Cnam Cours Ids

Les systmes de dtection dintrusion rseau
Claude Duvallet
Universit du Havre UFR Sciences et Techniques Courriel : Claude.Duvallet@gmail.com
Claude Duvallet 1/42
Introduction et contexte Les diffrents types dIDS Les mthodes de dtection Principes gnraux et dploiement
Plan de la prsentation
Introduction Historique
Introduction
Dtection dattaques : an de dtecter les attaques que peut subir un systme, il est ncessaire de disposer dun logiciel spcialis dont le rle sera de surveiller les donnes qui transistent sur ce systme et et qui serait capable de ragir si des donnes semblent suspectes. Les logiciels qui sont les plus mme deffectuer cette tche sont les systmes de dtection dintrusion : les IDS. Dnition Un systme de dtection dintrusion (ou IDS : Intrusion Detection System) est un mcanisme destin reprer des activits anormales ou suspectes sur la cible analyse (un rseau ou un hte). Il permet ainsi davoir une action de prvention sur les risques dintrusion. (source : wikipdia).
Introduction Historique
Historique
Les premiers systmes de dtection dinstrusions ont t initis par larme amricaine puis par des entreprises. Plus tard, des projets open-source ont t lancs comme Snort ou Prelude. Des produits commerciaux ont aussi vu le jour par le biais dentreprises spcialises en scurit informatique : Internet Security Systems, *symantec, Cisco Systems, ...
Les systmes de dtection dintrusions Les systmes de prvention dintrusions Les pare-feux
Les diffrents types dIDS

cause de la diversit des attaques que mettent en uvre les pirates, la dtection dinstrusion doit se faire plusieurs niveaux. Il existe donc diffrents types dIDS : Les systmes de dtection dintrusions (IDS) Les systmes de dtection dintrusions "rseaux" (NIDS) Les systmes de dtection dintrusions de type hte (HIDS) Les systmes de dtection dintrusions hybrides Les systmes de prvention dintrusions (IPS) Les systmes de prvention dintrusions "noyau" (KIDS/KIPS) Les pare-feux
Les systmes de dtection dintrusions (IDS)

Dnition : ensemble de composants logiciels et matriels dont la fonction principale est de dtecter et danalyser toute tentative deffaction (volontaire ou non). Fonctions de dtection :
des techniques de sondage (balayage de ports, ngerprinting), des tentatives de compromission de systmes, dactivits suspectes internes, des activits virales, ou encore des audits de chiers journaux (logs).
Deux notions fondamentales :

Faux positifs : une alerte provenant dun IDS ais qui ne correspond pas une attaque relle. Faux ngatifs : une intrusion relle qui na pas t dtecte.
Les systmes de dtection dintrusions "rseaux" (NIDS)
Objectif : analyser de manire passive les ux en transit sur le rseau et dtecter les intrusions en temps rel. Un NIDS coute donc tout le trac rseau, puis lanalyse et gnre des alertes si des paquets semblent dangereux. Les NIDS sont les IDS plus intressants et les plus utiles du fait de lomniprsence des rseaux dans notre vie quotidienne.
Les systmes de dtection dintrusions de type hte (HIDS)

Un HIDS se base sur une unique machine, nanalysant cette fois plus le trac rseau mais lactivit se passant sur cette machine. Il analyse en temps rel les ux relatifs une machine ainsi que les journaux. Un HIDS a besoin dun systme sain pour vrier lintgrit des donns. Si le systme a t compromis par un pirate, le HIDS ne sera plus efcace. Pour parer ces attaques, il existe des KIDS (Kernel Intrusion Detection System) et KIPS (Kernel Intrusion Prevention System) qui sont fortement lis au noyau.
Les systmes de dtection dintrusions "hybrides"

Gnralement utiliss dans un environnement dcentralis, ils permettent de runir les informations de diverses sondes places sur le rseau. Leur appellation hybride provient du fait quils sont capables de runir aussi bien des informations provenant dun systme HIDS quun NIDS. Lexemple le plus connu dans le monde Open-Source est Prelude.
Ce framework permet de stocker dans une base de donnes des alertes provenant de diffrents systmes relativement varis. Utilisant Snort comme NIDS, et dautres logiciels tels que Samhain en tant que HIDS, il permet de combiner des outils puissants tous ensemble pour permettre une visualisation centralise des attaques.
Claude Duvallet 9/42 Les systmes de dtection dintrusion rseau
Les systmes de prvention dintrusions (IPS)

