Translation by eberkut - http://www.chez.com/keep
Je suis Teresa Lunt et pendant les 8 dernières
années j'avais travaillé sur une série de systèmes expérimentaux de plus en
plus capables de détection d'intrusion ici au SRI. Notre tout dernier système,
NIDES, est maintenant disponible en version bêta sans aucun coût. Pendant un
temps très limité, nous rendons également un cours de formation libre d'une
semaine disponible.
Puisque je quitterai SRI temporairement pour un travail à l'ARPA en tant que
program manager en sécurité informatique
(tlunt@arpa.mil), en mon absence
Debra Anderson
(debra@csl.sri.com) est le contact ici au SRI pour NIDES.
NIDES est un système complet de détection d'intrusion qui exécute une
surveillance en temps réel de l'activité utilisateur sur un ensemble
d'ordinateurs système cibles et détecte le comportement peu commun et
soupçonneux d'utilisateurs en temps réel sur ces systèmes cibles. NIDES
fonctionne sur son propre poste de travail et analyse des données d'audit
caractérisant l'activité d'utilisateur rassemblées depuis les systèmes
surveillés pour détecter une variété de comportement soupçonneux de
l'utilisateur.
NIDES exécute deux types d'analyse. Son analyse statistique met à jour des
profils statistiques historiques pour chaque utilisateur et lance une alarme
quand l'activité observée s'écarte des configurations établies de
l'utilisation pour un individu. Les profils historiques sont mis à jour
régulièrement, et des données plus anciennes supprimées avec chaque mise à
jour de profil, de sorte que NIDES apprenne de manière adaptative qu'attendre
de chaque utilisateur. Ce type d'analyse est destiné à détecter des intrus
déguisé en utilisateurs légitimes. L'analyse statistique peut également
détecter les intrus qui exploitent des vulnérabilités précédemment
inconnues qui ne pourraient pas n'être détectées par aucun autre moyen. La
détection statistique d'anomalie peut également indiquer les événements
intéressants et peu communs qui pourraient mener aux découvertes relevant de
la sécurité lors de la recherche par un admin sécurité. L'analyse
statistique est paramètrable : plusieurs paramètres et seuils peuvent être
modifiés de leurs valeurs par défaut, et les "mesures" spécifiques
de détection d'intrusion (les aspects comportementaux pour lesquels des
statistiques sont conservées) peuvent être activées ou non.
L'analyse basée sur des règles de NIDES utilisent des règles qui
caractérisent les types connus d'intrusion pour lancer une alarme si
l'activité observée correspond à une de ses règles encodées. Ce type
d'analyse est destiné à détecter des tentatives d'exploiter des
vulnérabilités connues de sécurité des systèmes surveillés et des intrus
qui montrent des modes de comportement spécifiques connus pour être
soupçonneux ou en violation avec la politique de sécurité du site.
L'activité observée qui correspond à n'importe lequel de ces comportements
prédéfinis est marquée. À la différence de la plupart des systèmes en
concurrence, le NIDES rulebase est paramètrable : de nouvelles règles peuvent
être définies et compilées dans le système courant, et des règles
existantes peuvent être activées ou pas. Bien que NIDES vienne avec un
rulebase limité conçu pour les systèmes d'exploitation Sun UNIX, vous voudrez
personnaliser le rulebase pour votre environnement particulier et le maintenir
à jour avec les vulnérabilités changeantes de nouvelle version du système et
les vulnérabilités de la version courante.
La plupart des systèmes de détection d'intrusion concurrents se fondent
fortement sur l'analyse basée sur des règles et exécutent seulement l'analyse
statistique minimale. Parce que les comportements intrusifs détectés par un
système basé sur des règles sont limités à ceux que que la source de
connaissance sait (un intrus chevronnés peut en connaître d'autres), la
combinaison des approches statistique et basée sur des règles est destinée à
fournir l'assurance complète, fournissant la capacité de détecter les actions
spécifiques connues pour être soupçonneuses (par l'intermédiaire du
composant rulebased), aussi bien que des déguisés et des méthodes imprévues
ou inconnues d'intrusion (par l'intermédiaire du composant statistique).
Le séparateur de NIDES examine les alarmes produites par les composants
statistique et rulebased avant de les rapporter à l'admin sécurité, pour
éviter de flooder l'admin sécurité avec les alarmes redondantes. Des alertes
peuvent être rapportées à la console de NIDES ou à une liste email de
destinataires. Quelques filtres configurables par l'utilisateur sont également
fournis. Par exemple, vous pouvez arrêter le rport d'alertes pour des
utilisateurs spécifiques, si vous savez qu'ils feront quelque chose d'anormal
et produiraient autrement beaucoup de fausses alarmes. Bien que des alertes
filtrées ne soient pas rapportées, elles sont encore loggées.
NIDES inclut un service d'archives pour des enregistrements d'audit, des
résultats d'analyse, et des alertes, et permet de parcourir ces archives. NIDES
inclut également un système surveillant le service qui fournit l'information
sur les systèmes surveillés, statut de l'archiveur de données d'audit, un
sommaire quotidien du débit système, et un sommaire quotidien de génération
d'alerte.
NIDES inclut également un service d'essai qui permet à un admin sécurité
d'expérimenter de nouvelles configurations de paramètres statistiques ou de
nouvelles configurations rulebase avant de les inclure dans le fonctionnement de
NIDES. L'utilisateur de NIDES peut construire des positionnements d'essais
depuis les archives d'enregistrement d'audit pour une fenêtre temporel
spécifique et un ensemble de noms d'utilisateur. Le rulebase et les paramètres
statistiques candidats peuvent alors être testés contre ces positionnements
d'essais concourants avec le fonctionnement de NIDES. Des résultats d'essai
sont archivés pour la comparaison.
NIDES peut fonctionner aussi en temps réel, pour le contrôle continu et
l'analyse de l'activité utilisateur, ou en mode batch, pour l'analyse
périodique en lots des données d'audit. NIDES peut surveiller de nombreuses,
probablement hétérogènes, machines. Les systèmes surveillés fournissent des
données d'audit à NIDES pour l'analyse. Un processus qui fonctionne sur chaque
système surveillé convertit des données d'audit dans le format
d'enregistrement d'audit natif au système surveillé en format de données
d'audit génériques employées par NIDES et (en mode temps réel) transmet les
données d'audit formatées à NIDES. NIDES reçoit des données des systèmes
surveillés multiples et fusionne les données dans un simple flux
d'enregistrement d'audit pour l'analyse. Puisque NIDES utilise un format
d'enregistrement d'audit générique, il s'adapte facilement à la surveillance
de nouveau système en écrivant de simples données d'audit mappant la routine
(mapper les routines pour quelques types de système est déjà disponible).
NIDES inclut une interface utilisateur écrite en utilisant le toolkit MOTIF
pour fonctionner sous le système X-Window. Aux diverses fonctions de NIDES est
permis d'accéder par l'intermédiaire de menus pulldown, des sélections
point-et-clic, et de l'enregistrement de texte occasionnel. Un système d'aide
en contexte sensible extensible est également inclus. NIDES inclut également
un manuel et un tutorial utilisateur complets.
NIDES fonctionne en pajorité sur Sun Sparcstations.
Des copies d'évaluation de la version bêta de NIDES sont offertes sans aucune
charge. Vous devriez contacter Debra Anderson (debra@csl.sri.com).