Discussion:Système de détection d'intrusion

Le contenu de la page n’est pas pris en charge dans d’autres langues.
Une page de Wikipédia, l'encyclopédie libre.
Autres discussions [liste]
  • Admissibilité
  • Neutralité
  • Droit d'auteur
  • Article de qualité
  • Bon article
  • Lumière sur
  • À faire
  • Archives
  • Commons


Lien externe mort[modifier le code]

Bonjour,

Pendant plusieurs vérifications automatiques, et dans le cadre du projet correction des liens externes un lien était indisponible.

Merci de vérifier si il est bien indisponible et de le remplacer par une version archivée par Internet Archive si c'est le cas. Vous pouvez avoir plus d'informations sur la manière de faire ceci ici. Si le lien est disponible, merci de l'indiquer sur cette page, pour permettre l'amélioration du robot. Les erreurs rapportées sont :

Eskimbot 1 février 2006 à 01:52 (CET)[répondre]

MISC ne met plus ses articles en lignes et vu la façon dont la référence a été cité, je suis dans l'incapacité de retrouver l'article ailleurs. Je pourrais aussi bien aller piocher dans l'Internet Archives mais j'ai quelques doutes vis à vis des éditions Diamond (éditeur de MISC). D'autre part, disposant de pas mal de numéro de MISC je préfère les parcourir pour retrouver les différents articles concernant les IDS et les citer en tant que tel (c'est-à-dire pas de lien, si vous les voulez, achetez les anciens numéros). Ca me permettra peut-être également de les retrouver en ligne. En attendant, je supprime le lien défectueux. eberkut 4 janvier 2007 à 10:49 (CET)[répondre]

Le nombre élevé de fausses alertes[modifier le code]

En fait, l'IDS signale à tort des centaines d'attaques (par jour...) ; au milieu de ces multitudes de faux positifs, une vraie attaque passera inaperçue.

Si les conséquences de l'attaque deviennent visibles (quelques heures ou quelques jour plus tard...), il sera possible de retrouver comment l'attaque a eu lieu. Le proverbe bien connu s'appliquera alors Il est trop tard de fermer la porte de l'écurie quand le cheval a été volé.Discussion utilisateur:Romanc19s (d) 22 juin 2013 à 08:22 (CEST)[répondre]

Refonte de la page[modifier le code]

Bonjour. Nous avons travaillé sur une nouvelle version de la page disponible sur mon brouillon que nous souhaiterions mettre en ligne lundi. Nous avons revu le plan pour intégrer la majeure partie du contenu actuel tout en l'étoffant et en ajoutant des références scientifiques (la page actuelle ne faisant référence qu'à un seul ouvrage). Nous allons continuer d'ici lundi à ajouter du contenu sur certaines parties ainsi que des références. Theo.mainguet 8 Janvier 2020 à 21:52 (CET)

Relecture[modifier le code]

Tout d’abord bravo pour votre article que j’ai lu avec intérêt et qui m’a appris beaucoup de choses sur les systèmes de détection d’intrusion en donnant un bon aperçu de ce sujet. Vu que je n’ai pas un profil d’expert sur ce domaine, vous avez à mon avis réussi à vulgariser ce sujet et à le rendre accessible.

N’ayant pas de connaissances sur le sujet, dans un premier temps je vais essayer de partager avec vous mes remarques sur la forme de l’article. J’essaierai ensuite d’aller plus au fond dans la mesure de mes moyens. J’espère pouvoir vous apporter des commentaires constructifs et je me réjouis par avance des échanges que nous allons avoir.

--HieronymusFR (discuter) 19 janvier 2020 à 12:43 (CET)[répondre]

Notification Romanc19s : Relecture Notification Theo.mainguet : Relecture


Relecture Master TIIR sur "Système de détection d'intrusion"[modifier le code]

Bonjour, bravo d'être parvenu au bout du travail, avec mon collègue Hervé C, nous sommes vos relecteurs sur les systèmes de détection d’intrusion. Nous espérons vous apporter suffisamment de remarques et éléments pertinents pour améliorer votre article.

--Samir86 TIIR (discuter) 28 janvier 2020 à 15:45 (CET)[répondre]

Notification Romanc19s : Relecture Notification Theo.mainguet : Relecture

Sur la forme[modifier le code]

Globalement[modifier le code]

Quelques remarques sur l'ensemble de l'article:

  • Certains termes spécifiques, en plus de ceux que vous avez déjà identifiés mériteraient d'être wikifier (lien internes), si vous ne trouvez pas d'équivalent dans le Wikipédia français vous pouvez utilisez un lien anglais comme celui-ci par exemple: intrusion (en). Je vous le signalerai à chaque section.
  • Quelques syntaxes de phrases à revoir pour faciliter la compréhension.
  • Le wiki est impersonnel: pas de "on" et "nous".
  • L'utilisation d'anglicismes n'est parfois pas nécessaire pour certains termes.

--Samir86 TIIR (discuter) 29 janvier 2020 à 11:52 (CET)[répondre]


  • Corrections orthographe et syntaxe :

L'aide à la Wikification préconise dans la mise en forme du texte d'utiliser l'italique pour les mots en langue étrangère https://fr.wikipedia.org/wiki/Aide:Wikification#Mise_en_forme_de_l%27introduction_et_du_texte
Les termes en anglais pourraient être mis en italique dans la page

--HieronymusFR (discuter) 30 janvier 2020 à 16:24 (CET)[répondre]

Erreurs de frappe[modifier le code]

Dans le texte il semble qu'il y ait quelques erreurs de frappe

Chapître : Systèmes de détection d’intrusion réseaux
Les systèmes de détection d'intrusion réseaux (ou NIDS : Network Intrusion Detection System) sont les IDS les plus répandues (..)
-répandus- ? Tout dépend si on parle « d’une IDS » ou d’un system de détection d’intrusion.

Dès qu'une attaque est détectée, que ce soit par signature (SIDS) ou anomalies (AIDS), une alerte est remonté afin de pouvoir prendre une décision sur l'action à effectuer, soit par un IPS (Système de prévention d'intrusion), soit par l'administrateur
une alerte est -remontée-

Les NIDS peuvent être complétés par d'autre technologie comme (…)
d’autres technologies ? ou une autre technologie

Différentes techniques de deep learning ont déjà été appliqué (…)
appliquées

L'ajout de ces techniques au IDS réseaux permettent (…)
aux

Chapître : Systèmes de détection d’intrusion hôtes
Par conséquent ces analyses sont strictement limitées à la machine sur laquelle l'HIDS est installée
installé si il s’agît d’un system ou installée si on dit -une- HIDS

Les HIDS agissent comme des antivirus mais en plus poussé, car les antivirus ne sont intéressés que par les activités malveillante (…)
malveillantes

Étant donné que les HIDS sont installés
(peut être voir pour uniformiser dans le texte le genre des HIDS / Cf ci-dessus)

Chapître : Systèmes de détection d’intrusion collaboratif
collaboratifs ?

Il va permettre de déterminer s'il s'agit d'une attaque globale contre les différents systèmes ou plus local, s'il n'a (…)
Locale

Les CIDS déployé sur cette approche (…)
déployés

Mais ils ont deux désavantages majeurs, le premier est que le système expert tombe en panne
le premier est que -si- le système

Chapître : Exemples de systèmes de détection d’intrusion
Systèmes de détection d'instrusion réseaux
d’intrusion

Systèmes de détection d'instrusion hôtes
d’intrusion

Chapître : L’histoire des IDS
Au début des années 90, apparaissent les premiers programmes d’analyse en temps réel, qui permet d’analyser (..)
qui permettent d’analyser

Depuis quelques années, les avancées produite en matières d’IDS (…)
 produites

--HieronymusFR (discuter) 19 janvier 2020 à 12:43 (CET)[répondre]

Merci pour ces corrections, nous avons appliqué les corrections
-- Theo.mainguet 7 Février 2020 à 10:43 (CET)

Section : Résumé introductif[modifier le code]

Le résumé introductif est trop court, il mériterait d'être développé pour être un résumé du plan que vous proposez: Wikipédia:Résumé_introductif.

--Samir86 TIIR (discuter) 29 janvier 2020 à 13:12 (CET)[répondre]

Nous allons développer le résumé pour qu'il corresponde au lien que vous nous avez transmis.
-- Theo.mainguet 7 Février 2020 à 10:43 (CET)

Section : Sommaire[modifier le code]

Section : 1 Description générale[modifier le code]

  • Corrections orthographe et syntaxe :

différents types d'utilisation malicieuse de leurs cible (…)
leurs cibles

Les systèmes de détection d'intrusion sont utilisés en plus des solutions traditionnelles telles que les firewalls (...)
Les systèmes de détection d'intrusion sont utilisés pour détecter différents types d'utilisation malicieuse sur leurs cibles qui ne peuvent être détecter par des solutions traditionnelles telles que les pare-feux.

nombreux paramètres doivent être pris en compte selon ce que l’on cherche à surveiller. (...)
Préférer l'utilisation de pronoms impersonnels.

  • Le terme anglais firewalls peut être remplacer par pare-feux.
  • La référence vers la source suivante est à corriger, elle renvoie plutôt vers la page 73 et non la page 1:

(en) Ozgur Depren, Murat Topallar, Emin Anarim et M. Kemal Ciliz, « An intelligent intrusion detection system (IDS) for anomalyand misuse detection in computer networks », Expert Systems with Applications,‎ , p. 713-722 (ISSN 0957-4174, DOI 10.1016/j.eswa.2005.05.002)

--Samir86 TIIR (discuter) 29 janvier 2020 à 15:18 (CET)[répondre]

Section : 2 Méthodologie de la détection[modifier le code]

Section : 2.1 Systèmes de détection d'intrusion par signatures[modifier le code]

  • La phrase "Dans le cas d'attaques inconnues de la base, ce modèle de détection s'avérera inefficace et ne générera donc pas d’alertes"

ne semble pas correspondre à la page 17 de votre référence bibliographique. Par contre on trouve une phrase très similaire p2 dans la bibliographie de : Richard A. Kemmerer et Giovanni Vigna, « Intrusion Detection: A Brief History and Overview », Computer,‎ 2002, supl27 - supl30 (ISSN 1558-0814, DOI 10.1109/MC.2002.1012428) Pouvez vous vérifiez s'il n'y a pas un croisement dans les références ?

--HieronymusFR (discuter) 29 janvier 2020 à 22:54 (CET)[répondre]

En effet, nous avons indiqué la mauvaise référence, il s'agit bien de l'article que vous mentionnez, page 28.
-- Theo.mainguet 7 Février 2020 à 10:43 (CET)

Section : 2.2 Systèmes de détection d'intrusion par anomalies[modifier le code]

  • Ce chapître manque de références

Pour le premier paragraphe vous pouvez faire référence au 3.4 (p3) de votre bibliographie Liu Hua Yeo, Xiangdong Che et Shalini Lakkaraju, « Understanding Modern Intrusion Detection Systems: A Survey », arXiv:1708.07174,‎ 2017

--HieronymusFR (discuter) 30 janvier 2020 à 16:04 (CET)[répondre]

Nous allons ajouter cette référence à notre paragraphe
-- Theo.mainguet 7 Février 2020 à 10:45 (CET)

Section : 2.3 Hybride[modifier le code]

--HieronymusFR (discuter) 29 janvier 2020 à 22:54 (CET)[répondre]

Section : 2.4 Temporalité de détection[modifier le code]

Section : 3 Familles de systèmes de détection d’intrusion[modifier le code]

  • Il faudrait préciser les termes NIDS et HDIS du schéma pour faire le rapprochement avec le texte dans cette section.

--Samir86 TIIR (discuter) 29 janvier 2020 à 17:00 (CET)[répondre]

Nous ne comprenons pas votre remarque, est-ce parce que la légende de l'image décrit l'acronyme en anglais ? Sinon, nous l'évoquons dans la phrase introductive des sous-sections.
-- Theo.mainguet 7 Février 2020 à 10:46 (CET)
Oui c'est bien cela, je vois que vous avez détaillé les termes NDIS et HDIS dans la légende de l'image, un lecteur peut ainsi faire le rapprochement facilement avec le texte. --Samir86 TIIR (discuter) 7 février 2020 à 12:07 (CET)[répondre]

Section : 3.1 Systèmes de détection d'intrusion réseaux[modifier le code]

  • Pour rester cohérent avec le reste de votre article, il serait préférable d'utiliser le terme hôte à la place de machine.

--Samir86 TIIR (discuter) 30 janvier 2020 à 10:40 (CET)[répondre]

Nous allons modifier ces termes.
-- Theo.mainguet 7 Février 2020 à 10:46 (CET)

Section : 3.2 Systèmes de détection d'intrusion hôtes[modifier le code]

  • Proposition de syntaxe:

La fonction de base d'un HIDS est l'inspection des fichiers de configuration du système (...)

La fonction de base d'un HIDS est l'inspection des fichiers de configuration du système (d'exploitation?) afin d'y déceler des anomalies, comme les rootkit notamment. Ils (les HDIS?) utilisent les sommes de contrôles (MD5, SHA-1...) des programmes exécutables pour s'assurer qu'ils n'ont pas été modifiés.

  • Même remarque que pour la section 3.1: remplacer éventuellement le terme machine par hôte. Et le terme poste est à préciser également, s'agit-il d'un hôte?

--Samir86 TIIR (discuter) 30 janvier 2020 à 11:31 (CET)[répondre]

Nous allons modifier la page Wikifiée. Nous allons également clarifier la phrase que vous mentionnez.
-- Theo.mainguet 7 Février 2020 à 10:47 (CET)

Section : 3.3 Systèmes de détection d'intrusion collaboratifs[modifier le code]

  • Pour une meilleure lisibilité, vous pouvez utiliser ce format pour distinguer les trois systèmes de détection collaboratifs:
L'approche centralisée
Elle se compose...
L'approche hiérarchique
Cette approche va permettre..
L'approche distribuée
La dernière approche...
  • Le terme nœud corresponds à quel type d'équipement: hôte, serveur ?

--Samir86 TIIR (discuter) 30 janvier 2020 à 12:06 (CET)[répondre]

Nous allons clarifier ce paragraphe comme vous le suggérez.
-- Theo.mainguet 7 Février 2020 à 10:48 (CET)

Section : 3.4 Autres[modifier le code]

  • Vous pouvez suivre le format que je vous ai conseillé dans la section précédente et utiliser les liens wiki, s'ils existent, pour les autres familles de systèmes de détection d'intrusion.
WIDS (Wireless Intrusion Detection System (en))
Ce type de système ...
APHIDS (Agent-Based Programmable Hybrid Intrusion Detection System)
Ce type de système ...
HAMA-IDS (Hybrid Approach-based Mobile Agent Intrusion Detection System)
Une méthode ...

--Samir86 TIIR (discuter) 30 janvier 2020 à 14:28 (CET)[répondre]

Section : 4 Exemples de systèmes de détection d’intrusion[modifier le code]

  • Les exemples de systèmes de détection d'intrusion pourraient peut être trouver leur place dans le chapitre Familles de systèmes de détection d'intrusion plutôt que séparément ?


  • Les listes pourraient être améliorées avec quelques informations succinctes sur les systèmes (Éditeur, spécificités ou caractéristiques)

--HieronymusFR (discuter) 30 janvier 2020 à 12:54 (CET)[répondre]

Nous avons choisi de dissocier les exemples des paragraphes explicatifs pour qu'un utilisateur connaissant déjà le domaine puisse trouver directement des exemples sans que ceux-ci soient disséminés dans plusieurs sous-sections. Nous estimons qu'un utilisateur non averti sur le sujet aura tendance à vouloir se documenter avant d'en déployer, l'énumération d'exemples ne sera pas forcément nécessaire pour sa compréhension du domaine.
Nous avons également rajouté des liens externe référençant les exemples.
-- Theo.mainguet 7 Février 2020 à 10:50 (CET)

Section : 4.1 Systèmes de détection d'intrusion réseaux[modifier le code]

  • Lien interne à vérifier

Tipping point fait référence à plusieurs pages

--HieronymusFR (discuter) 30 janvier 2020 à 11:30 (CET)[répondre]

Section : 4.2 Systèmes de détection d'intrusion hôtes[modifier le code]

  • Lien interne à vérifier

OSSEC pointe sur une page qui n'existe pas encore --HieronymusFR (discuter) 30 janvier 2020 à 11:51 (CET)[répondre]

Section : 4.3 Hybrides[modifier le code]

  • Lien interne à vérifier

OSSIM pointe sur des pages qui n'existe pas encore --HieronymusFR (discuter) 30 janvier 2020 à 11:51 (CET)[répondre]

Section : 5 Domaines d’application[modifier le code]

Section : 5.1 Systèmes distribués[modifier le code]

--Samir86 TIIR (discuter) 30 janvier 2020 à 15:03 (CET)[répondre]

Au moment de la rédaction nous n'avions pas trouvé d'article pertinent pour cette section, nous allons essayer d'en trouver. Auriez-vous lu des articles pour la relecture donnant des références pour cette section ?
-- Theo.mainguet 7 Février 2020 à 10:54 (CET)

Section : 5.2 Internet des objets[modifier le code]

  • Coquille à corriger:

nombre de capteurs dans le réseau ainsi que la topologie du réseau du réseau.(...)

--Samir86 TIIR (discuter) 30 janvier 2020 à 15:03 (CET)[répondre]

Section : 6 Systèmes de prévention d'intrusion[modifier le code]

Section : 6.1 Principe[modifier le code]

--HieronymusFR (discuter) 30 janvier 2020 à 13:19 (CET)[répondre]

Section : 6.2 Les familles de systèmes de prévention d’intrusion[modifier le code]

Section : 7 L’histoire des IDS[modifier le code]

--Samir86 TIIR (discuter) 30 janvier 2020 à 16:42 (CET)[répondre]

Section : 8 Références[modifier le code]

Section : 9 Bibliographie[modifier le code]

Éventuellement triez vos sources par thème pour une meilleure visibilité.

