Les systèmes de détection d'intrusion ou IDS peuvent se classer selon trois catégories majeures selon qu'ils s'attachent à surveiller :
Les NIDS
Ces outils analysent le trafic réseau; ils comportent généralement une sonde qui "écoute" sur le segment de réseau à surveiller et un moteur qui réalise l'analyse du trafic afin de détecter les signatures d'attaques ou les divergences face au modèle de référence. Les IDS Réseaux à base de signatures sont confrontés actuellement à deux problèmes majeurs qui sont : l'utilisation grandissante du cryptage, et des réseaux commutés. En effet, il est d'une part plus difficile " d'écouter " sur les réseaux commutés et le cryptage rend l'analyse du contenu des paquets presque impossible. La plupart des NIDS sont aussi dits IDS inline car ils analysent le flux en temps réel. Pour cette raison, la question des performances est très importante. De tels IDS doivent être de plus en plus performants afin d'analyser les volumes de données de plus en plus importants pouvant transiter sur les réseaux.
Les HIDS
Les IDS Systèmes analysent quant à eux le fonctionnement ou l'état des machines sur lesquelles ils sont installés afin de détecter les attaques. Pour cela ils auront pour mission d'analyser les journaux systèmes, de contrôler l'accès aux appels systèmes, de vérifier l'intégrité des systèmes de fichiers ... Ils sont très dépendants du système sur lequel ils sont installés. Il faut donc des outils spécifiques en fonction des systèmes déployés. Ces IDS peuvent s'appuyer sur des fonctionnalités d'audit propres ou non au système d'exploitation, pour en vérifier l'intégrité, et générer des alertes. Il faut cependant noter qu'ils sont incapables de détecter les attaques exploitant les faiblesses de la pile IP du système, typiquement les Dénis de service comme SYN FLOOD ou autre.
Les IDS hybrides (NIDS+HIDS)
Les IDS hybrides rassemblent les caractéristiques de plusieurs IDS différents. En pratique, on ne retrouve que la combinaison de NIDS et HIDS. Ils permettent, en un seul outil, de surveiller le réseaux et les terminaux. Les sondes sont placées en des points stratégiques, et agissent comme NIDS et/ou HIDS suivant leurs emplacements. Toutes ces sondes remontent alors les alertes à une machine qui va centraliser le tout, et agréger/lier les informations d'origines multiples.
Placement des IDS
Le placement des IDS va dépendre de la politique de sécurité menée. Mais il serait intéressant de placer des IDS :
Il est important de bien définir les zones sensibles du système d'information, ainsi que les zones les plus attractives pour un pirate. Suivant que nous voulons faire du suivi, un audit, ou encore une simple détection (unique) des attaques, nous placerons plus ou moins de sondes sur le réseau.
Il faut aussi voir qu'au-delà de l'architecture du réseau, il faut prendre en compte l'organisation de la sécurité existante:
Des cas concrets seront donnés à travers les explications sur le placement des sondes Prelude-IDS. Il faut cependant retenir que plusieurs cas sont envisageables, et une réflexion sur le réseau est à mener en amont.
L'évolution du marché
Il existe aujourdui de nombreux produits dont la complexité de mise en oeuvre et le degré d'intégration sont très divers.
Les outils strictement basés sur des modèles comportementaux sont actuellement en perte de vitesse. Mais ils sont de plus en plus intégrés à des IDS initialement basés sur une bibliothèque de signatures, étant donné leur complémentarité.
Les IDS systèmes sont un peu en retrait face aux IDS réseaux. L'arrivée des IDS hybrides, qui apportent une sécurité moins parcellaire dans la protection du système d'information, pourrait remettre en question l'état du marché des IDS.
Les critères de choix
Les systèmes de détection d'intrusion sont devenus indispensables lors de la mise en place d'une infrastructure de sécurité opérationnelle. Ils s'intègrent donc toujours dans un contexte et dans une architecture imposants des contraintes très diverses. Certains critères (toujours en accord avec le contexte de l'étude) peuvent être dégagés: