FR2977432A1 - METHOD FOR DETECTING AND PREVENTING INTRUSIONS IN A COMPUTER NETWORK, AND CORRESPONDING SYSTEM - Google Patents

METHOD FOR DETECTING AND PREVENTING INTRUSIONS IN A COMPUTER NETWORK, AND CORRESPONDING SYSTEM Download PDF

Info

Publication number
FR2977432A1
FR2977432A1 FR1155824A FR1155824A FR2977432A1 FR 2977432 A1 FR2977432 A1 FR 2977432A1 FR 1155824 A FR1155824 A FR 1155824A FR 1155824 A FR1155824 A FR 1155824A FR 2977432 A1 FR2977432 A1 FR 2977432A1
Authority
FR
France
Prior art keywords
data
connection
firewall
mode
malicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1155824A
Other languages
French (fr)
Other versions
FR2977432B1 (en
Inventor
Fabien Thomas
Damien Deville
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Netasq SAS
Original Assignee
Netasq SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Netasq SAS filed Critical Netasq SAS
Priority to FR1155824A priority Critical patent/FR2977432B1/en
Priority to PCT/FR2012/051493 priority patent/WO2013001241A1/en
Publication of FR2977432A1 publication Critical patent/FR2977432A1/en
Application granted granted Critical
Publication of FR2977432B1 publication Critical patent/FR2977432B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

L'invention a pour objet un système et un procédé de détection et de prévention d'intrusions dans un réseau informatique 1, permettant de prévenir les intrusions en les détectant et en les bloquant avant pénétration du réseau. Le système comporte un pare-feu 2 apte à analyser des paquets de données D circulant sur une connexion, par l'intermédiaire d'un moteur d'analyse 3 apte à détecter la présence de données malicieuses. Le pare-feu est apte à corriger et/ou supprimer les données malicieuses détectées avant de transmettre les paquets de données D sur le réseau 1. Le pare-feu 2 est apte à fonctionner dans un premier mode dans lequel il laisse circuler les paquets de données D sur la connexion vers le réseau 1, et dans un deuxième mode dans lequel la connexion est temporairement bloquée. Tant que le moteur d'analyse 3 ne détecte aucune donnée malicieuse dans un paquet de données D, le pare-feu 2 fonctionne dans le premier mode. Lorsque le moteur d'analyse 2 détecte la présence d'une ou plusieurs données malicieuses dans un paquet de données D, le pare-feu 2 passe dans le deuxième mode, corrige et/ou supprime les données malicieuses du paquet de données D, resynchronise la connexion puis débloque la connexion pour un retour dans le premier mode de fonctionnement.The invention relates to a system and a method for detecting and preventing intrusions into a computer network 1, for preventing intrusions by detecting and blocking them before penetration of the network. The system comprises a firewall 2 capable of analyzing data packets D flowing over a connection, via an analysis engine 3 capable of detecting the presence of malicious data. The firewall is capable of correcting and / or deleting the malicious data detected before transmitting the data packets D on the network 1. The firewall 2 is able to operate in a first mode in which it allows the packets of data D on the connection to the network 1, and in a second mode in which the connection is temporarily blocked. As long as the analysis engine 3 does not detect any malicious data in a data packet D, the firewall 2 operates in the first mode. When the analysis engine 2 detects the presence of one or more malicious data in a data packet D, the firewall 2 goes into the second mode, corrects and / or deletes the malicious data from the data packet D, resynchronizes the connection then unblocks the connection for a return to the first operating mode.

Description

PROCEDE DE DETECTION ET DE PREVENTION D'INTRUSIONS DANS UN RESEAU INFORMATIQUE, ET SYSTEME CORRESPONDANT. METHOD FOR DETECTING AND PREVENTING INTRUSIONS IN A COMPUTER NETWORK, AND CORRESPONDING SYSTEM.

La présente invention a pour objet un système et un procédé de détection et de prévention d'intrusions dans un réseau informatique, permettant de prévenir les intrusions en les détectant et en les bloquant avant pénétration du réseau. Dans un réseau informatique, la disponibilité des données et leur transmission dans un contexte de sécurité maximum est un problème constant. La complexité grandissante des attaques nécessite une protection de plus en plus sophistiquée et intelligente du réseau. Il faut en effet pouvoir notamment vérifier le contenu des paquets de données qui transitent, et réagir à une attaque avant que celle-ci n'ait pénétré le réseau que l'on cherche à protéger. On connaît des solutions de protection, telles que la solution représentée schématiquement à la figure 1, qui consistent dans l'utilisation d'un dispositif relai 2, par exemple un mandataire ou proxy comprenant un pare-feu 2 qui analyse les paquets de données D circulant sur une connexion 4 pour détecter la présence de données malicieuses et corriger ou supprimer ces données avant la transmission des paquets de données D sur le réseau 1. Pour ce faire, le mandataire capture la connexion 4, par exemple à l'aide d'une translation d'adresse effectuée par le pare-feu 2. Cette translation d'adresse vise à remplacer l'adresse de destination des paquets de données D par celle du pare-feu 2, de sorte que les paquets de données D sont tous interceptés et redirigés vers le pare-feu 2. Le pare-feu 2 peut alors lire le contenu des données D, par exemple grâce à un mécanisme de type « sockets », et répondre comme un serveur classique. Une fois que le pare-feu 2 a analysé et éventuellement nettoyé les données D, il doit créer une nouvelle connexion 5 vers le destinataire original des données. Pour que le trafic soit réalisé de bout en bout, la nouvelle connexion 5 doit être créée au moment de la capture de la connexion d'origine 4, et le pare- feu 2 doit y faire transiter les données D' dans les deux sens de manière transparente. Dans cette solution, il est donc question d'un dispositif relai qui, pour supprimer les attaques, modifie la connexion d'origine 4 en l'interceptant, tel que représenté par la croix en pointillés sur la figure 1. Ce dispositif relai créé une nouvelle connexion 5 pour régénérer les paquets de données D' à transmettre vers la destination. The present invention relates to a system and method for detecting and preventing intrusions in a computer network, for preventing intrusions by detecting and blocking them before penetration of the network. In a computer network, the availability of data and its transmission in a context of maximum security is a constant problem. The growing complexity of attacks requires increasingly sophisticated and intelligent network protection. It must indeed be possible in particular to check the contents of data packets that transit, and react to an attack before it has penetrated the network that we seek to protect. Protection solutions are known, such as the solution shown diagrammatically in FIG. 1, which consist in the use of a relay device 2, for example a proxy or proxy comprising a firewall 2 which analyzes the data packets D traveling on a connection 4 to detect the presence of malicious data and correct or delete the data before the transmission of data packets D on the network 1. To do this, the proxy captures the connection 4, for example using an address translation performed by the firewall 2. This address translation is intended to replace the destination address of the data packets D by that of the firewall 2, so that the data packets D are all intercepted and redirected to the firewall 2. The firewall 2 can then read the contents of the data D, for example through a mechanism of the type "sockets", and respond as a conventional server. Once the firewall 2 has analyzed and possibly cleaned the data D, it must create a new connection 5 to the original recipient of the data. For the traffic to be carried out end-to-end, the new connection 5 must be created at the time of the capture of the original connection 4, and the firewall 2 must pass the data D 'therein in both directions. transparent way. In this solution, it is therefore question of a relay device which, to suppress the attacks, modifies the original connection 4 by intercepting it, as represented by the dashed cross in FIG. 1. This relay device creates a new connection 5 to regenerate data packets D 'to be transmitted to the destination.

Une telle régénération est très coûteuse en performance et en ressource, car l'ensemble des données de la connexion doit être modifié, ce qui implique de nombreuses lecture/écriture de données sur la connexion d'origine et sur la nouvelle connexion créée. On connaît également des solutions dans lesquelles le dispositif relai se contente d'analyser les paquets de données, et, lorsqu'une donnée malicieuse est détectée, soit d'envoyer une alerte, soit de bloquer le paquet de données jusqu'à intervention d'un administrateur. Dans les deux cas se pose alors le problème du nettoyage des données, les données étant soit transmises non nettoyées soit bloquées avant éventuel 15 nettoyage manuel. Dans le premier cas, les performances sont améliorées car il n'y a pas de capture de connexion ni de blocage temporaire du trafic. Mais les données ne sont pas nettoyées et le simple envoi d'une alerte est insuffisant pour déjouer une attaque, une fois que la donnée malicieuse est transmise sur le réseau. 20 Dans le deuxième cas, le blocage des données perturbe considérablement les performances, et le nettoyage des données reste arbitraire. C'est donc l'objet de l'invention que d'apporter une solution fiable qui permette de résoudre les problèmes précités parmi d'autres problèmes, notamment concernant la protection efficace d'un réseau sans perte de 25 performance. A cette fin, l'invention se rapporte selon un premier aspect, à un procédé de détection et de prévention d'intrusions dans un réseau informatique comportant un pare-feu. Le procédé consiste notamment à analyser des paquets de données 30 circulant sur une connexion, par l'intermédiaire d'un moteur d'analyse du pare-feu apte à détecter la présence de données malicieuses, le pare-feu étant apte à corriger et/ou supprimer les données malicieuses préalablement détectées avant de transmettre les paquets de données sur le réseau. En outre, le pare-feu le pare-feu est apte à fonctionner dans un premier mode dans lequel il laisse circuler les paquets de données sur la connexion vers le réseau, et dans un deuxième mode dans lequel la connexion est temporairement bloquée. Tant que le moteur d'analyse ne détecte aucune donnée malicieuse dans un paquet de données, le pare-feu fonctionne dans le premier mode. Lorsque le moteur d'analyse détecte la présence d'une ou plusieurs données malicieuses dans un paquet de données, le pare-feu passe dans le deuxième mode, corrige et/ou supprime les données malicieuses du paquet de données, resynchronise la connexion puis débloque la connexion pour un retour dans le premier mode de fonctionnement. Dans une variante de mise en oeuvre, c'est le moteur d'analyse qui, dans le deuxième mode de fonctionnement, réalise la correction et/ou suppression des données malicieuses du paquet de données, la resynchronisation de la connexion et le déblocage de la connexion pour un retour du pare-feu dans le premier mode de fonctionnement. Dans une autre variante de mise en oeuvre, éventuellement en combinaison avec la précédente, dans le deuxième mode de fonctionnement, les nouveaux paquets de données circulant sur la connexion sont mis en attente, jusqu'au déblocage de la connexion. Dans encore une autre variante de mise en oeuvre, éventuellement en combinaison une ou plusieurs des précédentes, la resynchronisation de la connexion consiste notamment à appliquer un facteur de correction à une valeur d'acquittement et à renvoyer à l'expéditeur du paquet de données la valeur d'acquittement corrigée. Ce facteur de correction est fonction de la différence entre la taille de la donnée malicieuse avant et après la modification et/ou suppression de cette donnée malicieuse. Such a regeneration is very expensive in terms of performance and resources, because all the data of the connection must be modified, which implies many read / write of data on the original connection and on the new connection created. Solutions are also known in which the relay device is content to analyze the data packets, and, when malicious data is detected, either to send an alert or to block the data packet until intervention is made. an administrator. In both cases there is the problem of cleaning the data, the data being either transmitted uncleaned or blocked before manual cleaning. In the first case, performance is improved because there is no connection capture or temporary blocking of traffic. But the data is not cleaned and the mere sending of an alert is insufficient to foil an attack, once the malicious data is transmitted over the network. In the second case, the data blocking significantly disrupts the performance, and the data cleansing remains arbitrary. It is therefore the object of the invention to provide a reliable solution that makes it possible to solve the aforementioned problems among other problems, in particular concerning the efficient protection of a network without loss of performance. To this end, the invention relates, in a first aspect, to a method for detecting and preventing intrusions in a computer network comprising a firewall. The method includes analyzing data packets 30 traveling on a connection, via a firewall analysis engine capable of detecting the presence of malicious data, the firewall being able to correct and / or or delete previously detected malicious data before transmitting the data packets over the network. In addition, the firewall the firewall is adapted to operate in a first mode in which it allows the flow of data packets on the connection to the network, and in a second mode in which the connection is temporarily blocked. As long as the scan engine does not detect any malicious data in a data packet, the firewall works in the first mode. When the scanning engine detects the presence of one or more malicious data in a data packet, the firewall goes into the second mode, corrects and / or removes the malicious data from the data packet, resynchronizes the connection and then unblocks the connection for a return to the first mode of operation. In an implementation variant, it is the analysis engine which, in the second mode of operation, performs the correction and / or deletion of the malicious data of the data packet, the resynchronization of the connection and the unblocking of the data. connection for a firewall return in the first mode of operation. In another variant of implementation, possibly in combination with the previous one, in the second mode of operation, the new data packets flowing over the connection are put on hold until the connection is unblocked. In yet another implementation variant, possibly in combination with one or more of the preceding embodiments, the resynchronization of the connection notably consists in applying a correction factor to an acknowledgment value and in sending back to the sender of the data packet. corrected acknowledgment value. This correction factor is a function of the difference between the size of the malicious data before and after the modification and / or deletion of this malicious data.

