Académique Documents
Professionnel Documents
Culture Documents
compte rendu
Module : securite de donnes
Data Science and Intelligent Systems .
Par
ghizlane chtouki
Encadré par :
Pr. khalid el makkaoui
2
1 Qu’est-ce qu’un système de détection d’intrusion ?
Un système de détection d’intrusion (IDS) est une solution technologique qui surveille le trafic entrant et
sortant de votre réseau pour détecter les activités suspectes et les violations de politique. Comme son nom
l’indique, le but premier d’un IDS est de détecter et de prévenir les intrusions au sein de votre infrastructure
informatique, puis d’alerter les personnes concernées. Ces solutions peuvent être des dispositifs matériels
ou des applications logicielles.
En règle générale, un IDS fait partie d’un système plus vaste de gestion des informations et des événements
de sécurité (SIEM). Lorsqu’il est mis en œuvre dans le cadre d’un système holistique, votre IDS est votre
première ligne de défense. Il fonctionne pour détecter de manière proactive les comportements inhabituels
et réduire votre temps moyen de détection (MTTD). En fin de compte, plus tôt vous reconnaissez une
tentative d’intrusion ou une intrusion réussie, plus tôt vous pouvez agir et sécuriser votre réseau.
Il convient de noter que la plupart (mais pas tous) des IDS sont uniquement passifs. En d’autres termes,
ils ne protègent pas réellement vos systèmes et réseaux contre les activités malveillantes. Cependant, ils
vous donnent les informations dont vous avez besoin pour assurer la sécurité de vos systèmes. Et lorsqu’il
s’agit de cybersécurité, ce type d’informations est primordial.
2 exercice 20
Un système de détection d’intrusion réseau(NIDS) est une solution qui surveille l’ensemble de votre réseau
via un ou plusieurs points de contact. Pour utiliser un NIDS, vous devez généralement l’installer sur
un élément matériel de votre infrastructure réseau. Une fois installé, votre NIDS échantillonnera chaque
paquet (une collection de données) qui le traverse.
Votre NIDS typique peut examiner tout le trafic qui le traverse. Cela dit, vous ne voudrez peut-être pas
analyser tout ce qui passe par votre NIDS, car vous pourriez finir par manquer une tentative d’intrusion
en raison d’une surcharge d’informations.
Pour lutter contre ce problème, la plupart des NIDS vous permettent de créer un ensemble de "règles"
qui définissent le type de paquets que votre NIDS va récupérer et stocker. Les règles vous permettent de
vous concentrer sur certains types de trafic, mais elles nécessitent également une certaine connaissance
de la syntaxe du NIDS.tandis que Un système de détection d’intrusion sur l’hôte (HIDS) Un système de
détection d’intrusion sur l’hôte (HIDS) va encore plus loin dans l’indépendance du NNIDS. Avec un HIDS,
vous pouvez installer le logiciel IDS sur chaque appareil connecté à votre réseau.
Les HIDS fonctionnent en prenant des "instantanés" de l’appareil qui leur est attribué. En comparant l’ins-
tantané le plus récent aux enregistrements antérieurs, le HIDS peut identifier les différences qui pourraient
indiquer une intrusion.tandis queLes systèmes de détection d’intrusion basés sur les signatures (SIDS)
visent à identifier des modèles et à les associer à des signes d’intrusion connus.
Un PEID s’appuie sur une base de données des intrusions précédentes. Si l’activité au sein de votre réseau
correspond à la « signature » d’une attaque ou d’une violation de la base de données, le système de
3
détection en informe votre administrateur. tandis que D’autre part, un système de détection d’intrusion
basé sur des anomalies (AIDS) peut identifier ces nouvelles intrusions de type « zero-day » .
Un SIDS utilise l’apprentissage automatique (ML) et des données statistiques pour créer un modèle de
comportement « normal ». Chaque fois que le trafic s’écarte de ce comportement typique, le système le
signale comme suspect.
Le principal problème avec le SIDA par rapport au SMSN est le potentiel de faux positifs. Après tout,
toutes les modifications ne sont pas le résultat d’activités malveillantes ; certains sont simplement des
indications de changements dans le comportement organisationnel. Mais parce qu’un SIDS n’a pas de base
de données d’attaques connues à référencer, il peut signaler toutes les anomalies comme des intrusions.
Étant donné que la base de données est l’épine dorsale d’une solution SIDS, des mises à jour fréquentes
de la base de données sont essentielles, car SIDS ne peut identifier que les attaques qu’il reconnaît. Par
conséquent, si votre organisation devient la cible d’une technique d’intrusion inédite , aucune mise à jour
de la base de données ne vous protégera. tandis que
4
3.1 Ex 21 :Installer Snort
5
3.2 Installer Npcap
6
3.3 Visualiser la version
7
3.4 Regles de snort
8
specifier les chemins absolue vers les regles
9
mettre ajour les noms de blacklist et whitelist
10
activer les trois regles
11