Symposium sur la sécurité des technologies de l'information et des communications

La détection d'intrusion réseau n'est pas un sujet mort. Deux des outils open source les plus populaires, Snort et Suricata, analysent le trafic réseau sous le prisme de signatures et alertent quand ils trouvent quelque chose. La source des attaques est habituellement définie comme étant la source du flux déclenchant l'alerte. Ce papier traite des conséquences de ce choix au niveau de l'automatisation de l'analyse et de la recherche des chaines de compromissions. Il expliquera comment améliorer les signatures d'IDS et quel en sont les bénéfices. Nous utiliserons Suricata pour montrer les gains de la nouvelle approche.