Conception Et Réalisation D'un Système De Détection D'intrusions Basé Sur Le Réseau Bayésien.

Résumé: Le challenge dans le domaine de la sécurité informatique est de pouvoir déterminer la différence entre un fonctionnement normal et un fonctionnement avec intrus. Durant la dernière décennie, la protection des systèmes s’est faite moyennant des règles de codage qui identifient et bloquent des événements spécifiques. Cependant, la complexité accrue des systèmes et des réseaux qui sont devenus plus en plus larges ainsi que la nature des intrusions courantes et futures, nous incite à développer des outils de détection d’intrusions automatiques et surtout adaptatifs. Les méthodes de détection d’intrusions utilisées à l’heure actuelle reposent essentiellement sur l’observation d’événements et leur analyse. Le rôle des outils de détection d’intrusions consiste alors à exploiter une masse d’informations collectées dans le système de détection d’intrusions ou bien fournies par le journal système, appelée audit, de manière à y détecter des événements signalant potentiellement une intrusion. Deux approches ont été proposées à ce jour dans ce but : approche comportementale (anomaly detection) qui se base sur l’hypothèse que l’on peut définir un comportement « «normal » de l’utilisateur et que toute déviation par rapport à celui-ci est potentiellement suspecte, et l’approche par scénarios (misuse detection ou knowledge based detection) qui s’appuie sur la connaissance des techniques employées par les attaquants c'est-à-dire on en tire des scénarios d’attaques et on recherche dans les traces d’audit(on parle de signatures) leur éventuelle survenue. Dans notre système de détection, on a exploité l’approche comportementale avec la technique de « Réseau bayésien» appliquée à une BDD appelé KDD’99 qui est utilisé dans le développement ainsi que l’évaluation des systèmes de détection d’intrusions. Le principe est d’écouter le trafic réseau, l’analyser puis générer des alertes en présence d’une attaque.

Publié dans la revue: