La détection d'intrusion

• Deux méthodes théoriques :

  • Liste exhaustive des événements autorisés
    • Correspond à l'application d'une politique de sécurité
      • Une politique doit avoir été définie
      • Nécessite une connaissance pointue du système et des applications
  • Base de signatures décrivant des événements connus interdits
    • Correspond à la méthode anti-virale
      • Nécessite une mise à jour régulière, pouvant être quotidienne
      • Nécessite une connaissance pointue du système et des applications
  • Ces deux méthodes sont utilisées dans les logiciels commerciaux
    • La mise à jour des bases faisant partie d'un abonnement commercial

• Une méthode pratique :

  • À partir des événements enregistrés, générer des motifs et les classer
    • Nécessite beaucoup de travail initialement
    • Peut nécessiter une mise à jour lors d'une mise à jour système ou applicative
    • Nécessite peu de connaissance du système