Scribd Logo
Importer

Bienvenue sur Scribd !

  • 10 Anti Virus

    Transféré par

    Yasmine Chihab
    1K vues22 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    Télécharger au format pdf ou txt
    1K vues22 pages

    10 Anti Virus

    Transféré par

    Yasmine Chihab

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    Télécharger au format pdf ou txt
    sur 22

    La Détection

    d’Intrusion
    Les attaques informatiques:
     Internes ou externes
     Ciblent une machine ou un réseau

    Comment décider quel outil ou quelle stratégie doit être mis


    au point pour la protection!!

    Quel mécanisme permet de guider la stratégie de sécurité


    des systèmes!!
    Taxonomie des techniques anti-intrusion
    Préemption:
     Frapper l’autre avant qu’il ne fasse
     Elle est souvent dangereuse car elle peut toucher des innocents
    Mise en œuvre:
     Veille active
     Infiltration
    Prévention:
     Concevoir, implémenter, configurer le système assez correctement
    pour que les intrusions ne puissent avoir lieu
    Mise en œuvre:
     Bonne conception et implémentation des techniques (contrôle
    d’accès et authentification) rfc2196
     Logiciels de recherche des failles (Microsoft Base Security Analyzer)
     parefeux
    Dissuasion:
     Réduire la valeur du système pour qu’il ne soit pas une cible
    Mise en œuvre:
     camouflage
     Mise en garde
     Paranoïa
     Obstacles
    Détection:
     Détecter les tentatives d’attaque au moment de leur commencement

    Mise en œuvre:
     Anti-virus
     Les systèmes de détection d’intrusion
    Déflection:
     Divulgation de l’attaque vers un environnement contrôlé en la faisant croire
    comme si elle est faite par succès
    Mise en œuvre:
     Faux systèmes en quarantaine
     Faux comptes
     Systèmes et comptes paratonnerres (pot de miel)

    Contre mesure:
     La réaction finale contre l’attaque
    Mise en œuvre:
     Bloquer une connexion
     Supprimer un virus
     Afficher une alerte
     Arrêter le système…etc.
    les systèmes de détection d’intrusion 

    est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible traitée
    (un réseau ou une machine)

    Ce mécanisme consiste à révéler l’activité intrusive d’un attaquant vers/depuis un système


    informatique en basant à une observation de l’activité générée par les utilisateur

    signatures

    capture Analyse alertes


    1 classification selon la méthode de détection :
    A. Par scénario (détection des malveillants):
     Détection d’attaque a base de règles prédéfinies (scénarios)
    Mise en œuvre:
     Systèmes experts
     Raisonnement sur modèle
     Réseaux de neurones
     Analyses d’état
     Datamining et classification
    Inconvénients:
     Bases de signatures difficile à construire (peut-on couvrir tous les
    scénarios possibles
     Pas de détection des attaques inconnues
    1 classification selon la méthode de détection :
    B. Par comportement (détection d’anomalies):
     Détecter les changements dans le comportement d’utilisateurs
    Mise en œuvre:
     Observation des seuils
     Profilage statique d’utilisateurs, de groupes, de programmes
     Profilage adaptatif des utilisateurs et à base de règles
     Approche immunologique
    Inconvénients:
     Choix délicat des différents paramètres du modèle statistique.

     Hypothèse d’une distribution normale des différentes mesures non prouvée.

     Choix des mesures à retenir pour un système cible donné délicat.

     Difficulté à dire si les observations faites pour un utilisateur particulier correspondent à des activités que l’on
    voudrait prohiber.

     Pour un utilisateur au comportement erratique, toute activité est normale.

     Pas de prise en compte des tentatives de collusion entre utilisateurs.

     En cas de profonde modification de l’environnement du système cible, déclenchement d’un flot ininterrompu
    d’alarmes (ex : guerre du Golfe).

     Utilisateur pouvant changer lentement de comportement dans le but d’habituer le système à un


    comportement intrusif
    2. classification selon le comportement de détection :

    les IDS actifs  les IDS passifs

    3. classification selon l’emplacement d’IDS :

    HIDS NIDS  les IDS


    Hybrides 

    19/12/2018 11
    les limites des IDS 
    Les attaquants ont développé des techniques afin de contourner l’IDS, ces
    techniques peuvent être classées en six (6) catégories :
    insertion  elimination 

    Cette technique consiste à insérer des données Cette technique consiste à pénétrer
    aux flux suspects afin de perturber le l’IDS et le rendre inutile en le saturant
    fonctionnement de l’IDS par les flux.

    fragmentation  substitution 

    La fragmentation des paquets peut cacher Cette technique consiste à échanger le


    quelques attaques afin de ne les détecter pas contenu de flux suspect avec son code
    hexadécimale
    distribution confusion

    C’est la répartition de ressources. C’est une technique permettant de rendre


    le contenu incompréhensible.
    19/12/2018 12
    Les antivirus
    Virus

    Dark Angel, un créateur de virus,


    « Art de programmation destiné à détruire les systèmes des crétins »

    Définition:
    instruction ou suite d'instructions parasites, introduites dans un programme et
    susceptibles d'entrainer diverses perturbations dans le fonctionnement de
    l'ordinateur

    14
    Structure d’un virus
    Séquence de reproduction:
    Elle inclut une fonctionnalité de recherche, qui permet de
    rechercher des fichiers à infecter.

