Méthodes de détection des IDPS
Méthodes de détection des IDPS

Méthodes de détection des IDPS

Méthodes de détection des IDPS

En général il existe trois méthodes de détection des IDPS.

Signature Based Detection

Une signature est un modèle qui correspond à une menace connue. Ainsi, cette méthode se base sur la comparaison des unités d’activités (Paquet, Log Entry) à une liste de signatures en utilisant les opérateurs de comparaison.

Cependant, cette méthode présente deux inconvénients :

  • Elle ne peut pas faire la correspondance entre la requête et sa réponse.
  • Elle ne se souvient pas des attaques.

Anomaly Based Detection

Cette méthode se base sur la comparaison des événements avec la définition des événements considérés normaux pour déceler des déviations. Dans ce cas, l’IDPS possède un « Profil » qui représente le comportement normal. Exemples : les liste des utilisateurs, les hôtes, les connexions réseaux etc. C’est une méthode se basant sur des calculs statistiques (Ex : nombre d’Emails envoyés par utilisateur, nombre d’essais de login erronés). De ce fait, l’inconvénient N°2 de la première méthode est évité, car le système est assujetti à une période d’entrainement au bout de laquelle un profil est généré. Ce dernier pourra encore être régénéré après une autre mesure du système. Cependant, si pendant la période de génération ou de régénération du profil, le système comprenait des activités nuisibles dont le taux de changement est très faible, alors ces dernières feront partie intégrante du profil.

Stateful Protocol Analysis

Cette démarche d’analyse s’appuie sur la comparaison des protocoles à un ou plusieurs profils. Par ailleurs, elle exploite la combinaison de la requête et sa réponse pour pouvoir évaluer l’état ce qui constituait un point faible de la première méthode (Signature based detection).

Pour s’approfondir …

Retour à l’accueil du Blog

Researchgate profile