Utilisation des agents mobiles dans les systèmes de détection d'intrusions Réseau Informatique

Objectifs : - Définition de la notion du sécurité.
                  - Classification des systèmes de détection d'intrusions.
                  - Les systèmes de détection d'intrusions.
                  - Utilisation des agents mobiles dans les systèmes de détection d'intrusions.



Les systèmes de détection d'intrusions

4  Utilisation des agents mobiles dans les systèmes de détection d'intrusions

Une alternative à l'utilisation d'un module monolithique pour la détection d'intrusions est la mise en œuvre de processus indépendants.

4.1  Qu'est-ce qu'un agent mobile ?

Un agent mobile est un programme autonome qui peut se déplacer de son propre chef, de machine en machine sur un réseau hétérogène dans le but de détecter et combattre les intrusions. Cet agent mobile doit être capable de s'adapter à son environnement, de communiquer avec d'autres agents, de se déplacer et de se protéger. Pour ce dernier point, une des fonctions de l'agent doit être l'identification et l'authentification pour donner l'emplacement et l'identité de celui qui l'a lancé.

Ainsi, Chaque agent est un programme léger, insuffisant pour faire un système de détection d'intrusions entier car il n'a qu'une vision restreinte du système. Si plusieurs agents coopèrent, un système de détection plus complet peut être construit, permettant l'ajout et le retrait d'agents sans reconstruire l'ensemble du système.

La première caractéristique dont ont peut tirer des avantages est la mobilité des agents. Le fait qu'il n'y ait pas de programme principal qui se sert des autres modules comme esclaves mais plutôt la présence de plusieurs entités intelligentes qui collaborent, fait que si une des entités s'arrête, le système continue de fonctionner.

4.2  Avantages et inconvénients des agents mobiles

Si les agents n'apportent pas fondamentalement de nouvelles capacités, ils apportent néanmoins des réponses
aux imperfections soulignées précédemment. Stefano  MARTINO fait d'ailleurs une analogie entre le système
immunitaire humain et cette approche : chaque cellule ou agent doit combattre les intrus avant que ça ne deviennent une menace pour le système.

Quatre classes peuvent être faites pour caractériser ces avantages :



La flexibilité : on a la possibilité d'adapter le nombre d'agents à la taille du système d'informations ainsi que d'avoir des agents entraînés en fonction du système surveillé.

L'efficacité : les agents affectent moins les performances de chaque machine puisqu'ils peuvent travailler sur les ressources ayant uniquement rapport avec leur champ de vision. Le gain au niveau de l'échange d'informations, sur le réseau notamment, est loin d'être négligeable.

La fiabilité : c'est la tolérance aux fautes. Si un agent est hors-service, il reste d'autres agents qui peuvent se reproduire. Le système de défense n'est pas annihilé par la compromission d'un seul agent, un agent corrompu ne donnant pas une image fausse de l'ensemble du système aux autres agents.

La portabilité : les agents supportent plus facilement les systèmes distribués, et donc à la fois l'aspect hôte et l'aspect réseau. Notons par exemple que ce système permet de détecter les attaques distribuées, c'est-à-dire dues aux attaques simultanées de plusieurs personnes réparties sur un réseau.

En plus de ses avantages, il y en a encore un certain nombre. L'architecture par agents mobiles est naturelle et
présente une plus grande résistance aux attaques puisqu'elle se base sur un système autre que hiérarchique. Qui plus est, elle est basée sur une exécution asynchrone et une certaine autonomie, ce qui fait que les agents mobiles sont désolidarisés du reste pour une plus grande tolérance aux fautes. Enfin, les agents mobiles présentent la capacité de s'adapter dynamiquement aux changements et peuvent donc réagir plus rapidement.

Si les systèmes par agents mobiles ont des avantages indéniables, ils ont également des inconvénients notables. Il est clair que le codage et le déploiement sera difficile pour assurer un code sûr avec beaucoup de fonctionnalités.

Il y a d'autres inconvénients : quand les agents se déplacent, un nœud dépourvu d'agent est vulnérable pendant un moment. De plus, si les agents ont besoin d'un apprentissage, ce temps peut être long. Il souligne ensuite quelques unes des imperfections des systèmes de détection d'intrusions qui ne sont pas corrigées par le système des agents mobiles. Ils peuvent être corrompus et ils imposent une utilisation des ressources et que quelque soit le système. Enfin, certains attaquants réussiront toujours à obtenir des droits pendant quelques temps avant d'être détectés.

Enfin, quelques points resteront à étudier, comme la performance, car il faut voir la rapidité avec laquelle l'agent détecte et remonte l'information d'intrusion, la taille du code, car les systèmes de détection sont complexes et les agents risquent de demander d'assez gros programmes et le temps d'adaptation des agents à un système, car il y aura un manque de connaissance de base étant donné que beaucoup de plates-formes et de configurations sont différentes.

4.3  Conclusion et perspectives pour les agents mobiles


Si les agents mobiles apportent des avantages importants, les inconvénients qu'ils engendrent du même coup ne sont pas négligeable. Cependant, l'approche par agents mobiles semble pouvoir donner des résultats meilleurs que les autres technologies et la recherche va développer une nouvelle architecture pour cette technologie.

Les avantages des agents mobiles pourront être exploités de plusieurs façons : en prévoyant de la surveillance en plus de la détection, en fournissant une réponse aux attaques et en augmentant la fiabilité du système. On peut aussi tirer profit de la diversité en représentant les signatures d'attaques par une méthode différente pour chaque agent.



                                                  

Article plus récent Article plus ancien

Leave a Reply