    Condition:
    Il s'agit tout simplement de la partie qui va conditionner le
    lancement de l'action qu'est censé accomplir le virus.

    Séquence de commandes:
    c'est elle qui effectue l'action du virus. Cela peut être détruire
    des fichiers, formater une partition...

    Séquence de camouflage:
    Les développeurs de virus ont donc élaboré plusieurs techniques
    pour cacher le virus.
    15
    Types de virus
    Virus du secteur d’amorçage:
    • Attaque le premier secteur lu durant la phase de Boot
    • Difficile à déceler car il est chargé avec le démarrage => avant démarrage d’anti-virus

    Virus d’application:
    • Attaque les fichiers exécutables dans l’ordinateur
    • Écrit sous forme de bout de code en assembleur
    • Se place dans le 1er segment de la cible et s’exécute d’abord

    Virus furtifs:
    • Très difficile à détecter
    • Il sert à modifier le fonctionnement du système d’exploitation d’une façon permettant à
    l’anti-virus de croire que le système et sains
    16
    Types de virus
    Virus polymorphes:
    • Change sa signature à chaque nouvelle infection
    • Utilise la cryptographie pour re-chiffrer le corps principale à chaque nouvelle infection =>
    requiert des anti-virus très intelligents

    Virus de macros :
    • Attaque les fichiers Microsoft Office (word, power point, excel…etc.)
    • Basé sur le langage VBA
    • S’exécute à chaque utilisation de fichier et affecte tout nouveau fichiers créé en basant sur
    le modèle
    Vers:
    • Certains documents ne les considère pas comme des virus, d’autres les considèrent
    comme variété des virus
    • Ont le même fonctionnement que le virus sauf qu’ils s’exécutent dans le réseau
    17
    Types de virus
    Virus flibustiers:
    • Leur but est de désactiver l’anti-virus
    • Ils sont rares mais diablement efficaces et dangereux, le système devenant totalement
    vulnérable.

    Virus compagnons:
    • Un virus à l’ancienne, très aisé à détecter. Sur les systèmes DOS, une priorité d'exécution
    est accordée aux fichiers portant l’extension .com. En créant un fichier .com portant le
    même nom que l'exécutable .exe

    Virus multi-critères:
    • Englobe des différentes caractéristiques des autres virus
    • Plus il a de caractéristiques plus il est difficile

    18
    Types de programmes malveillants
    Cheval de troie:
    • Les chevaux de Troie (troyens) sont une partie d’un programme, qui paraît anodin,
    permettant de prendre le contrôle de l'ordinateur à distance.
    • Les dégâts causés peuvent même être d’ordre matériel, en modifiant par exemple le BIOS
    de la machine en vue entrainer une surcharge électrique.

    Hoax:
    • Les virus font souvent l'objet de fausses alertes que la rumeur propage, encombrant les
    messageries avec des chaines de mails. Certaines fausses alertes misent également sur
    l’ignorance des utilisateurs en matière d’informatique pour leur faire supprimer des
    éléments sains de leur système.

    19
    Les anti-virus

    Définition:
    • Les antivirus sont des programmes capables de détecter la présence de virus
    sur un ordinateur, ainsi que de nettoyer celui-ci dans la mesure du possible si
    jamais un ou des virus sont trouvés.

    • Nettoyer signifie supprimer le virus du fichier sans l’endommager. Mais


    parfois, ce nettoyage simple n’est pas possible.

    20
    Types de détection des virus
    Signature viral:
    • Les virus laissent une signature aux fichiers infectés
    • Les anti-virus analyses les fichiers en cherchant ces signatures
    • La base de détection de l’anti-virus doit être à jour

    Contrôleur d’intégrité des programmes:


    • Les virus infectent les fichiers exécutable en modifiant leur code
    • Les anti-virus analyse les changement dans les codes en basant sur une une base des
    fichiers exécutables
    • Problème de fausses alertes

    21
    Types de détection des virus
    Analyse heuristique:
    • Cherche un type d’instruction suspecte afin de détecter les virus inconnus.
    • Ne traite pas les fichiers comme exécutable mais plutôt comme donnée
    • Basée sur les méthodes d’intelligence artificielle => loin d’être parfaitement éfficace

    Analyse spectrale:
    • repose sur le postulat que tout code génèré automatiquement contiendra des signes
    révélateurs du compilateur utilisé.
    • Impossible de retrouver dans un vrai programme exécutable compilé certaines séquences
    de code.
    • Vise à repérer les virus polymorphes ou inconnus. Lorsqu'un virus polymorphe crypte son
    code, la séquence en résultant contient certaines associations d'instructions que l'on ne
    trouverait pas dans un vrai programme.
    22

    Vous aimerez peut-être aussi