Les IDS hybrides, qui utilisent les NIDS et HIDS p

2 La corrélation
3 L'harmonisation des formats
4 La contre-mesure
5 Liste des IDS connus
5.1 IDS réseau (NIDS)
5.2 IDS système (HIDS)
5.3 IDS hybride
6 Notes et références
7 Bibliographie
8 Voir aussi
8.1 Liens externes
Les familles de systèmes de détection d'intrusion[modifier | modifier le code]

Il existe trois grandes familles distinctes d’IDS :
Les NIDS (Network Based Intrusion Detection System), qui surveillent l'état de la sécurité au niveau du réseau.
Les HIDS (HostBased Intrusion Detection System), qui surveillent l'état de la sécurité au niveau des hôtes.
Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus pertinentes.
Les HIDS sont particulièrement efficaces pour déterminer si un hôte est contaminé et les NIDS permettent de surveiller l’ensemble d’un réseau contrairement à un HIDS qui est restreint à un hôte.
NIDS (IDS réseau)[modifier | modifier le code]
Introduction[modifier | modifier le code]
Nids.png
Un NIDS se découpe en trois grandes parties : La capture, les signatures et les alertes.
Capture[modifier | modifier le code]
La capture sert à la récupération de trafic réseau. En général cela se fait en temps réel, bien que certains NIDS permettent l'analyse de trafic capturé précédemment.
La plupart des NIDS utilisent la bibliothèque standard de capture de paquets libpcap. La bibliothèque de capture de paquets Packet Capture Library est portée sur quasiment toutes les plates-formes, ce qui permet en général aux IDS réseau de suivre.
Le fonctionnement de la capture d'un NIDS est donc en général fortement lié à cette libpcap. Son mode de fonctionnement est de copier (sous Linux) tout paquet arrivant au niveau de la couche liaison de données du système d'exploitation. Une fois ce paquet copié, il lui est appliqué un filtre BPF (Berkley Packet Filter), correspondant à l'affin