Un système de détection d'intrusion (IDS) maintient le trafic réseau, recherche toute activité inhabituelle et envoie des alertes lorsqu'elles se produisent. Les principales fonctions d'un système de détection d'intrusion (IDS) sont la détection et le reporting des anomalies. Cependant, certains systèmes de détection d'intrusion peuvent prendre des mesures lorsqu'une activité malveillante ou un trafic inhabituel est découvert. Dans cet article, nous aborderons tous les points concernant le système de détection d'intrusion.
Qu'est-ce qu'un système de détection d'intrusion ?
Un système appelé système de détection d'intrusion (IDS) observe le trafic réseau à la recherche de transactions malveillantes et envoie des alertes immédiates lorsqu'il est observé. Il s'agit d'un logiciel qui vérifie un réseau ou un système à la recherche d'activités malveillantes ou de violations de politiques. Chaque activité illégale ou violation est souvent enregistrée soit de manière centralisée à l'aide d'un système SIEM, soit notifiée à une administration. IDS surveille un réseau ou un système à la recherche d'activités malveillantes et protège un réseau informatique contre tout accès non autorisé des utilisateurs, y compris peut-être des initiés. La tâche d’apprentissage du détecteur d’intrusion consiste à construire un modèle prédictif (c’est-à-dire un classificateur) capable de distinguer les « mauvaises connexions » (intrusion/attaques) des « bonnes connexions (normales) ».
Fonctionnement du système de détection d'intrusion (IDS)
- Un IDS (Intrusion Detection System) moniteurs le trafic sur un réseau informatique pour détecter toute activité suspecte.
- Il analyse les données circulant sur le réseau pour rechercher des modèles et des signes de comportement anormal.
- L'IDS compare l'activité du réseau à un ensemble de règles et de modèles prédéfinis pour identifier toute activité susceptible d'indiquer une attaque ou une intrusion.
- Si l'IDS détecte quelque chose qui correspond à l'une de ces règles ou modèles, il envoie une alerte à l'administrateur système.
- L'administrateur système peut alors enquêter sur l'alerte et prendre des mesures pour éviter tout dommage ou toute autre intrusion.
Classification du système de détection d'intrusion (IDS)
Les systèmes de détection d'intrusion sont classés en 5 types :
- Système de détection d'intrusion réseau (NIDS) : Les systèmes de détection d'intrusion réseau (NIDS) sont installés à un point planifié du réseau pour examiner le trafic de tous les appareils du réseau. Il effectue une observation du trafic transitant sur l'ensemble du sous-réseau et fait correspondre le trafic transmis sur les sous-réseaux à l'ensemble des attaques connues. Une fois qu'une attaque est identifiée ou qu'un comportement anormal est observé, l'alerte peut être envoyée à l'administrateur. Un exemple de NIDS consiste à l'installer sur le sous-réseau où pare-feu sont localisés afin de voir si quelqu'un essaie de casser le pare-feu .
- Système de détection d'intrusion sur l'hôte (HIDS) : Les systèmes de détection d'intrusion sur hôte (HIDS) s'exécutent sur des hôtes ou des périphériques indépendants du réseau. Un HIDS surveille uniquement les paquets entrants et sortants de l'appareil et alertera l'administrateur si une activité suspecte ou malveillante est détectée. Il prend un instantané des fichiers système existants et le compare à l'instantané précédent. Si les fichiers du système analytique ont été modifiés ou supprimés, une alerte est envoyée à l'administrateur pour enquêter. Un exemple d'utilisation de HIDS peut être observé sur des machines critiques, dont la configuration ne devrait pas être modifiée.