--Samir86 TIIR (discuter) 30 janvier 2020 à 16:46 (CET)[répondre]

Sur le fond[modifier le code]

Globalement[modifier le code]

Votre article est dans l'ensemble assez inégale avec des sections bien développées, documentées et illustrées et d'autres trop succinctes.

En effet, les sections 2. Méthodologie de détection, 3. Familles de systèmes de détection d'intrusion et 7. L'histoire des IDS sont les points forts de votre article. Et les sections 4, 5 et 6 mériteraient d'être développés voire intégrés à d'autres sections car elles renvoient vers des articles plus détaillés.

--Samir86 TIIR (discuter) 30 janvier 2020 à 17:09 (CET)[répondre]

Section : Résumé introductif[modifier le code]

Il faudrait développer plus votre résumé, en introduisant le plan de votre article.

--Samir86 TIIR (discuter) 30 janvier 2020 à 17:14 (CET)[répondre]

Section : Sommaire[modifier le code]

Je vous propose une autre version de votre plan:

   • 1 Description générale
   • 2 Méthodologie de détection
       ◦ 2.1 Systèmes de détection d’intrusion par signatures 
     - exemples
       ◦ 2.2 Systèmes de détection d’intrusion par anomalies
     - exemples
       ◦ 2.3 Hybride 
      - exemples
       ◦ 2.4 Temporalité de détection
   • 3 Familles de systèmes de détection d’intrusion
       ◦ 3.1 Systèmes de détection d'intrusion réseaux
              - exemples de systèmes de détection d'intrusion réseaux
       ◦ 3.2 Systèmes de détection d'intrusion hôtes
              - exemples de systèmes de détection d'intrusion hôtes
       ◦ 3.3 Systèmes de détection d'intrusion collaboratifs
              - exemples de systèmes de détection d'intrusion collaboratifs
       ◦ 3.4 Autres
             - exemples des systèmes : WIDS, APHIDS, HAMA-IDS
   • 4 Domaines d’application
       ◦ 4.1 Systèmes distribués
       ◦ 4.2 Internet des objets
   • 5 Systèmes de prévention d’intrusion
           A la place de renvoyer vers le wiki Système de prévention d'intrusion vous pouvez le fusionner dans votre wiki, car cet article ne comporte aucune référence et renvoi vers le wiki anglais. Vous pouvez vérifier les conditions de fusions d'articles ici: Aide:Fusion.
       ◦ 5.1 Principe
       ◦ 5.2 Les familles de systèmes de prévention d’intrusion
   • 6 L’histoire des IDS
   • 7 Références
  • 8 Bibliographie

Il serait mieux d'incorporer vos exemples directement dans les sections concernées, ainsi que de les détailler/comparer pour comprendre leurs utilités et différences.

--Samir86 TIIR (discuter) 31 janvier 2020 à 11:29 (CET)[répondre]

Section : 1 Description générale[modifier le code]

  • Pour la description générale, vous prenez l'exemple de l'IDS Snort sur la fin de cette section. Mais est-ce que ce les règles de filtrages que vous mentionnez pour Snort, qui est un NIDS à priori, sont valables pour les autres IDS (NDIS et HDIS)? Il faudrait plutôt reporter cette description de Snort en tant qu'exemple dans les NDIS, et essayer de développer une description commune des NDIS/HDIS dans cette section. J'ai trouvé cette source qui pourrait vous aider dans cette description: http://techgenix.com/Hids_vs_Nids_Part1/, dans les parties IDS functionality et Scary IDS statistics.

--Samir86 TIIR (discuter) 2 février 2020 à 23:30 (CET)[répondre]

Section : 2 Méthodologie de la détection[modifier le code]

  • Comme je vous l'ai proposé en début de relecture, il serait intéressant de reporter vos exemples dans chacune des méthodologie de détection que vous développez.

--Samir86 TIIR (discuter) 2 février 2020 à 23:37 (CET)[répondre]

Méthodologies de détections, signature-baseddetection, anomaly-baseddetection et specification- basedDetection ?[modifier le code]

Dans plusieurs documents que vous référencez il est bien question des deux méthodologies de détections que vous citez (Détection d'intrusion par signatures / signature-baseddetection, détection d'intrusion par anomalies / Anomaly-baseddetection), mais une troisième semble également apparaître dans d’autres références: Specification- basedDetection (SPA) (Dans vos sources bibliographiques : Intrusion detection system:Acomprehensive review (Chap 2) Detection methodologies).

