Cisco donne un coup de pouce au projet d’IPS Stratosphere

Stratosphere est un projet de système de prévention d’intrusion (IPS) né à l’université CTU de Prague, en République Tchèque, début 2015. Son originalité tient à l’utilisation de l’apprentissage automatique, le machine learning, pour détecter et bloquer les comportement malicieux connus au sein du trafic réseau : “les comportements sont appris à partir de logiciels malveillants hautement vérifiés et de connexions réseau normales dans notre laboratoire de recherche”, expliquent les animateurs du projet qui visent à aider RSSI et organisations à but non lucratif. 

A cette fin, le projet s’appuie sur un autre, le Malware Capture Facility Project chargé d’assurer la collecte et la rétention de longue durée de données comportementales sur les logiciels malveillants. Et de permettre la mise à disposition de vastes jeux de données devant permettre à Stratosphere de faire la différence entre traffic normal, traffic malicieux - en particulier les communications avec les serveurs de commande et de contrôle - et simple bruit de fond, qui “est nécessaire pour saturer les algorithmes, vérifier les performances mémoire/vitesse, et tester s’ils sont troublés par les données”.

Une première version publique de l’IPS a été publiée pour Linux fin 2015. La version Windows est arrivée en mai 2016. Mi-février, deux ingénieurs de Cisco ont rendu publique une librairie en C++, dérivée du code Python de Stratosphere, pour permettre à l’IPS de fonctionner “avec une version future de Snort”, son système de détection et de prévention d’intrusion (IPS/IDS) né sous les doigts de Martin Roesch, chez Sourcefire, racheté en juillet 2013. 

La version 3.0 de Snort - ou projet Snort++, annoncé fin 2014 - est actuellement en développement. Une pré-version alpha 4 est disponible depuis le tout début du mois de mars. La première version beta est attendue pour le milieu de l’année, lorsque les experts du renseignement sur les menaces de Cisco, les équipes Talos, proposeront au téléchargement des règles pour Snort 3.0. Cette nouvelle mouture doit faire la part belle aux performances et se distinguer par une architecture modulaire ouvrant la voie aux extensions multiples - en C++ ou Lua. Un nouvel inspecteur HTTP est également prévu.