Etude Comparative des Architectures de Détection

Etude Comparative des Architectures de Détection
d’Intrusion à base des Systèmes Multi Agents
Mohssine EL AJJOURI, Siham BENHADOU, Hicham MEDROMI
Equipe Architecture des Systèmes, Laboratoire LISER
Route d'El Jadida. BP 8118 Oasis Casablanca, ENSEM
[email protected]
[email protected]
[email protected]
Résumé — De plus en plus, des systèmes de détection d'intrusion
(IDSs) sont vus en tant que composants important dans les
solutions complètes de sécurité, par contre le point faible le plus
communs de ces architectures existantes est qu'ils sont construit
autour d'une entité monolithique simple qui fait la majeure
partie de la collecte et du traitement de données ce qui limitent
leur efficacité, évolutivité ainsi que leur précision de détection.
Ce papier se focalise sur une présentation et étude comparatives
de différentes architectures d’IDS, avantages et limites de chaque
architecture, dans lequel les systèmes multi agents sont fortement
utilisés et exploités.
Mots clés — Détection d’intrusion, Sécurité,
multiagents, Agent autonome, Architecture
Systèmes
I. INTRODUCTION
Chaque jour, les réseaux d'entreprises sont menacés par
divers types d'attaques complexes. La sécurité de ces réseaux
est gérée via deux approches principales : une approche
préventive, qui consiste à protéger les données et les identités,
et une approche de détection, qui consiste à surveiller en
permanence les comportements et les états suspicieux. Par
exemple, le cryptage des données, le déploiement de pare-feux
ou l'authentification des utilisateurs par mot de passe
appartient à la première famille de mécanismes de sécurité
alors que l'utilisation d'un système de détection d'intrusion
(IDS) appartient à la seconde [1]. Les systèmes de détection
d'intrusion ont prouvés être une manière efficace de détecter
les attaques survenant dans un réseau. Cependant, tous les IDS
font face au même défi : comment détecter de nouvelles
attaques ?
II. ETAT DE L’ART
A. Détection d’intrusion
La détection d’intrusions est un terme général qui désigne
des méthodes automatiques qui, basées sur l'analyse de
séquences d'événements temps réel et/ou enregistrés, peuvent
alerter l'administrateur de sécurité de possibles violations de
sécurité [2].
La détection d'intrusions fait référence à la capacité d'un
système informatique de déterminer automatiquement, à partir
1
d'événements relevant de la sécurité, qu'une violation de
sécurité se produit ou s'est produite dans le passé [2].
Pour se faire, la détection d'intrusions nécessite qu'un grand
nombre d'événements de sécurité soient collectés et
enregistrés afin d'être analysés.
B. Différents approches de détection d’intrusion
On distingue deux grands types d’approches pour détecter
des intrusions. La première consiste à rechercher des
signatures connues d’attaques tandis que la seconde consiste à
définir un comportement normal du système et à rechercher ce
qui ne rentre pas dans ce comportement.
Un système de détection d’intrusions par recherche de
signatures connaît ce qui est mal, alors qu’un système de
détection d’intrusions par analyse de comportement connaît ce
qui est bien. On parle de détection de malveillances et de
détection d’anomalies.
La détection de malveillances fonctionne essentiellement
par la recherche d’activités abusives, par comparaison avec
des descriptions abstraites de ce qui est considéré comme
malveillant. Cette approche tente de mettre en forme des
règles qui décrivent les usages non désirés, en s’appuyant sur
des intrusions passées ou des faiblesses théoriques connues.
Les règles peuvent être faites pour reconnaître un seul
événement qui est en lui-même dangereux pour le système ou
une séquence d’événements représentant un scénario
d’intrusion. L’efficacité de cette détection repose sur l’acuité
et la couverture de tous les abus possibles par les règles.
