Panorama des algorithmes efficaces et architectures matérielles pour le filtrage réseau haut débit et la détection d'intrusions

Le role d'un systeme de detection d'intrusion est de filtrer efficacement le traffic reseau. Le coeur d'un tel systeme realise une analyse des paquets reseau, via des regles de detection d'attaques ou d'intrusions. Toute la difficulte consiste alors a manipuler a bon escient l'ensemble des regles de detection et a les appliquer au traffic de maniere appropriee. Le filtrage de traffic reseau est aujourd'hui propose par beaucoup d'equipements de seecurite, logiciels ou materiels. Mais leurs performances ne sont reellement adaptees qu'a l'analyse du traffic sur des liens Ethernet ou equivalents dont les debits sont autour de 100 Mbits/s. Avec le deploiement des reseaux locaux allant de 1 a 10 Gbit/s ou de liaisons longue distance proposant plusieurs dizaines de Gbit/s, le probleme des performances se pose. Il est par consequent important de detenir des systemes de controle d'acces et de filtrage reseau a temps d'analyse reduit et borne, condition imperative pour garantir une bonne qualite de service. Pour satisfaire ces contraintes de haute performance, de flexibilite, les dispositifs de filtrage doivent s'appuyer sur l'utilisation de materiels specialises. Ce papier propose un panorama des techniques et algorithmes de recherche de motifs vus sous l'angle de leur implementation materielle.