SPA est aussi évoqué dans d’autres documents (par ex A study of methodologies used in intrusion detection and prevention systems (IDPS) Mudzingwa, D ; Agrawal, R 2012 Proceedings of IEEE Southeastcon, March 2012, pp.1-6 / (ISSN 1091-0050) /DOI: 10.1109/SECon.2012.6197080)

SPA vous apparaît-il comme une méthodologie de détection en plus des deux que vous citez ?

--HieronymusFR (discuter) 22 janvier 2020 à 22:39 (CET)[répondre]

Section : 2.1 Systèmes de détection d'intrusion par signatures[modifier le code]

Section : 2.2 Systèmes de détection d'intrusion par anomalies[modifier le code]

  • Questionnement sur la catégorie de système de détection pour les réseaux de neurones artificiels

Dans le paragraphe Systèmes de détection d'intrusion par anomalies vous donnez quelques exemples en lien avec cette méthode de détection et notamment « Les réseaux de neurones artificiels ».

Même si vous indiquez qu’il s’agît d’une « technique d’apprentissage supervisée », je m’interroge pour savoir pourquoi pour vous cet exemple ne pourrait pas être dans la catégorie « détection d’intrusion par signature » dans lequel vous écrivez : « Au cours de l’analyse du flux réseau, le système de détection d'intrusion analysera chaque paquet et une alerte sera émise dès lors qu’une signature sera détectée ».

La référence que vous citez (Hervé Debar, Monique Becker et Didier Siboni, « A Neural Network Component for an Intrusion Detection System », Proceedings 1992 IEEE Computer Society Symposium on Research in Security and Privacy, 1992, p. 240-250 (ISBN 0-8186-2825-1), DOI 10.1109/RISP.1992.213257) ne positionne cette méthode dans aucune catégorie. Sur votre page vous l’avez placée dans le « Anomaly-based Intrusion Detection System ».

Dans l’article il est indiqué que la méthode des « neural networks » est utilisée pour prévoir les courbes d’indicateurs boursiers (type S&P500) en se basant sur un modèle ce qui pourrait laisser penser à un référentiel ? Quels sont les éléments qui vous ont fait classer cette méthode dans les « Systèmes de détection d’intrusion par anomalies » ?

  • Précision

Vous écrivez « À l'heure actuelle, cette technique de détection d'intrusion est reconnue par la communauté comme étant très efficace. En effet, selon les méthodes d'apprentissage implémentées, l'exactitude des résultats peut rapidement atteindre plus de 90% de détection »

Effectivement dans les références bibliographiques que vous citez les taux peuvent atteindre plus de 90%. Mais ces études ne portent que sur les types machines à vecteurs de support (SVM Support Vector Machine) et modèle de Markov caché (HMM Hidden Markov Model).

Il serait possible de reformuler plus précisément :

À l'heure actuelle, cette technique de détection d'intrusion est reconnue par la communauté comme étant très efficace. En effet, avec les méthodes modèle de Markov caché et machines à vecteurs de support l'exactitude des résultats peut rapidement atteindre plus de 90% de détection.

--HieronymusFR (discuter) 25 janvier 2020 à 17:17 (CET)[répondre]

Dans notre article, nous référençons la page 244 et non pas la page 243. D'après celle-ci, l'auteur décrit son approche pour une application aux systèmes de détection d'intrusion par anomalies, ainsi que le choix de son algorithme.
-- Theo.mainguet 7 Février 2020 à 10:58 (CET)

Section : 2.3 Hybride[modifier le code]

Section : 2.4 Temporalité de détection[modifier le code]

J'ai trouvé ces sources plus récentes sur la temporalité des IDS qui pourraient vous aider dans cette section:

  • (en) Hariyanto Hariyanto et Andysah Putera Utama Siahaan, « Intrusion Detection System in Network Forensic Analysis and Investigation », IOSR Journal of Computer Engineering (IOSR-JCE), vol. 18, no 6,‎ , p. 115-121 (ISSN 2278-0661, DOI 10.9790/0661-180604115121)
  • (en) Rathore M. Mazhar, Ahmad Awais et Paul Anand, « Real time intrusion detection system forultra-high-speed big data environments », The Journal of Supercomputing, vol. 72, no 9,‎ , p. 3489–3510 (ISSN 1573-0484, DOI https://doi.org/10.1007/s11227-015-1615-5)