La détection d’anomalies se base sur l’hypothèse que
l’exploitation d’une faille du système nécessite une utilisation
anormale de ce système, et donc un comportement inhabituel
de l’utilisateur. Elle cherche donc à répondre à la question « le
comportement actuel de l’utilisateur ou du système est-il
cohérent avec son comportement passé ? ».
Le système hybride tente de compenser quelques
inconvénients de chacune des techniques, certains systèmes
utilisent une combinaison de la détection d’anomalies et de la
détection de malveillances.
C. Une approche multi-agents pour la gestion de la
sécurité
Les SMAs pouvaient apporter une solution à la complexité
du problème de gestion de sécurité. Nous verrons que
certaines des caractéristiques requises pour les entités de
réseau sont importantes et même nécessaires pour répondre
aux nouveaux besoins de gestion de sécurité.
On peut définir un agent comme étant une entité qui
fonctionne continuellement et de manière autonome dans un
environnement où d'autres processus se déroulent et d'autres
agents existent [3].
On distingue quatre modèles d’agents : les agents
délibératifs, les agents réactifs, les agents interactifs et les
agents hybrides. Dans cette section, nous allons présenter
brièvement les différents types de modèles d’agents.
Les agents délibératifs : Les agents délibératifs ont la
capacité de résoudre des problèmes complexes. Ils sont ainsi
capables de raisonner sur une base de connaissances, de traiter
des informations diverses liées au domaine d’application et
des informations relatives à la gestion des interactions avec
d’autres agents et avec l’environnement.
Les agents réactifs : Les architectures réactives, dites aussi
comportementales, se caractérisent par des agents qui ont la
capacité de réagir rapidement à des problèmes simples, qui ne
nécessitent pas un haut niveau de raisonnement. En effet, leurs
décisions sont essentiellement basées sur un nombre très
limité d’informations et sur des règles simples de type
situation – action. Les agents réactifs réagissent aux
changements de leur environnement ou aux messages
provenant des autres agents. Ces agents ne disposent que d’un
protocole de communication et d’un langage de
communication réduits [3].
Les agents interactifs : les architectures d’agents interactifs
se caractérisent par des agents conçus spécialement avec des
capacités de coordination et de coopération. Ce type
d’architectures n’est pas suffisant pour construire des agents.
Figure 1 Architecture AAFID
B. Avantages et limites de l’architecture AAFID
Nous avons plusieurs avantages pour cette architecture
à titre d’exemple la possibilité d'ajouter ou supprimer des
agents pour surveiller les effets les plus intéressants pendant
certaine période de temps en plus qu’un agent peut être
configuré spécifiquement pour l'hôte où il a besoin pour
fonctionner ce qui donne la possibilité de mettre en œuvre de
nombreuses politiques de sécurité, nous pouvons aussi activer
ou désactiver dynamiquement les agents, nous pouvons
utiliser les ressources du système que pour les tâches
nécessaires et donc réduire la charge du système.
Nous ne pouvons permettre une vérification croisée entre
les agents pour garder leur intégrité et les agents peuvent
fonctionner sur différentes plates-formes qui garantissent la
compatibilité des IDS avec différentes plates-formes, en outre
si un agent s'arrête accidentellement pour quelque raison que
le fonctionnement d'un couple de ceux qui sont liés avec elle
peut être affectée.
Quand aux inconvénients de cette architecture la configuration
est difficile à mettre en place, en plus que cette architecture est
monolithique c'est-à-dire que le moniteur est le maillon faible,
si ce dernier tombe en panne, tous les transeivers contrôlés
par le moniteur tombe en panne, en termes d’évolutivité ca
reste une architecture limitée aussi.
III. ARCHITECTURES A BASE D’AGENTS
Nous allons aborder dans ce paragraphe une revue sur
quelques architectures de détection d’intrusion, avantages et
lacunes s’ils existent de chaque architecture.
1.
