Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • TNPF

    Загружено:

    Ghofrane Ferchichi
    62 просмотров2 страницы

    Авторское право

    © © All Rights Reserved

    Доступные форматы

    PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    62 просмотров2 страницы

    TNPF

    Загружено:

    Ghofrane Ferchichi

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 2

    Ghofrane Ferchichi

    STIC_L2_SR_B

    SNORT : Snort est un système open source de détection des intrusions


    ( IDS ) développé à l'origine en 1998. Snort a rendu incroyablement simple
    l'utilisation de nouvelles informations sur les menaces pour écrire des règles
    Snort qui détecteraient les menaces émergentes.

     Il permet de spécifier les caractéristiques uniques du trafic réseau, de


    déclencher une alerte lorsque ces conditions sont remplies et
    d'interrompre ou de bloquer la communication comme le souhaitent les
    paramètres utilisateur.

    Les Avantages : la technologie de Snort bénéficie d'un taux d'adoption assez


    large qui se prête à des solutions rapides aux menaces émergentes.

    Les inconvénients : Snort a 20 ans et a été conçu pour fonctionner sur des
    infrastructures plus anciennes. Bien que les règles soient relativement faciles à
    écrire, il est devenu difficile de les adapter aux menaces de plus en plus
    complexes et aux demandes des réseaux à haut débit. [1]

    SURICATA : Suricata a été introduit en 2009 afin de répondre aux exigences


    des infrastructures modernes. Il a également introduit le multithread, qui offre la
    capacité théorique de traiter plus de règles sur des réseaux plus rapides, avec des
    volumes de trafic plus importants, sur le même matériel.

    Les Avantages : Suricata a également incorporé le langage de script Lua qui a


    fourni une plus grande flexibilité pour créer des règles qui identifient les conditions
    qui seraient difficiles ou impossibles avec une règle Snort héritée. Cela permet aux
    utilisateurs d'adapter Suricata aux menaces complexes auxquelles l'entreprise est
    généralement confrontée.

    Les inconvénients : Suricata est un peu plus complexe à installer et la communauté


    est plus petite que ce que Snort a amassé, mais cela pourrait changer. Suricata est
    développé par l'O Pen Information Security Foundation (OISF). [1]

    ZEEK : Zeek ( anciennement connu sous le nom de Bro ) est un système de


    détection d'intrusion qui fonctionne différemment des autres systèmes en raison
    de sa concentration sur l'analyse de réseau. Alors que les moteurs basés sur des
    règles sont conçus pour détecter une exception, Zeek recherche des menaces
    spécifiques et déclenche des alertes. [2]
    Ghofrane Ferchichi
    STIC_L2_SR_B

    Alors que Zeek IDS peut certainement être utilisé comme IDS traditionnel, les
    utilisateurs utilisent plus fréquemment Zeek pour enregistrer le comportement
    réseau détaillé.
    Les Avantages : Zeek stocke les métadonnées du réseau qu'il enregistre plus
    efficacement que les captures de paquets, ce qui signifie qu'il peut être recherché,
    indexé, interrogé et signalé d'une manière qui n'était pas disponible
    auparavant. Cela rend Bro plus flexible et adapté à la détection d'anomalies réseau
    et à la recherche de menaces.

    Les inconvénients : Bro, avec son inspection approfondie des paquets, consomme
    beaucoup de ressources. À cette fin, Bro est assez compliqué à utiliser, bien que la
    communauté travaille activement pour rendre cela plus facile. [1]

    SNORT VS SURICATA VS ZEEK [4], [2]


    Paramètres Snort Suricata Zeek
    Plateforme Win, MacOs, Unix Win, MacOs, Unix Unix comme système, MacOs
    supportée
    Licence GNU GPL V2 GNU GPL V2 BSD
    Fonction IPS Oui Oui Non
    PGP signé Oui N’est pas applicable Non
    Soutien au Moyen Haut Haut
    réseau haute
    vitesse
    Configuration Oui Oui Non
    GUI
    Analyse hors Oui pour plusieurs fichiers Oui pour un seul fichiers Oui pour un seul fichiers
    ligne
    Threads Un seul thread Plusieurs thread Un seul thread
    (Processus
    léger)
    IPv6 Oui Oui Non
    Installation et Facile Facile Difficile
    déploiement
    Protocole Préprocesseur Signatures Préprocesseur Signatures Préprocesseur Signatures
    Modbus Oui Oui Oui Oui Oui ModbusEvent
    DNP3 Oui Oui Non Oui Oui DNP event
    Ethernet /IP Non Oui Non Oui Non Non

    Les références bibliographiques :


    https://bricata.com/blog/snort-suricata-bro-ids/ [1]

    https://bricata.com/resources/white-paper/suricata-vs-snort-vs-bro-ids/ [2]

    https://docs.zeek.org/en/master/ [3]

    https://www.slideshare.net/MohammedLAAZIZLI/etude-et-mise-en-place-dune-solution-open-source-de-
    gestion-de-la-scurit-des-systmes-dinformation [4

    Вам также может понравиться