Système de détection d'intrusion (IDS)
- Système de détection d'intrusion basé sur un protocole (PIDS) : Le système de détection d'intrusion basé sur un protocole (PIDS) comprend un système ou un agent qui résiderait systématiquement à l'avant d'un serveur, contrôlant et interprétant le protocole entre un utilisateur/appareil et le serveur. Il tente de sécuriser le serveur Web en surveillant régulièrement les Protocole HTTPS flux et en acceptant les informations associées Protocole HTTP . Comme HTTPS n'est pas crypté et avant d'entrer instantanément dans sa couche de présentation Web, ce système devra résider dans cette interface, entre deux pour utiliser HTTPS.
- Système de détection d'intrusion basé sur un protocole d'application (APIDS) : Une application Système de détection d'intrusion basé sur un protocole (APIDS) est un système ou un agent qui réside généralement dans un groupe de serveurs. Il identifie les intrusions en surveillant et en interprétant la communication sur des protocoles spécifiques à l'application. Par exemple, cela surveillerait le protocole SQL explicitement auprès du middleware lors des transactions avec la base de données du serveur Web.
- Système de détection d'intrusion hybride : Le système de détection d’intrusion hybride est constitué par la combinaison de deux ou plusieurs approches du système de détection d’intrusion. Dans le système hybride de détection d'intrusion, les données de l'agent hôte ou du système sont combinées avec les informations du réseau pour développer une vue complète du système réseau. Le système de détection d’intrusion hybride est plus efficace que les autres systèmes de détection d’intrusion. Prelude est un exemple d’IDS hybride.
Techniques d’évasion du système de détection d’intrusion
- Fragmentation: Diviser le paquet en paquets plus petits appelés fragment et le processus est connu sous le nom de fragmentation . Cela rend impossible l’identification d’une intrusion car il ne peut y avoir de signature de malware.
- Codage des paquets : Le codage des paquets à l'aide de méthodes telles que Base64 ou hexadécimal peut masquer le contenu malveillant des IDS basés sur les signatures.
- Obscurcissement du trafic : En rendant le message plus compliqué à interpréter, l’obscurcissement peut être utilisé pour masquer une attaque et éviter sa détection.
- Chiffrement: Plusieurs fonctionnalités de sécurité, telles que l'intégrité des données, la confidentialité et la confidentialité des données, sont fournies par chiffrement . Malheureusement, les développeurs de logiciels malveillants utilisent des fonctionnalités de sécurité pour masquer les attaques et éviter leur détection.
Avantages de l'IDS
- Détecte les activités malveillantes : IDS peut détecter toute activité suspecte et alerter l'administrateur système avant qu'un dommage important ne soit causé.
- Améliore les performances du réseau : IDS peut identifier tout problème de performances sur le réseau, qui peut être résolu pour améliorer les performances du réseau.
- Les exigences de conformité: IDS peut vous aider à répondre aux exigences de conformité en surveillant l'activité du réseau et en générant des rapports.
- Fournit des informations : IDS génère des informations précieuses sur le trafic réseau, qui peuvent être utilisées pour identifier les faiblesses et améliorer la sécurité du réseau.
Méthode de détection de l'IDS
- Méthode basée sur les signatures : L'IDS basé sur les signatures détecte les attaques sur la base de modèles spécifiques tels que le nombre d'octets ou le nombre de 1 ou le nombre de 0 dans le trafic réseau. Il détecte également sur la base de la séquence d'instructions malveillantes déjà connue et utilisée par le logiciel malveillant. Les modèles détectés dans l'IDS sont appelés signatures. L'IDS basé sur les signatures peut facilement détecter les attaques dont le modèle (signature) existe déjà dans le système, mais il est assez difficile de détecter de nouvelles attaques de logiciels malveillants car leur modèle (signature) n'est pas connu.
- Méthode basée sur les anomalies : L'IDS basé sur les anomalies a été introduit pour détecter les attaques de logiciels malveillants inconnus à mesure que de nouveaux logiciels malveillants se développent rapidement. Dans l'IDS basé sur les anomalies, l'apprentissage automatique est utilisé pour créer un modèle d'activité fiable et tout ce qui arrive est comparé à ce modèle et est déclaré suspect s'il n'est pas trouvé dans le modèle. La méthode basée sur l'apprentissage automatique a une propriété mieux généralisée par rapport à l'IDS basé sur les signatures, car ces modèles peuvent être entraînés en fonction des applications et des configurations matérielles.