Autonomous Agents For Intrusion Détection (AAFID)
A. Présentation et fonctionnement de l’architecture
AAFID
Un système AAFID peut être distribué sur un nombre
quelconque de stations au sein d'un réseau. Comme indiqué
dans la figure 1 l’architecture définit les éléments suivants [4] :
•
Agent : Surveiller certains aspects de l’hôte.
•
Filtre : Sélectionner les données et la couche
d’abstraction pour les agents.
• Récepteur : C’est l’interface de communications
des machines.
• Moniteur : Contrôler les entités en cours
d’exécution dans plusieurs hôtes différents.
• Interface Utilisateur : interagir avec un moniteur
pour demander des informations et à fournir
instructions
2
2.
MObile VIsualisation Connection Agent-Based IDS
(MOVICAB-IDS)
A. Présentation et fonctionnement de l’architecture
MOVICAB-IDS
C’est un système de détection d’intrusion intelligent
hybride caractérisé en incorporant le contrôle temporel pour
permettre le traitement en temps réel. La formulation originale
de MOVICAB-IDS combine les réseaux neurologiques
artificiels et le raisonnement basé sur le cas d’un système
multi agent pour effectuer la détection d'intrusion dans les
réseaux
informatiques
dynamiques
[5],
composé
essentiellement des composants suivants (Figure 2) :
• Sniffer : cet agent réactif est responsable de capturer
des données du trafic. La circulation continue est
capturée et coupée en segments afin de l'envoyer par
le réseau pour une transformation ultérieure.
•
•
•
•
•
certains agents peuvent être prêts à travailler dès que les
instances de travail échouent montrant un comportement
proactif .Cette architecture se caractérise aussi par la
portabilité de la visualisation qui peut être réalisé dans une
grande variété des appareils.
Cette architecture est limitée par le fait de sa dépendance à
un traitement humaine, MOVICAB-IDS ne pouvait soulever
automatiquement une alarme pour alerter sur les attaques. Par
conséquent, une surveillance humaine est nécessaire pour
identifier les situations anormales.
Préprocesseur : après la division des données du
trafic, les segments produits sont prétraités avant leur
analyse. Une fois que les données ont été prétraitées,
une analyse pour ce nouveau morceau de données
est demandée.
Analyseur : c'est un agent de CBR-BDI. Il a un
modèle connexionniste inclus dans l'étape
d'adaptation de son système de CBR qui aide à
analyser les données prétraitées du trafic. Cet agent
produit d'une solution (ou atteint ses buts) en
recherchant un cas et en l’analysant en utilisant un
réseau de CMLHL.
Manager
de
configuration : Agent réactif
responsable de fournir les informations aux agents de
sniffer, du préprocesseur, et d'analyseur.
Coordinateur : Il peut y avoir plusieurs agents
d'analyseur (de 1 à m) mais seulement un
coordinateur qui doit être responsable de distribuer
les analyses. Afin d'améliorer l'efficacité et effectuer
le traitement en temps réel, les données prétraitées
doivent être dynamique ils ont assigné de façon
optimale
Visualisateur : C'est un agent d'interface. À la fin du
processus, les données analysées sont présentées à
l'administrateur réseau (ou à la personne responsable
du réseau) au moyen d'une interface fonctionnelle et
mobile de visualisation. Pour améliorer l'accessibilité
du système, l'administrateur peut visualiser les
résultats sur un périphérique mobile, permettant à des
d'être au courant des décisions prises n'importe où et
à tout moment.
3.
Probabilistic Agent-Based IDS (PAID)
A. Présentation et fonctionnement de l’architecture PAID
Cette architecture basée sur des agents coopératifs où des
agents autonomes effectuent des tâches d'identification
spécifique, elle est constituée des éléments suivants : (Figure
3).
• Agent de surveillance de système : Ces agents
exécutent en ligne ou offline les traitements des
données de log, communiquent avec le système
d'exploitation, et ressources du système de moniteur.
