Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Importer

Bienvenue sur Scribd !

  • 9 vues

    Chap 4

    Transféré par

    imane el maataoui

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    Chap 4

    Transféré par

    imane el maataoui
    9 vues28 pages

    Titre original

    chap 4

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    9 vues28 pages

    Chap 4

    Transféré par

    imane el maataoui

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    Vous êtes sur la page 1sur 28

    Université Mohammed Premier

    Faculté des Lettres et Sciences Humaines


    d'Oujda

    Les systèmes de détection


    d’intrusion (IDS)
    Présenté par :
    Pr. Hicham BOUDLAL

    Année universitaire: 2023-2024


    Plan
    • Introduction
    • Types d’IDS
    • Exemples de systèmes de détection d’intrusion
    • Méthodes de détection
    • Des IDS particuliers

    2
    Introduction
    • Ce qu’est un IDS:

    Les systèmes de détection d’intrusion


    (IDS) permettant de surveiller
    l’activité d’un réseau ou d’un hôte
    donné,
    • Détecter toute tentative
    d’intrusion et éventuellement
    de réagir à cette tentative en
    écoutant le trafic réseau.
    3
    Introduction

    4
    Introduction

    5
    Introduction
    • Vocabulaire:

    6
    Types d’IDS
    • Il existe trois grands types d’IDS :
    • Les différents IDS se caractérisent
    par leur domaine de surveillance.
    • Les NIDS (Network Based Intrusion
    Detection System).
    • Les HIDS (Host Based Intrusion
    • Les IDS peuvent se situer:
    Detection System). • au niveau d’un réseau
    • Les IDS hybrides à la fois NIDS et d’entreprise,
    HIDS. • d’une machine hôte,
    • d’une application…

    7
    Systèmes de Détection d'Intrusion Réseau : NIDS

    • Sont les IDS les plus répandus

    • Le NIDS analyse et contrôle le trafic l'analyse et


    l'interprétation des
    réseau, cherchant d’éventuelles traces paquets circulant sur
    le réseau.
    d’attaques en générant des alertes lorsque

    des paquets suspects sont détectés.

    8
    Systèmes de Détection d'Intrusion Réseau : NIDS

    9
    Systèmes de Détection d'Intrusion Réseau : NIDS

    • Fonctionnement:
    • Il fonctionne de trois manières différentes :

    • En mode Capture (ou encore Sniffer)


    • Permet de récupérer tout le trafic réseau en temps réel
    • En mode Analyse dont on distingue deux approches complémentaires:

    10
    Systèmes de Détection d'Intrusion Réseau : NIDS

    • L’analyse par Signatures qui permet de la même manière qu‟un


    Antivirus de rechercher des formes d’événements caractérisant une
    attaque à partir de bibliothèques de signatures :

    • L’analyse Comportementales qui permet de rechercher des formes


    d‟évènements liés à des activités anormales : Exemple: Un stagiaire
    utilise des outils de hack sur le réseau de la société.

    11
    Les HIDS (HostBased Intrusion Detection System)
    • Des IDS mis en place directement sur les hôtes à surveiller
    • Ils vont directement analyser les fichiers de l'hôte, les
    différents appels système et aussi les événements réseaux

    • Les HIDS agissent comme des antivirus mais en plus poussé, car les
    antivirus ne sont intéressés que par les activités malveillantes du
    poste alors qu'un HIDS va pouvoir intervenir s'il détecte des attaques
    par dépassement de tampon

    12
    Les HIDS (HostBased Intrusion Detection System)

    13
    Les HIDS (HostBased Intrusion Detection System)

    14
    Les HIDS (HostBased Intrusion Detection
    System)

    15
    Les IDS hybrides à la fois NIDS et HIDS

    • Les IDS hybrides sont basés sur une architecture distribuée, où


    chaque composant unifie son format d'envoi d'alerte permettant à
    des composants divers de communiquer et d'extraire des alertes plus
    pertinentes.

    16
    Exemples de systèmes de détection d’intrusion

    • Systèmes de détection d'intrusion • Systèmes de détection • Hybrides


    d'intrusion hôtes
    réseaux • Prelude
    • Snort • AIDE • OSSIM
    • Bro • Chkrootkit
    • Suricata • DarkSpy
    • Enterasys • Fail2ban
    • Check Point • OSSEC
    • Tipping Point • Rkhunter
    • Rootkit Unhooker
    • Tripwire

    17
    Méthodes de détection

    18
    Méthode de détection par signature
    • L'IDS basé sur la signature fait référence à la détection des attaques
    en recherchant des modèles spécifiques.
    • Cette terminologie provient d' un logiciel antivirus , qui fait référence
    à ces modèles détectés en tant que signatures.
    • Bien que l'IDS basé sur les signatures puisse facilement détecter les
    attaques connues,
    • il est difficile de détecter de nouvelles attaques, pour lesquelles aucun
    modèle n'est disponible.
    • l'IDS basé sur les signatures surveille les paquets dans le réseau et les
    compare aux modèles d'attaque préconfigurés et prédéterminés
    appelés signatures.
    19
    Détection statistique basée sur les anomalies
    • un IDS basé sur les anomalies surveillera le trafic réseau et le
    comparera à une base de référence établie.
    • La ligne de base identifiera ce qui est « normal » pour ce réseau
    • quel type de bande passante est généralement utilisé et quels protocoles sont
    utilisés.
    • Il peut cependant déclencher une alarme de faux positif pour une
    utilisation légitime de la bande passante si les lignes de base ne sont
    pas configurées intelligemment

    20
    Comparaison NIDS/HIDS

    HIDS:
    Un système qui surveille les fichiers importants du
    système d'exploitation

    NIDS:
    Un système qui analyse le trafic réseau

    21
    Où placer un IDS?

    22
    Où placer un IDS?

    23
    Des IDS particuliers :
    • Honeypots (Pots de miel):

    24
    Des IDS particuliers :
    • Type de Pots de miel:

    25
    Systèmes de prévention d’intrusion (IPS)

    • Les systèmes ont la capacité de répondre aux intrusions détectées.

    • Les systèmes de prévention des intrusions sont considérés comme


    des extensions des systèmes de détection d'intrusions.
    • car ils surveillent à la fois le trafic réseau et/ou les activités du système pour
    détecter toute activité malveillante.

    • Ils ont capables d'empêcher ou de bloquer activement les intrusions


    détectées

    26
    Systèmes de prévention d’intrusion (IPS)

    • IPS peut prendre des mesures:

    • l'envoi d'une alarme,


    • la suppression des paquets malveillants détectés,
    • la réinitialisation d'une connexion

    27
    Systèmes de prévention d’intrusion (IPS)

    28

    Vous aimerez peut-être aussi