn es est r alis e gr ce au SGBD relationnel Ingres Hyperview est un logiciel commercial fonctionnant actuellement dans
34. ssentiellement les suivants acc s aux fichiers cr ation ou destruction de fichier ouverture d un fichier en criture ou en lecture criture ou lecture dans un fichier renommage d un fichier modification des modes d acc s un fichier modification du propri taire d un fichier acc s aux r pertoires cr ation ou suppression de r pertoire changement de r pertoire courant connexions d connexions connexion ou d connexion d un utilisateur chec d un essai de connexion passage en super utilisateur chec d un essai de passage en super utilisateur consommation de ressource CPU m moire E S ex cution d une commande du syst me activit r seau telnet rlogin ftp etc activit s des programmes 4 1 1 L approche statistique de NIDES Elle s appuie sur deux types de mesures permettant de caract riser l activit des utilisateurs LUN 90c les mesures continues contiennent les aspects quantifiables du comportement des utilisateurs par exemple nombre d enregistrements d audit produits en une heure nombre de fichiers acc d s temps CPU utilis par jour D tection d intrusion m thodes et outils 15 es mesures cat gorielles n cessitent pour leur part que soit pr cis un nom de ressource utilis e Ainsi dans la cat gorie des acc s aux fichiers on devra pr ciser les noms des fichiers acc d s par exemple nombre d acc
35. syst me informatique se traduit par une s quence d actions effectu es par le syst me Ces actions sont appel es activit s syst me Une activit syst me intervenant un certain moment est appel e v nement Un journal d audit de s curit est un fichier dans lequel est enregistr chronologiquement tout ou partie des v nements Les enregistrements du journal d audit sont aussi appel s traces d audit Le journal d audit doit permettre partir de l tude des s quences d v nements que l on y trouve de reconstituer les op rations entreprises par certains utilisateurs D tection d intrusion m thodes et outils 3 sp cifiques du syst me dits utilisateurs audit s Il doit tre possible de r pondre aux six questions suivantes quelle op ration a t faite qui a fait l op ration Identifiant et label niveau de s curit et ensemble de domaine du processus et de l utilisateur pour le compte duquel il agit quelles ressources du syst me ont t elles t affect es Lorsqu il s agit d un fichier on enregistre son nom et son chemin d acc s ainsi que les donn es ajout es ou supprim es quand l op ration a t elle t r alis e horodatage de l enregistrement o cela est il arriv Dans le cas o l op ration qui a conduit l enregistrement s est produite sur un serveur distant on enregistre l identifiant de ce serveur en cas d chec pourquoi l op ration a t elle
36. t relativement faibles car la plupart du temps le volume norme des fichiers d audit les a d courag s de toute analyse Il semble donc indispensable d utiliser simultan ment une approche comportemen tale et une approche par sc narios de mani re profiter des avantages de l une et de l autre C est ce qui a t fait dans l outil NIDES que nous pr sentons dans cet article 4 Quelques outils de d tection d intrusion Nous pr sentons dans ce paragraphe les outils NIDES Hyperview ASAX et GAS SATA NIDES d velopp par SRI Stanford Research Institute est l outil de r f rence Il int gre un module statistique et un syst me expert Hyperview a t d velopp par la soci t francaise CS Telecom Au module statistique et au syst me expert Hyperview ajoute un module neuronal ASAX d velopp conjointement par l Universit de Na mur et Siemens Nixdorf S A offre un langage de description de sc narios d attaque et un moteur de type syst me expert pour l analyse GASSATA est quant lui un prototype d velopp Sup lec Il s agit d un algorithme g n tique qui recherche des sc narios pr d finis dans les traces d audit 4 1 NIDES D velopp sur financement de l U S Navy NIDES Next generation Intrusion Detection Expert System est un outil de d tection d intrusion qui s appuie sur les deux approches pr sent es ci dessus une approche statistique mod le de DENNING pour les attaques exploitant l
37. tation in Natural and Artificial Systems Th se de doctorat University of Michigan Ann Arbor 1975 D tection d intrusion m thodes et outils 21 JAC 91 Kathleen A JACKSON David H DUBOIS et Cathy A STALLING An Expert System Application for Network Intrusion Detection Dans Proceedings of the 14th National Computer Security Conference 1991 JAV 93 H S JAVITZ A VALDES T F LUNT A TAMARU M TYSON et J LOWRANCE Next Generation Intrusion Detection Expert System NIDES Rapport Technique A016 Rationales SRI 1993 JAV 94 Harold S JAVITZ et Alfonso VALDES The NIDES Statistical Component Description and Justification Rapport Technique A010 SRI 1994 KIM 91 J KIMMINS Developing a Network Security Architecture Concepts and Issues Dans Proceedings of the SECURICOM 91 Conference march 1991 KUM 95 Sandeep KUMAR Classification and Detection of Computer Intrusions Th se de doctorat Purdue University August 1995 LUN 88 T F LUNT et R JAGANNATHAN A Prototype Real Time Intrusion Detection Expert System Dans Proceedings of the IEEE Symposium on Security and Privacy pages 59 66 1988 LUN 90a Teresa LUNT IDES An intelligent System for Detecting Intruders gt Dans Computer Security Threats and Countermeasures November 1990 LUN 90b T F LUNT A TAMARU F GILHAM R JAGANNATHAN C JALALI H S JAVITZ A VALDES et P G NEUMANN A real Time In
