2024-2025

• Quel que soit le niveau des moyens techniques mis en place

pour la prévention d'attaques dans un système informatique
(IPS, Intrusion Prevention System) => on peut succomber face
à des attaques évoluées/sophistiquées ou inconnues.
• Il faut une couche de détection d'intrusion => utilisation des IDS
(Intrusion Detection Systems)
• On peut aussi complémenter cela par des systèmes experts
pour l’aide à la prise de décision quant aux mesures correctives
à prendre lors d’une intrusion détectée => EDR?
• Un IDS (Intrusion Detection System) est un
système conçu pour surveiller et analyser les
activités dans un réseau ou sur un système
informatique afin de des activités
suspectes ou malveillantes.
• Un IDS détecte toute activité ou trafic qui peut être une
intrusion.
• Un IDS doit être capable de mettre à jour les
informations sur les attaques détectées
• Un IDS doit gérer les attaques internes et
d’un système informatique.
• Un IDs doit aider à les dégâts et à les au
pire des cas.
• Les recherches sur la détection d'intrusion ont commencé il y a
près de 40 ans.
• En 1980, James P.Anderson, membre du "Defense Science
Board Task Force on Computer Security" de l'U.S Air Force,
publie "Computer Security Threat Monitoring and Surveillance",
un rapport souvent reconnu comme ayant introduit l'IDS
automatisé.
• Actuellement, les recherches dans le domaine sont encore plus
dynamiques, notamment en raison des évolutions
technologiques comme le cloud computing, le big data et
l'intelligence artificielle.
Réseau interne : Zone démilitarisée
1. l'IDS va pouvoir détecter l'ensemble des attaques frontales,
provenant de l'extérieur, en amont du firewall => beaucoup
d'alertes seront remontées => logs difficilement consultables.

2. l'IDS détectera les attaques qui n'ont pas été filtrées par le
firewall et qui relèvent d'un certain niveau de compétence => logs
plus clairs à consulter (attaques bénignes filtrées par le firewall).

3. L'IDS détectera les attaques internes, provenant du réseau

local de l'entreprise => si des trojans ont contaminé le parc
informatique, ils pourront êtres facilement identifiés afin de les
éradiquer.
• Snort est un IDS gratuit disponible dans sa version 2.2.20
(www.snort.org) : a l'origine, ce fut un sniffer qui connnu une
telle évolution qu'il fut vite adopter et utiliser dans le monde
de la détection d'intrusion en s'appuyant sur une base de
signature régulièrement enrichie par le "monde du libre".
• OSSEC : HIDS open-source axé sur l’analyse des journaux.
• Suricata : NIDS avec des capacités avancées, comme
l’analyse des protocoles.
• Bro/Zeek : IDS orienté comportement et analyse réseau.
• Les IDS utilisent généralement deux grandes
approches pour identifier les intrusions :

• Basée sur les signatures

• Basée sur les comportements/anomalies
• La signature (empreinte) d'une attaque est un modèle
ou un ensemble de caractéristiques spécifiques qui
permet d’identifier une activité malveillante connue dans
un système ou un réseau informatique.