Ces agents éditent leurs variables de sortie cela peut
être utilisé par d'autres agents [6]
• Agent de surveillance de l’intrusion : Chaque agent de
la surveillance d'intrusion calcule la probabilité pour
un type spécifique d'intrusion. Ces agents souscrivent
aux variables et/ou aux croyances éditées
par les agents de contrôle du système, agents
d'intrusion-surveillance [6].
• Agent de registre : L’agent registre maintient les
informations sur les variables éditées et les intrusions
surveillées pour chaque contrôle du système
ou agent du surveillance d'intrusion. C’est nécessaire
que tous les agents soient enregistrés via l'agent de
registre ce dernier maintient également l'emplacement
et l'état actuel de tout les agents enregistrés [6].
Figure 2 Architecture MOVICAB-IDS
Cette architecture est conçue pour couper l’ensemble de
données massifs du trafic en segments pour les analyser,
fournissant de ce fait à des administrateurs un outil visuel pour
analyser ce genre d'événements ayant lieu sur le réseau
informatique. Cet outil fournit également une analyse de
plusieurs segments comme étant une seule (des segments
simples) et aussi comme ensemble de données accumulé.
B. Avantages et limites de l’architecture MOVICAB-IDS
Cette architecture est évolutive, nous pouvons ajouter
facilement un Sniffer ou Analyseur d’une manière dynamique
à tout moment en plus de la tolérance aux pannes ainsi
Figure 3 Architecture PAID
3
B. Avantages et limites de l’architecture PAID
PAID est caractérisé par sa fiabilité ainsi l’IDS fonctionne
avec un niveau acceptable même en présence d’intrusion en
plus de la maintenabilité des différents agents avec une
configuration réseau facile. Cette architecture est caractérisée
aussi par la flexibilité de ces agents, aussi L'architecture de
l'IDS distribué permet une analyse locale et le partage des
résultats, en minimisant les coûts de communication.
L’agent registre est le maillon le plus faible de cette
architecture, s’il tombe en panne le fonctionnement de
l’architecture sera perturbé.
4. Dynamic Distributed Intrusion Detection System Based
on Mobile Agents with Fault Tolerance (DDIDS)
5.
Synergistic and Perceptual Intrusion Detection with
Reinforcement (SPIDeR)
A. Présentation de l’architecture SPIDeR
SPIDeR est une architecture de détection d’intrusion qui se
compose d’agents autonome multiple avec des modèles de
calculs hétérogènes, ces agents sont réparties sur les
ordinateurs du réseau effectuant la détection d’intrusion d’une
façon autonome et asynchrone, les résultats sont stockés dans
un agent Blackboard BB [8].
Plusieurs agents entre en jeu dans cette architecture :
• Agent Blackboard
(BB) : maintient l'information
concernant des détections d'intrusion dans l'ordinateur
réseau.
A. Présentation et fonctionnement de l’architecture
• Sous-système de la gestion (BBM) : a deux tâches :
DDIDS
l'agrégation des décisions fait parmi des agents et le
Le but de cette architecture est le développement d’un
système dynamique distribué de détection d’intrusion sécurisé,
ménage.
pas de false alarmes et en temps réel en collectent des données,
• Interface Utilisateur (UI) : fournit la visualisation de
prétraiter et l'envoyer à un système centralisé [7]. Cette
l'information stockée sur le BB et une interface pour
architecture est constitué de:
l'administrateur pour configurer les opérations de
•
Agent host : Protège le système et génère un Id
détection d’intrusion.
événement quand des activités anormales sont
• Agent de détection d’Intrusion (IDA) : de façon
détectes.
autonome et Independent
• Agent net : Détecter les intrusions réseaux.
• Agent mobile : Visiter tous hôtes et collecter les
informations de l’attaque.
• Agent de décision et de réplication : Contrôle et
coordination avec les différents hosts, analyse de
l’information collecté par l’agent mobile, il a une vu
générale sur le système (Figure 4).