--Samir86 TIIR (discuter) 3 février 2020 à 11:05 (CET)[répondre]

Section : 3 Familles de systèmes de détection d’intrusion[modifier le code]

Section : 3.1 Systèmes de détection d'intrusion réseaux[modifier le code]

Etant donné que le pare feu est un élément incontournable pour la sécurité des réseaux comme le montre vos schémas. Il serait donc intéressant de développer plus en détail l'intégration d'un NDIS en cohabitation avec un firewall qui doit, j'imagine, couvrir la totalité des cas d'implémentation d'un NDIS. Cet article pourrait vous être utile à cela:

  • (en) He Chaokai, « Design and implementation of a personal firewall Based on NDIS Intermediate Drivers », Eighth ACIS International Conference on Software Engineering, Artificial Intelligence, Networking, and Parallel/Distributed Computing (SNPD 2007), vol. 1,‎ , p. 878-882 (ISBN 0769529097, DOI 10.1109/SNPD.2007.233)

--Samir86 TIIR (discuter) 3 février 2020 à 23:12 (CET)[répondre]

Nous ne comprenons pas votre commentaire, il semblerait que notre section décrive exactement ce que vous souhaitez que l'on développe.
-- Theo.mainguet 7 Février 2020 à 11:01 (CET)
Oui, je vous suggérais de développer un peu plus la description de l'implémentation d'un NDIS couplé avec un firewall dans une architecture réseau, notamment leurs différences et le fait que les firewall nouvelles générations peuvent aussi intégrer directement des IPS. Mais effectivement, c'est à considérer comme une amélioration et non comme un manque dans votre article. --Samir86 TIIR (discuter) 7 février 2020 à 15:19 (CET)[répondre]

Section : 3.2 Systèmes de détection d'intrusion hôtes[modifier le code]

Section : 3.3 Systèmes de détection d'intrusion collaboratifs[modifier le code]

Il existe également une approche de CIDS pour le cloud computing qui serait intéressante de mentionner, à voir dans cet article:

--Samir86 TIIR (discuter) 3 février 2020 à 12:27 (CET)[répondre]

En relisant l'article que vous mentionnez, il semblerait que celui-ci décrive ce qu'illustre notre troisième schéma "Approche distribuée d'un CIDS".
-- Theo.mainguet 7 Février 2020 à 11:02 (CET)

Section : 3.4 Autres[modifier le code]

En plus des trois autres familles que vous mentionnez, j'en ai trouvé 2 autres qui pourraient être citées dans cette section:

PIDS (Perimeter Intrusion Detection System)
(en) Michael Horner, Graham Leach et Simon Peaty, « Development and use of a method to commission a perimeter intrusion detection system to a performance standard », Proceedings of IEEE International Carnahan Conference on Security Technology,‎ , p. 151-157 (ISBN 0780314794, DOI 10.1109/CCST.1994.363775)
VNIDS (Virtual machine-based Network Intrusion Detection System)
(en) Zhao Feng, Yang Weiping, Jin Hai et Wu Song, « VNIDS: A virtual machine-based network intrusion detection system », 2nd International Conference on Anti-counterfeiting, Security and Identification,‎ , p. 254-259 (ISSN 2163-5056, DOI 10.1109/IWASID.2008.4688384)

--Samir86 TIIR (discuter) 3 février 2020 à 14:56 (CET)[répondre]

Bien évidemment, la liste n'est pas exhaustive, nous allons rajouter ces familles.
-- Theo.mainguet 7 Février 2020 à 11:03 (CET)

Section : 4 Exemples de systèmes de détection d’intrusion[modifier le code]

En plus de replacer ces exemples de systèmes dans les sections correspondantes (NDIS, HDIS, hybrides...), il serait intéressant d'en présenter brièvement quelques uns, notamment les plus utilisés/connus en plus de Snort que vous introduisez déjà au début de votre article.

--Samir86 TIIR (discuter) 3 février 2020 à 00:03 (CET)[répondre]

Section : 4.1 Systèmes de détection d'intrusion réseaux[modifier le code]

Section : 4.2 Systèmes de détection d'intrusion hôtes[modifier le code]

D'autres exemples de HIDS sont présents sur ce wiki: Host-based_intrusion_detection_system_comparison (en).