L'invention se rapporte selon un deuxième aspect à un système de détection et de prévention d'intrusions dans un réseau informatique comportant un pare-feu. According to a second aspect, the invention relates to a system for detecting and preventing intrusions in a computer network comprising a firewall.

Le pare-feu comprend un moteur d'analyse apte à analyser des paquets de données circulant sur une connexion et à détecter la présence de données malicieuses. Ce pare-feu est apte à corriger et/ou supprimer les données malicieuses 5 préalablement détectées avant de transmettre les paquets de données sur le réseau. En outre, le pare-feu est apte à fonctionner dans un premier mode dans lequel il laisse circuler les paquet de données sur la connexion vers le réseau, et dans un deuxième mode, déclenché par la détection de données malicieuses par 10 le moteur d'analyse, dans lequel deuxième mode la connexion est temporairement bloquée. Par ailleurs, dans le deuxième mode, le pare-feu est apte à corriger et/ou supprimer les données malicieuses du paquet de données, à resynchroniser la connexion puis à débloquer la connexion en sorte de retourner dans le premier 15 mode de fonctionnement. Dans une première variante de réalisation, le moteur d'analyse est apte, dans le deuxième mode de fonctionnement, à mettre en oeuvre la correction et/ou suppression des données malicieuses du paquet de données, la resynchronisation de la connexion et le déblocage de la connexion pour un retour 20 du pare-feu dans le premier mode de fonctionnement. Dans une autre variante de réalisation, éventuellement en combinaison avec la précédente, le pare-feu est apte, dans le deuxième mode de fonctionnement, à mettre en attente les nouveaux paquets de données circulant sur la connexion. 25 Dans encore une autre variante de réalisation, éventuellement en combinaison avec une ou plusieurs des précédentes, le pare-feu, éventuellement par l'intermédiaire du moteur d'analyse, est apte, pour la resynchronisation de la connexion, à appliquer un facteur de correction à une valeur d'acquittement et à renvoyer à l'expéditeur du paquet de données la valeur d'acquittement corrigée. 30 Ce facteur de correction est fonction de la différence entre la taille de la donnée malicieuse avant et après la modification et/ou suppression de cette donnée malicieuse. The firewall includes an analysis engine capable of analyzing data packets flowing over a connection and detecting the presence of malicious data. This firewall is able to correct and / or delete previously detected malicious data before transmitting the data packets on the network. In addition, the firewall is adapted to operate in a first mode in which it allows the data packets to flow over the connection to the network, and in a second mode, triggered by the detection of malicious data by the engine of the network. analysis, in which second mode the connection is temporarily blocked. On the other hand, in the second mode, the firewall is able to correct and / or delete the malicious data of the data packet, to resynchronize the connection and then to unblock the connection in order to return to the first mode of operation. In a first variant embodiment, the analysis engine is capable, in the second mode of operation, of implementing the correction and / or deletion of the malicious data of the data packet, the resynchronization of the connection and the unblocking of the data. connection for firewall return in the first mode of operation. In another variant embodiment, possibly in combination with the previous one, the firewall is able, in the second mode of operation, to put on hold the new data packets circulating on the connection. In yet another variant embodiment, possibly in combination with one or more of the preceding embodiments, the firewall, possibly via the analysis engine, is able, for the resynchronization of the connection, to apply a factor of correction to an acknowledgment value and return the corrected acknowledgment value to the sender of the data packet. This correction factor is a function of the difference between the size of the malicious data before and after the modification and / or deletion of this malicious data.

