nammoussa
Messages postés1Date d'inscriptionmardi 15 mai 2012StatutMembreDernière intervention15 mai 2012
-
15 mai 2012 à 14:49
Bonjour,
je suis une étudiante en 2ème année master recherche en systèmes d'information intelligent, mon sujet de master est ' optimisation de la pertinence des événements des IDS au sein d'un système géré par des outils de configuration automatique.'
voici la problématique de mon sujet : "Le problème traité dans ce projet concerne l'handicap des systèmes IDS dans un environnement géré par des outils de configuration automatique tels que la translation d'adresses IP (NAT), le protocole DHCP (Dynamic Host Configuration Protocol) ou le protocole DDNS (Dynamic Domain Name Service). Un IDS doit préciser avec justesse l'attaquant et la victime lors d'une action intrusive. Cependant, les outils de configuration automatique rendent incapable les IDS à identifier les entités réellement impliquées dans des événements de sécurité puisque l'adresse, le nom d'une entité et même les numéros de port des communications peuvent varier au cours du temps. Les conséquences peuvent être graves sur le système à sécuriser du fait que les réponses des IDS ne seront pas dirigées contre les entités concernées. Et donc des entités tout à fait légitimes peuvent subir les réponses des IDS lancées contre les actions intrusives des autres.
Les outils de configuration automatique provoquent aussi la multiplication du nombre d'instances distinctes d'une même alerte. Prenons l'exemple d'un réseau où deux IDS surveillent le trafic, l'un situé en amont et l'autre en aval d'un routeur effectuant par exemple de la translation d'adresses. L'adresse des hôtes n'est pas la même en amont et en aval du routeur. Et donc les identifiants des attaquants et des victimes contenues dans les alertes émises par les deux IDS ne sont pas les mêmes. Pourtant, il s'agit des mêmes entités. Cet exemple illustre l'handicap que provoquent les outils de configuration automatique dans le processus de corrélation d'alertes puisque il empêche d'extraire des connaissances implicites, d'identifier la tendance d'un ensemble d'alertes et d'élaborer des scénarios d'intrusions."
et la contribution est "Afin de fournir des identifiants de victimes et d'attaquants fiables et exactes, le système IDS doit être conscient de l'existence d'un outil effectuant une configuration automatique au sein du réseau, respecter les changements effectués par cet outil et prendre en compte instantanément toutes les informations sur les changements qui interviennent dans le système. Dans ce cas, l'alerte générée par l'IDS contiendra alors des identifiants précis permettant à l'operateur de sécurité de déterminer rapidement les hôtes concernés et donc la réponse active sera prise seulement contre les entités en question."
moi j'ai eu des difficultés surtout dans la recherche d'une solution pour cette problématique c'est à dire comment retrouver l'identité de l'entité réel impliqué dans un evenement de sécurité. moi je m'intéresse sur le NAT
s'il y a quelqu'un qui peut m'aider ou une documentation en francais j'aimerai bien en avoir et merci d'avance.