28 2 659KB
SNORT : Snort est un système open source de détection des intrusions ( IDS ) développé à l'origine en 1998. Snort a rendu incroyablement simple l'utilisation de nouvelles informations sur les menaces pour écrire des règles Snort qui détecteraient les menaces émergentes.
Il permet de spécifier les caractéristiques uniques du trafic réseau, de déclencher une alerte lorsque ces conditions sont remplies et d'interrompre ou de bloquer la communication comme le souhaitent les paramètres utilisateur.
Les Avantages : la technologie de Snort bénéficie d'un taux d'adoption assez large qui se prête à des solutions rapides aux menaces émergentes. Les inconvénients : Snort a 20 ans et a été conçu pour fonctionner sur des infrastructures plus anciennes. Bien que les règles soient relativement faciles à écrire, il est devenu difficile de les adapter aux menaces de plus en plus complexes et aux demandes des réseaux à haut débit. [1]
SURICATA : Suricata a été introduit en 2009 afin de répondre aux exigences des infrastructures modernes. Il a également introduit le multithread, qui offre la capacité théorique de traiter plus de règles sur des réseaux plus rapides, avec des volumes de trafic plus importants, sur le même matériel. Les Avantages : Suricata a également incorporé le langage de script Lua qui a fourni une plus grande flexibilité pour créer des règles qui identifient les conditions qui seraient difficiles ou impossibles avec une règle Snort héritée. Cela permet aux utilisateurs d'adapter Suricata aux menaces complexes auxquelles l'entreprise est généralement confrontée. Les inconvénients : Suricata est un peu plus complexe à installer et la communauté est plus petite que ce que Snort a amassé, mais cela pourrait changer. Suricata est développé par l'O Pen Information Security Foundation (OISF). [1]
ZEEK : Zeek ( anciennement connu sous le nom de Bro ) est un système de détection d'intrusion qui fonctionne différemment des autres systèmes en raison de sa concentration sur l'analyse de réseau. Alors que les moteurs basés sur des règles sont conçus pour détecter une exception, Zeek recherche des menaces spécifiques et déclenche des alertes. [2]
Alors que Zeek IDS peut certainement être utilisé comme IDS traditionnel, les utilisateurs utilisent plus fréquemment Zeek pour enregistrer le comportement réseau détaillé. Les Avantages : Zeek stocke les métadonnées du réseau qu'il enregistre plus efficacement que les captures de paquets, ce qui signifie qu'il peut être recherché, indexé, interrogé et signalé d'une manière qui n'était pas disponible auparavant. Cela rend Bro plus flexible et adapté à la détection d'anomalies réseau et à la recherche de menaces. Les inconvénients : Bro, avec son inspection approfondie des paquets, consomme beaucoup de ressources. À cette fin, Bro est assez compliqué à utiliser, bien que la communauté travaille activement pour rendre cela plus facile. [1]
SNORT VS SURICATA VS ZEEK [4], [2] Paramètres Plateforme supportée Licence Fonction IPS PGP signé Soutien au réseau haute vitesse Configuration GUI Analyse hors ligne Threads (Processus léger) IPv6 Installation et déploiement Protocole Modbus DNP3 Ethernet /IP
Snort Win, MacOs, Unix
Suricata Win, MacOs, Unix
Zeek Unix comme système, MacOs
GNU GPL V2 Oui Oui Moyen
GNU GPL V2 Oui N’est pas applicable Haut
BSD Non Non Haut
Oui
Oui
Non
Oui pour plusieurs fichiers
Oui pour un seul fichiers
Oui pour un seul fichiers
Un seul thread
Plusieurs thread
Un seul thread
Oui Facile
Oui Facile
Non Difficile
Préprocesseur Oui Oui Non
Signatures Oui Oui Oui
Préprocesseur Oui Non Non
Signatures Oui Oui Oui
Préprocesseur Oui Oui Non
Les références bibliographiques : https://bricata.com/blog/snort-suricata-bro-ids/ [1] https://bricata.com/resources/white-paper/suricata-vs-snort-vs-bro-ids/ [2] https://docs.zeek.org/en/master/ [3] https://www.slideshare.net/MohammedLAAZIZLI/etude-et-mise-en-place-dune-solution-open-source-degestion-de-la-scurit-des-systmes-dinformation [4]
Signatures ModbusEvent DNP event Non