Critères de classification des IDS

Méthodes d'analyse Le premier critère de classification des IDS reste la méthode d'analyse. Deux approches sont possibles :

L'approche par scénario: Cette approche consiste à rechercher dans l'activité de l'élément surveillé les empreintes (ou signatures) d'attaques connues. Ce type d'IDS est purement réactif ; il ne peut détecter que les attaques dont il possède la signature. De ce fait, il nécessite des mises à jour fréquentes. De plus, l'efficacité de ce système de détection dépend fortement de la précision de sa base de signature. C'est pourquoi ces systèmes sont contournés par les pirates qui utilisent des techniques dites "d'évasion" qui consistent à maquiller les attaques utilisées. Ces techniques tendent à faire varier les signatures des attaques qui ainsi ne sont plus reconnues par l'IDS.

L'approche comportementale: Elle consiste à détecter des anomalies. La mise en oeuvre comprend toujours une phase d'apprentissage au cours de laquelle les IDS vont "découvrir" le fonctionnement "normal" des éléments surveillés. Ils sont ainsi en mesure de signaler les divergences par rapport au fonctionnement de référence. Les modèles comportementaux peuvent être élaborés à partir d'analyses statistiques. Ils présentent l'avantage de détecter des nouveaux types d'attaques.Cependant, de fréquents ajustements sont nécessaires afin de faire évoluer le modèle de référence de sorte qu'il reflète l'activité normale des utilisateurs et réduire le nombre de fausses alertes générées.

Chacune de ces deux approches peut conduire à des faux-positifs (détection d'attaque en absence d'attaque) ou à des faux-négatifs (absence de détection en présence d'attaque).

Autres critères Parmi les autres critères de classification existants, nous pouvons citer entre autres :

• les sources de données à analyser (réseau/système/application),
• le comportement de l'IDS après intrusion (passif/actif),
• la fréquence d'utilisation (périodique/continue).