Les réseaux d’information peuvent être très sensibles aux attaques malveillantes de vers, de virus et de diverses autres menaces réseau, de nouveaux problèmes surgissant régulièrement sur ces fronts. De telles attaques peuvent paralyser les réseaux, détruire des données importantes et nuire à la productivité. Pour éviter cela, des systèmes de détection d’intrusion (IDS) sont mis en place pour protéger les réseaux d’information.
Un système de détection d’intrusion agit comme une protection qui détecte les attaques avant ou au fur et à mesure qu’elles se produisent, alerte l’administration du système et prend ensuite les mesures appropriées pour désactiver les attaques, rétablissant ainsi le réseau à sa capacité de fonctionnement normale. Un certain degré de surveillance humaine et d’investigation est généralement requis dans les systèmes de détection d’intrusion, car l’IDS n’est pas totalement infaillible. Un système de détection d’intrusion peut, par exemple, ne pas identifier certaines menaces réseau ou, dans le cas de réseaux occupés, ne pas être en mesure de vérifier tout le trafic qui transite par le réseau.
Dans son fonctionnement quotidien, le système de détection d’intrusion surveille l’activité des utilisateurs et le trafic sur le réseau, et surveille les configurations système et les fichiers système. Si des anomalies ou des attaques sont détectées, le système de détection d’intrusion déclenche immédiatement une alarme pour signaler le problème à l’administrateur du système. Le système peut alors traiter les menaces réseau ou laisser l’administrateur décider de la meilleure façon de résoudre le problème.
Il existe trois principaux types de systèmes de détection d’intrusion qui forment ensemble un système de prévention d’intrusion. Le premier est la détection d’intrusion réseau, qui maintient une bibliothèque de menaces réseau connues. Le système effectue des recherches sur Internet et met constamment à jour cette bibliothèque ; De cette façon, le système est tenu informé des dernières menaces réseau et est en mesure de mieux protéger le réseau. Le trafic passant est surveillé et vérifié avec la bibliothèque, et si une attaque connue ou un comportement anormal correspond à ceux de la bibliothèque, le système se prépare à le bloquer.
La détection d’intrusion de nœud de réseau est la deuxième partie du système de prévention d’intrusion. Il vérifie et analyse le trafic qui passe du réseau à un hôte spécifique. La troisième partie est le système de détection d’intrusion hôte, qui vérifie toute modification du système actuel ; si des fichiers sont modifiés ou supprimés, le système de détection d’intrusion hôte sonne l’alarme. Il peut soit désactiver directement l’attaque, soit mettre en place un nouvel environnement de sécurité amélioré.