La détection d’intrusion est étudiée depuis plus de vingt-cinq ans2. Les systèmes dits “passifs” de détection d’intrusion (IDS pour Intrusion Detection Systems) ont été déployés de plus en plus largement, suivis aujourd’hui par des systèmes dits “actifs” de prévention d’intrusion (IPS pour Intrusion Prevention Systems).
Un système de prévention contre les intrusions (IPS) surveille le trafic réseau pour détecter les menaces potentielles et prend automatiquement des mesures pour les bloquer en alertant l’équipe de sécurité, en mettant fin aux connexions dangereuses, en supprimant du contenu malveillant ou en déclenchant d’autres périphériques de sécurité.
Il n’a pas la prétention d’être exhaustif ni de répondre à toutes les questions concernant la détection/prévention d’intrusion, mais simplement de donner un aperçu du domaine, de façon à dégager les principales limites technologiques des solutions actuelles.
Pour sa part, la prévention des intrusions consiste à effectuer une détection des intrusions puis à arrêter les incidents détectés, généralement en supprimant des paquets ou en mettant fin à des sessions.
La détection d'intrusion est le processus de surveillance de votre trafic réseau et d'analyse de celui-ci pour détecter des signes d'éventuelles intrusions, telles que des tentatives d'exploitation et des incidents pouvant constituer des menaces imminentes pour votre réseau. Pour sa part, la prévention des intrusions consiste à effectuer une détect
L'IDS/IPS surveille tout le trafic sur le réseau pour identifier tout comportement malveillant connu. L'un des moyens par lesquels un attaquant tentera de compromettre un réseau consiste à exploiter une vulnérabilité au sein d'un appareil ou d'un logiciel. L'IDS/IPS identifie ces tentatives d'exploitation et les bloque avant qu'elles ne compromette
Trois méthodologies de détection IDS sont généralement utilisées pour détecter les incidents : 1. La détection basée sur les signatures compare les signatures avec les événements observés pour identifier des incidents potentiels. C'est la méthode la plus simple, car elle compare uniquement l'unité d'activité en cours (telle qu'un paquet ou une entr