Qu’est-ce qu’un Système De Détection D’Intrusion (IDS)?
Un système de détection d’intrusion (IDS) surveille le trafic réseau pour détecter les activités suspectes et les menaces connues, et émet des alertes lorsque de telles activités sont découvertes.
Essentiellement, un IDS est un renifleur de paquets qui détecte des anomalies dans les paquets de données voyageant le long de différents canaux. Leur rôle est de:
- Systèmes de surveillance. Évaluer et évaluer les routeurs, les pare-feu, les serveurs de gestion des clés et les fichiers, afin de lutter contre les cyberattaques.
- Journaux du système de recherche. Consultez les pistes d’audit du système d’exploitation et d’autres journaux pour affiner les systèmes pour une meilleure protection.
- Identifiez la conception des attaques typiques. Associez les bases de données de signatures d’attaque aux informations du système.
Types de systèmes de détection d’intrusion
Un système de détection d’intrusion est largement catégorisé en fonction de l’endroit où les capteurs IDS sont placés : réseau ou hôte.
Système de détection d’intrusion réseau
Un système de détection d’intrusion basé sur le réseau (NIDS) surveille et analyse le trafic réseau pour détecter les comportements suspects et les menaces réelles à l’aide de capteurs NIDS. Il examine le contenu et les informations d’en-tête de tous les paquets se déplaçant sur le réseau.
Les capteurs NID sont placés à des points cruciaux du réseau pour inspecter le trafic de tous les périphériques du réseau. Par exemple, des capteurs NIDS sont installés sur le sous-réseau où se trouvent les pare-feu pour détecter les déni de service (DoS) et autres attaques de ce type.
Système de détection d’intrusion hôte
Un système de détection d’intrusion basé sur l’hôte (HIDS) surveille et analyse la configuration du système et l’activité des applications pour les périphériques s’exécutant sur le réseau d’entreprise. Les capteurs HIDS peuvent être installés sur n’importe quel appareil, qu’il s’agisse d’un ordinateur de bureau ou d’un serveur.
Les capteurs HIDS prennent essentiellement un instantané des fichiers système existants et les comparent avec les instantanés précédents. Ils recherchent des changements inattendus, tels que l’écrasement, la suppression et l’accès à certains ports. Par conséquent, des alertes sont envoyées aux administrateurs pour enquêter sur les activités qui semblent douteuses.
Ils constituent un outil très efficace contre les menaces internes. Les HIDS peuvent identifier les modifications d’autorisation de fichier et les demandes client-serveur inhabituelles, ce qui tend généralement à être une concoction parfaite pour les attaques internes. C’est pourquoi il n’est pas surprenant que HIDS soit souvent utilisé pour des machines critiques qui ne devraient pas changer.
NID contre HIDS : Quelle est la différence?
Chacun de ces systèmes de détection d’intrusion possède ses propres atouts. NIDS fonctionne en temps réel, ce qui signifie qu’il suit les données en direct et signale les problèmes au fur et à mesure qu’ils se produisent. D’autre part, HIDS examine les données historiques pour détecter les pirates informatiques avertis qui utilisent des méthodes non conventionnelles qui pourraient être difficiles à détecter en temps réel.
Le scénario idéal est d’incorporer à la fois des HIDS et des NID car ils se complètent mutuellement. Le NIDS offre un temps de réponse plus rapide, tandis que le HIDS peut identifier les paquets de données malveillants provenant du réseau de l’entreprise.
Regardez la vidéo ci-dessous pour en savoir plus sur la différence entre les NID et les HIDS.