• Elle peut être comparée à une empreinte digitale

permettant de reconnaître une intrusion ou un
comportement suspect.
• Cette méthode consiste à analyser les paquets du réseau à la
recherche de signatures d'attaques, c'est-à-dire de
caractéristiques uniques associées à une menace particulière.
• L'IDS gère une base de données de signatures de virus déjà
connus à laquelle il compare les paquets du réseau.
• Il peut avoir recours à des bases de signatures connues
comme :
• Rapide et efficace pour détecter les attaques connues.
• Limite : incapable de détecter les attaques zéro-day ou inédites.
• Un comportement normal est basé sur des statistiques, des
apprentissages antérieurs ou des politiques définies par
l’administrateur du système informatique
• L'IDS établit un profil normal pour les utilisateurs, systèmes ou
réseaux en fonction de paramètres comme :
• Volume de trafic réseau habituel.
• Modèles de connexion (fréquence, durée, adresses IP utilisées).
• Commandes ou applications utilisées par les utilisateurs.
• Une déviation par raport au comportement normal est une
anomalie
• Analyse les modèles de comportement pour identifier
des écarts par rapport à la normale.
• Avantage : détecte des menaces inconnues par les
signatures.
• Limite : peut générer des faux positifs si le
comportement normal est mal défini.
• Comportement normal :
• Un employé accède à un serveur interne tous les jours entre
9h et 17h depuis l'adresse IP de son bureau.
• Comportement anormal :
• La même personne se connecte au serveur à 3h du matin
depuis un pays étranger et tente de télécharger plusieurs
gigaoctets de données.
• Dans ce cas, un IDS comportemental peut déclencher
une alerte, même si aucune signature connue n'est
associée à l'attaque.
• Modèles de trafic réseau
• Nombre de connexions ouvertes par une seule adresse IP.
• Augmentation inhabituelle des requêtes vers un serveur particulier.
• Présence de trafic vers des ports rarement utilisés.
• Comportement des utilisateurs
• Connexion depuis une géolocalisation inhabituelle.
• Tentatives répétées de connexion avec des mots de passe incorrects (brute
force).
• Accès à des ressources non utilisées habituellement.
• Activités système
• Augmentation soudaine de l’utilisation CPU ou RAM par des processus non
identifiés.
• Tentatives de modification ou de suppression de fichiers critiques.
• Création de comptes administratifs non autorisés.
• Reputation-based IPS/IDS
ØCe sont des IDS qui utilisent une méthode basées sur
la réputation d’une adresse IP particulière , d’un nom
de domaine, d’un serveur, ..............
ØIls sont complémentaires aux autres types mais cette
lméthode n’est pas autosuffisante en elle même.
• La détection d’anomalie (anomaly detection)
• La détection basée sur les signatures (signature-based
detection)
• La détection de spécification (specification-based detection)
• L’analyse de protocoles avec Etat (Stateful protocol analysis)
• Les approches innovatrices et prospectives
• Approche basée sur l’analyse statistique (Statistical Approach)
• Approche basée sur la fouille de données (Data mining Approach)
• Approche basée sur la connaissance (Knowledge-Based approach)
• Approche basée sur l’apprentissage machine (Machine Learning
Approach)
• Les IDS modernes basés sur le comportement utilisent
des algorithmes d’apprentissage machine pour détecter
des comportements inconnus ou nouveaux ou des
intrusions complexes
• Exemples : analyse des flux réseau pour identifier un
pic inhabituel ou un comportement jamais vu
auparavant.
• Utilisation du Deep learning (réseaux de neurones) pour
analyser de grands ensembles de données complexes
=> Utilisé pour analyser des comportements complexes
• Utilisation de l’apprentissage supervisé pour entrainer un
modèle de signatures des attaques avec des signatures
identifiées par la communauté
=> utilité : assistés des IDS à identifier des modèles connus
d’attaques
• Utilisation de l’apprentissage non supervisé pour détecter des
anomalies ou des comportements inhabituels (activités qui
s’écartent des normes habituelles)
=> utillité : Identifier des anomalies dans le trafic réseau
• Les IDS réseaux (Network-based IDS)
• Les IDS hôtes (Host-based IDS)
• Les IDS hybrides (Hybrid-Based IDS)
• Les Pots de miel (honeypot)
• Les systèmes «padded cells»
Et d’autres :
• Les IDS de nœuds réseaux (Network Node IDS)
• Les IDS basés sur une application (Application-based IDS)
• Les IDS basés sur la pile (Stack-Based IDS)
• Un NIDS surveille activement le trafic réseau (Temps réel) pour
détecter des activités suspectes ou malveillantes.
• Placé sur des points stratégiques, comme les routeurs ou
commutateurs, pour capturer le trafic.
• Il analyse les paquets réseau et les compare à des signatures ou des
modèles comportementaux pour identifier les menaces.
• Objectif : Identifier et alerter en cas de tentatives d'intrusion ou
d'anomalies dans le trafic.
• Fonctionnement : Un NIDS est actif dans le réseau, mais il est
généralement invisible pour les attaquants.
• Avantages :
• Détection des attaques réseau comme les scans de ports ou
les tentatives d'exfiltration de données.
• Protège le réeau interne (plusieurs hôtes simultanément).
• Inconvénients :
• Moins efficace pour détecter les intrusions locales sur les
machines.
• Peut être contourné si le trafic est chiffré.
• Exemples: NetRanger, NFR, Snort, DTK et ISS RealSecure.
