SYSTEME DE DETECTION

D’INTRUSION : SNORT

APPLIQUE ET REDIGE PAR : SOUS LA SUPERVISION

DE :
• MARAFA ALIM
• MOUSSINGA BRICE Monsieur DJIONANG
• NJIKE RONALD BERLIN

ANNEE 2024 - 2025

 SYSTEME DE DETECTION D’INTRUSION : SNORT
SOMMAIRE

LISTE DES FIGURES .................................................................................................................................. 3

Introduction ........................................................................................................................................... 4
I. Définitions et Concepts de Base.................................................................................................... 5
II. Typologie des IDS .......................................................................................................................... 6
III. Architecture Fonctionnelle d’un IDS....................................................................................... 7
IV. Technologies IDS Populaires .................................................................................................... 8
V. Test entre deux machines Kali et Ubuntu (FTP et ICMP) ........................................................ 9
VI. IDS vs IPS (Prévention d’Intrusion) ...................................................................................... 14
VII. Avantages et Limites des IDS ................................................................................................. 15
Conclusion ............................................................................................................................................ 18
References bibliographiques et webographiques : ................................................................................ 20

2
 SYSTEME DE DETECTION D’INTRUSION : SNORT

LISTE DES FIGURES

Figure 1:snort .......................................................................................................................................... 8

Figure 2:Zeek ........................................................................................................................................... 9
Figure 3:dossier snort ............................................................................................................................ 10
Figure 4: Differents fichiers de configuration des regles ...................................................................... 11
Figure 5:connexion ftp de kali vers la machine ubuntu(snort) .............................................................. 12
Figure 6:Regle ajoutee pour detecter la connexion FTP ....................................................................... 12
Figure 7:Alerte renvoyee par Snort pour signaler une tentative de connexion par ftp .......................... 12
Figure 8:ping avec kali vers la machine ubuntu(snort) ......................................................................... 13
Figure 9:Regle ajoutee pour la detection des PINGG ........................................................................... 13
Figure 10:Alerte renvoyée par Snort pour signaler un grand nombre de pings..................................... 13

3
 SYSTEME DE DETECTION D’INTRUSION : SNORT
Introduction
À l’ère de la transformation numérique, les réseaux informatiques sont devenus essentiels au
fonctionnement des entreprises, des administrations et des infrastructures critiques. Cette dépendance
croissante s’accompagne toutefois d’un accroissement significatif des menaces informatiques :
intrusions, malwares, attaques par déni de service, ou encore exfiltration de données. Face à cette
évolution, la sécurité des réseaux est devenue une priorité stratégique. Pour répondre à ces défis, les
Systèmes de Détection d’Intrusion (IDS) occupent une place centrale dans les dispositifs de
cybersécurité. Contrairement aux pares-feux qui filtrent le trafic à l’entrée ou à la sortie, les IDS
surveillent activement le trafic ou les activités système afin de détecter des comportements suspects ou
[Link] permettent ainsi de réagir rapidement en cas d’attaque, en générant des alertes précises
destinées aux administrateurs réseau ou aux équipes de sécurité.
Ce rapport vise à présenter les fondamentaux des IDS, en détaillant leur fonctionnement, les différents
types existants, les technologies les plus utilisées, ainsi que leur positionnement au sein d’une
architecture réseau. Une distinction sera faite avec les systèmes de prévention d’intrusion (IPS), et une
réflexion sera menée sur les avantages, les limites, et les perspectives d’évolution des IDS, notamment
avec l’intégration de l’intelligence artificielle et des solutions SIEM.

4
 SYSTEME DE DETECTION D’INTRUSION : SNORT
I. Définitions et Concepts de Base
Définition d’un IDS

Un Système de Détection d’Intrusion (IDS, pour Intrusion Detection System) est un dispositif
de sécurité dont le rôle principal est de surveiller le trafic réseau ou les activités sur un système
informatique, afin d’identifier des comportements anormaux ou malveillants. Lorsqu'une activité
suspecte est détectée, l'IDS génère une alerte qui permet aux administrateurs ou aux analystes de
sécurité de prendre les mesures nécessaires. Il ne bloque pas directement l’attaque, mais agit en tant
que système d’alerte précoce.