D'autres caractéristiques et avantages de l'invention apparaîtront plus clairement et de manière complète à la lecture de la description ci-après des variantes préférées de mise en oeuvre du procédé et de réalisation du système, lesquelles sont données à titre d'exemples non limitatifs et en référence aux dessins annexés suivants : - figure 1 : représente schématiquement un système de protection et son fonctionnement dans l'état de la technique, - figure 2 : représente schématiquement un exemple de système de protection et son fonctionnement selon l'invention, - figure 3 : représente schématiquement un exemple de mise en oeuvre du procédé selon l'invention. Concernant la figure 1, elle correspond effectivement à l'état de la technique et a été décrite plus haut. Sur la figure 2 est représenté schématiquement le système de protection selon l'invention, qui comprend notamment un pare-feu 2. Il peut bien sûr également comprendre d'autres dispositifs informatiques, tels que des dispositifs de stockage, de calcul, des moyens d'entrée-sortie, non représentés sur la figure 2. Le pare-feu 2 est placé en un point d'entrée du réseau informatique 1 à protéger, et comprend un moteur d'analyse 3 qui permet notamment d'analyser les paquets de données D circulant sur une connexion en entrée du réseau 1. Chaque paquet de données D est reçu et analysé par le moteur d'analyse 3 sur la connexion d'origine, pour détecter la présence d'éventuelles données malicieuses qui seront traitées de façon appropriée par le pare-feu 2. Other features and advantages of the invention will appear more clearly and completely on reading the following description of the preferred variants of implementation of the method and system realization, which are given as non-exemplary examples. and with reference to the following appended drawings: FIG. 1 shows schematically a protection system and its operation in the state of the art; FIG. 2 schematically represents an example of a protection system and its operation according to the invention; FIG. 3 schematically represents an exemplary implementation of the method according to the invention. Regarding Figure 1, it actually corresponds to the state of the art and has been described above. FIG. 2 diagrammatically shows the protection system according to the invention, which notably comprises a firewall 2. It can of course also include other computing devices, such as storage devices, calculation devices, memory devices input-output, not shown in Figure 2. The firewall 2 is placed at an entry point of the computer network 1 to protect, and includes an analysis engine 3 which allows in particular to analyze the data packets D traveling on a network input connection 1. Each data packet D is received and analyzed by the analysis engine 3 on the original connection, to detect the presence of any malicious data that will be appropriately processed by the firewall 2.

De préférence, le traitement des paquets de données D en cas de détection de données malicieuses est réalisé par le moteur d'analyse 3 lui-même. Mais il peut également être réalisé par un module de traitement distinct du moteur d'analyse 3. Comme cela est représenté plus en détail à la figure 3, sur un exemple de 30 mise en oeuvre du procédé de l'invention, le pare-feu 2 est apte à fonctionner dans deux modes de fonctionnement respectivement A et B. Dans le premier mode de fonctionnement A, le pare-feu 2 laisse circuler les paquets de données D sur la connexion vers le réseau 1, depuis leur expéditeur EXP hors du réseau 1 vers leur destinataire DEST sur le réseau 1. Le pare-feu 2 fonctionne dans ce premier mode A, tant que le moteur d'analyse 3 ne détecte aucune données malicieuses dans les paquets de données 5 D. Dans l'exemple représenté à la figure 3, le paquet de données D contient la donnée DATA, expédiée par EXP vers le destinataire DEST. Selon le protocole de communication entre EXP et DEST, à la donnée DATA sont associés un numéro de séquence Seq, une valeur d'acquittement Acq et une 10 valeur Sz représentant la taille de la donnée DATA, soit 4 dans cet exemple. Le moteur d'analyse 3 ne détecte dans la donnée DATA aucune donnée malicieuse, de sorte que le paquet de données D est transmis à EXP sur la connexion d'origine. Selon le protocole de communication, le destinataire DEST du paquet de 15 données D renvoie alors à l'expéditeur EXP un accusé réception, indiquant par l'intermédiaire de la valeur d'acquittement Acq égale à 4 qu'il a bien reçu une donnée de taille 4. Comme il s'agit d'une étape d'acquittement, sans transmission de donnée, la valeur de taille Sz est 0. 20 La séquence suivante de transmission d'un nouveau paquet de données D porte un numéro de séquence Seq égal à 4, correspondant au numéro de séquence Seq précédent incrémenté de la taille Sz de la donnée transmise à la séquence précédente et qui a été correctement acquittée. La valeur d'acquittement Acq est à o, car aucune donnée n'a encore 25 transité de DEST vers EXP dans cette nouvelle séquence. La valeur de taille Sz est cette fois égale à 10 puisque la donnée D transmise est égale à ATTACKDATA (soit 10 caractères correspondant à 10 octets de données). Ce nouveau paquet de données D est analysé par le moteur d'analyse 3 qui 30 détecte dans ce paquet la présence de la donnée malicieuse dm égale à ATTACK. Le pare-feu passe alors immédiatement dans le deuxième mode de fonctionnement B, dans lequel la connexion est temporairement bloquée. Preferably, the processing of data packets D in case of detection of malicious data is performed by the analysis engine 3 itself. But it can also be achieved by a processing module separate from the analysis engine 3. As is shown in more detail in FIG. 3, on an example of implementation of the method of the invention, the firewall 2 is able to operate in two operating modes respectively A and B. In the first operating mode A, the firewall 2 allows the data packets D to flow over the connection to the network 1, from their sender EXP out of the network. 1 to their destination DEST on the network 1. The firewall 2 operates in this first mode A, as long as the analysis engine 3 does not detect any malicious data in the data packets D. In the example shown in FIG. FIG. 3, the data packet D contains the data DATA, sent by EXP to the destination DEST. According to the communication protocol between EXP and DEST, data DATA is associated with a sequence number Seq, an acknowledgment value Acq and a value Sz representing the size of the data DATA, ie 4 in this example. The analysis engine 3 detects no malicious data in the data DATA, so that the data packet D is transmitted to EXP on the original connection. According to the communication protocol, the recipient DEST of the data packet D then returns to the sender EXP an acknowledgment, indicating via the acknowledgment value Acq equal to 4 that it has received a datum of size 4. Since this is an acknowledgment step, without data transmission, the size value Sz is 0. The next transmission sequence of a new data packet D carries an equal sequence number Seq at 4, corresponding to the previous Seq sequence number incremented by the size Sz of the data transmitted to the previous sequence and which has been correctly acknowledged. The acknowledgment value Acq is at 0 because no data has yet passed from DEST to EXP in this new sequence. The value of size Sz is this time equal to 10 since the data D transmitted is equal to ATTACKDATA (10 characters corresponding to 10 bytes of data). This new data packet D is analyzed by the analysis engine 3 which detects in this packet the presence of the malicious data dm equal to ATTACK. The firewall then immediately goes into the second operating mode B, in which the connection is temporarily blocked.

