Visitez notre kiosque à CANSEC les 27-28 mai
Les systèmes de détection d'intrusion traditionnels montrent leurs limites face aux attaques modernes. Cet article académique présente le DSOC (Distributed Security Operation Center), une architecture innovante conçue pour pallier les faiblesses des systèmes centralisés.
Le problème principal des SOC centralisés réside dans leur point unique de défaillance et leur incapacité à maintenir des performances optimales lors d'attaques massives. Les tests démontrent qu'une attaque par inondation peut saturer les liens VPN entre sites, empêchant ainsi la détection d'intrusions simultanées.
Le DSOC propose une approche distribuée avec quatre composants clés: des collecteurs de données locaux (CBoxes), des collecteurs distants (R-CBoxes), des analyseurs locaux (LAs) et un analyseur global (GA). Cette architecture permet de détecter des attaques complexes se déroulant simultanément sur plusieurs sites du réseau.
L'innovation majeure réside dans la corrélation d'alertes distribuée. Plutôt que de transférer tous les logs bruts vers un serveur central, le système effectue une analyse locale, puis transmet uniquement les alertes fusionnées et corrélées. Les résultats sont impressionnants: le DSOC utilise environ 443 fois moins de bande passante qu'un SOC centralisé, tout en détectant des intrusions que les systèmes traditionnels ne peuvent identifier.