Différence entre IDS et autres systèmes de sécurité

Il est important de ne pas confondre l’IDS avec d’autres outils de sécurité comme le pare-feu
(firewall) ou l’IPS (Intrusion Prevention System).

• Un pare-feu filtre le trafic entrant et sortant selon des règles prédéfinies, empêchant ainsi
l’accès non autorisé. Il agit en amont de l’attaque.
• Un IPS va plus loin que l’IDS, car en plus de détecter l’intrusion, il peut automatiquement
bloquer le trafic malveillant.
• L’IDS, quant à lui, ne bloque rien : il observe et alerte. Il est souvent utilisé en complément
d’un pare-feu et peut alimenter un système SIEM pour une corrélation plus large des
événements.

Classification des attaques détectées par les IDS

Les IDS sont conçus pour détecter une large gamme d’attaques, parmi lesquelles :

• Scan de ports (tentatives de reconnaissance)

• Tentatives de connexion non autorisée (brute force, credential stuffing)
• Attaques par déni de service (DoS/DDoS)
• Exécution de code malveillant ou exploit
• Accès à des fichiers ou ressources sensibles
• Altération de fichiers système ou d’applications critiques
• Comportements anormaux du trafic ou des utilisateurs (dans le cas des IDS
comportementaux)

5
 SYSTEME DE DETECTION D’INTRUSION : SNORT
II. Typologie des IDS
Les IDS peuvent être classés selon deux critères principaux : leur emplacement dans
l’architecture informatique et leur méthode de détection. Cette classification permet de mieux
comprendre leur mode d’action et leur champ d’application.

1. Selon leur emplacement :

• IDS réseau (NIDS – Network-based IDS)

Le NIDS surveille le trafic transitant sur le réseau en temps réel. Il est généralement placé à
des points stratégiques du réseau (par exemple, entre un routeur et un pare-feu) pour analyser les
paquets entrants et sortants. Il est efficace pour détecter des attaques ciblant plusieurs hôtes ou
exploitant des vulnérabilités réseau. Cependant, il peut être limité face au trafic chiffré ou aux
attaques internes.
• IDS hôte (HIDS – Host-based IDS)
Le HIDS est installé directement sur un système (serveur, poste de travail, etc.) et surveille les
activités internes comme les modifications de fichiers, les tentatives de connexion, ou l’intégrité
du système. Il offre une vision fine des attaques ciblant une machine spécifique, y compris celles
qui ne passent pas par le réseau, mais il nécessite un déploiement sur chaque hôte à surveiller.

2. Selon leur mode de détection :

• Détection par signature (ou basée sur la connaissance)

Ce mode repose sur une base de signatures connues, c’est-à-dire des modèles correspondant à
des attaques déjà répertoriées. Lorsqu’un comportement correspond à une signature, une alerte
est générée. Cette méthode est très efficace pour détecter des attaques connues avec précision
et peu de faux positifs, mais elle est inefficace contre les attaques nouvelles ou modifiées
(attaques zero-day).
• Détection par analyse comportementale (ou heuristique/anomalie)
Ce mode établit une ligne de base du comportement normal d’un système ou d’un utilisateur,
puis détecte les écarts par rapport à cette norme. Il permet de repérer des attaques inconnues
ou inhabituelles, mais peut générer davantage de faux positifs, notamment lors des phases
d’apprentissage ou dans des environnements très dynamiques.

En pratique, de nombreux IDS modernes combinent ces deux approches pour maximiser leur
efficacité.

6
 SYSTEME DE DETECTION D’INTRUSION : SNORT
III. Architecture Fonctionnelle d’un IDS
Un IDS fonctionne à travers plusieurs composants interconnectés, qui permettent de collecter,
analyser, et réagir aux événements de sécurité. Cette architecture est essentielle pour assurer une
détection efficace des intrusions et une réponse rapide aux incidents.

1. Sources d’information (journaux, trafic réseau)

Les sources d'information sont les données brutes collectées par l'IDS. Elles peuvent provenir de
différents éléments du système ou du réseau :

• Journaux système : Logs générés par le système d'exploitation ou les applications, qui
peuvent fournir des informations sur les tentatives de connexion, les erreurs, ou les actions
malveillantes.
• Trafic réseau : Paquets capturés sur le réseau. Ils contiennent des informations sur les
communications entre hôtes et peuvent être analysés pour détecter des anomalies (par
exemple, un trafic anormalement élevé, des requêtes suspectes, ou des paquets malformés).

2. Moteur de détection

Le moteur de détection est le cœur de l’IDS. Il analyse les données collectées à partir des
sources d’information et applique des techniques de détection (par signature ou par comportement)
pour identifier des activités suspectes. C’est ici que les règles de détection sont appliquées pour
comparer les événements aux signatures ou à la norme comportementale, et décider s’il s'agit d'une
intrusion ou d'une activité légitime.

3. Base de règles/signatures

La base de règles ou signatures est un ensemble de modèles ou de critères utilisés par le

moteur de détection pour identifier les attaques. Elle peut être mise à jour régulièrement pour intégrer
de nouvelles signatures d’attaques ou ajuster les règles en fonction des évolutions du réseau ou des
menaces. Cette base est essentielle pour garantir l'efficacité de l'IDS, mais elle peut également être un
point faible en cas de vulnérabilités non couvertes par les signatures.

4. Console d’administration / Interface de gestion

La console d’administration est l'interface qui permet aux administrateurs de configurer l'IDS,
d’ajuster les règles de détection, et de visualiser les alertes générées. Elle offre une vue d'ensemble des
événements de sécurité et facilite la gestion des incidents. Certaines consoles avancées incluent des
fonctionnalités de visualisation des données (graphiques, cartes) et de gestion centralisée des alertes.

5. Réponse aux incidents

Lorsque l’IDS détecte une activité suspecte, il génère des alertes pour signaler l’incident. Dans
certains cas, une réponse automatisée peut être configurée pour prendre des actions immédiates (par
exemple, bloquer une connexion suspecte ou isoler un hôte compromis). Dans d'autres situations,
l'alerting est une première étape qui initie une enquête manuelle par l’équipe de sécurité pour
déterminer la nature de l’incident et prendre les mesures appropriées.

7
 SYSTEME DE DETECTION D’INTRUSION : SNORT
IV. Technologies IDS Populaires
Il existe plusieurs outils IDS sur le marché, chacun ayant ses spécificités en termes de détection, de
performance et de facilité de déploiement. Voici une présentation de deux des solutions les plus
populaires, ainsi qu’un comparatif rapide entre elles.

1. Présentation de Snort

Snort est l'un des IDS les plus populaires et les plus utilisés dans le monde. Il s'agit d'un IDS basé
sur les signatures, mais il propose également une détection comportementale de base, ce qui le rend
capable de détecter un large éventail d'attaques. Snort est open-source et offre une grande flexibilité en
matière de configuration et de personnalisation. Son moteur de détection analyse le trafic réseau en
temps réel, en comparant chaque paquet aux règles de signature pour identifier les comportements
malveillants.

Figure 1:snort

• Avantages :
o Solution open-source avec une large communauté.
o Flexibilité de personnalisation.
o Large base de signatures disponibles.
• Inconvénients :
o Génération de faux positifs si la configuration n'est pas optimale.
o Nécessite un traitement intensif du trafic, ce qui peut affecter la performance dans des
environnements à fort trafic.

2. Présentation de Bro/Zeek

Bro (rebaptisé Zeek) est une autre solution IDS très populaire, mais contrairement à Snort, Zeek
ne se limite pas à la détection basée sur des signatures. Il s'agit d'un IDS comportemental qui analyse
le trafic réseau à un niveau plus profond. Zeek se distingue par sa capacité à inspecter et à comprendre
les protocoles réseau, ce qui lui permet d’effectuer des analyses plus détaillées et de détecter des
menaces sophistiquées.