Dans ce deuxième mode de fonctionnement B, les nouveaux paquets de données arrivant sur la connexion peuvent être tout simplement ignorés. Cependant, il est préférable de ne pas perdre de données, de sorte que l'on préfère une mise en attente des nouveaux paquets de données dans un tampon prévu à cet effet. Pendant ce temps de blocage temporaire de la connexion, le pare-feu 2 va corriger et/ou supprimer la ou les données malicieuses dm détectées par le moteur d'analyse 3, resynchroniser la connexion. Lorsque la connexion est resynchronisée, la connexion peut effectivement 10 être débloquée par le pare-feu 2, ce qui correspond à un retour du pare-feu 2 dans le premier mode de fonctionnement A. Tout ou partie de ces traitements de blocage de la connexion, correction et/ou suppression des données malicieuses dm, resynchronisation de la connexion et déblocage de la connexion, peuvent éventuellement être réalisés directement 15 par le moteur d'analyse 3, tel que représenté à la figure 3. Dans cet exemple représenté à la figure 3, le moteur d'analyse 3 ayant reçu de EXP le paquet de données D correspondant à ATTACKDATA et ayant détecté la présence de la donnée malicieuse dm dans ce paquet de données D, effectue la suppression de dm, de sorte qu'il ne transmet à DEST que la donnée D 20 égale à DATA, c'est-à-dire une donnée D nettoyée. A cette donnée D égale à DATA, transmise à DEST, sont associés le numéro de séquence Seq égal à 4, la valeur d'acquittement Acq égale à 0, et la valeur de taille Sz qui est égale à 4. On voit donc que la correction du paquet de données D induit une 25 désynchronisation dans les séquences, de sorte que si aucun traitement n'est effectué, le destinataire B ne pourra pas accuser réception de la façon attendue par EXP, et le mécanisme d'acquittement selon le protocole de communication s'en trouve perturbé. C'est pourquoi le destinataire DEST du paquet de données D va renvoyer à 30 l'expéditeur EXP un accusé réception, indiquant par l'intermédiaire de la valeur d'acquittement Acq égale à 8 qu'il a bien reçu une donnée de taille 8 (correspondant au cumul de la taille de la donnée précédente et de la taille de la nouvelle donnée). Comme pour la séquence précédente, dans la mesure où il s'agit ici d'une étape d'acquittement, sans transmission de donnée, la valeur de taille Sz est 0. Or, l'expéditeur EXP attend un acquittement sur la base d'une valeur Acq égale à 14 correspondant au cumul de la taille du précédent paquet de données déjà acquitté (DATA) et de la taille du paquet de données en cours de traitement (ATTACKDATA). Aussi, le moteur d'analyse 3 applique un facteur de correction fc égal à 6, au cumul qui passe de 8 à 14. In this second operating mode B, the new data packets arriving on the connection can simply be ignored. However, it is preferable not to lose data, so that it is preferable to put the new data packets on hold in a buffer provided for this purpose. During this time of temporary blocking of the connection, the firewall 2 will correct and / or delete the malicious data or dm detected by the analysis engine 3, resynchronize the connection. When the connection is resynchronized, the connection can effectively be unblocked by the firewall 2, which corresponds to a return of the firewall 2 in the first mode of operation A. All or part of these connection blocking processes , correction and / or deletion of the malicious data dm, resynchronization of the connection and unblocking of the connection, may possibly be carried out directly by the analysis engine 3, as shown in FIG. 3. In this example represented in FIG. 3, the analysis engine 3 having received from EXP the data packet D corresponding to ATTACKDATA and having detected the presence of the malicious data dm in this data packet D, performs the deletion of dm, so that it does not transmit at DEST that the datum D equal to DATA, that is to say a data D cleaned. To this datum D equal to DATA, transmitted to DEST, are associated the sequence number Seq equal to 4, the acknowledgment value Acq equal to 0, and the value of size Sz which is equal to 4. It can therefore be seen that the correction of the data packet D induces desynchronization in the sequences, so that if no processing is performed, the recipient B will not be able to acknowledge as EXP expects, and the acknowledgment mechanism according to the protocol of communication is disrupted. For this reason, the destination DEST of the data packet D will send back to the sender EXP an acknowledgment, indicating by means of the acknowledgment value Acq equal to 8 that it has received a data item of size 8. (corresponding to the cumulative size of the previous data and the size of the new data). As for the previous sequence, since this is an acknowledgment step, without data transmission, the size value Sz is 0. However, the sender EXP expects an acknowledgment on the basis of an Acq value equal to 14 corresponding to the accumulation of the size of the previous data packet already acknowledged (DATA) and the size of the data packet being processed (ATTACKDATA). Also, the analysis engine 3 applies a correction factor fc equal to 6, the cumulative increase from 8 to 14.

