Comment fonctionnent les systèmes de détection d'intrusion (IDS)? Si je comprends bien, ils surveillent le trafic réseau, mais que recherchent exactement? Comment peuvent-ils dire une activité régulière d'intrusions?
Wikipedia a un bon démarrage sur une réponse à cette question.
Un extrait:
Tous les systèmes de détection d'intrusion utilisent l'une des deux techniques de détection:
IDS de l'anomalie statistique:
Un ID d'anomalie statistique établit une base de référence de performance basée sur des évaluations normales de trafic réseau. Il modifiera ensuite l'activité actuelle du trafic réseau à cette base de référence afin de détecter s'il s'agit ou non des paramètres de base. Si le trafic échantillonné est en dehors des paramètres de base, une alarme sera déclenchée.
IDS basé sur la signature:
Le trafic réseau est examiné pour des schémas d'attaque préconfigurés et prédéterminés appelés signatures. De nombreuses attaques ont aujourd'hui des signatures distinctes. En bonne pratique de sécurité, une collection de ces signatures doit être constamment mise à jour pour atténuer les menaces émergentes.