L'utilisation première de Prelude est de fonctionner en continu sur un réseau alors que Nessus est normalement utilisé par l'administrateur pour une vérification ponctuelle (même si l'utilisation de Nessus évolue en ce moment vers un outil de surveillance "permanent").
Au niveau de l'architecture, Prelude requiert une architecture client-serveur avec l'installation de sondes (réseaux ou hôtes) et d'un manager. Au contraire, Nessus fonctionne sur un seul poste. On peut relever un point commun sur l'interface graphique qui, dans les deux cas, est une partie indépendante de l'application.
Notons que Prelude repose sur une plateforme de type Unix ou BSD. Mais des logiciels comme Ntsyslog nous permettent de remonter des informations sur des machines Windows. En revanche, Nessus fonctionne aussi bien sous Unix que Windows.
L'installation et l'étude des corrélations entre les résultats de Nessus et Prelude-IDS sont détaillés en annexe. Dans notre étude, nous avons eu le résultat suivant :
manager:/home/prelude# ability-finder.pl -B -c vuln.conf *** Trying to connect to the database type:mysql database:prelude hostname:localhost account:prelude *** Parsing the database to get the alerts id *** Trying to search for correlation *** Operation of vulnerability correlation search finnished Number of alerts treated in the database : 1073 Number of correlations of vulnerability : 0 manager:/home/prelude#Ici on peut voir qu'il n'y a eu aucune attaque exploitant une vulnérabilité préalablement détectée par Nessus. Il existe aussi un script très simpliste pour faire un tri sur les corrélations durant un laps de temps donné. Par exemple, pour afficher les corrélations pour les dernières 24 heures (ou les 86400 dernières secondes) :
manager:/home/prelude/# ./prelude-correlation-agent.pl -B -p 86400Le détail est une nouvelle fois en annexe.