Dnition : ensemble de composants logiciels et matriels dont la fonction principale est dempcher toute activit suspecte dtecte au sein dun systme. Les IPS sont des outils aux fonctions actives , qui en plus de dtecter une intrusion, tentent de la bloquer. Les IPS ne sont pas la solution parfaite. Plusieurs stratgies de prvention dintrusions existent :
host-based memory and process protection : surveille lexcution des processus et les tue sils ont lair dangereux (buffer overow). Cette technologie est utilise dans les KIPS (Kernel Intrusion Prevention System). session interception / session sniping : termine une session TCP avec la commande TCP Reset : RST . Ceci est utilis dans les NIPS. gateway intrusion detection : si un systme NIPS est plac en tant que routeur, il bloque le trac ; sinon il envoie des messages dautres routeurs pour modier leur liste daccs.
Les inconvnients des IPS (1/2)

Un IPS possde de nombreux inconvnients : Le premier est quil bloque toute activit qui lui semble suspecte.
Or, il est impossible dassurer une abilit 100% dans lidentication des attaques. Un IPS peut donc malencontreusement bloquer du trac inoffensif ! Exemple : un IPS peut dtecter une tentative de dni de service alors quil sagit dune priode charge en trac. Les faux positifs sont donc trs dangereux pour les IPS.
Le deuxime inconvnient est quun pirate peut utiliser sa fonctionnalit de blocage pour mettre hors service un systme.
Prenons lexemple dun individu mal intentionn qui attaque un systme protg par un IPS, tout en spoofant son adresse IP. Si ladresse IP spoofe est celle dun nud important du rseau, les consquences seront catastrophiques. Pour palier ce problme, de nombreux IPS disposent des white lists , c--d des listes dadresses rseaux quil ne faut en aucun cas bloquer.
Les inconvnients des IPS (2/2)
Et enn, le troisime inconvnient et non le moindre : un IPS est peu discret.

En effet, chaque blocage dattaque, il montre sa prsence. Cela peut paratre anodin, mais si un pirate remarque la prsence dun IPS, il tentera de trouver une faille dans celui-ci an de rintgrer son attaque... mais cette fois en passant inaperu. Voil pourquoi les IDS passifs sont souvent prfrs aux IPS. Cependant, il est intressant de noter que plusieurs IDS (Ex : Snort, RealSecure, Dragon, ...) ont t dots dune fonctionnalit de raction automatique certains types dattaques.
Les IPS "noyau" (KIDS/KIPS) (1/2)

Dans le cadre du HIDS, lutilisation dun dtecteur dintrusions au niveau noyau peut savrer parfois ncessaire pour scuriser une station. Exemple dun serveur web : il serait dangereux quun accs en lecture/criture dans dautres rpertoires que celui consultable via http, soit autoris. Cela pourrait nuire lintgrit du systme. Grce un KIPS, tout accs suspect peut tre bloqu directement par le noyau, empchant ainsi toute modication dangereuse pour le systme. Le KIPS peut reconnatre des motifs caractristiques du dbordement de mmoire, et peut ainsi interdire lexcution du code.
Les IPS "noyau" (KIDS/KIPS) (2/2)
Kernel Intrusion Detection Systems/Kernel Intrusion Prevention Systems Le KIPS peut galement interdire lOS dexcuter un appel systme qui ouvrirait un shell de commandes. Puisquun KIPS analyse les appels systmes, il ralentit lexcution. Cest pourquoi ce sont des solutions rarement utilises sur des serveurs souvent sollicits. Exemple de KIPS : SecureIIS, qui est une surcouche du serveur IIS de Microsoft.
Les pare-feux
Les pare-feux ne sont pas des IDS proprement parler mais ils permettent galement de stopper des attaques. Les pare-feux sont bass sur des rgles statiques an de contrler laccs des ux. Ils travaillent en gnral au niveau des couches basses du modle OSI (jusquau niveau 4), ce qui est insufsant pour stopper une intrusion. Par exemple, lors de lexploitation dune faille dun serveur Web, le ux HTTP sera autoris par le pare-feu puisquil nest pas capable de vrier ce que contiennent les paquets.
Les diffrents types de pare-feux

Il existe trois types de pare-feux : Les systmes ltrage de paquets sans tat : analyse les paquets les uns aprs les autres, de manire totalement indpendante. Les systmes maintien dtat (stateful) : vrient que les paquets appartiennent une session rgulire.
Ce type de pare-feu possde une table dtats o est stock un suivi de chaque connexion tablie, ce qui permet au pare-feu de prendre des dcisions adaptes la situation. Ces pare-feux peuvent cependant tre outrepasss en faisant croire que les paquets appartiennent une session dj tablie.
Les pare-feux de type proxy : Le pare-feu sintercale dans la session et analyse linformation an de vrier que les changes protocolaires sont conformes aux normes.
Lapproche par scnario Lapproche comportementale Les mthodes rpandues
Les mthodes de dtections

Comprendre les systmes de dtection dintrusionsn ncessite de se poser les questions :
Comment une intrusion estelle dtecte par un tel systme ? Quel critre diffrencie un ux contenant une attaque dun ux normal ?
partir de ces questions, nous pouvons tudier le fonctionnement interne dun IDS. Deux techniques principales sont mises en place dans la dtection dattaques :
La premire consiste dtecter des signatures dattaques connues dans les paquets circulant sur le rseau. La seconde, consiste quant elle, dtecter une activit suspecte dans le comportement de lutilisateur.
= Ces deux techniques, aussi diffrentes soient-elles, peuvent tre

combines au sein dun mme systme an daccrotre la scurit.
Lapproche par scnario
Cette technique sappuie sur la connaissance des techniques utilises par les attaquants pour dduire des scnarios typiques. Elle ne tient pas compte des actions passes de lutilisateur et utilise des signatures dattaques
ensemble de caractristiques permettant didentier une activit intrusive :
une chane alphanumrique, une taille de paquet inhabituelle, une trame formate de manire suspecte, ...
Recherche de motifs (pattern matching)

La mthode la plus connue et la plus facile comprendre. Elle se base sur la recherche de motifs (chanes de caractres ou suite doctets) au sein du ux de donnes. LIDS comporte une base de signatures o chaque signature contient les protocole et port utiliss par lattaque ainsi que le motif qui permettra de reconnatre les paquets suspects. Le principal inconvnient de cette mthode est que seules les attaques reconnues par les signatures seront dtectes.
Il est donc ncessaire de mettre jour rgulirement le base de signatures.
Un autre inconvnient est que les motifs sont en gnral xes.

Or, une attaque nest pas toujours identique 100%. Le moindre octet diffrent par rapport la signature provoquera la non dtection de lattaque.
Pour les IDS utilisant cette mthode, il est ncessaire dadapter la base de signatures en fonction du systme protger.
Recherche de motifs dynamiques
Le principe de cette mthode est le mme que prcdemment mais les signatures des attaques voluent dynamiquement. LIDS est de ce fait dot de fonctionnalits dadaptation et dapprentissage.
Analyse de protocoles
Cette mthode se base sur une vrication de la conformit (par rapport aux RFC) des ux, ainsi que sur lobservation des champs et paramtres suspects dans les paquets. Cependant, les diteurs de logiciels et les constructeurs respectent rarement la lettre les RFC et cette mthode nest pas toujours trs performante. Lanalyse protocolaire est souvent implmente par un ensemble de prprocesseurs, o chaque prprocesseur est charg danalyser un protocole particulier (FTP, HTTP, ICMP, ...). Du fait de la prsence de tous ces prprocesseurs, les performances dans un tel systme sen voient fortement dgrades. Lintrt fort de lanalyse protocolaire est quelle permet de dtecter des attaques inconnues, contrairement au pattern matching qui doit connatre lattaque pour pouvoir la dtecter.
Analyse heuristique et dtection danomalies
Le but de cette mthode est, par une analyse intelligente, de dtecter une activit suspecte ou toute autre anomalie. Par exemple : une analyse heuristique permet de gnrer une alarme quand le nombre de sessions destination dun port donn dpasse un seuil dans un intervalle de temps prdni.
Lapproche comportementale
Cette technique consiste dtecter une intrusion en fonction du comportement pass de lutilisateur. Pour cela, il faut pralablement dresser un prol utilisateur partir de ses habitudes et dclencher une alerte lorsque des vnements hors prol se produisent. Cette technique peut tre applique non seulement des utilisateurs mais aussi des applications et services. Plusieurs mtriques sont possibles : la charge CPU, le volume de donnes changes, le temps de connexion sur des ressources, la rpartition statistique des protocoles et applications utiliss, les heures de connexion, ...
Inconvnients de lapproche comportementale

