Une nouvelle approche des I[D|P]S distribués

Par Rédaction, secuobs.com
Le 19/09/2006

---

Résumé : Une équipe de chercheurs a présenté un système de reconnaissance des infections dues aux vers et en particulier ceux dont la propagation repose sur l'exploitation de failles non connues. Leur solution repose sur un fonctionnement dit « distribué » grâce à un protocole de partage coopératif des alertes de sécurité. - Lire l'article



Une équipe de chercheurs a récemment présenté un nouveau système de reconnaissance des infections dues aux vers et en particulier ceux dont la propagation repose sur l'exploitation de failles non connues publiquement ou « 0day ». Cette équipe est constituée d'un regroupement de collaborateurs du centre de recherche d'INTEL ( lien ) et du département de sciences et d'informatique de l'université de Californie ( UC - lien ).

Leur solution repose sur un fonctionnement dit « distribué » grâce à un protocole de partage coopératif des alertes de sécurité. Chaque machine du réseau agit en fait comme une sonde qui collecte des informations locales afin de les partager et effectuer leur corrélation. Cette dernière intervient lorsqu'une alerte est émise par l'une d'entre elles, les données des autres stations sont alors analysées par l'intermédiaire des tables de concordances.

Différents algorithmes de traitement sont appliqués afin d'y retrouver de possibles occurrences multiples d'une même information avec pour condition que ces données correspondent bien à différents noeuds du réseau. Le taux de détection est ensuite comparé à des seuils de tolérance pré-déterminés ainsi qu'à différents scénarios de comportements « normaux » du trafic.

Dans le cas où un dépassement de ce seuil validerait l'hypothèse séquentielle d'origine sans pour autant correspondre à l'un de ces scénarios, l'alerte serait dès lors enregistrée dans une table dite « décisionnelle » ; une réponse automatique étant aussitôt activée afin de cloisonner les stations infectées du reste de l'infrastructure dans le but d'en protéger l'intégrité.

Cette réponse est essentiellement assurée par la mise en place de règles spécifiques au niveau du matériel actif de filtrage. Ces règles doivent rester de nature temporaire afin d'éviter les surcharges de traitement à terme tout en étant en mesure de pouvoir endiguer la propagation du ver dans l'intervalle de temps nécessaire. La validation d'une alerte entraîne, conjointement à cela, des notifications aux responsables du réseau qui peuvent, en cas de « faux positifs » éventuels, revenir rapidement à l'état initial de filtrage de leur infrastructure.

Le caractère distribué, de cette solution, assure une prise de décision globale via l'analyse des tables de probabilités, la privilégiant à celle moins efficace d'agents distincts de par leur nature isolée. Il permet de réduire considérablement, par le croisement d'informations de sources multiples, le nombre de « faux positifs » dont sont coutumieres les solutions « locales » de détection.

Les différents tests, constituant le banc d'essai, nécessaire à viabiliser ce projet, ont été développés autour des plateformes « DETER » et « Emulab » ( lien ). Ce dernier fait partie du projet « NetBed » dont l'objectif est de fournir un environnement expérimental assurant l'émulation et la simulation de réseaux de toutes tailles. Les attaques par vers ont été réalisées via le moteur « Wormsim » développé en interne ; ce moteur de simulation a la caractéristique de fournir des instructions à ses agents sous le forme de fichiers XML.

Le système, configuré avec un taux de tolérance de dix pourcents aux « faux-positifs », affiche des résultats déjà plus que probants ; il s'est notamment montré capable d'arrêter une infection par prise de décision quatorze secondes seulement après le début de l'attaque.

Un total de trente-deux pourcents des machines ayant été compromises pendant cette période ; stations qui seront dés lors cloisonnées afin d'être traitées ultérieurement par l'équipe technique en charge de ces systèmes. Les différentes expériences réalisées ont démontré que l'augmentation du taux de tolérance, cité auparavant, n'était pas significative sur la réduction de ce délai.

Bien que présentant des résultats encourageants, l'aspect automatique des réactions pourrait poser des problémes. Un attaquant, connaissant suffisamment bien le protocole d'alertes, sera t'il en mesure de provoquer le cloisonnement d'une machine ou d'un groupe de machines par l'envoi de fausses alertes usurpant l'identité des sources à exclure ?

La « disparition » de points sensibles (DHCP, DNS, PDC/BDC, backup, netboot) pourrait, dans ce cas, représenter un intérêt stratégique en vue d'une attaque par « paliers » de compromission.

Wormblog : lien
L'étude au format PDF : lien