8
 SYSTEME DE DETECTION D’INTRUSION : SNORT

Figure 2:Zeek

• Avantages :
o Fortement extensible et personnalisable.
o Excellente analyse des protocoles réseau.
o Bonne détection des attaques complexes ou nouvelles.
• Inconvénients :
o Plus difficile à configurer et à déployer pour les débutants.
o Nécessite des ressources système importantes pour traiter de grandes quantités de
trafic.

3. Comparatif rapide entre quelques outils IDS

comparatif rapide entre Snort, Zeek et quelques autres outils IDS populaires :

OSSEC
Caractéristique Snort Zeek Suricata
(HIDS)

Type d’IDS Réseau Réseau Réseau et hôte Hôte

Signatures, Signatures,
Méthode de détection Comportemental Basée sur l’hôte
Anomalie Anomalie

Facilité d’utilisation Moyenne Difficile Facile Facile

Extensibilité Bonne Excellente Bonne Moyenne

Performance Bonne Moyenne Excellente Bonne

Support de
Limité Très complet Très complet Limité
protocoles

Gratuité/Open-
Oui Oui Oui Oui
source

V. Test entre deux machines Kali et Ubuntu (FTP et ICMP)

Dans cette section, nous allons réaliser des tests pratiques en utilisant deux machines, l'une
sous Kali Linux et l'autre sous Ubuntu, pour illustrer l’utilisation d'un IDS (Snort) dans un
environnement réseau réel. Nous allons tester deux protocoles de communication : FTP (File Transfer

9
 SYSTEME DE DETECTION D’INTRUSION : SNORT
Protocol) et ICMP (Internet Control Message Protocol), pour vérifier la capacité de Snort à détecter
des intrusions sur la machine Ubuntu.

1. Installation et Configuration de Snort sur Ubuntu

Avant de commencer les tests, il est nécessaire d’installer et de configurer Snort sur la
machine Ubuntu. Voici les étapes détaillées :

Sur Ubuntu :

1. Mettre à jour les paquets :

➢ sudo apt update

➢ sudo apt upgrade

2. Installer Snort :
Pour installer Snort, utilisez la commande suivante :

➢ sudo apt install snort

3. Configurer Snort :
Pendant l'installation, vous serez invité à entrer l'interface réseau sur laquelle Snort va écouter.
Par exemple, vous pouvez utiliser eth0 ou wlan0, selon votre configuration réseau.

Vous pouvez aussi personnaliser les fichiers de configuration de Snort pour ajuster les
paramètres de détection et de journalisation :

o Le fichier principal de configuration est /etc/snort/[Link].

o Vous pouvez configurer Snort pour qu'il analyse les paquets réseau et les compare aux
règles définies dans le fichier [Link] (situé dans /etc/snort/rules/).

Figure 3:dossier snort

10
 SYSTEME DE DETECTION D’INTRUSION : SNORT

Figure 4: Differents fichiers de configuration des regles

4. Vérifier l'installation :
Après l’installation, vérifiez que Snort fonctionne correctement en lançant la commande
suivante :

➢ snort -v

2. Test FTP (File Transfer Protocol)

Le FTP est un protocole largement utilisé pour transférer des fichiers entre un client et un serveur.
Dans ce test, nous allons simuler des activités légitimes de transfert de fichiers et détecter des

11
 SYSTEME DE DETECTION D’INTRUSION : SNORT
comportements malveillants, comme des tentatives d'accès non autorisées ou des attaques par brute
force.

• Objectif du test : Vérifier si l'IDS Snort sur Ubuntu peut détecter une tentative d'accès non
autorisé à un serveur FTP.
• Configuration du test :
o Machine Kali : Lancer un client FTP (par exemple ftp ou ncftp) pour tenter de se
connecter à un serveur FTP situé sur la machine Ubuntu.

Figure 5:connexion ftp de kali vers la machine ubuntu(snort)

o Machine Ubuntu : Configurer un serveur FTP (ex. vsftpd) et s'assurer qu'il est
accessible uniquement avec les bonnes informations d'identification.