peu able : tout changement dans les habitudes de lutilisateur provoque une alerte. ncessite une priode de non fonctionnement pour mettre en uvre les mcanismes dauto-apprentissage :
si un pirate attaque pendant ce moment, ses actions seront assimiles un prol utilisateur, et donc passeront inaperues lorsque le systme de dtection sera compltement mis en place.
ltablissement du prol doit tre souple an quil ny ait pas trop de fausses alertes :
le pirate peut discrtement intervenir pour modier le prol de lutilisateur an dobtenir aprs plusieurs jours ou semaines, un prol qui lui permettra de mettre en place son attaque sans quelle ne soit dtecte.
Diffrentes mthodes dans lapproche comportementale

Approche probabiliste :
Des probabilits sont tablies permettant de reprsenter une utilisation courante dune application ou dun protocole. Toute activit ne respectant pas le modle probabiliste provoquera la gnration dune alerte. Exemple : Avec le protocole HTTP, il y a une probabilit de 0.9 quune commande GET soit faite aprs une connexion sur le port 80. Il y a ensuite une probabilit de 0.8 que la rponse cette commande GET soit HTTP/1.1 200 OK .
Approche statistique :
Le but est de quantier les paramtres lis lutilisateur : taux doccupation de la mmoire, utilisation des processeurs, valeur de la charge rseau, nombre daccs lIntranet par jour, vitesse de frappe au clavier, sites les plus visits, ... Elle nest actuellement prsente que dans le domaine de la recherche, o les chercheurs utilisent des rseaux neuronaux et la fouille de donnes pour tenter davoir des rsultats convaincants.
Les mthodes rpandues

Les IDS mlangent gnralement les diffrents mthodes de dtection dintrusions. Pattern Matching algorithmes de recherche de motifs algorithmes de comptage algorithmes gntiques Analyse Protocolaire conformit aux RFC Dtection danomalies mthodes heuristiques Analyse statistique modles statistiques Analyse probabiliste rseaux baysiens Autres mthodes rseaux de neurones systmes experts fouille de donnes immunologie graphes
Dploiement dun NIDS Principe de prcaution
Un NIDS nest pas sufsant pour assurer la scurit. Il faut aussi effectuer les actions habituelles :
les systmes et applications doivent tre mises jour rgulirement (mises jour de scurit). les systmes utilisant internet doivent tre dans un rseau isol (DMZ). chaque utilisateur doit tre averti de importance de la scurit de ses mots de passe. les services qui ne sont pas utiliss doivent tre dsactivs.
Le dploiement dun IDS doit tenir compte du systme dexploitation et les rgles doivent tre correctement congures par rapport celui-ci. Lemplacement des sondes est trs important : i.e. lendroit o lon capture le trafc rseau. Il faut penser scuriser les sondes et les logs dalerte.
Principe de prcaution
Il faut congurer correctement lIDS pour quil ninonde pas les rapport dalertes avec des faux positifs.
ils peuvent rendre les rapports dalertes long analyser. les administrateurs passeront beaucoup de temps distinguer les faux positifs des vritables intrusions.
Il faut aussi veiller ce que lIDS ne gnre pas de faux ngatifs. Les dbits actuels des rseaux augementent de plus en plus et donc les IDS ont de plus en plus de paquets traiter et analyser.
Les tapes de fonctionnement dun IDS

