EP1698144A1 - Procede de detection et de prevention des usages illicites de certains protocoles de reseaux sans alteration de leurs usages licites - Google Patents

Procede de detection et de prevention des usages illicites de certains protocoles de reseaux sans alteration de leurs usages licites

Info

Publication number
EP1698144A1
EP1698144A1 EP04805415A EP04805415A EP1698144A1 EP 1698144 A1 EP1698144 A1 EP 1698144A1 EP 04805415 A EP04805415 A EP 04805415A EP 04805415 A EP04805415 A EP 04805415A EP 1698144 A1 EP1698144 A1 EP 1698144A1
Authority
EP
European Patent Office
Prior art keywords
flow
counter
protocol
authentication
delay
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP04805415A
Other languages
German (de)
English (en)
Inventor
Olivier Charles
Laurent Butti
Franck Veysset
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Publication of EP1698144A1 publication Critical patent/EP1698144A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Definitions

  • the present invention relates to a method for detecting and preventing illicit uses of certain network protocols without altering their lawful uses. It finds application in particular in the security of I P networks. It provides an effective response to different types of attacks which are characterized by a sudden increase in the throughput of the corrupted protocol, denial of service attacks and hidden channels in particular. It finds a particularly effective use on public wireless networks with paid access (hot spot).
  • the invention has in particular two aspects. The throughput of the protocols concerned is a criterion for detection and a means of eradicating the attack.
  • the invention is based on the use of a delay function which causes any packet received by the system to be retransmitted with a delay. This is negligible when there is no attack and becomes significant when an attack is detected, to the point of rendering the network unusable for the attacker.
  • the method of the invention is independent of the technique on which the IP network is built: Ethernet, I EEE 802. 1 1, GPRS, etc.
  • the method of the invention provides, among other things, an effective solution to fraud known as firewall piercing (or hidden channels). These fraud techniques allow information flows normally prohibited to be passed through filtering equipment by encapsulating them in authorized flows.
  • the invention makes it possible to solve this problem in difficult cases which hitherto were without solution.
  • the method of the invention has the advantage of preventing fraud without having any significant negative influence on lawful uses of the network. More generally, any attack or fraud based on an unusual exchange of data with the outside of a local network is easily treatable by the present invention, provided that it causes a significant increase in the throughput normally consumed by the corrupted protocol. Thus, certain denial of service attacks (attacks consisting in rendering a service unusable for other users by pure intention to harm) can also be treated. This applies particularly well to networks, called networks
  • hot spot being a radio frequency coverage area on which a suitably equipped terminal can connect and obtain access to the Internet network, subject to the payment of a sum paid in advance or deducted from the subscription invoice to a provider of access to a communication network such as the customer's GSM network.
  • the invention preferably applies to "signaling" protocols such as DNS, ICMP or EAP (which transports an authentication method to it), that is, protocols that are used only to operate other Internet protocols, but do not directly transport useful data belonging to users.
  • These “signaling” protocols are very different from data transport protocols in that they operate at normally low and known rates. If these signaling protocols were to be used during an attack as transport protocols, this would result in an abnormally high number of requests and responses.
  • the invention also applies to transport protocols. It applies in particular to the protection of low speed transport protocols, totally or partially. In particular, the invention makes it possible to treat protocols like DNS (so-called signaling protocol).
  • the "http" protocol is a protocol which presents a highly asymmetrical speed: a low speed from the terminal to the server which corresponds to requests and a high speed in the other direction which corresponds to html pages served in response. If a hidden channel fraud on http breaks this characteristic of the speed of an http connection, that is to say if the upstream speed suddenly became abnormally high so the invention would be able to block this traffic.
  • the present invention relates to a method of protecting network protocols without altering their lawful uses which consists, for an input data packet flow, in applying a delay function for each packet, insufficient to hinder lawful use, but sufficient to hinder illicit use.
  • FIG. 1 represents a sequence according to a protocol to be protected
  • the second represents a time graph of the flows on flows monitored according to another protocol to be protected in the event of an unblocked attack and in the event of an attack blocked by the method of the invention;
  • - Figure 3 is a block diagram of a flow processing equipment to be monitored in the method of the invention;
  • - Figure 4 is a flow diagram of a particular embodiment of the method of the invention;
  • - Figure 5 is a diagram explaining the various scenarios in a first example of application of the invention;
  • - Figure 6 is a time graph explaining a scenario in a second example of application of the invention.
