Comment fonctionne le système de détection d'intrusion?

Un système de détection d'intrusion (IDS) est utilisé dans le but de détecter le trafic de réseau malveillant et le mauvais usage du système que les pare-feu autrement conventionnels ne peuvent pas détecter. Ainsi, IDS détecte les attaques basées sur le réseau contre les services et les applications vulnérables, les attaques basées sur des hôtes, comme l'escalade des privilèges, l'activité de connexion non autorisée et l'accès à des documents confidentiels, et une infection malveillante (chevaux de trojan, virus, etc.). Il s'est avéré être un besoin fondamental de la réussite d'un réseau.

La principale différence entre un système de prévention des intrusions (IPS) et les IDS est que si les IDS ne surveillent et ne rapportent pas l'état du réseau, les IPs vont au-delà, il empêche activement les intrus de mener des activités malveillantes.

Ce guide explorera différents types d'ID, leurs composants et les types de techniques de détection utilisées dans les ID.

Examen historique des ID

James Anderson a introduit l'idée d'intrusion ou de détection d'abus de système du système en surveillant le modèle d'utilisation du réseau anormal ou d'usage du système. En 1980, sur la base de ce rapport, il a publié son article intitulé «Surveillance de la sécurité informatique et surveillance."En 1984, un nouveau système nommé" Intrusion Detection Expert System (IDE) "a été lancé. C'était le premier prototype d'identification qui surveille les activités d'un utilisateur.

En 1988, un autre identifiant appelé «back de foin» a été introduit qui a utilisé des modèles et une analyse statistique pour détecter les activités anormales. Cet IDS, cependant, n'a pas la caractéristique de l'analyse en temps réel. Suivant le même modèle, les laboratoires Lawrence Livermore de l'Université de Californie Davis ont évoqué un nouvel ID appelé «Network System Monitor (NSM)» pour analyser le trafic réseau. Par la suite, ce projet s'est transformé en IDS appelé «Système de détection d'intrusion distribué (DIDS).«Sur la base des DID, le« Stalker »a été développé, et c'était les premiers ID qui étaient disponibles dans le commerce.

Au milieu des années 1990, SAIC a développé un ID hôte appelé «Système de détection d'utilisation abusive de l'ordinateur (CMDS).«Un autre système appelé« Mesure des incidents de sécurité automatisée (ASIM) »a été développé par le centre de soutien cryptographique de la Force aérienne américaine pour mesurer le niveau d'activité non autorisée et de détecter des événements de réseau inhabituels.

En 1998, Martin Roesch a lancé une pièce d'identité open source pour les réseaux appelés «Snort», qui est devenu plus tard très populaire.

Types d'identité

Sur la base du niveau d'analyse, il existe deux principaux types d'ID:

1. IDS basés sur le réseau (NIDS): Il est conçu pour détecter les activités de réseau qui ne sont généralement pas détectées par les règles de filtrage simples des pare-feu. Dans le NIDS, les paquets individuels qui traversent un réseau sont surveillés et analysés pour détecter toute activité malveillante en cours dans un réseau. «SNORT» est un exemple de NIDS.
2. IDS basés sur l'hôte (HIDS): Cela surveille les activités qui se déroulent dans un hôte ou un serveur individuel sur lequel nous avons installé les ID. Ces activités peuvent être des tentatives de connexion système, de vérification de l'intégrité pour les fichiers sur le système, le traçage et l'analyse des appels système, les journaux d'application, etc.

Système de détection d'intrusion hybride: c'est la combinaison de deux types ou plus d'IDS. «Prelude» est un exemple d'un tel type d'identification.

Composants des ID

Un système de détection d'intrusion est composé de trois composants différents, comme expliqué brièvement ci-dessous:

1. Capteurs: ils analysent le trafic réseau ou l'activité du réseau, et ils génèrent des événements de sécurité.
2. Console: leur objectif est la surveillance des événements et d'alerter et de contrôler les capteurs.
3. Moteur de détection: les événements générés par les capteurs sont enregistrés par un moteur. Ceux-ci sont enregistrés dans une base de données. Ils ont également des politiques pour générer des alertes correspondant aux événements de sécurité.

Techniques de détection pour IDS

De manière large, les techniques utilisées dans les ID peuvent être classées comme:

1. Détection basée sur la signature / modèle: nous utilisons des modèles d'attaque connus appelés «signatures» et les faisons correspondre au contenu du paquet de réseau pour détecter les attaques. Ces signatures stockées dans une base de données sont les méthodes d'attaque utilisées par les intrus dans le passé.
2. Détection d'accès non autorisé: Ici, les IDS sont configurés pour détecter les violations d'accès à l'aide d'une liste de contrôle d'accès (ACL). L'ACL contient des politiques de contrôle d'accès et utilise l'adresse IP des utilisateurs pour vérifier leur demande.
3. Détection basée sur l'anomalie: Il utilise un algorithme d'apprentissage automatique pour préparer un modèle IDS qui apprend du modèle d'activité régulier du trafic réseau. Ce modèle agit ensuite comme un modèle de base à partir duquel le trafic réseau entrant est comparé. Si le trafic s'écarte du comportement normal, les alertes sont générées.
4. Détection d'anomalies du protocole: Dans ce cas, le détecteur d'anomalie détecte le trafic qui ne correspond pas aux normes de protocole existantes.

Conclusion

Les activités commerciales en ligne ont augmenté ces derniers temps, les entreprises ayant plusieurs bureaux situés dans différents endroits du monde. Il est nécessaire d'exécuter constamment des réseaux informatiques au niveau Internet et un niveau d'entreprise. Il est naturel que les entreprises deviennent des cibles des mauvais yeux des pirates. En tant que tel, il est devenu un problème très critique pour protéger les systèmes et les réseaux d'information. Dans ce cas, IDS est devenu une composante vitale du réseau d'une organisation, qui joue un rôle essentiel dans la détection d'un accès non autorisé à ces systèmes.