1
capture de la trame par linterface en mode promiscuit (promiscous mode). analyse de la trame et ltrage ventuel en bas niveau. dtection de la prsence de fragments ou non et passage ventuel un moteur de reconstruction. transfert de la trame vers le systme dexploitation. ltrage ventuel. applications de divers prprocesseurs en fonction du type de requte an de contrer des techniques dvasion dattaques (voir plus loin). passage vers le moteur danalyse (protocole, pattern matching, statistique, ...).
2 3
4 5 6
Rpartition de charges et amlioration des performances sparer les ux et mettre en place plusieurs sondes. Lutilisation de plusieurs sondes ncessite la corrlation des informations par le biais de plusieurs actions :
agrgation : rassembler les informations des diffrentes sondes. fusion : fusionner en supprimant les doublons (mme attaque dtecte par plusieurs sondes). corrlation : dnir un motif commun, cest--dire interprter une suite dvnements et les rsumer.
= Une corrlation intressante serait de ne garder que les alertes

qui concernent une faille probable du systme.
Les outils
Tcpdump Wireshark Snort
Les outils
Tcpdump : outil en ligne de commande permettant dcouter le rseau. Ethereal ou Wireshark : logiciel open-source permettant la capture et lanalyse de trafc rseau en mode graphique. Snort : systme de dtection dintrusion libre publi sous licence GNU GPL. lorigine crit par Martin Roesch, il appartient actuellement Sourcere. ACID (Analysis Console for Intrusion Databases) : outil daministration dun IDS permettant de se connecter la base de donnes de SNORT.
Les outils
Lancement de tcpdump
Il est prfrable de lancer TCPdump en mode super utilisateur car il passe votre interface rseau en "promiscuous mode" ce qui ncessite certain privilges. "promiscuous mode" signie que votre interface va accepter tous les paquets IP, mme ceux qui ne lui sont pas destins. Vous pouvez lancer tcpdump sans option :
Les outils
Interprtation de tcpdump
TCPdump gnre une ligne par paquet IP. Avec les options par dfaut, une ligne ressemble :
10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain
Heure darrive du paquet sur linterface rseau

10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain Type de protocole (ici IP, peut tre aussi ARP, IGMP, GRE, ...) 10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain Adresse rseau source 10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain Port rseau source 10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain Adresse rseau destination 10 :27 :46.931012 IP aci-claude.1844 > recher-dns.recherche.domain Port rseau destination (domain = requte DNS UDP/53)
Les outils
Les modes verbeux de tcpdump

Pour en savoir plus sur les paquets changs, vous avez les options suivantes :
-v
11 :52 :16.126791 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto : UDP (17), length : 146) recher-dns.recherche.domain > aci-claude.1850 : 38664* 1/1/1 165.30.17.172.in-addr.arpa.
-vv
11 :53 :50.173426 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto : UDP (17), length : 146) recher-dns.recherche.domain > aci-claude.1850 : 27392* q : PTR ? 203.30.17.172.in-addr.arpa. 1/1/1 203.30.17.172.in-addr.arpa.[|domain]
-vvv
...
Pour avoir un dump de chaque paquet :

-A : exemple tcpdump -v -A
13 :43 :28.699404 IP (tos 0x0, ttl 255, id 0, offset 0, flags [DF], proto : UDP (17), length : 73) aci-claude.mdns > 224.0.0.251.mdns : 0 PTR ? 255.255.17.172.in-addr.arpa. (45) E..I..@....p...&.........5.0.............255.255.17.172.in-addr.arpa.
Les outils
Filtrer les paquests de tcpdump

En fonction de ladresse source ou destination :
tcpdump host www.google.fr 14 :11 :20.438496 IP aci-claude.45050 > fx-in-f103.google.com.www : . ack 6753 win 5774 <nop,nop,timestamp 176188646 2732389773>
En fonction de ladresse de destination uniquement :
tcpdump dst www.google.fr 14 :20 :41.950306 IP aci-claude.46051 > fx-in-f99.google.com.www : . ack 6836 win 5774 <nop,nop,timestamp 176329020 3755286292>
En fonction de port utilis :
tcpdump port http 14 :30 :18.440969 IP aci-claude.40621 > sebulba.privatedns.com.www : P 4245 :4958(713) ack 100806 win 16022 <nop,nop,timestamp 176473139 2858750850
En fonction de protocole utilis :
tcpdump proto TCP 14 :38 :52.774942 IP aci-claude.30961 > scott.univ-lehavre.fr.ssh : . 18488273 :18489721(1448) ack 10896 win 2516 <nop,nop,timestamp 176601720 707031894>
Les outils
Quelques options supplmentaires de tcpdump
-n : ne pas effectuer de rsolution de nom et donc afcher directement les adresses IP
14 :46 :50.672227 IP 172.17.20.38.30961 > 193.52.167.215.22 : . 14770137 :14771585(1448) ack 8832 win 2516 <nop,nop,timestamp 176721191 707509879>
-i : force lutilisation dune interface (par exemple : -i eth0)
...
man tcpdump : pour obtenir plus dinformation sur les diffrentes options de tcpdump.
Les outils
Lancement de Wireshark
Au moment du lancement de Wireshark, vous obtenez lcran suivant :
Les outils
Choix de linterface de capture
Pour dmarrer la capture, il vous faut slectionner dabord une interface dans le menu Capture/Interface.
Les outils
Options de capture
Vous pouvez modier les options de capture en pressant le bouton Option :
Les outils
Lancement de la capture
Pour lancer la capture, il suft de presser Start :
Pour arrter la capture et charger celle-ci dans Wireshark, il suft de presser Stop :
Les outils
Analyse de la capture
Vous pouvez ensuite analyser le rsultat de la capture :
Les outils
Installation de Snort
Installer les paquets Snort. Installer le support mysql pour Snort. Installer ACID.