Figure 6:Regle ajoutee pour detecter la connexion FTP

Lors de l'exécution du test, une tentative de connexion avec des identifiants incorrects (attaque
par brute force) sera effectuée depuis Kali. Snort sur Ubuntu devra détecter ce comportement
suspect.

• Détection par Snort : Snort devra être configuré pour analyser les journaux du serveur FTP
sur Ubuntu et détecter les multiples tentatives de connexion échouées. Si une attaque par brute
force est détectée, Snort générera une alerte pour en informer l'administrateur.

Figure 7:Alerte renvoyee par Snort pour signaler une tentative de connexion par ftp

3. Test ICMP (Internet Control Message Protocol)

Le ICMP est un protocole utilisé pour tester la connectivité réseau, notamment via la commande ping.
Il est souvent utilisé de manière malveillante pour effectuer des attaques par déni de service (DoS) ou
des attaques par amplification ICMP.

• Objectif du test : Vérifier si Snort peut détecter des attaques ICMP, telles que des attaques
par saturation de réseau ou des attaques de déni de service (DoS) via des pings de type flood.
• Configuration du test :
o Machine Kali : Lancer des attaques ICMP en envoyant une série de pings ou d'autres
paquets ICMP à la machine Ubuntu, à l'aide de commandes comme ping ou hping3.

12
 SYSTEME DE DETECTION D’INTRUSION : SNORT

Figure 8:ping avec kali vers la machine ubuntu(snort)

o Machine Ubuntu : Snort sera configuré pour détecter des anomalies dans le trafic
ICMP, telles qu’une fréquence excessive de paquets.

Figure 9:Regle ajoutee pour la detection des PINGG

• Détection par Snort : Snort doit être capable de détecter un grand nombre de requêtes ping
envoyées à Ubuntu dans un laps de temps court, ce qui pourrait indiquer une tentative
d'attaque par saturation du réseau (attaque DoS). Snort devra générer une alerte pour informer
l'administrateur de l'attaque.

Figure 10:Alerte renvoyée par Snort pour signaler un grand nombre de pings

4. Résultats des Tests

• Test FTP :
Si Snort est bien configuré, il détectera les tentatives de connexion infructueuses répétées sur

13
 SYSTEME DE DETECTION D’INTRUSION : SNORT
le serveur FTP de la machine Ubuntu. Cela peut indiquer une attaque par brute force. Snort
enverra une alerte pour informer l'administrateur, qui pourra alors prendre des mesures pour
sécuriser le serveur FTP (par exemple, verrouiller les comptes après plusieurs tentatives
échouées).
• Test ICMP :
En cas d'attaque DoS par ICMP, Snort détectera une fréquence excessive de paquets ICMP
envoyés vers la machine Ubuntu. Il générera une alerte pour informer l'administrateur de la
saturation du réseau ou du risque de déni de service.

Les tests de FTP et ICMP montrent comment un IDS comme Snort peut être utilisé pour détecter et
répondre aux comportements malveillants dans un réseau. Que ce soit pour une attaque par brute force
via FTP ou une attaque par saturation réseau via ICMP, Snort peut fournir des alertes en temps réel
pour aider à la prévention et à la gestion des incidents. La bonne configuration de Snort sur la machine
Ubuntu, associée à des tests pratiques, garantit une surveillance efficace du réseau et permet de réagir
rapidement en cas de menace.

VI. IDS vs IPS (Prévention d’Intrusion)

Les systèmes de détection d’intrusion (IDS) et de prévention d’intrusion (IPS) sont deux composants
essentiels dans la sécurité des réseaux. Bien qu'ils partagent des objectifs communs de surveillance et
de protection contre les attaques, leurs modes de fonctionnement et leur impact sur le réseau sont
distincts. Dans cette section, nous allons détailler les différences entre les deux technologies et leur
complémentarité dans un environnement sécurisé.

