Manh Phung
October 24, 2000
SANS Institute

Translation by eberkut - http://www.chez.com/keep

Où en sommes nous aujourd'hui en détection d'intrusion ?

Au jour d'aujourd'hui où presque chaque compagnie dépend de l'Internet pour survivre, il n'est pas étonnant que le rôle de la détection d'intrusion réseau a crû aussi rapidement. Tandis qu'il peut encore y avoir certains arguments quant à ce qui est la meilleure méthodes de protéger des réseaux d'entreprises (i.e. firewalls, patchs, détection d'intrusion, formation ...) il est sûr que le système de détection d'intrusion (IDS) maintiendra probablement un rôle important dans la fourniture d'une architecture de réseau sécurisée.

Ceci étant dit, qu'est-ce que la technologie actuelle de détection d'intrusion nous fournit ? Pour l'analyste qui s'assied devant un IDS, le système idéal identifierait toutes les intrusions (ou tentatives d'intrusions), et prend ou recommande les mesures nécessaires pour arrêter une attaque.

Malheureusement, le marché des IDS est toujours très jeune et une solution "silver bullet" détectant toutes les attaques ne semble pas être à l'horizon ou même nécessairement plausible. Ainsi quelle est la "prochaine étape", ou la "phase suivante" pour la détection d'intrusion ? Un point fort a pu être accompli par l'usage des techniques de data mining (NdT : extraction de données) pour améliorer l'état actuel de la détection d'intrusion.

Qu'est ce que le data-mining ?

Selon R.L. Grossman dans le "Data Mining : Challenges and Opportunities for Data Mining During the Next Decade", il définit le data mining comme "concerné à découvrir des configurations, des associations, des changements, des anomalies, et statistiquement des structures et des événements significatifs dans les données". Simplement il offre la capacité de prendre des données et de tirer d'elle les configurations ou les déviations qui ne peuvent être vues facilement à l'oeil nu. Un autre terme parfois utilisé est knowledge discovery.

Alors qu'ils ne seront pas discutés en détail dans ce rapport, ils existent beaucoup de types différents d'algorithmes d'extraction de données pour inclure l'analyse de lien, le clustering, l'association, l'abduction de règle, l'analyse de déviation, et l'analyse de séquence.

Comment les IDS actuels détectent-il des intrusions ?

Afin que nous puissions déterminer comment le data mining peut aider la détection anticipée d'intrusion il est important de comprendre comment les IDS actuels travaillent pour identifier une intrusion. Il y a 2 approches différentes à la détection d'intrusion : détection de mauvaise utilisation et détection d'anomalie. La détection de mauvaise utilisation est la capacité d'identifier des intrusions basées sur une configuration connue pour l'activité malveillante. Ces configurations connues sont désignées sous le nom des signatures. La seconde approche, la détection d'anomalie, est la tentative d'identifier le trafic malveillant basé sur des déviations des configurations établies de trafic réseau normales. Les plupart des IDS, sinon tous, qui peuvent être achetés aujourd'hui sont basés sur la détection de mauvaise utilisation. Les produits actuels d'IDS viennent avec un grand ensemble de signatures qui ont été identifiées comme uniques à une vulnérabilité particulière ou exploit. La plupart des constructeurs d'IDS fournissent également des mises à jour régulières de signature afin d'essayer de suivre l'aspect rapide des nouvelles vulnérabilités et exploits.

Déficits des IDS actuels.

Bien que que la capacité de développer et d'employer des signatures pour détecter des attaques est une approche utile et viable il y a des déficits à utiliser uniquement cette approche qui devraient être remarqués.

• Variantes. Comme indiquées précédemment les signatures sont développés en réponse aux nouvelles vulnérabilités ou exploits qui ont été signalés ou releasés. Inhérent au succès d'une signature, elle doit être assez unique pour alerter seulement en cas de trafic malveillant et rarement en cas de trafic réseau valide. La difficulté ici est que le code d'exploit peut souvent être facilement changé. Il n'est pas rare qu'un exploit soit releasé et puis voit ses défauts corriger sous peu ensuite par la communauté des hackers.

• Faux positifs. Une plainte classique est la quantité de faux positifs que les IDS produisent. Développer seules des signatures est une tâche difficile et le plus souvent les constructeurs ferra des erreurs sur la partie alerte trop souvent plutôt que pas assez. C'est analogue à l'histoire du garçon qui cri au loup. Il est beaucoup plus difficile de sélectionner une tentative valide d'intrusion si une signature alerte également régulièrement sur l'activité réseau valide. Un problème difficile qui résulte de ceci est combien peut être filtré sans manquer une attaque potentielle.

• Faux négatifs... détectent les attaques pour lesquelles il n'y a aucune signature connue. Ceci mène à l'autre concept des faux négatifs où les IDS ne produisent pas une alerte quand une intrusion a lieu réellement. Simplement si une signature n'a pas été écrite pour un exploit particulier il y a des chances extrêmement fortes que les IDS ne les détectent pas.

• Data overload. Un autre aspect qui n'est pas directement associé à la détection de mauvaise utilisation mais est extrêmement important est combien de données un analyste peut effectivement analyser efficacement. La quantité de données qu'il/elle doit regarder semble se développer rapidement. Selon les outils de détection d'intrusion utilisés par une entreprise et sa taille il y a la possibilité pour que les logs atteignent des millions d'enregistrements par jour.

