Détection d’intrusion dans les systèmes industriels : Suricata et le cas Modbus

Publié le 28 Janvier 2015 Mis à jour le 28 Janvier 2015

Auteurs : David Diallo (ANSSI) et Mathieu Feuillet (ANSSI)
Présenté par David Diallo à C&ESAR 2014 le 25 novembre 2014.

Les systèmes industriels offrent des caractéristiques très propices à la détection d’intrusion : une définition très précise du fonctionnement et une évolution lente du système d’information. Dans ce papier, nous proposons de détailler les règles de détection possibles dans un système industriel sur un exemple : le protocole Modbus.

En guise de preuve de concept, un préprocesseur complet pour le protocole Modbus a été développé et intégré au sein de l’IDS Suricata depuis la version 2.1beta3. Le code est disponible ici : github.com/inliniac/suricata.
Les tests de performance menés montrent la faisabilité de sondes de détection avec du matériel bon marché.

PDF

Détection d’intrusion dans les systèmes industriels : Suricata et le cas Modbus.

PDF

Détection d’intrusion dans les systèmes industriels : Suricata et le cas Modbus - Présentation

Que recherchez-vous ?

Découvrir l'ANSSI

Découvrir la cybersécurité

Développer des solutions de confiance

Sécuriser son organisation

Se former à la cybersécurité

Connaître et explorer

S'informer sur la réglementation

Détection d’intrusion dans les systèmes industriels : Suricata et le cas Modbus