  • the first attack technique can be used on type I P networks. Such networks can be networks companies, the Internet or "hot spots".
  • the second attack technique is specific to "hot spot” networks, and particularly targets the GSM authentication server interconnected to a "hot spot” network.
  • terminals connected to an IP network operated by a company, by a telecommunications operator or by an Internet service provider are not free to make any type of connection. There are three main reasons for this. A first reason is that the network is a production network and we do not want users to make indirect use of it for entertainment, personal enrichment or nuisance to others. A second reason is that the network is paid for and it is advisable to authorize only the flows for which the user has paid a fee. A third reason is that authorizing more connections than is necessary for the proper functioning of the organization owning the network can only be an occasion for illicit use.
  • a filtering operation for flows entering and leaving the network is generally reused on equipment at the network border such as filtering routers or firewalls (in the following, this type of equipment is collectively referred to as “ firewalls “or” firewalls ").
  • this equipment must allow unrestricted passage of other essential protocols such as the ICMP protocol (RFC 792) or the DNS protocol (RFC 1034).
  • Hot spot type networks which use the S I M card authentication method are based on a communication protocol called "EAP-S I M" which is defined in published standards.
  • This protocol allows GSM authentication between a customer of a hot spot service, and a GSM mobile operator.
  • GSM authentication requires some resources (system load). Large number of authentication requests can cause loss of quality of service, both for customers of conventional GSM services, and for customers of services on Wi-Fi networks.
  • Figure 1 shows an authentication scheme using the EAP-SI method M.
  • a requester 1 on the communications network sends an authentication request 2 according to an 802.1 protocol 1 to an authentication resource 3.
  • the authentication resource performs an authentication operation and produces an authentication response 4 according to an AAA protocol to an authentication server 5.
  • the authentication server 5 produces in response an authentication message 6 which is transmitted according to the SS7 protocol to an authentication center 7,.
  • the operating mode is as follows: The attacker signals to the access point that he is ready to authenticate (EAPOL_Start); The access point then asks the attacker to give him his identity (EAP-Request / ldentity); The attacker therefore responds with an identity (Network Access Identifier (REC 2486) or NAI contained in EAP-Response / ldentity; The access point relays the attacker's response to the Proxy- RADI US; The proxy-RADI US analyzes the content of the NAI identity and relays the response to the operator's RADI US server using the content of the NAI (after the @ symbol); The operator's RADIUS server analyzes the request containing the NAI identity (in particular the code I MS I); The operator's RADI US server then requests the attacker to authenticate with GSM authentication (EAP- Request
  • Firewalls are the systems usually used to control flows on a network. They are generally placed between two subnets and analyze the packets which pass through them.
  • - I P / ICMP the system analyzes the content of the header fields (source / destination IP address, type and ICMP code);
  • - IP / TCP U DP the system analyzes the content of the header fields (source / destination IP address, TCP UDP port)
  • - Session the system performs a complete analysis of a session initialization to establish a communication on a particular protocol and thus ensures that the incoming packets actually correspond to outgoing packets.
  • the method of the invention offers "self-adaptive filtering of suspicious traffic which allows: - to quickly block suspicious flows; - to automatically release the blocking once the situation has returned to normal; - to offer each type of attack a suitable response in terms of blocking speed, rate limit, speed of blocking release as will be described below for the function f (), - to avoid completely blocking a legitimate flow, and yet too abundant, by only slowing down as will be described later on the "su b-normal" operating mode. Traffic therefore continues to pass, even if the service is slightly degraded A conventional firewall would completely block it.
  • the flow control systems make it possible to allocate part of the total bandwidth available to a type of flow, in particular to avoid situations of congestion. e quality of service management.
  • FIG. 2 shows the response in terms of throughput to a hidden channel attack on DNS.
  • the same time graph is shown: the throughput 12 characteristic of a protocol protected by the method of the invention when an attack occurs; the flow 8 characteristic of a protocol protected by a flow control system during the same attack; - the throughput 9 characteristic of a protocol without any protection during the same attack as that provided for the throughputs 8 and 12.