Figure 5 Architecture SPIDeR
B. Avantages et limites de l’architecture SPIDeR
Pour une meilleure détection d’intrusion cette architecture
utilise des agents intelligents capables d’apprendre par
renforcement, chaque agent à la possibilité de détecter un type
d’attaque particulier en plus de l’utilisation d’une carte SOM
pour la détection d’intrusion [8].
Le Blackboard BB ou boite noir est le maillon la plus faible de
cette architecture car lorsque celle-ci tombe en panne
l’architecture sera perturbé.
Figure 4 Architecture DDIDS
B. Avantages et limites de l’architecture DDIDS
L’architecture DDIDS se caractérise par son évolutivité, en
plus du Comportement robuste et à tolérance au panne. L’IDS
surmonte la latence du réseau et permet de réduire la charge
réseau avec une exécution asynchrone et l'autonomie, opérant
dans des environnements hétérogènes avec une adaptation
dynamique et une adaptation statique.
Quand aux limites de cette architecture on peut citer
l’augmentation de nombre de faux positif.
6.
Agent Based Distributed Intrusion Detection System
(ABDIDS)
A. Présentation de l’architecture ABDIDS
ABDIDS constitué d’agent coopératif , proactive , mobile
avec une automatisation de tâche de sécurité et d’une grande
4
certitude de ne pas offrir de mauvaise informations , cette
architecture est composé de MoRA (Monitoring Registry) qui
se charge d’initialiser et identifier les MoA (Monitoring agent)
maintenir le statut de chaque MoA et de les enregistrer dans
l’ordre en fonction de MoA Id aussi nous avons le MoA qui se
charge de collecter les informations de sécurité et de les
remonter au MA (Managing Agent) qui se charge de détecter
les intrusions et analyser les vecteurs binaires, et compare les
vecteurs aux schémas d’attaques connus [9].
précisément la détection d’intrusions. Notre point de départ a
été de faire une étude comparative des architectures existantes
de systèmes de détection d’intrusions à base d’agents. Nous
avons identifiés les faiblesses des systèmes existants par
rapport à l’évolution des besoins de sécurité.
Il est intéressant de noter que ces architectures étudiées
peuvent prévoir de nombreuses extensions, dont les
principales sont les suivantes : Apprentissage des
comportements normaux des utilisateurs et de systèmes à
sécuriser, des études de performances devront être menées
pour identifier le nombre d’alarmes positives, d’alarmes
négatives et de fausses alarmes, aussi Pour intégrer des
mécanismes de réponse et les améliorer, il faut penser à
intégrer la mobilité dans les agents locaux de ces architectures.
REFERENCES
[1]
[2]
[3]
Figure 6 Architecture ABDIDS
[4]
B. Avantages et limites de l’architecture ABDIDS
Cette Architecture dispose d’une couche de sécurité, elle
est composé d’agents proactive, il n’agit pas simplement en
réponse à l’environnement mais il prend d’initiative, elle est
doté aussi d’une grande certitude de ne pas offrir de mauvaise
informations et d’agents mobiles entre différents nœuds de
réseaux qui s’adapte à son environnement, rationnel agissant
toujours pour atteindre les objectifs.
[5]
[6]
[7]
IV. DISCUSSION
Dans ce papier nous avons présenté une étude comparative
entre les différentes architectures à base d’agents de systèmes
de détection d’intrusion leurs avantages et leurs inconvénients.
Nous constatons que pour la majorité des architectures ont
des composants qui jouent le rôle d’analyses et c’est des
maillons faibles pour ces architectures car une fois que cette
analyseur tombe en panne tous les autres composants seront
perturbés et par conséquent le réseau tombe en panne , ce
problème aussi empêche d’avoir l’évolutivité puisque les
traitements sont faites par le composant centrale du coup la
taille de réseau sera limité, les mécanismes de défense de la
masse, tel que la résistance aux attaques n'a pas été pris en
compte aussi dans la plupart des travaux précédents.
