IDS

IDS (Intrusion Detection System)

Rôle principal

L’IDS a pour mission d’identifier et d’alerter lorsqu’une activité suspecte ou malveillante est détectée sur le réseau ou dans un système.

IDS : Intrusion Detection System (Système de Détection d’Intrusion)

Fonctionnement

• Il analyse le trafic réseau ou les logs système pour détecter des comportements anormaux ou connus comme des attaques.

• Lorsque quelque chose d’inhabituel est détecté, l’IDS génère une alerte que les administrateurs peuvent examiner.

Types d’IDS

1. IDS réseau (NIDS)
   Surveille le trafic réseau sur des segments spécifiques (ex. : le trafic passant par un routeur ou un switch).
   Exemples : Snort, Suricata.

2. IDS hôte (HIDS)
   Surveille l’activité d’un système ou serveur particulier, par exemple en analysant les fichiers logs, processus, modifications système.
   Exemples : OSSEC, Tripwire.

Mode de détection

• Détection par signature : l’IDS compare le trafic à une base de signatures connues d’attaques (ex : détection d’une séquence de paquets spécifique).

• Détection par anomalie : l’IDS détecte des comportements qui dévient d’un profil de fonctionnement normal (ex : un flux de données inhabituellement important).

Limitations

• Ne bloque pas le trafic malveillant, il se contente d’alerter.

• Risque de faux positifs (alertes sur des actions légitimes).

• Nécessite une intervention humaine pour analyser et réagir.