Pages

Subscribe:

samedi 11 janvier 2014

Le HIDS a pour avantage de n'avoir que peu de faux positifs, permettant d'avoir des alertes pertinentes. Quant à ses inconvénients il

mon ou un service standard sur un système hôte qui détecte une activité suspecte en s’appuyant sur une norme. Si les activités s’éloignent de la norme, une alerte est générée. La machine peut être surveillée sur plusieurs points :
Activité de la machine : nombre et listes de processus ainsi que d'utilisateurs, ressources consommées, ...
Activité de l'utilisateur : horaires et durée des connexions, commandes utilisées, messages envoyés, programmes activés, dépassement du périmètre défini...
Activité malicieuse d'un ver, virus ou cheval de Troie
Un autre type d'HIDS cherche les intrusions dans le « noyau » (kernel) du système, et les modifications qui y sont apportées. Certains appellent cette technique « analyse protocolaire ». Très rapide, elle ne nécessite pas de recherche dans une base de signature. Exemples de contrôles pour Windows ...
EPROCESS (structure de données en mode noyau contenant des informations qui peuvent permettre de cacher un processus),
Les processus fonctionnant en mode « noyau »
Les fonctions logicielles système ou de gestion de périphérique présentes dans l'ordinateur.
La SSDT (System Service Dispatch Table) table utilisée par Windows pour diriger des appels de système vers un traitement approprié : table d'adressage des interruptions.
etc.
Le HIDS a pour avantage de n'avoir que peu de faux positifs, permettant d'avoir des alertes pertinentes. Quant à ses inconvénients il faut configurer un HIDS par poste et demande une configuration de chaque système.
IDS hybride[modifier | modifier le code]
Ids hybride.png
Les IDS hybrides sont basés sur une architecture distribuée, où chaque composant unifie son format d'envoi d'alerte (typiquement IDMEF) permettant à des composants divers de communiquer et d'extraire des alertes plus pertinentes.
Les avantages des IDS hybrides sont multiples :
Moins de faux positifs
Meilleure corrélation
Possibilité de réaction sur les analyseurs
La corrélation[modifier | modifier le code]

La corrélation est une connexion entre deux ou plusieurs éléments, dont un de ces éléments crée ou influence un autre. Elle se traduit plus généralement par la transformation d'une ou plusieurs alertes en attaque. Cela permet de faciliter la com
Publié par Unknown à 22:47

0 commentaires:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)