Skip to main content

IDS

IDS (Intrusion Detection System)

Rôle principal

L’IDS a pour mission d’identifier et d’alerter lorsqu’une activité suspecte ou malveillante est détectée sur le réseau ou dans un système.

Fonctionnement

  • Il analyse le trafic réseau ou les logs système pour détecter des comportements anormaux ou connus comme des attaques.

  • Lorsque quelque chose d’inhabituel est détecté, l’IDS génère une alerte que les administrateurs peuvent examiner.

Types d’IDS

  1. IDS réseau (NIDS)
    Surveille le trafic réseau sur des segments spécifiques (ex. : le trafic passant par un routeur ou un switch).
    Exemples : Snort, Suricata.

  2. IDS hôte (HIDS)
    Surveille l’activité d’un système ou serveur particulier, par exemple en analysant les fichiers logs, processus, modifications système.
    Exemples : OSSEC, Tripwire.

Mode de détection

  • Détection par signature : l’IDS compare le trafic à une base de signatures connues d’attaques (ex : détection d’une séquence de paquets spécifique).

  • Détection par anomalie : l’IDS détecte des comportements qui dévient d’un profil de fonctionnement normal (ex : un flux de données inhabituellement important).

Limitations

  • Ne bloque pas le trafic malveillant, il se contente d’alerter.

  • Risque de faux positifs (alertes sur des actions légitimes).

  • Nécessite une intervention humaine pour analyser et réagir.

Back to top