38. tiques r sultant de l observation des sujets Un profil caract rise le comportement d un utilisateur ou d un groupe d utilisateurs envers un objet ou un ensemble d objets Il donne une vue synth tique des actions des utilisateurs sur les objets les enregistrements d anomalie ils sont g n r s quand une activit anormale est d tect e les r gles d activit elles d finissent les actions entreprendre lorsque certaines conditions sont remplies sur les enregistrements d audit ou les enregistrements 1 Il peut sembler int ressant de d crire statistiquement les comportements possibles d un attaquant de mani re identifier par la suite tout comportement intrusif par comparaisons avec ces profils d attaquant Malheureusement on dispose de trop peu de donn es sur le sujet pour que la construction de tels profils soit envisageable D tection d intrusion m thodes et outils 9 d anomalie Elles ont la forme classique conditions actions Les actions peuvent par exemple consister alerter l officier de s curit Un profil est constitu par un ensemble de variables repr sentant une quantit accumul e pendant une certaine p riode de temps minute heure journ e semaine ou intervalle entre deux v nements audit s particuliers par exemple entre connexion et d connexion Voici quelques exemples de variables possibles nombre de mauvais mots de passe saisis en une minute nombre en milli mes
39. trusion Detection Expert System Rapport Technique SRI International June 1990 LUN 90c T F LUNT A TAMARU F GILHAM R JAGANNATHAN P G NEUMANN et C JALALI IDES A Progress Report Dans Proceedings of the Computer Security Application Conference pages 273 285 1990 Me92 Ludovic ME Audit de s curit gt Rapport Technique 92 002 SUP LEC LM 1992 Me94 Ludovic ME Audit de s curit par algorithmes g n tiques Th se de doctorat Universit de Rennes 1 Num ro d ordre 1069 1994 MCA 90 N MCAULIFFE D WOLCOTT L SCHAEFER N KELEM B HUBBARD et T HALUEY Is your Computer Being Misused A Survey of Current Intrusion Detection System Technology Dans Proceedings of the IEEE Computer Security Applications Conference pages 260 272 1990 MUF 92 Alec D E MUFFETT Crack A Sensible Password Checker for Unix from ftp corton inria fr CERT tools crack crack4 1 tar March 1992 POR 92 Phillip Andrew PORRAS A State Transition Analysis Tool For Intrusion Detection Master s thesis University of California Santa Barbara 1992 ROL 94 Pierre ROLIN Ludovic ME et Jos VAZQUEZ S curit des syst mes informatiques gt R seaux et Informatique Repartie pages 31 74 1994 SAF 93 David R SAFFORD Douglas Lee SCHALES et David K HESS The TAMU Security Package an Ongoing response to the Internet Intruders in an Academic Environment Dans Proceedings of the
40. u une panoplie d outils d aide l analyse du journal d audit Nous pr sentons dans ce paragraphe les m thodes sur lesquelles les prototypes de d tection d intrusion existants s appuient Ces m thodes sont de deux types car un attaquant qui cherche s introduire dans un syst me peut exploiter des vuln rabilit s qui peuvent tre connues ou inconnues de 1 officier de s curit du syst me 3 1 D tection d une attaque exploitant une vuln rabilit inconnue approche comportementale Une approche propos e par J P ANDERSON AND 80 puis reprise et tendue par D E DENNING DEN 87 consiste utiliser des m thodes bas es sur l hypoth se selon laquelle l exploitation d une vuln rabilit du syst me implique un usage anormal de celui ci Une intrusion est donc identifiable en tant que d viation par rapport au comportement habituel d un utilisateur Voici quelques exemples tayant cette hypoth se un essai d intrusion par un utilisateur non connu du syst me donnera lieu un taux anormal de mots de passe erron s l attaquant par d guisement se connecte une heure inhabituelle il utilise abon damment des commandes lui permettant de changer de r pertoire peut tre n utilise t il jamais l utilitaire favori de l utilisateur habituel un utilisateur connect l gitimement au syst me et qui essaye de contourner la politique de s curit se connectera la nuit ex cutera des programmes qu il n a p
41. x des diff rents param tres du mod le statistique est assez d licat et soumis l exp rience de l officier de s curit l hypoth se d une distribution normale des diff rentes mesures n est pas prouv e le choix des mesures retenir pour un syst me cible donn est d licat en cas de profonde modification de l environnement du syst me cible le mod le statistique d clenche un flot ininterrompu d alarmes du moins pendant une p riode transitoire D tection d intrusion m thodes et outils 13 un utilisateur peut changer lentement de comportement dans le but d habituer le syst me un comportement intrusif il est difficile de dire si les observations faites pour un utilisateur particulier cor respondent des activit s que l on voudrait prohiber pour un utilisateur au comportement erratique toute activit est normale Une attaque par d guisement sur son compte ne pourra pas tre d tect e il n y a pas de prise en compte des tentatives de collusion entre utilisateurs alors m me que cet aspect est tr s important notamment dans le cas des r seaux 3 3 4 Inconv nients de l approche par sc narios la base de r gles doit tre bien construite ce qui est parfois d licat es performances du syst me expert sont limit es par celles de l expert humain qui a fourni les r gles Or les connaissances des officiers de s curit en mati re de d tection d intrusion son
Download Pdf Manuals
Related Search