Retour au cours

Introduction aux systèmes de détection d'intrusion (IDS)

Maîtrise de la Cybersécurité : de Zéro à Héros

Surveiller la malveillance : IDS

Un pare-feu bloque en fonction de règles ; un IDS surveille activement le trafic pour détecter une activité suspecte ou des signatures d'attaque connues.

Types d'IDS

  1. IDS réseau (NIDS) : Surveille le trafic sur l'ensemble d'un segment réseau (ex : en utilisant un port miroir sur un commutateur).

    • Exemple d'outil : Snort, Suricata.

  2. IDS hôte (HIDS) : S'exécute sur des serveurs ou stations de travail individuels, surveillant les appels système, l'intégrité des fichiers et les journaux.

    • Exemple d'outil : OSSEC.

Méthodes de détection

  • Détection basée sur les signatures : Compare le trafic à une base de données de modèles d'attaque connus (signatures). Haute précision pour les menaces connues, mais échoue face aux attaques zero-day (nouvelles).
  • Détection basée sur les anomalies : Établit une ligne de base du comportement normal du réseau. Alerte lorsque le trafic s'écarte significativement de cette norme. Efficace contre les menaces inconnues, mais sujet aux faux positifs.