IDS vs IPS
Les systèmes de détection d'intrusion (IDS) sont des systèmes qui détectent des activités inappropriées, incorrectes ou anormales dans un réseau et les signalent. De plus, IDS peut être utilisé pour détecter si un réseau ou un serveur subit une intrusion non autorisée. IPS (Intrusion Prevention System) est un système qui déconnecte activement les connexions ou supprime les paquets, s'ils contiennent des données non autorisées. IPS peut être vu comme une extension de l'IDS.
IDS
IDS surveille le réseau et détecte les activités inappropriées, incorrectes ou anormales. Il existe deux principaux types de IDS. Le premier est le système de détection d'intrusion de réseau (NIDS). Ces systèmes examinent le trafic sur le réseau et surveillent plusieurs hôtes pour identifier les intrusions. Des capteurs sont utilisés pour capturer le trafic sur le réseau et chaque paquet est analysé pour identifier un contenu malveillant. Le second type est le système de détection d'intrusion basé sur l'hôte (HIDS). Les HIDS sont déployés sur des machines hôtes ou sur un serveur. Ils analysent les données locales de la machine, telles que les fichiers journaux du système, les pistes d'audit et les modifications du système de fichiers, afin d'identifier un comportement inhabituel. HIDS compare le profil normal de l'hôte avec les activités observées pour identifier les anomalies potentielles. Dans la plupart des endroits, les périphériques installés par IDS sont placés entre le routeur interne et le pare-feu ou en dehors du routeur externe. Dans certains cas, les périphériques IDS installés sont placés à l'extérieur du pare-feu et du routeur frontal avec la ferme intention de voir toute la gamme des tentatives d'attaques. Les performances constituent un problème majeur pour les systèmes IDS, car ils sont utilisés avec des périphériques réseau à bande passante élevée. Même avec des composants hautes performances et un logiciel mis à jour, l'IDS a tendance à abandonner des paquets car ils ne peuvent pas gérer le débit élevé.
IPS
IPS est un système qui prend activement des mesures pour empêcher une intrusion ou une attaque lorsqu'il en identifie une. Les IPS sont divisés en quatre catégories. Le premier est le NIPS (Network-based Intrusion Prevention), qui surveille l’ensemble du réseau pour détecter toute activité suspecte. Le second type est constitué des systèmes d’analyse du comportement du réseau (NBA) qui examinent le flux de trafic pour détecter des flux de trafic inhabituels pouvant être le résultat d’attaques, tels que le déni de service distribué (DDoS). Le troisième type est le système de prévention d'intrusion sans fil (WIPS), qui analyse les réseaux sans fil à la recherche de trafic suspect. Le quatrième type est le système de prévention d'intrusion basé sur l'hôte (HIPS), où un progiciel est installé pour surveiller les activités d'un hôte unique. Comme mentionné précédemment, IPS prend des mesures actives, telles que la suppression de paquets contenant des données malveillantes, la réinitialisation ou le blocage du trafic provenant d'une adresse IP incriminée..
Quelle est la différence entre IPS et IDS?
Un IDS est un système qui surveille le réseau et détecte les activités inappropriées, incorrectes ou anormales, tandis qu'un IPS est un système qui détecte les intrusions ou les attaques et prend des mesures actives pour les prévenir. La déférence principale entre les deux est différente de celle de l'IDS, IPS prend activement des mesures pour empêcher ou bloquer les intrusions détectées. Ces étapes préventives incluent des activités telles que la suppression de paquets malveillants et la réinitialisation ou le blocage du trafic provenant d'adresses IP malveillantes. IPS peut être considéré comme une extension de l'IDS, qui dispose de fonctionnalités supplémentaires pour empêcher les intrusions tout en les détectant..