Cnam Cours Ids

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cnam Cours Ids

Cargado por

Copyright:

Formatos disponibles

Les systmes de dtection dintrusion rseau

Claude Duvallet 1/42

Les systmes de dtection dintrusion rseau

Claude Duvallet 2/42

Les systmes de dtection dintrusion rseau

Claude Duvallet 3/42

Les systmes de dtection dintrusion rseau

Claude Duvallet 4/42

Les systmes de dtection dintrusion rseau

Les diffrents types dIDS

Claude Duvallet 5/42

Les systmes de dtection dintrusion rseau

Les systmes de dtection dintrusions (IDS)

Deux notions fondamentales :

Claude Duvallet 6/42

Les systmes de dtection dintrusion rseau

Les systmes de dtection dintrusions "rseaux" (NIDS)

Claude Duvallet 7/42

Les systmes de dtection dintrusion rseau

Les systmes de dtection dintrusions de type hte (HIDS)

Claude Duvallet 8/42

Les systmes de dtection dintrusion rseau

Les systmes de dtection dintrusions "hybrides"

Les systmes de prvention dintrusions (IPS)

Les inconvnients des IPS (1/2)

Les inconvnients des IPS (2/2)

Et enn, le troisime inconvnient et non le moindre : un IPS est peu discret.

Claude Duvallet 12/42

Les systmes de dtection dintrusion rseau

Les IPS "noyau" (KIDS/KIPS) (1/2)

Les IPS "noyau" (KIDS/KIPS) (2/2)

Claude Duvallet 14/42

Les systmes de dtection dintrusion rseau

Claude Duvallet 15/42

Les systmes de dtection dintrusion rseau

Les diffrents types de pare-feux

Lapproche par scnario Lapproche comportementale Les mthodes rpandues

Les mthodes de dtections

= Ces deux techniques, aussi diffrentes soient-elles, peuvent tre

Lapproche par scnario Lapproche comportementale Les mthodes rpandues

Lapproche par scnario

Claude Duvallet 18/42

Les systmes de dtection dintrusion rseau

Lapproche par scnario Lapproche comportementale Les mthodes rpandues

Recherche de motifs (pattern matching)

Un autre inconvnient est que les motifs sont en gnral xes.

Lapproche par scnario Lapproche comportementale Les mthodes rpandues

Recherche de motifs dynamiques

Claude Duvallet 20/42

Les systmes de dtection dintrusion rseau

Lapproche par scnario Lapproche comportementale Les mthodes rpandues

Lapproche par scnario Lapproche comportementale Les mthodes rpandues

Analyse heuristique et dtection danomalies

Claude Duvallet 22/42

Les systmes de dtection dintrusion rseau

Lapproche par scnario Lapproche comportementale Les mthodes rpandues

Claude Duvallet 23/42

Les systmes de dtection dintrusion rseau

Lapproche par scnario Lapproche comportementale Les mthodes rpandues

Inconvnients de lapproche comportementale

Claude Duvallet 24/42

Les systmes de dtection dintrusion rseau

Lapproche par scnario Lapproche comportementale Les mthodes rpandues

Diffrentes mthodes dans lapproche comportementale