Qu'est-ce qu'un système de détection d'intrusion?
Les réseaux d’information peuvent être très sensibles aux attaques malveillantes de vers, de virus et de diverses autres menaces réseau, de nouveaux problèmes se multipliant régulièrement sur ces fronts. De telles attaques peuvent paralyser les réseaux, détruire des données importantes et nuire à la productivité. Pour éviter cela, des systèmes de détection d'intrusion (IDS) sont configurés pour protéger les réseaux d'information.
Un système de détection d'intrusion agit comme une protection qui détecte les attaques avant ou pendant qu'elles se produisent, alerte l'administration du système, puis prend les mesures appropriées pour les désactiver, en restaurant le réseau à sa capacité de travail normale. Les systèmes de détection d’intrusion nécessitent généralement un certain degré de supervision et d’investigation humaine, car l’IDS n’est pas totalement infaillible. Un système de détection d'intrusion peut, par exemple, ne pas identifier certaines menaces du réseau ou, dans le cas de réseaux occupés, ne pas être en mesure de contrôler tout le trafic transitant par le réseau.
Dans son fonctionnement quotidien, le système de détection d'intrusion surveille l'activité de l'utilisateur et le trafic sur le réseau, et surveille les configurations du système et les fichiers système. Si des anomalies ou des attaques sont détectées, le système de détection d'intrusion configure immédiatement une alarme pour signaler le problème à l'administrateur système. Le système peut ensuite traiter les menaces réseau ou laisser l’administrateur décider du meilleur moyen de traiter le problème.
Il existe trois types principaux de systèmes de détection d'intrusion qui forment ensemble un système de prévention d'intrusion. Le premier est la détection d'intrusion sur le réseau, qui maintient une bibliothèque de menaces réseau connues. Le système vérifie Internet et met constamment à jour cette bibliothèque. De cette façon, le système est tenu informé des dernières menaces du réseau et est en mesure de mieux protéger le réseau. Le trafic qui passe est surveillé et vérifié avec la bibliothèque. Si une attaque connue ou un comportement anormal correspond à ceux de la bibliothèque, le système se prépare à le bloquer.
La détection d'intrusion de noeud de réseau est la deuxième partie du système de prévention d'intrusion. Il vérifie et analyse le trafic qui passe du réseau à un hôte spécifique. La troisième partie est le système de détection d'intrusion hôte, qui vérifie les modifications apportées au système actuel; si des fichiers sont modifiés ou supprimés, le système de détection d'intrusion hôte sonne l'alarme. Il peut soit directement désactiver l’attaque, soit mettre en place un nouvel environnement de sécurité amélioré.