• Ils sont conçus pour surveiller les activités suspectes ou
malveillantes sur un système spécifique sensible comme les
serveurs publics.
• Ils surveillent les fichiers système, les journaux (logs), les
modifications de fichiers critiques, les accès non autorisés, et
les processus en cours d’exécution.
• Lorsqu'une activité locale suspecte est détectée, ils génèrent
une alerte pour l’administrateur.
• Le plus souvent les HIDS sont déployés sur les hôtes critiques
comme les serveurs contenant des informations de sensibilités
élevées et les serveurs publiquement accessibles.
• Avantages :
• Détection d'intrusions locales.
• Identification des changements non autorisés sur les fichiers
critiques.
• Limites :
• Charge accrue sur l'hôte.
• Ils sont localisés => ne couvrent qu’un seul hôte, nécessitant leur
déploiement sur chaque machine à surveiller.
• Ils peuvent consommer des ressources système, ce qui peut
ralentir les performances.
• Exemples : OSSEC (Open Source Security), Tripwire,
Radmind, EMERALD’s eXpert-BSM AIDE (Advanced
Intrusion Detection Environment) et PortSentry
• Les systèmes hybrides de détection d'intrusion sont flexibles et
augmentent le niveau de sécurité. Ils combinent plusieurs
localisations des systèmes IDS et recherchent si bien les
attaques visant des éléments particuliers que celles visant
l'ensemble du système.
• Avantages : combiner les avantages des NIDS et HIDS
• Inconvénients : complexité de mise en oeuvre
• Exemple : ISS RealSecure
• Un honeypot est une ressource (système, service ou application) conçue pour
attirer et piéger les attaquants.
• Un honeypot est passif dans le réseau, et son but est d'être "attaqué".
• Il est généralement configuré pour sembler vulnérable ou intéressant à une
attaque particulière, afin d'observer les comportements malveillants ou collecter
des informations sur les attaques.
• Objectif : Collecter des données sur les techniques d'attaque, retarder les
attaquants ou détourner leur attention des systèmes réels.
• Exemple : Honeyd (open source), T-Pot, ...
• Types :
• Les Pots de miel de prévention
• Les Pots de miel de détection
• Les Pots de miel de réaction
• C'est une variante avancée des honeypots, mais avec une approche plus
proactive.
• Ils sont utilisés pour améliorer la sécurité en isolant les attaquants potentiels
dans un environnement contrôlé et sécurisé, après qu'ils ont été détectés.
• Si l'IDS utilisé informe d'une attaque, l'attaquant est dirigé vers un hôte
“capitonné” (en utilisant la technique de sandboxing par exemple).
• Une fois dans cet hôte, il ne peut plus causer de dommages puisque
l'environnement est simulé.
• Il est basé sur la chaine : Détection => redirection => isolation => analye et
surveillance
• Exemple : Honeytrap, Firejail
• Inconvénients :
• leur usage peut être illégal
• mise en oeuvre assez difficile et nécessite des compétences.
• Détection initiale :
• Lorsqu'un système de détection d'intrusion (IDS) identifie une activité suspecte ou malveillante
sur un réseau ou un hôte, il déclenche une alerte.
• Redirection :
• Au lieu de simplement bloquer l'attaquant, le système le redirige vers une "padded cell". Cette
cellule isolée est un environnement simulé qui semble légitime, mais qui est en réalité
totalement séparé des systèmes critiques.
• Isolation :
• L'attaquant est isolé dans cette cellule et ne peut pas accéder aux systèmes réels ou causer
des dégâts.
• Surveillance et analyse :
• Les actions de l'attaquant dans la "padded cell" sont surveillées et enregistrées. Cela permet
aux administrateurs de comprendre ses intentions, ses techniques et ses outils, tout en
protégeant les ressources critiques.
• Un EDR (Endpoint Detection and Response) : solution avancée
conçue pour la détection et la réponse proactive aux menaces sur
les hôtes (endpoints).
• Exemples : Crowdstrike, Microsoft Defender, SentinelOne,
CarbonBlack, McAfee MVision
• Offre:
• une analyse en temps réel (contrairement à un HIDS qui analyse des logs
pré-existants)
• Une réponse automatisée : capacité à isoler un hôte, une application jugée
malicieuse, supprimer ou mettre en quarantaine un fichier malveillant...
• Investigation des incidents en fournissant des outils pour examiner et
analyser les menaces après détection.
• Avantages des IDS
• Surveillance continue des systèmes et réseaux.
• Identification rapide des activités suspectes.
• Aide à la mise en conformité avec les réglementations (ex. RGPD,
PCI-DSS).
• Inconvénients des IDS
• Ne peut pas empêcher les intrusions (c'est la fonction des IPS –
Intrusion Prevention Systems).
• Sensibilité aux faux positifs et faux négatifs => Toute erreur
survenant au cours du processus de définition de ces paramètres
augmentera le taux de fausses alarmes et diminuera l'efficacité du
système de détection d’intrusion
• Peut être contourné par des attaquants sophistiqués.
• L’administrateur configure les différents composants (capteur(s),
analyseur(s), manager(s)).
• Les capteurs accèdent aux données brutes, les filtrent et les
formatent pour ne renvoyer que les événements intéressants à
un analyseur.
• Les analyseurs utilisent ces événements pour décider de la
présence ou non d’une intrusion et envoient le cas échéant une
alerte au manager (qui notifie l’opérateur humain).
• Une réaction éventuelle peut être menée automatiquement par
le manager ou manuellement par l’opérateur