Comment le data mining peut aider ?

Le data mining peut aider à améliorer la détection d'intrusion en ajoutant un niveau de focus à la détection d'anomalie. Par l'identification de l'activité réseau valide, le data mining aidera un analyste dans sa capacité à distinguer l'activité d'attaque du trafic journalier commun sur le réseau.

• Variantes. Puisque la détection d'anomalie n'est pas basée sur des signatures prédéfinies, le souci des variantes dans le code d'un exploit n'est pas grand puisque nous recherchons l'activité anormale à la place d'une seule signature. Un exemple pourrait être un exploit buffer overflow sur les Remote Procedure Call (RPC) dont le code a été modifié légèrement pour tromper un IDS utilisant des signatures. Avec la détection d'anomalie, l'activité serait remarquée puisque la machine de destination n'a jamais vu de tentative de connexion RPC et l'IP source ne s'est jamais relié au réseau.

• Faux positifs. En regard des faux positifs il y a eu un certain travail pour déterminer si le data mining peut être employée pour identifier des séquences d'alarmes récurrentes afin d'aider à identifier l'activité réseau valide qui peut être filtrée.

• Faux négatifs... détectent les attaques pour lesquelles il n'y a aucune signature connue. En tentant d'établir des configurations pour l'activité normale et en identifiant cette activité qui se trouve en dehors des limites identifiées, les attaques pour lesquelles des signatures n'ont pas été développées pourraient être détectées. Un exemple extrêmement simple de la façon dont ceci fonctionnerait serait de prendre un serveur web et de développer un profil de l'activité réseau vue depuis le système. Disons que le serveur web est verrouillé et seules des connexions aux ports 80 et 443 sont autorisées au serveur. Ainsi, toutes les fois qu'une connexion à un port autre que 80 ou 443 est remarquée l'IDS devrait identifier cela comme une anomalie. Alors que cet exemple est très simple, il pourrait être étendu pour profiler non seulement différents hôtes, mais des réseaux, des utilisateurs, le trafic entiers basés sur les jours de la semaine ou les heures en jour, et la liste n'est pas exhaustive.

• Data overload. La zone où le data mining est sûr de jouer un rôle essentiel est dans le domaine de la réduction de données. Avec des algorithmes de data mining actuels nous avons la capacité d'identifier ou extraire les données qui sont les plus appropriées et de fournir à des analystes différentes "vues" des données afin de les aider dans leur analyse.

Difficultés inhérentes au data-mining en détection d'intrusion

Le concept du data mining existe depuis des années. En dépit de ces données le data mining dans la détection d'intrusion est un concept relativement nouveau. Ainsi il y aura probablement des obstacles en développant une solution pertinente. L'un d'eux est le fait que bien que le concept du data mining existe depuis un certain temps la quantité de données à être analysé et sa complexité augmente considérablement. Comme indiqué précédemment, il est possible qu'une entreprise rassemble des millions d'enregistrements par jour qui doivent être analysés pour l'activité malveillante. Avec cette quantité de données à analyser on peut deviner que le data mining prendra une place grandissante. Malheureusement, parce qu'une certaine capacité de traitement ou de mémoire n'est pas toujours bon marché ou disponible. Naturellement il peut y avoir l'argument que vous avez besoin seulement d'échantillons des données afin de produire des profils, mais il y aura également l'argument qu'analysant n'importe quoi, particulièrement le trafic réseau, sans toutes les données pourrait mener à des conclusions fausses. Un autre obstacle sera de concevoir des algorithmes et des processus de data mining en fonction la détection d'intrusion convenable. Un effort pour identifier la manière dont les données doivent être examinées afin de nous fournir une meilleure image est sûrement inhérente à la fourniture de résultats précis et pertinents.

Conclusion.

Évidemment, la data mining et la détection d'anomalie ne sont pas à toutes épreuves pour la détection d'intrusion, et ne remplace pas non plus la détection de mauvaise utilisation. Le but devrait être d'intégrer pertinemment la détection d'anomalie et la détection de mauvaise utilisation pour créer des IDS qui permettront à un analyste d'identifier plus exactement et rapidement une attaque ou une intrusion sur son réseau.

Bibliographie

Bass, Time. "IDS Data Mining." 4 Mar 1999. URL: http://www.silkroad.com/papers/html/ids/node4.html (10 Oct 00).

Gordeev, Mikhail. "Intrusion Detection: Techniques and Approaches." URL: http://www.infosys.tuwien.ac.at/Teaching/Courses/AK2/vor99/t13 (10 Oct 00).

Grossman, R.L. "Data Mining: Challenges and Opportunities for Data Mining During the Next Decade." May 1997. URL: http://www.lac.uic.edu/grossman-v3.htm (10 Oct 00).

Lee, Wenke and Stolfo, Salvatore. "Data Mining Approaches for Intrusion Detection." URL: http://www.cs.columbia.edu/~wenke/papers/usenix/usenix.html (12 Oct 00).

Rothleder, Neal. "Data Mining for Intrusion Detection." The Edge Newsletter. Aug 2000. URL: http://www.mitre.org/pubs/edge/august_00/rothleder.htm (9 Oct 00)