--Samir86 TIIR (discuter) 3 février 2020 à 12:01 (CET)[répondre]

Section : 4.3 Hybrides[modifier le code]

Section : 5 Domaines d’application[modifier le code]

Vous pouvez aussi mentionner (ou intégrer) les autres wiki traitant des systèmes de détection d'intrusion dans le projet Informatique 2.0 de Gilles Grimaud :

Apprentissage automatique appliqué aux systèmes de détection d'intrusion réseau.
Langage dédié à la détection d'intrusion.
Principes et architecture des systèmes de détection d'intrusion
Ce wiki pourrait être fusionné avec le votre. En effet, il fait doublon et ne va pas aussi loin que vous dans le développement des IDS.

--Samir86 TIIR (discuter) 3 février 2020 à 16:56 (CET)[répondre]

Section : 5.1 Systèmes distribués[modifier le code]

Section : 5.2 Internet des objets[modifier le code]

Section : 6 Systèmes de prévention d'intrusion[modifier le code]

Je vous ai proposé de fusionner le wiki système de prévention d'intrusion avec votre article. En effet, ce wiki n'est quasiment pas sourcé et peu détaillé.

En plus de vos sources, rien de vous empêche d'utiliser les sources de la section Intrusion Prevention (en) du wiki Système de détection d'intrusion en version anglaise. Car il y est mentionné deux autres familles d'IPS en plus de celles que vous avez trouvé:

Wireless Intrusion Prevention System (en) (WIPS)
Le système Wireless Intrusion Detection and Prevention System est donc à coupler avec le système WIDS que vous citez dans la section 3.4 Autres.
Network behavior anomaly detection (en) (NBAD)

Et une sources sur laquelle vous pourrez les trouver:

  • (en) Karen Scarfone et Peter Mell, « Guide to Intrusion Detection and Prevention Systems (IDPS) », NIST Special Publication, vol. 800, no 94,‎ , p. 1-127 (ISBN 1422312909)

--Samir86 TIIR (discuter) 31 janvier 2020 à 15:17 (CET)[répondre]

Nous avions également envisagé de fusionner cet article au notre. Cependant, vu le manque de référence ainsi que la syntaxe des phrases, l'article mériterait une refonte avant d'être fusionné.
-- Theo.mainguet 7 Février 2020 à 11:04 (CET)

Section : 6.1 Principe[modifier le code]

Section : 6.2 Les familles de systèmes de prévention d’intrusion[modifier le code]

Section : 7 L’histoire des IDS[modifier le code]

Section : 8 Références[modifier le code]

Section : 9 Bibliographie[modifier le code]

Voici un récapitulatif des sources supplémentaires que je vous ai fourni tout au long de ma relecture:

  • (en) Hariyanto Hariyanto et Andysah Putera Utama Siahaan, « Intrusion Detection System in Network Forensic Analysis and Investigation », IOSR Journal of Computer Engineering (IOSR-JCE), vol. 18, no 6,‎ , p. 115-121 (ISSN 2278-0661, DOI 10.9790/0661-180604115121)
  • (en) Rathore M. Mazhar, Ahmad Awais et Paul Anand, « Real time intrusion detection system forultra-high-speed big data environments », The Journal of Supercomputing, vol. 72, no 9,‎ , p. 3489–3510 (ISSN 1573-0484, DOI https://doi.org/10.1007/s11227-015-1615-5)
  • (en) He Chaokai, « Design and implementation of a personal firewall Based on NDIS Intermediate Drivers », Eighth ACIS International Conference on Software Engineering, Artificial Intelligence, Networking, and Parallel/Distributed Computing (SNPD 2007), vol. 1,‎ , p. 878-882 (ISBN 0769529097, DOI 10.1109/SNPD.2007.233)
  • (en) Michael Horner, Graham Leach et Simon Peaty, « Development and use of a method to commission a perimeter intrusion detection system to a performance standard », Proceedings of IEEE International Carnahan Conference on Security Technology,‎ , p. 151-157 (ISBN 0780314794, DOI 10.1109/CCST.1994.363775)
  • (en) Zhao Feng, Yang Weiping, Jin Hai et Wu Song, « VNIDS: A virtual machine-based network intrusion detection system », 2nd International Conference on Anti-counterfeiting, Security and Identification,‎ , p. 254-259 (ISSN 2163-5056, DOI 10.1109/IWASID.2008.4688384)
  • (en) Karen Scarfone et Peter Mell, « Guide to Intrusion Detection and Prevention Systems (IDPS) », NIST Special Publication, vol. 800, no 94,‎ , p. 1-127 (ISBN 1422312909)

--Samir86 TIIR (discuter) 3 février 2020 à 12:58 (CET)[répondre]