  • the throughput increases relatively rapidly along a slope 10, then the traffic remains substantially constant with random oscillations around a flow rate value of established speed.
  • a flow control a flow control system of the state of the art
  • the attacker's flow rises more slowly than in the previous case and then remains constant, blocked at a threshold value which corresponds at least to the flow 8 of a signaling protocol most demanding in terms of speed.
  • the attacker's throughput passes through a maximum 13 then decreases until it is canceled out more or less quickly as will be described later. It can be seen in FIG. 2 that the rate control system cannot do better than limit the bandwidth available for attack.
  • the method of the invention makes it possible to make the flow rate tend towards zero with a configurable convergence speed. From this point of view, the invention is much more effective than flow control systems in preventing hidden channel attacks.
  • the intrusion detection systems operate by analyzing the flows circulating on the arteries by means of a probe. This sends the collected data to an "intelligent" system which interprets it and possibly sends an alarm if something suspicious occurs. These systems can also possibly order a firewall to cut traffic.
  • I PS intrusion prevention system
  • the I DS system is directly coupled with a firewall, the analyzed flow passing through this equipment.
  • I DS systems are known to have serious drawbacks: - they are very expensive because of the technology of the probe which must be able to analyze a large amount of traffic; - they are not very reliable because, like any automatic recognition system, they issue unjustified alarms (false positive) and vice versa allow attacks to pass (false negative); - they only try to detect known attacks. The response they provide to an attack is not satisfactory. In the case of an IDS system, an alarm is sent to a human operator who must react accordingly.
  • the permanent presence of an operator is also unthinkable on a small network.
  • the response is no better than that of a firewall and we will refer above for the analysis.
  • the method of the invention can be implemented either in specific equipment, or as an additional function in flow processing equipment already present - such as for example a router, a firewall or a DNS server. In all cases, it is essential that all of the traffic to be controlled passes through this equipment.
  • Such flow processing equipment shown diagrammatically in FIG. 3 comprises an input interface 15 and an output interface 17 and that the traffic arriving on the input interface is re-emitted on the output interface according to a logic defined by the method of the invention.
  • the flow Fie is retransmitted on the output interface as flow Fjs with a more or less long delay, or too much not to be noticeable by "honest" users, or too little to not allow a dishonest user to circulate unauthorized data. From a physical point of view; both interfaces can be realized on the same network card. The distinction between entry and exit is valid for traffic going in one direction. If the invention also treats traffic in the other direction, the roles of the interfaces are reversed.
  • the designation of the classes of flows to be monitored is first carried out. The designation of the stream classes to be monitored can be based on the value of certain fields of the I P packet such as this.
  • I Psec gateways RRC 2401
  • firewalls For example, we can retain a designation of the stream classes by a combination of the following values: a source IP address or range, a destination IP address or range, a higher level protocol (UDP , TCP, ICMP ...), a port number, a value of a field in the higher level protocol part.
  • UDP source IP address or range
  • TCP destination IP address or range
  • a higher level protocol UDP , TCP, ICMP
  • port number a value of a field in the higher level protocol part.
  • any protocol field readable and interpretable by the equipment can be retained as a selection criterion, whatever its level in the protocol stack.
  • the implementation of a complete stream class designation system is not necessarily necessary.
  • an arming of the clamping mechanism of the flows to be awakened is carried out.
  • a flow Fj is detected on the input interface 15 of the flow processing equipment e
  • a counter associated with this flux is dynamically created.
  • CPT NOT the associated counter.
  • the processor r 16 for processing the flows implements a mechanism for clamping on the unauthorized flows.
  • a surveillance test is executed, if it does not belong to a flow under surveillance, then it is immediately retransmitted on the output interface 17 during a step 23.
  • a test 24 it is checked whether the arriving packet belongs to a stream under surveillance.
  • the function f () is called the delay function.
  • the counter CPTN is decremented by one step, like the unit 1, during a step 26.
  • the method of l The invention then includes a mechanism for relaxing the monitoring of a flow.