1. Principes de fonctionnement d’un IPS

Un IPS (Intrusion Prevention System) est une extension d’un IDS. Il ne se contente pas de détecter les
attaques, mais prend des mesures actives pour empêcher leur réussite. Lorsque le système détecte un
trafic malveillant ou suspect, il intervient en temps réel pour bloquer l'attaque avant qu’elle n’atteigne
sa cible. L’IPS peut être configuré pour effectuer plusieurs actions :

• Bloquer l’accès au réseau : L'IPS peut automatiquement couper une connexion ou bloquer
une adresse IP source afin de prévenir l'attaque.
• Modifier les règles de filtrage : L'IPS peut mettre à jour ses règles de sécurité pour bloquer
des techniques d'attaque spécifiques sur la base de la menace détectée.
• Réécrire le trafic : Dans certains cas, l'IPS peut réécrire le trafic pour éviter la transmission
de paquets malveillants.

L'IPS fonctionne ainsi de manière proactive, en intervenant immédiatement pour empêcher l'intrusion,
ce qui le rend particulièrement utile dans des environnements où une réponse rapide est nécessaire.

2. Différences et complémentarité entre IDS et IPS

Bien que les IDS et IPS partagent la même fonction de base — surveiller le trafic réseau pour détecter
des signes d’intrusion — leur approche pour traiter les menaces est très différente :

• Mode de réaction :
o IDS : Un IDS détecte et alerte lorsqu’une activité suspecte est identifiée, mais il ne
prend aucune mesure corrective. Il fonctionne en mode passif, offrant une vue
d'ensemble du réseau sans interférer avec son fonctionnement. L’IDS nécessite
l'intervention manuelle d'un administrateur pour agir sur une menace.

14
 SYSTEME DE DETECTION D’INTRUSION : SNORT
o IPS : Contrairement à l’IDS, l’IPS prend des mesures immédiates pour bloquer les
attaques une fois qu'elles sont détectées. Il est conçu pour être réactif et automatiser le
processus de défense contre les intrusions.
• Impact sur le réseau :
o IDS : L'IDS n'a pas d'impact direct sur la performance du réseau. Il fonctionne en
parallèle avec le trafic réseau sans interférer avec son traitement.
o IPS : Étant un système actif, un IPS peut affecter la performance du réseau, surtout si
le trafic est intense. L'IPS doit être dimensionné correctement pour éviter de créer des
goulots d'étranglement.
• Détection des attaques :
o IDS : Un IDS est efficace pour détecter des attaques connues (basées sur des
signatures) et des comportements anormaux (basé sur des anomalies). Il peut
également identifier des attaques qui échappent à d'autres systèmes, comme les
menaces internes.
o IPS : Un IPS peut également détecter des attaques mais doit s’appuyer sur des bases
de signatures ou des règles bien définies pour stopper les menaces. Si de nouvelles
menaces n’ont pas encore été intégrées dans ses règles, l’IPS peut ne pas être aussi
efficace.

3. Complémentarité entre IDS et IPS

Dans un réseau sécurisé, IDS et IPS ne sont pas nécessairement opposés, mais se complètent. Tandis
que l’IDS permet de détecter les attaques et de fournir des alertes détaillées pour une analyse humaine,
l’IPS peut intervenir immédiatement pour bloquer ces attaques avant qu'elles ne causent des
dommages. Ensemble, ces systèmes constituent une défense en profondeur qui permet d'assurer une
protection renforcée contre les intrusions.

• IDS/IPS en tandem : L'IDS peut être utilisé pour surveiller le trafic et fournir des alertes
détaillées en cas de menaces, tandis que l'IPS peut bloquer en temps réel les attaques
détectées.
• Stratégie de défense en profondeur : La combinaison de l'IDS pour la détection et de l'IPS
pour la prévention permet une sécurité complète, offrant une réponse immédiate aux menaces
tout en fournissant des informations détaillées pour une analyse post-mortem.

VII. Avantages et Limites des IDS

Les systèmes de détection d’intrusion (IDS) sont un élément essentiel de la stratégie de sécurité des
réseaux. Ils offrent plusieurs avantages en matière de détection des menaces et de surveillance réseau.
Cependant, comme toute technologie, les IDS présentent également certaines limitations qu'il est
important de comprendre pour les déployer efficacement. Dans cette section, nous examinerons les
principaux avantages et limites des IDS.

