Vous êtes sur la page 1sur 2

See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/308203983

Système de détection d'intrusion IDS

Poster · December 2015

CITATIONS READS

0 2,801

2 authors, including:

Ilyas Ed-daoui
Chinese Academy of Sciences
22 PUBLICATIONS   55 CITATIONS   

SEE PROFILE

Some of the authors of this publication are also working on these related projects:

Systems-of-Systems and Reliability View project

Security and QoS of future avionic architectures View project

All content following this page was uploaded by Ilyas Ed-daoui on 17 September 2016.

The user has requested enhancement of the downloaded file.


Système de détection d’intrusion
IDS
Congrès International sur les Sciences et Technologies de Principe de fonctionnement de Snort
l’Information et de la Communication Les IDS doivent donc alerter les administrateurs et les reponsables sécurité
lorsque des évènements suspects apparaissent. Pour cela, le NIDS fonctionne en
C’est quoi un IDS ? 3 temps :
un IDS est une sonde placée judicieusement sur un réseau ou un
système, et qui va repérer les activités douteuses ou anormales sur cette
cible et alerter les responsables sécurité. De cette façon, on peut obtenir
une connaissance des tentatives réussies (ou non) d'attaque ou d'intrusion
sur le système.

On différencie plusieurs types d'IDS, à savoir les NIDS (ou Network


Intrusion Detection System), qui se basent sur des analyses réseau, les
1.Il effectue une capture d'un flux réseau, au moyen de sondes, reliées à un
HIDS (ou Host Intrusion Detection System), qui surveillent l'activité d'un agrégateur central. Dans certains cas, notamment pour de petits réseaux, la
hôte, et enfin les IDS hybrides, qui combinent HIDS et NIDS. sonde et l'agrégateur seront une seule et même machine. Pour des réseaux plus
importants, on disposera les sondes à des endroits clés du réseau, et l'agrégateur
sera un serveur dédié centralisé. Les points de positionnement de ces sondes
Snort sont multiples. Généralement placées derrière le firewall, pour ne collecter que les
paquets qui seront réellement transmis sur le réseau interne, on pourra également
Snort est un système de détection d'intrusion (ou NIDS) libre publié sous licence placer une sonde dans chaque sous-réseau (notamment au moyen de port
GNU GPL. À l'origine écrit par Martin Roesch (en), il appartient actuellement à mirroring afin de limiter la charge sur chaque collecteur.
Sourcefire. Des versions commerciales intégrant du matériel et des services de
supports sont vendus par Sourcefire. Snort est un des plus actifs NIDS Open
2.Après avoir collecté des paquets, le serveur doit analyser les données reçues,
Source et possède une communauté importante contribuant à son succès.
afin de détecter les activités anormales. Pour cela, il va se baser sur une
bibliothèque de signatures, qui contient des éléments permettant d'identifier
certains paquets comme suspects. L'inconvénient de cette méthode est qu'il faut
Présentation constamment maintenir à jour cette base de signatures, et que la détection des
nouvelles attaques ou des attaques de type 0day sera impossible.
Snort est capable d'effectuer aussi en temps réel des analyses de trafic et de
logger les paquets sur un réseau IP. Il peut effectuer des analyses de protocole,
recherche/correspondance de contenu et peut être utilisé pour détecter une 3.Enfin, si un (ou des) paquet(s) sont détectés par l'analyseur, alors le système va
grande variété d'attaques et de sondes comme des dépassements de buffers, alerter les administrateurs. Cela peut se faire de plusieurs façons : soit par l'envoi
scans, attaques sur des CGI, sondes SMB, essai d'OS fingerprintings et bien plus. de mails automatique, la sauvegarde de logs via le protocole syslog, ou plus
généralement via la sauvegarde de ces logs dans une base de données interne
Snort pour effectuer ces analyses se fonde sur des règles. Celles-ci sont écrites pour une lecture par un front-end, ou l'utilisation de ces logs par des applications
par Sourcefire ou bien fournies par la communauté. Snort est fourni avec tierces.
certaines règles de base mais cependant, comme tout logiciel, Snort n'est pas
infaillible et demande donc une mise à jour régulière.
Webographie
Snort peut également être utilisé avec d'autres projets open sources tels que
SnortSnarf, ACID, sguil et BASE (qui utilise ACID) afin de fournir une http://fr.wikipedia.org/wiki/Snort
représentation visuelle des données concernant les éventuelles intrusions. https://www.snort.org
http://doc.ubuntu-fr.org/snort
ED-DAOUI Ilyas | Pr. HABIBA MEJHED CHAOUI | ENSA KENITRA
View publication stats

Vous aimerez peut-être aussi