  • the CPTN counter reaches a sufficiently low value, this means that there is no more attempt to transmit illegal traffic.
  • the CPTN counter can then be deleted and traffic is no longer under surveillance. This property is not essential, however, traffic can remain under surveillance indefinitely.
  • a new counter C PTN is assigned to its stream and step 25 is performed.
  • the delay function f is not necessarily unique for all stream classes. Thus we can delay a DNS stream with a function f1 and an I CM P stream with a function f2. The delay function f must be at least increasing so that the more traffic the attacker sends, the more his traffic is delayed.
  • a delay function f with a positive second derivative will quickly block the attacker's flow.
  • f (CPT NOT ) exp (* CPT NOT + ⁇ ) with ⁇ > _0.
  • CPTMAX counter NOT can also be used, if the number of packets awaiting transmission exceeds the value CPTMAXN configured by the administrator, then the pending packets are destroyed according to an algorithm to be chosen. The purpose of this functionality is to avoid saturation of the resources of the invention.
  • a DNS server local to the network to be protected. We will now describe the attack developing without the intervention of the method of the invention.
  • a local network 30 with flow control is often built according to a plan presented in the diagram of FIG. 5.
  • the local network contains terminals, a copy of which is represented at 34, a DNS server, called local DNS 31 and a router / firewall 32 which interconnects the local network 30 with another network 33 such as the Internet.
  • the router / firewall 32 is configured to prohibit certain flows, for example “ftp” flows.
  • the terminal 34 will encapsulate the “ip” packets which transport the “ftp” stream in DNS packets on DNS stream paths 37, for example, by coding information in specific fields of the package.
  • the DNS request can only be processed by the pirate DNS server 38 under the control of the pirate outside the local network, by judiciously choosing the domain names of the request.
  • the pirate DNS machine 38 can then transfer the packets to the “ftp” server 39 requested by the terminal. Traffic in the opposite direction takes exactly the opposite direction.
  • hidden channel attacks on DNS will be completely blocked. 1) In this specific case described in FIG. 5, there is no need to implement management of the stream classes and of the streams under surveillance. In fact, only DNS flows pass through this machine. 2) Furthermore, we can monitor all DNS flows by associating a flow to be monitored, that is to say create a counter CP ⁇ for each terminal and never erase it.
  • the fields used for the control mechanism will be contained in the data of the EAP-SI M authentication mechanism. Indeed, it is possible to know to which operator EAP-SIM authentication is requested (in the form user (S) operator GSM ' ). I t is therefore possible to implement the invention at the hot spot, to protect all GSM operators from this type of attack by denial of service. Then, the control mechanism is executed within the normal framework of the invention (see FIG. 3), which makes it possible to limit the number of authentication requests thanks to a behavioral analysis on the transport of the authentication. It is noted that the present invention also includes a use for detecting illicit uses. In fact, the protocol in one embodiment of the invention also includes a step for detecting a change in the bit rate associated with a monitored stream characteristic of illicit use.
  • the method of the invention makes it possible to produce an alarm of such illicit use.
  • Such an alarm signal is transmitted to a network administrator who can take any measure, in particular by keeping an incident history, by seeking the identity of the authors of such illicit uses and by applying any subsequent measure to reduce access to such authors.
  • GSM Global System for Mobile Communications
  • I CMP I nternet Control Message Protocol
  • I P Internet Protocol
  • NAI Network Access Identifier
  • TCP Transport Control Protocol
  • U DP User Datagram Protocol
  • I DS I ntrusion Detection System
  • HTTP Hyper Text Transfer Protocol (hypertext file transfer protocol)

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

La présente invention concerne un procédé de détection et de prévention des usages illicites de certains protocoles de réseaux sans altération de leurs usages licites. Selon l'invention, chaque flux nouveau se voit affecter un compteur CPT (27). A chaque paquet de données reçues, on applique une fonction de retardement (25) destinée à réduire le flux à usage illicite sans gêner le flux à usage licite. La fonction retard croît notamment en fonction du débit sur le flux à surveiller à l'aide du compteur CPT.

