Filiale à 100 % d’EADS Telecom, MATRAnet, présente M>Detect, un outil de détection des intrusions réseaux (ou IDS, Intrusion detection system) qui s’appuie sur une analyse comportementale. Fait encore plus rare : un moteur intégré au c?”ur du produit, Evolver, utilise des techniques d’intelligence artificielle (IA) et de statistique non paramétrique pour modéliser des processus complexes.
Définir un profil type et repérer les variations
Cette approche s’oppose à celle ?” plus répandue sur le marché ?” des analyses se fondant sur une base de signatures (approche par scénarios). La sortie de M>Detect est prévue au cours du premier semestre 2002.L’analyse comportementale en matière d’IDS n’est pas récente ; elle existe depuis plus de vingt ans, mais n’a jamais complètement fait ses preuves. Elle s’appuie sur une déviation par rapport à une caractéristique définie. Cette définition du type de profil passe, le plus souvent, par une phase d’apprentissage. Dans notre numéro Spécial Sécurité d’avril (n?’ 99, p. 79), Jean-Denis Gorin, à l’époque architecte en sécurité Internet chez EdelWeb, nous rappelait les principaux modes d’analyse : “L’analyse porte sur l’usage du réseau (protocoles, volumétrie, horaires d’activité, congestion et erreurs) ; l’activité d’une machine (nombre et listes de processus et d’utilisateurs, et ressources consommées) ; et l’activité d’un utilisateur (horaires et durée des connexions, commandes utilisées, messages envoyés, programmes activés, etc.).” En outre, Ludovic Mé, chercheur et enseignant à Supélec, notait que “ces outils s’appuient essentiellement sur des calculs statistiques “.L’un des défauts qui caractérisent l’analyse comportementale est la définition précise d’un profil de normalité. Cela peut conduire à des fausses alarmes, parfois beaucoup trop nombreuses. MATRAnet annonce un taux de “fausses alertes” très faible. “Nous nous sommes appuyés sur de la technologie mathématiquement très évoluée et éprouvée dans d’autres secteurs de l’industrie, indique Didier Bonnerot, directeur technique sécurité chez MATRAnet. L’éditeur de logiciels Masa (Mathématiques SA) a apporté ses connaissances liées à l’intelligence artificielle et à la “modélisation des choses non modélisables”, et MATRAnet a mis dans la corbeille ses connaissances des réseaux et de la sécurité.”Masa est une société française dont le c?”ur de la recherche vient de Normale Sup et de ses “matheux“. Outre le moteur comportemental Evolver inclus dans M>Detect, Masa dispose d’un moteur, DirectIA, servant à modéliser le comportement de l’administrateur. Dans sa première mouture, “seul Evolver est incorporé au sein de M>Detect, mais rien n’empêche à terme d’intégrer DirectIA”, précise Didier Bonnerot. L’IDS réseau de MATRAnet est adapté aux réseaux 100 Mbit/s et non Gigabit. Il ne traite que les en-têtes, et se présente plutôt comme un complément aux autres IDS réseaux du marché que comme un réel concurrent.
Absence de gestion du format Idef
M>Detect ne gère pas Idef (Intrusion detection exchange format), le standard de l’IETF pour l’échange de données entre IDS, et ne permet pas une reconfiguration du pare-feu à la volée. Le produit est déjà en test chez EADS Telecom et quelques clients. “La touche finale consistera à réaliser l’interface graphique et à corriger les bogues”, précise-t-on chez MATRAnet.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.