Ce facteur de correction fc correspond effectivement à la différence entre la taille de la donnée D avant correction et la taille de cette donnée D après correction, soit 6 (pour 10 moins 4) dans l'exemple représenté à la figure 3. De façon équivalente, on peut dire que ce facteur de correction fc correspond effectivement à la différence entre la taille de la donnée malicieuse dm avant correction et la taille de cette donnée malicieuse dm après correction, soit 6 (pour 6 moins 0) dans l'exemple représenté à la figure 3 dans lequel la correction est une suppression. Dans cet exemple, on a schématiquement considéré que le paquet de données D égal à ATTACKDATA contenait une partie malicieuse dm égale à ATTACK et une partie saine DATA, et l'on a donc effectué une suppresion de cette données malicieuse dm. Le raisonnement est équivalent si l'on considère que le paquet de donnée D égal à ATTACKDATA constitue lui-même la donnée malicieuse, auquel cas on modifie cette donnée malicieuse pour la rendre saine. This correction factor fc effectively corresponds to the difference between the size of the data D before correction and the size of this data D after correction, ie 6 (for 10 minus 4) in the example shown in FIG. it can be said that this correction factor fc effectively corresponds to the difference between the size of the malicious data dm before correction and the size of this malicious datum dm after correction, ie 6 (for 6 minus 0) in the example shown in FIG. Figure 3 wherein the correction is a deletion. In this example, it has been schematically considered that the data packet D equal to ATTACKDATA contained a malicious part dm equal to ATTACK and a healthy part DATA, and we therefore carried out a deletion of this malicious data dm. The reasoning is equivalent if one considers that the packet of data D equal to ATTACKDATA constitutes itself the malicious data, in which case one modifies this malicious data to make it healthy.

Dans les deux cas, le facteur de correction fc mentionné plus haut est égal à 6. Ainsi, le moteur d'analyse 3 peut renvoyer à l'expéditeur EXP la valeur d'acquittement 14 qu'il attend. La connexion est alors resynchronisée, et le pare-feu peut débloquer cette 30 connexion pour un retour dans le premier mode de fonctionnement A dans lequel le prochain paquet de données va être analysé. Si les paquets de données ont été mis en attente pendant le blocage temporaire de la connexion, comme expliqué plus haut, le premier paquet de données arrivé pendant le blocage est transmis et analysé par le moteur d'analyse 3. Si, par contre, aucun mécanisme de mise en attente des paquets de données n'est prévu, c'est le premier paquet de données arrivant après le déblocage de la connexion qui est transmis et analysé par le moteur d'analyse 3, les précédents paquets étant alors perdus. L'ensemble de la description ci-dessus est donné à titre d'exemple et n'est donc pas limitatif de l'invention. In both cases, the correction factor fc mentioned above is equal to 6. Thus, the analysis engine 3 can return to the sender EXP the acknowledgment value 14 that it expects. The connection is then resynchronized, and the firewall can unblock this connection for a return to the first operating mode A in which the next data packet will be scanned. If the data packets have been put on hold during the temporary blocking of the connection, as explained above, the first data packet arrived during the blocking is transmitted and analyzed by the analysis engine 3. If, on the other hand, no data packet queuing mechanism is provided, it is the first data packet arriving after the unblocking of the connection is transmitted and analyzed by the analysis engine 3, the previous packets then being lost. The whole of the description above is given by way of example and is not therefore limiting of the invention.

En particulier, l'invention ne se limite pas à une resynchronisation de la connexion temporairement bloqué par application d'un facteur de correction dans le mécanisme d'acquittement. Plus généralement, cette resynchronisation est fonction du protocole de communication et consiste à rendre la correction des données malicieuses transparente pour l'expéditeur en lui faisant croire que le paquet de données concerné a été intégralement transmis au destinataire.20 In particular, the invention is not limited to resynchronizing the temporarily blocked connection by applying a correction factor in the acknowledgment mechanism. More generally, this resynchronization is a function of the communication protocol and consists in making the correction of the malicious data transparent to the sender by making him believe that the data packet concerned has been fully transmitted to the recipient.

Claims (8)