Comparaison des IDS avec les pare-feu
L'IDS et le pare-feu sont tous deux liés à la sécurité du réseau, mais un IDS diffère d'un pare-feu comme un pare-feu recherche les intrusions vers l’extérieur afin de les empêcher de se produire. Les pare-feu restreignent l’accès entre les réseaux pour empêcher les intrusions et si une attaque vient de l’intérieur du réseau, elle ne le signale pas. Un IDS décrit une intrusion suspectée une fois qu'elle s'est produite et signale ensuite une alarme.
Placement des IDS
- La position la plus optimale et la plus courante pour placer un IDS est derrière le pare-feu. Bien que cette position varie en fonction du réseau. Le placement « derrière le pare-feu » permet à l'IDS d'avoir une grande visibilité sur le trafic réseau entrant et ne recevra pas de trafic entre les utilisateurs et le réseau. La bordure du point réseau offre au réseau la possibilité de se connecter à l'extranet.
- Dans les cas où l'IDS est positionné au-delà du pare-feu d'un réseau, il s'agirait de se défendre contre le bruit provenant d'Internet ou contre des attaques telles que les analyses de ports et le mappeur de réseau. Un IDS dans cette position surveillerait les couches 4 à 7 du réseau. Modèle OSI et utiliserait la méthode de détection basée sur les signatures. Il est préférable d'afficher le nombre de tentatives de violation plutôt que les violations réelles qui ont traversé le pare-feu, car cela réduit le nombre de faux positifs. Il faut également moins de temps pour découvrir des attaques réussies contre le réseau.
- Un IDS avancé intégré à un pare-feu peut être utilisé pour intercepter les attaques complexes entrant dans le réseau. Les fonctionnalités de l'IDS avancé incluent plusieurs contextes de sécurité au niveau du routage et en mode pontage. Tout cela réduit potentiellement les coûts et la complexité opérationnelle.
- Un autre choix pour le placement IDS est au sein du réseau. Ce choix révèle des attaques ou des activités suspectes au sein du réseau. Ne pas reconnaître la sécurité à l'intérieur d'un réseau est préjudiciable car cela peut permettre aux utilisateurs de générer des risques de sécurité ou permettre à un attaquant qui s'est introduit dans le système de se déplacer librement.
Conclusion
Le système de détection d'intrusion (IDS) est un outil puissant qui peut aider les entreprises à détecter et empêcher tout accès non autorisé à leur réseau. En analysant les modèles de trafic réseau, IDS peut identifier toute activité suspecte et alerter l'administrateur système. IDS peut constituer un ajout précieux à l’infrastructure de sécurité de toute organisation, en fournissant des informations et en améliorant les performances du réseau.
boucle de programme Java
Foire aux questions sur le système de détection d'intrusion – FAQ
Différence entre IDS et IPS ?
Lorsque l'IDS détecte une intrusion, il alerte uniquement l'administration du réseau Système de prévention des intrusions (IPS) bloque les paquets malveillants avant qu’ils n’atteignent leur destination.
Quels sont les principaux défis de la mise en œuvre de l’IDS ?
Les faux positifs et les faux négatifs sont les principaux inconvénients des IDS. Les faux positifs s’ajoutent au bruit qui peut sérieusement nuire à l’efficacité d’un système de détection d’intrusion (IDS), tandis qu’un faux négatif se produit lorsqu’un IDS rate une intrusion et la considère valide.
L’IDS peut-il détecter les menaces internes ?
Oui, le système de détection d’intrusion peut détecter les menaces.
Quel est le rôle de l’apprentissage automatique dans IDS ?
En utilisant Apprentissage automatique , on peut atteindre un taux de détection élevé et un faible taux de fausses alarmes.