[8]
[9]
[10]
[11]
[12]
[13]
V. CONCLUSION ET PERSPECTIVES
Dans ce papier nous nous sommes focalisé sur le problème
de la gestion de la sécurité des réseaux plus précisément les
systèmes de détection d’intrusions existants ont été conçus
pour des environnements connus et bien définis. Ils ne sont
donc pas adaptés à des environnements dynamiques et c’est là
leur principale faiblesse. Dans ce type d’environnement où les
besoins en sécurité sont en perpétuelle augmentation,
flexibilité et adaptabilité deviennent des critères primordiaux
[14]
[15]
5
Karima Boudaoud, Nicolas Nobelis Apprentissage de nouvelles
attaques avec un modèle de Case-Based, Reasoning Laboratoire I3SCNRS
Rahmani Amine Boumedien Hassan, La détection d’intrusion
(Optimisation par classification).
Boudaoud, Karima, Thèse : Détection d'intrusions: une nouvelle
approche par systèmes multi-agents, École polytechnique fédérale de
Lausanne EPFL, n° 2328 (2000), Faculté informatique et
communications.
Jai Sundar Balasubramaniyan,Jose Omar Garcia-Fernandez,David
Isaco ,EugeneSpaord, Diego Zamboniy An Architecture for Intrusion
Detection using Autonomous Agents
Martí Navarro, Álvaro Herrero, Emilio Corchado, and Vicente Julián
Approaching Real-Time Intrusion Detection through MOVICAB-IDS
Departamento de Sistemas Informáticos y Computación
Vaibhav Gowadia, Csilla Farkas*, Marco Valtorta PAID, A
Probabilistic Agent-Based Intrusion Detection system Springer, 1989,
vol. 61.
Sasikumar, R. and D. Manjula Dynamic Distributed Intrusion
Detection System Based on Mobile Agents with Fault Tolerance
Department of Computer Science and Engineering, R.M.D Engineering
College, Kavaraipettai, Chennai, Tamil Nadu, India
Patrick Miller and Atsushi Inoue Collaborative Intrusion Detection
System, Department of Computer Science Eastern Washington
University Cheney, WA 99004-2412 U.S.A
Yu Lasheng , and MUTIMUKWE Chantal, Agent Based Distributed
Intrusion Detection System (ABDIDS) Central South University (CSU),
Department of Computer Science, Changsha, 410083, China.
Eugene H. Spaeord, Diego Zamboni, Intrusion detection using
autonomous agents, Center for Education and Research in Information
Assurance and Security, 1315 Recitation Building, Purdue University,
West Lafayette, IN 47907-1315, USA
D. Dasgupta*, F. Gonzalez, K. Yallapu, J. Gomez, R. Yarramsettii An
agent-based intrusion detection system, Intelligent Systems Research
Laboratory, Division of Computer Science,The University of Memphis,
Memphis, TN 38152, United States.
D. Dasgupta, J. Gomez, F. Gonzalez, M. Kaniganti, K. Yallapu, R.
Yarramsettii, Multilevel Monitoring and Detection System, Intelligent
Security Systems Research Laboratory,Division of Computer Science
University of Memphis Memphis, TN-38152.
Dipankar Dasgupta, The Use of Agent Technology for Intrusion
Detection, University of Memphis.
Ravneet Kaur, Role of Cross Layer Based Intrusion Detection System
for Wireless Domain, Department of
Computer science &
Engineering, Beant College of Engineering & Technology, Gurdaspur,
India.
Álvaro Herrero and Emilio Corchado, Multiagent Systems for Network
Intrusion Detection: A Review, Department of Civil Engineering,
University of Burgos, C/ Francisco de Vitoria s/n, 09006 Burgos,
Spain.

Download Report