REVENDICATIONS1. Procédé de détection et de prévention d'intrusions dans un réseau informatique (1) comportant un pare-feu (2), consistant notamment à analyser des paquets de données (D) circulant sur une connexion, par l'intermédiaire d'un moteur d'analyse (3) du pare-feu (2), ledit moteur d'analyse (3) étant apte à détecter la présence de données malicieuses (dm), et ledit pare-feu (2) étant apte à corriger et/ou supprimer les données malicieuses (dm) préalablement détectées avant de transmettre les paquets de données (D) sur ledit réseau (1), caractérisé en ce que, ledit pare-feu (2) étant apte à fonctionner dans un premier mode (A) dans lequel il laisse circuler lesdits paquets de données (D) sur ladite connexion vers le réseau (1), et dans un deuxième mode (B) dans lequel ladite connexion est temporairement bloquée, - tant que le moteur d'analyse (3) ne détecte aucune donnée malicieuse (dm) dans un paquet de données (D), le pare-feu (2) fonctionne dans le premier mode (A), - et lorsque ledit moteur d'analyse (2) détecte la présence d'une ou plusieurs données malicieuses (dm) dans un paquet de données (D), le pare-feu (2) passe dans le deuxième mode (B), corrige et/ou supprime les données malicieuses (dm) du paquet de données (D), resynchronise la connexion puis débloque la connexion pour un retour dans le premier mode de fonctionnement (A). REVENDICATIONS1. A method for detecting and preventing intrusions into a computer network (1) having a firewall (2), including analyzing data packets (D) flowing over a connection, via an engine d analysis (3) of the firewall (2), said analysis engine (3) being able to detect the presence of malicious data (dm), and said firewall (2) being able to correct and / or delete the malicious data (dm) previously detected before transmitting the data packets (D) on said network (1), characterized in that said firewall (2) being able to operate in a first mode (A) in which it allows said data packets (D) to flow on said connection to the network (1), and in a second mode (B) in which said connection is temporarily blocked, - as long as the analysis engine (3) does not detect any malicious data (dm) in a data packet (D), the firewall (2) works in the first mo of (A), - and when said analysis engine (2) detects the presence of one or more malicious data (dm) in a data packet (D), the firewall (2) goes into the second mode (B), corrects and / or deletes the malicious data (dm) of the data packet (D), resynchronizes the connection and then unblocks the connection for a return to the first operating mode (A). 2. Procédé selon la revendication 1, caractérisé en ce que, dans le deuxième mode de fonctionnement (B), la correction et/ou suppression des données malicieuses (dm) du paquet de données (D), la resynchronisation de la connexion et le déblocage de la connexion pour un retour du pare-feu (2) dans le premier mode de fonctionnement (A), sont réalisées par le moteur d'analyse (3). 2. Method according to claim 1, characterized in that, in the second operating mode (B), the correction and / or deletion of the malicious data (dm) of the data packet (D), the resynchronization of the connection and the unblocking the connection for a return of the firewall (2) in the first operating mode (A), are performed by the analysis engine (3). 3. Procédé selon l'une quelconque des revendications 1 et 2, caractérisé en ce que dans le deuxième mode de fonctionnement (B), les nouveaux paquets de données circulant sur la connexion sont mis en attente, jusqu'audéblocage de ladite connexion. 3. Method according to any one of claims 1 and 2, characterized in that in the second operating mode (B), the new data packets flowing on the connection are put on hold, until aublockage of said connection. 4. Procédé selon l'une quelconque des revendications 1 à 3, caractérisé en ce que la resynchronisation de la connexion consiste notamment à appliquer un facteur de correction (fc) à une valeur d'acquittement (Acq) et à renvoyer à l'expéditeur du paquet de données (D) ladite valeur d'acquittement (Acq) corrigée, ledit facteur de correction (fc) étant fonction de la différence entre la taille de la donnée malicieuse (dm) avant et après la modification et/ou suppression de cette donnée malicieuse (dm). 4. Method according to any one of claims 1 to 3, characterized in that the resynchronization of the connection comprises in particular to apply a correction factor (fc) to an acknowledgment value (Acq) and to send back to the sender of the data packet (D) said corrected acknowledgment value (Acq), said correction factor (fc) being a function of the difference between the size of the malicious data (dm) before and after the modification and / or deletion of this malicious data (dm). 5. Système de détection et de prévention d'intrusions dans un réseau informatique (1) comportant un pare-feu (2) comprenant un moteur d'analyse (3) apte à analyser des paquets de données (D) circulant sur une connexion et à détecter la présence de données malicieuses (dm), ledit pare-feu (2) étant apte à corriger et/ou supprimer les données malicieuses (dm) préalablement détectées avant de transmettre les paquets de données (D) sur ledit réseau (1), caractérisé en ce que ledit pare-feu (2) est apte à fonctionner dans un premier mode (A) dans lequel il laisse circuler lesdits paquet de données (D) sur ladite connexion vers le réseau (1), et dans un deuxième mode (B), déclenché par la détection de données malicieuses (dm) par ledit moteur d'analyse (3), dans lequel deuxième mode (B) ladite connexion est temporairement bloquée, et en ce que dans ce deuxième mode (B), ledit pare-feu (2) est apte à corriger et/ou supprimer les données malicieuses (dm) du paquet de données, à resynchroniser la connexion puis à débloquer la connexion en sorte de retourner dans le premier mode de fonctionnement (A). 5. System for detecting and preventing intrusions in a computer network (1) comprising a firewall (2) comprising an analysis engine (3) capable of analyzing data packets (D) circulating over a connection and detecting the presence of malicious data (dm), said firewall (2) being able to correct and / or delete the malicious data (dm) previously detected before transmitting the data packets (D) on said network (1) characterized in that said firewall (2) is operable in a first mode (A) in which it allows said data packets (D) to flow on said connection to the network (1), and in a second mode (B), triggered by the detection of malicious data (dm) by said analysis engine (3), wherein said second mode (B) said connection is temporarily blocked, and in that second mode (B), said firewall (2) is able to correct and / or delete the malicious data (dm) of the paq uet of data, to resynchronize the connection and then to unblock the connection so as to return to the first operating mode (A). 6. Système selon la revendication 5, caractérisé en ce que, dans le deuxième mode de fonctionnement (B), le moteur d'analyse (3) est apte à mettre en oeuvre la correction et/ou suppression des données malicieuses (dm) du paquet de données (D), la resynchronisation de la connexion et le déblocage de la connexion pour un retour du pare-feu (2) dans le premier mode de fonctionnement (A). 6. System according to claim 5, characterized in that, in the second mode of operation (B), the analysis engine (3) is able to implement the correction and / or deletion of the malicious data (dm) of the data packet (D), the resynchronization of the connection and the unblocking of the connection for a return of the firewall (2) in the first operating mode (A). 7. Système selon l'une quelconque des revendications 5 et 6, caractérisé ence que, dans le deuxième mode de fonctionnement (B), le pare-feu (2) est apte à mettre en attente les nouveaux paquets de données circulant sur la connexion. 7. System according to any one of claims 5 and 6, characterized in that, in the second operating mode (B), the firewall (2) is able to put on hold new data packets flowing on the connection . 8. Système selon l'une quelconque des revendications 5 à 7, caractérisé en ce que le pare-feu (2), éventuellement par l'intermédiaire du moteur d'analyse (3), est apte, pour la resynchronisation de la connexion, à appliquer un facteur de correction (fc) à une valeur d'acquittement (Acq) et à renvoyer à l'expéditeur du paquet de données (D) ladite valeur d'acquittement (Acq) corrigée, ledit facteur de correction (fc) étant fonction de la différence entre la taille de la donnée malicieuse (dm) avant et après la modification et/ou suppression de cette donnée malicieuse (dm). 8. System according to any one of claims 5 to 7, characterized in that the firewall (2), possibly via the analysis engine (3), is adapted, for the resynchronization of the connection, applying a correction factor (fc) to an acknowledgment value (Acq) and returning to the sender of the data packet (D) said corrected acknowledgment value (Acq), said correction factor (fc) being depending on the difference between the size of the malicious data (dm) before and after the modification and / or deletion of this malicious data (dm).
FR1155824A 2011-06-29 2011-06-29 METHOD FOR DETECTING AND PREVENTING INTRUSIONS IN A COMPUTER NETWORK, AND CORRESPONDING SYSTEM Active FR2977432B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR1155824A FR2977432B1 (en) 2011-06-29 2011-06-29 METHOD FOR DETECTING AND PREVENTING INTRUSIONS IN A COMPUTER NETWORK, AND CORRESPONDING SYSTEM
PCT/FR2012/051493 WO2013001241A1 (en) 2011-06-29 2012-06-28 Method for detecting and preventing intrusions in a computer network, and corresponding system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1155824A FR2977432B1 (en) 2011-06-29 2011-06-29 METHOD FOR DETECTING AND PREVENTING INTRUSIONS IN A COMPUTER NETWORK, AND CORRESPONDING SYSTEM