1. Avantages des IDS

Détection rapide des menaces

Un des principaux avantages d'un IDS est sa capacité à détecter rapidement des intrusions potentielles.
Grâce à une surveillance constante du réseau, un IDS peut identifier des activités anormales ou
suspectes dès qu'elles se produisent, permettant ainsi une réponse rapide des administrateurs ou des
systèmes de sécurité.

15
 SYSTEME DE DETECTION D’INTRUSION : SNORT
Visibilité accrue sur le réseau

Les IDS fournissent une visibilité détaillée sur le trafic réseau, ce qui permet aux administrateurs de
surveiller en temps réel les flux de données entrants et sortants. Cette visibilité est cruciale pour
identifier non seulement les attaques externes, mais aussi les menaces internes telles que les
comportements anormaux des employés ou les erreurs de configuration.

Réduction des risques de sécurité

En détectant les intrusions avant qu'elles n'atteignent leurs objectifs, un IDS aide à minimiser l'impact
des attaques potentielles. Il permet ainsi de réduire les risques associés aux menaces réseau, en aidant
à identifier les vulnérabilités exploitables.

Alertes ciblées

Les IDS sont capables de générer des alertes détaillées qui aident les administrateurs à comprendre
rapidement la nature d'une attaque et la manière de la traiter. Cela permet une gestion plus efficace des
incidents, en fournissant des informations précises pour orienter la réponse aux menaces.

Détection d'attaques sophistiquées

Certains IDS modernes utilisent des techniques d'analyse comportementale et heuristique, ce qui leur
permet de détecter des attaques inconnues ou des attaques zéro-day, qui n'ont pas encore de signature
connue. Cela les rend particulièrement utiles dans des environnements où les menaces évoluent
rapidement.

2. Limites des IDS

Faux positifs

Un des principaux défis des IDS est la génération de faux positifs. Lorsqu'un IDS détecte une activité
qui ressemble à une attaque mais qui est en réalité bénigne, cela peut entraîner une surcharge d'alertes
inutiles. Ces faux positifs peuvent rendre plus difficile pour les administrateurs de discerner les
véritables menaces et peuvent retarder la réponse aux incidents.

Faux négatifs

En plus des faux positifs, les IDS peuvent également générer des faux négatifs, où une véritable
attaque passe inaperçue. Cela peut se produire si l'IDS ne dispose pas de la signature appropriée pour
détecter une attaque spécifique ou si l'attaque utilise des techniques d'évasion sophistiquées.

Surcharge de gestion

La gestion d'un IDS peut devenir complexe, surtout dans de grandes infrastructures réseau. La
configuration, l'analyse des alertes, et la gestion des règles de détection nécessitent une expertise
technique et un suivi constant. Dans des environnements avec de nombreux dispositifs à surveiller,
cela peut représenter une charge de travail importante pour les administrateurs.

16
 SYSTEME DE DETECTION D’INTRUSION : SNORT
Impact sur les performances du réseau

Un IDS, bien qu'il fonctionne en mode passif, peut parfois avoir un léger impact sur les performances
du réseau, en particulier si le volume de trafic à analyser est élevé. L’analyse continue des paquets et
des connexions réseau peut, dans certains cas, ralentir le système ou introduire des latences.

Incapacité à prévenir les intrusions

L'IDS ne peut pas agir directement pour prévenir une attaque une fois qu'elle a été détectée. Il se
contente de signaler l'incident et de fournir des informations sur la source, la nature et les détails de
l'attaque. La prévention active des intrusions nécessite un système complémentaire, comme un IPS
(Intrusion Prevention System).

Sécurisation limitée face aux attaques chiffrées

Un des défis actuels pour les IDS est leur incapacité à analyser le contenu du trafic chiffré. Les
protocoles de sécurité, comme HTTPS, empêchent l'IDS de voir les données réelles transmises,
limitant ainsi sa capacité à détecter des attaques qui se cachent dans le trafic crypté. Cela nécessite une
configuration supplémentaire, comme la mise en place de décryptage SSL/TLS, pour que l'IDS puisse
analyser le contenu des paquets chiffrés.

