La lutte contre les malware repose sur l'existant

Par 06 octobre 2009
Mots-clés : Smart city, Asie-Pacifique

Pour faire face aux insuffisances des logiciels de détection des logiciels malveillants, des chercheurs malaisiens créent une technique hybride qui combine les différentes approches actuelles.

Les systèmes de détection d’intrusion (SDI) actuels souffrent souvent d’une certaine lourdeur et d’un nombre élevé de fausses alertes, explique une équipe de l’université technique de Malaisie. Reste que chacun de ces dispositifs comporte des avantages à ne pas négliger. Pour mettre au point un logiciel qu'ils veulent imparable, les chercheurs proposent du coup de combiner ceux existants pour créer une technique de détection hybride. Selon eux, cela permettra de pallier leurs insuffisances. Trois sont aujourd’hui en usage : la détection par signature, par anomalie ou par spécification. Dans la première technique, les SDI s’attachent à la signature des logiciels qu’ils analysent à partir d’une base de données.
Repérer les anomalies plutôt que les attaques
Si cette méthode est efficace pour les attaques déjà répertoriées, elle demande à être mise à jour régulièrement. Elle s’avère incapable de faire face aux attaques pour lesquelles elle n’a pas été programmée et qu'elle n'arrive du coup pas à repérer. Une deuxième méthode s’appuie sur le comportement habituel de l’utilisateur pour repérer les anomalies qui indiqueraient une attaque. Cette solution est efficace pour identifier les attaques non encore répertoriées par les logiciels antivirus. Seulement elle consomme beaucoup de ressources et est à l’origine de nombreuses fausses alertes.
Le problème des fausses alertes irrésolu
La troisième technique est un dérivé de la seconde. Elle s’attache plus particulièrement aux programmes de sécurité critiques et repère les comportements inhabituels. Le taux de fausses alertes de cette technique est relativement faible mais elle est moins efficace pour repérer les attaques nouvelles. La première technique s’attache donc au schéma des attaques et les deux dernières aux déviations du comportement normal. Les chercheurs admettent tout de même que leur combinaison laisserait le problème des fausses alertes non réglé.

Mentions légales © L’Atelier BNP Paribas