Publications (2)

Publication Number Publication Date
FR2977432A1 true FR2977432A1 (en) 2013-01-04
FR2977432B1 FR2977432B1 (en) 2013-07-19

Family

ID=46579209

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1155824A Active FR2977432B1 (en) 2011-06-29 2011-06-29 METHOD FOR DETECTING AND PREVENTING INTRUSIONS IN A COMPUTER NETWORK, AND CORRESPONDING SYSTEM

Country Status (2)

Country Link
FR (1) FR2977432B1 (en)
WO (1) WO2013001241A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6219706B1 (en) * 1998-10-16 2001-04-17 Cisco Technology, Inc. Access control for networks
US20070101422A1 (en) * 2005-10-31 2007-05-03 Carpenter Michael A Automated network blocking method and system
WO2011028176A1 (en) * 2009-09-02 2011-03-10 Resolvo Systems Pte Ltd Method and system for preventing transmission of malicious contents

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6219706B1 (en) * 1998-10-16 2001-04-17 Cisco Technology, Inc. Access control for networks
US20070101422A1 (en) * 2005-10-31 2007-05-03 Carpenter Michael A Automated network blocking method and system
WO2011028176A1 (en) * 2009-09-02 2011-03-10 Resolvo Systems Pte Ltd Method and system for preventing transmission of malicious contents

Also Published As

Publication number Publication date
FR2977432B1 (en) 2013-07-19
WO2013001241A1 (en) 2013-01-03

Similar Documents

Publication Publication Date Title
US9648038B2 (en) Propagation of viruses through an information technology network
US7657938B2 (en) Method and system for protecting computer networks by altering unwanted network data traffic
EP1872543A1 (en) Method and system for transmitting a multicast stream in data exchange network
US10791192B2 (en) Hybrid approach for performance enhancing proxies
US8046624B2 (en) Propagation of viruses through an information technology network
US7796515B2 (en) Propagation of viruses through an information technology network
US20230118136A1 (en) Deep packet analysis
US7373665B2 (en) Propagation of viruses through an information technology network
FR2888695A1 (en) DETECTION OF INTRUSION BY MISMATCHING DATA PACKETS IN A TELECOMMUNICATION NETWORK
GB2401281A (en) Propagation of viruses through an information technology network
FR2977432A1 (en) METHOD FOR DETECTING AND PREVENTING INTRUSIONS IN A COMPUTER NETWORK, AND CORRESPONDING SYSTEM
CA2357909A1 (en) Device and method for processing a data packet sequence
WO2015048999A1 (en) Method and proxy node for source to destination packet transfer
US7971254B1 (en) Method and system for low-latency detection of viruses transmitted over a network
EP1369766B1 (en) Propogation of viruses through an information technology network
EP3035639B1 (en) Method of unauthorized port-scan detection in a computer network, associated computer program and device
US11729215B2 (en) Method for inspection and filtering of TCP streams in gateway router
EP2625830B1 (en) Method and device for the secure transfer of data
CN115225312A (en) Method and device for safely scanning application layer data
FR2917556A1 (en) DETECTION OF ANOMALY IN THE TRAFFIC OF SERVICE ENTITIES THROUGH A PACKET NETWORK
FR2988952A1 (en) Method for connection between e.g. equipments, for communication over client/server using transmission control protocol, involves validating and transmitting message for change of port from one equipment to another equipment

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 6

PLFP Fee payment

Year of fee payment: 7

PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 10

PLFP Fee payment

Year of fee payment: 11

PLFP Fee payment

Year of fee payment: 12

PLFP Fee payment

Year of fee payment: 13

PLFP Fee payment

Year of fee payment: 14