17
 SYSTEME DE DETECTION D’INTRUSION : SNORT
Conclusion
Les systèmes de détection d’intrusion (IDS) sont des éléments essentiels dans la sécurisation des
réseaux, permettant de détecter rapidement les attaques et d'assurer une surveillance continue des
activités réseau. Bien qu'efficaces dans la détection des menaces, les IDS présentent des limitations,
notamment en termes de gestion des faux positifs, de capacité à analyser le trafic chiffré, et d'absence
d’action directe contre les attaques. Leur complémentarité avec des systèmes de prévention d’intrusion
(IPS) et d’autres technologies de sécurité renforce la protection du réseau.

L'intégration d’IDS dans une stratégie de défense en profondeur, accompagnée de mises à jour
régulières et d’une analyse minutieuse des alertes, est indispensable pour optimiser leur efficacité.
L’évolution des technologies, notamment avec l’IA et l’intégration des systèmes SIEM, promet une
amélioration continue de la détection et de la gestion des incidents, permettant une protection réseau
toujours plus robuste face à des menaces de plus en plus sophistiquées.

18
 SYSTEME DE DETECTION D’INTRUSION : SNORT

Table des matières

SOMMAIRE .......................................................................................................................................... 1
Introduction ........................................................................................................................................... 4
I. Définitions et Concepts de Base.................................................................................................... 5
Définition d’un IDS ............................................................................................................................. 5
Différence entre IDS et autres systèmes de sécurité............................................................................ 5
Classification des attaques détectées par les IDS ................................................................................ 5
II. Typologie des IDS .......................................................................................................................... 6
1. Selon leur emplacement : ................................................................................................................ 6
2. Selon leur mode de détection : ........................................................................................................ 6
III. Architecture Fonctionnelle d’un IDS....................................................................................... 7
1. Sources d’information (journaux, trafic réseau) .............................................................................. 7
2. Moteur de détection ......................................................................................................................... 7
3. Base de règles/signatures................................................................................................................. 7
4. Console d’administration / Interface de gestion .............................................................................. 7
5. Réponse aux incidents ..................................................................................................................... 7
IV. Technologies IDS Populaires .................................................................................................... 8
1. Présentation de Snort ....................................................................................................................... 8
2. Présentation de Bro/Zeek ................................................................................................................ 8
3. Comparatif rapide entre quelques outils IDS .................................................................................. 9
V. Test entre deux machines Kali et Ubuntu (FTP et ICMP) ........................................................ 9
1. Installation et Configuration de Snort sur Ubuntu......................................................................... 10
2. Test FTP (File Transfer Protocol) ................................................................................................. 11
3. Test ICMP (Internet Control Message Protocol)........................................................................... 12
4. Résultats des Tests......................................................................................................................... 13
VI. IDS vs IPS (Prévention d’Intrusion) ...................................................................................... 14
1. Principes de fonctionnement d’un IPS .......................................................................................... 14
2. Différences et complémentarité entre IDS et IPS.......................................................................... 14
3. Complémentarité entre IDS et IPS ................................................................................................ 15
VII. Avantages et Limites des IDS ................................................................................................. 15
1. Avantages des IDS ........................................................................................................................ 15
2. Limites des IDS ............................................................................................................................. 16
Conclusion ............................................................................................................................................ 18

19
 SYSTEME DE DETECTION D’INTRUSION : SNORT

References bibliographiques et webographiques :

• Roesch, M. (1999). Snort - Lightweight Intrusion Detection for Networks. In Proceedings of the 13th
USENIX Conference on System Administration (LISA '99), Seattle, WA, USA.
➤ [Link]

• Beale, J., Caswell, B., Poor, M., & Northcutt, S. (2007). Snort Intrusion Detection and Prevention
Toolkit (2nd ed.). Syngress.
ISBN: 978-1597490997

• Koziol, J. (2003). Intrusion Detection with Snort. Sams Publishing.

ISBN: 978-0672324622

• Northcutt, S., & Novak, J. (2002). Network Intrusion Detection (3rd ed.). New Riders Publishing.

[Link]

[Link]

20