Détection des intrusions réseau
Les systèmes de détection d’intrusion réseau (NIDS) surveillent le trafic entrant et sortant vers les appareils du réseau. Les NIDS sont placés à des points stratégiques du réseau, souvent immédiatement derrière des pare-feux au périmètre du réseau, afin de pouvoir signaler tout trafic malveillant qui passe à travers. Le NIDS peut également être placé à l’intérieur du réseau pour détecter les menaces internes ou les pirates informatiques ayant détourné des comptes utilisateur. Par exemple, le NIDS peut être placé derrière chaque pare-feu interne dans un réseau segmenté afin de surveiller le trafic circulant entre les sous-réseaux. Afin d’éviter d’entraver le flux du trafic légitime, un NIDS est souvent placé « hors bande », ce qui signifie que le trafic ne passe pas directement par celui-ci. Un NIDS analyse les copies des paquets réseau plutôt que les paquets eux-mêmes. Ainsi, le trafic légitime n’a pas besoin d’attendre l’analyse, mais le NIDS peut tout de même détecter et signaler le trafic malveillant.
Les systèmes de détection d’intrusion hôte (HIDS) sont installés sur un terminal spécifique, comme un ordinateur portable, un routeur ou un serveur. Le HIDS surveille uniquement l’activité sur cet appareil, notamment le trafic en provenance et à destination de celui-ci. Un HIDS fonctionne généralement en effectuant des échantillonnages périodiques des fichiers critiques du système d’exploitation et en comparant ces échantillonnages au fil du temps. Si le HIDS remarque un changement, tel que la modification de fichiers journaux ou de configurations, il alerte l’équipe de sécurité. Les équipes de sécurité combinent souvent les systèmes de détection d’intrusion basés sur le réseau et les systèmes de détection d’intrusion basés sur l’hôte. Le NIDS examine le trafic dans son ensemble, tandis que le HIDS peut ajouter une protection supplémentaire autour des actifs de valeur. Un HIDS peut également aider à détecter les activités malveillantes provenant d’un nœud réseau compromis, comme les ransomwares qui se propagent à partir d’un appareil infecté.
Même si le NIDS et le HIDS sont les plus courants, les équipes de sécurité peuvent utiliser d’autres IDS pour des fonctions précises. Un IDS basé sur les protocoles (PIDS) surveille les protocoles de connexion entre les serveurs et les appareils. Le PIDS est souvent placé sur des serveurs Web pour surveiller les connexions HTTP ou HTTPS. Un IDS basé sur les protocoles d’application (APIDS) fonctionne au niveau de la couche application, en surveillant les protocoles spécifiques à une application. Un APIDS est souvent déployé entre un serveur Web et une base de données SQL pour détecter les injections SQL.
Au laboratoire SAMOVAR de Télécom SudParis, Gregory Blanc concentre ses recherches sur la détection d’intrusions dans les réseaux de communication. Avec son équipe, le maître de conférences met au point des techniques fiables et reproductibles de caractérisation de données réseaux et de détection d’anomalies sur ces derniers. Le travail de Gregory Blanc consiste à détecter ces attaques, mais aussi les intrusions sur un réseau de communication, notamment dans les entreprises ou les milieux industriels. Il existe deux façons de détecter une intrusion ou une attaque sur un réseau. Soit par la détection de signatures caractéristiques de chaque attaque, soit par la détection d’anomalies sur le réseau. Les attaques évoluant et leurs auteurs cherchant à contourner la détection de signatures, c’est plutôt vers le repérage d’anomalies que s’orientent les recherches de Gregory Blanc et de son équipe. Le scientifique a donc développé une méthodologie de détection spécifique nécessitant quelques explications de contexte : chaque objet communiquant dans un réseau produit des flux – des paquets de données – qu’il va être possible de reconstituer à l’aide d’un détecteur d’anomalies. Il s’agit en réalité d’un autoencodeur (un réseau de neurones) entrainé avec les données du réseau. Si on fait entrer les flux du réseau dans l’encodeur, celui-ci compresse les données correspondantes de manière optimisée, puis un décodeur les reconstruit au plus juste après décompression. Ainsi, tout paquet de données non connues entrant dans l’encodeur (attaque, intrusion) engendrera en sortie des différences facilement repérables parmi les paquets de données reconstitués.