Manh Phung
October 24, 2000
SANS
Institute
Translation by eberkut - http://www.chez.com/keep
Où en sommes nous aujourd'hui en détection d'intrusion ?
Au jour d'aujourd'hui où presque chaque compagnie dépend de l'Internet pour survivre, il n'est pas étonnant que le rôle de la détection d'intrusion réseau a crû aussi rapidement. Tandis qu'il peut encore y avoir certains arguments quant à ce qui est la meilleure méthodes de protéger des réseaux d'entreprises (i.e. firewalls, patchs, détection d'intrusion, formation ...) il est sûr que le système de détection d'intrusion (IDS) maintiendra probablement un rôle important dans la fourniture d'une architecture de réseau sécurisée.
Ceci étant dit, qu'est-ce que la technologie actuelle de détection d'intrusion nous fournit ? Pour l'analyste qui s'assied devant un IDS, le système idéal identifierait toutes les intrusions (ou tentatives d'intrusions), et prend ou recommande les mesures nécessaires pour arrêter une attaque.
Malheureusement, le marché des IDS est toujours très jeune et une solution "silver bullet" détectant toutes les attaques ne semble pas être à l'horizon ou même nécessairement plausible. Ainsi quelle est la "prochaine étape", ou la "phase suivante" pour la détection d'intrusion ? Un point fort a pu être accompli par l'usage des techniques de data mining (NdT : extraction de données) pour améliorer l'état actuel de la détection d'intrusion.
Qu'est ce que le data-mining ?
Selon R.L. Grossman dans le "Data Mining : Challenges and Opportunities for Data Mining During the Next Decade", il définit le data mining comme "concerné à découvrir des configurations, des associations, des changements, des anomalies, et statistiquement des structures et des événements significatifs dans les données". Simplement il offre la capacité de prendre des données et de tirer d'elle les configurations ou les déviations qui ne peuvent être vues facilement à l'oeil nu. Un autre terme parfois utilisé est knowledge discovery.
Alors qu'ils ne seront pas discutés en détail dans ce rapport, ils existent beaucoup de types différents d'algorithmes d'extraction de données pour inclure l'analyse de lien, le clustering, l'association, l'abduction de règle, l'analyse de déviation, et l'analyse de séquence.
Comment les IDS actuels détectent-il des intrusions ?
Afin que nous puissions déterminer comment le data mining peut aider la détection anticipée d'intrusion il est important de comprendre comment les IDS actuels travaillent pour identifier une intrusion. Il y a 2 approches différentes à la détection d'intrusion : détection de mauvaise utilisation et détection d'anomalie. La détection de mauvaise utilisation est la capacité d'identifier des intrusions basées sur une configuration connue pour l'activité malveillante. Ces configurations connues sont désignées sous le nom des signatures. La seconde approche, la détection d'anomalie, est la tentative d'identifier le trafic malveillant basé sur des déviations des configurations établies de trafic réseau normales. Les plupart des IDS, sinon tous, qui peuvent être achetés aujourd'hui sont basés sur la détection de mauvaise utilisation. Les produits actuels d'IDS viennent avec un grand ensemble de signatures qui ont été identifiées comme uniques à une vulnérabilité particulière ou exploit. La plupart des constructeurs d'IDS fournissent également des mises à jour régulières de signature afin d'essayer de suivre l'aspect rapide des nouvelles vulnérabilités et exploits.
Déficits des IDS actuels.
Bien que que la capacité de développer et d'employer des signatures pour détecter des attaques est une approche utile et viable il y a des déficits à utiliser uniquement cette approche qui devraient être remarqués.
Comment le data mining peut aider ?
Le data mining peut aider à améliorer la détection d'intrusion en ajoutant un niveau de focus à la détection d'anomalie. Par l'identification de l'activité réseau valide, le data mining aidera un analyste dans sa capacité à distinguer l'activité d'attaque du trafic journalier commun sur le réseau.
Difficultés inhérentes au data-mining en détection d'intrusion
Le concept du data mining existe depuis des années. En dépit de ces données le data mining dans la détection d'intrusion est un concept relativement nouveau. Ainsi il y aura probablement des obstacles en développant une solution pertinente. L'un d'eux est le fait que bien que le concept du data mining existe depuis un certain temps la quantité de données à être analysé et sa complexité augmente considérablement. Comme indiqué précédemment, il est possible qu'une entreprise rassemble des millions d'enregistrements par jour qui doivent être analysés pour l'activité malveillante. Avec cette quantité de données à analyser on peut deviner que le data mining prendra une place grandissante. Malheureusement, parce qu'une certaine capacité de traitement ou de mémoire n'est pas toujours bon marché ou disponible. Naturellement il peut y avoir l'argument que vous avez besoin seulement d'échantillons des données afin de produire des profils, mais il y aura également l'argument qu'analysant n'importe quoi, particulièrement le trafic réseau, sans toutes les données pourrait mener à des conclusions fausses. Un autre obstacle sera de concevoir des algorithmes et des processus de data mining en fonction la détection d'intrusion convenable. Un effort pour identifier la manière dont les données doivent être examinées afin de nous fournir une meilleure image est sûrement inhérente à la fourniture de résultats précis et pertinents.
Conclusion.
Évidemment, la data mining et la détection d'anomalie ne sont pas à toutes épreuves pour la détection d'intrusion, et ne remplace pas non plus la détection de mauvaise utilisation. Le but devrait être d'intégrer pertinemment la détection d'anomalie et la détection de mauvaise utilisation pour créer des IDS qui permettront à un analyste d'identifier plus exactement et rapidement une attaque ou une intrusion sur son réseau.
Bibliographie
Bass, Time. "IDS Data Mining." 4 Mar 1999. URL: http://www.silkroad.com/papers/html/ids/node4.html (10 Oct 00).
Gordeev, Mikhail. "Intrusion Detection: Techniques and Approaches." URL: http://www.infosys.tuwien.ac.at/Teaching/Courses/AK2/vor99/t13 (10 Oct 00).
Grossman, R.L. "Data Mining: Challenges and Opportunities for Data Mining During the Next Decade." May 1997. URL: http://www.lac.uic.edu/grossman-v3.htm (10 Oct 00).
Lee, Wenke and Stolfo, Salvatore. "Data Mining Approaches for Intrusion Detection." URL: http://www.cs.columbia.edu/~wenke/papers/usenix/usenix.html (12 Oct 00).
Rothleder, Neal. "Data Mining for Intrusion Detection." The Edge Newsletter. Aug 2000. URL: http://www.mitre.org/pubs/edge/august_00/rothleder.htm (9 Oct 00)