Description

"Procédé de détection et de prévention des usages illicites de certains protocoles de réseaux sans altération de leurs usages licites" La présente invention concerne un procédé de détection et de prévention des usages illicites de certains protocoles de réseaux sans altération de leurs usages licites. Elle trouve application notamment dans la sécurité des réseaux I P. Elle apporte une parade efficace à différents types d'attaques qui se caractérisent par une élévation soudaine du débit du protocole corrompu, attaques par déni de service et canaux cachés notamment. Elle trouve un usage particulièrement efficace sur les réseaux publics sans fil en accès payant (hot spot). L'invention présente notamment deux aspects. Le débit des protocoles concernés est un critère de détection et un moyen d'éradication de l'attaque. Dans ce second aspect, l'invention se base sur l'utilisation d'une fonction de retardement qui fait que tout paquet reçu par le système est réémis avec un retard . Celui- ci est négligeable quand il n'y a pas d'attaque et devient important quand une attaque est détectée, au point de rendre le réseau inutilisable à l'attaquant. Le procédé de l'invention est indépendant de la technique sur laquelle le réseau IP est bâti : Ethernet, I EEE 802. 1 1 , GPRS, etc. Le procédé de l'invention apporte, entre autres, une solution efficace aux fraudes connues sous le nom de firewall piercing (ou canaux cachés). Ces techniques de fraudes permettent de faire passer au travers d'un équipement de filtrage des flux d'information normalement interdits en les encapsulant dans des flux autorisés.
L'invention permet de résoudre ce problème dans les cas difficiles qui jusqu'alors étaient sans solution . Le procédé de l'invention présente l'avantage d'empêcher la fraude sans avoir d'influence négative notable sur les usages licites du réseau. De façon plus générale, toute attaque ou fraude reposant sur un échange inhabituel de données avec l'extérieur d'un réseau local est facilement traitable par la présente invention, pourvu qu'elle provoque une hausse significative du débit normalement consommé par le protocole corrompu. Ainsi certaines attaques par dénis de services (attaques consistant à rendre un service inutilisable aux autres utilisateurs par pure intention de nuire) peuvent aussi être traitées. Ceci s'applique particulièrement bien aux réseaux, dénommés réseaux
"hot spot", le hot spot étant une zone de couverture radiofréquence sur laquelle un terminal convenablement équipé peut se connecter et obtenir un accès au réseau Internet, moyennant le règlement d'une somme payée d'avance ou prélevée sur la facture d'abonnement à un fournisseur d'accès à un réseau de communication comme le réseau GSM du client.
Ceci est le cas si le hot spot est interconnecté à un opérateur de réseau mobile pour utiliser l'authentification GSM. Dans ce dernier cas, une autre attaque possible depuis le hot spot sur la machine qui gère l'authentification des utilisateurs est critique, car c'est précisément le serveur d'authentification d u réseau GSM. Les opérateurs de réseaux mobiles redoutent une telle attaque par déni de service, car elle mettrait en péril le fonctionnement du serveur d'authentification du réseau GS M et par effet de bord le réseau GSM lui même. La présente invention permet de détecter automatiquement un nombre anormalement élevé de requêtes et de les limiter. Des techniques de « firewall piercing » pour transporter des protocoles interdits existent aussi et sont souvent utilisées sur les réseaux d'entreprises. L'invention s'applique préférentiellement aux protocoles de "signalisation" comme DNS, ICMP ou EAP (qui lui transporte une méthode d'authentification), c'est-à-dire des protocoles qui ne servent qu'à faire fonctionner les autres protocoles de l'Internet, mais ne transportent directement de données utiles appartenant aux utilisateurs. Or ces protocoles de « signalisation » sont très différents des protocoles de transport de données en ce qu'ils fonctionnent à des débits normalement faibles et connus. Si ces protocoles de signalisation venaient à être utilisés lors d'une attaque en tant que protocoles de transport, ceci devrait aboutir à un nombre anormalement élevé de requêtes et de réponses. Mais on remarque que l'invention s'applique aussi à des protocoles de transport. Elle s'applique notamment à la protection de protocoles de transport à bas débit, totalement ou partiellement. Particulièrement, l'invention permet de traiter les protocoles comme DNS (protocole dit de signalisation). En effet, sur un hot spot public par exemple, il est fréquent que, par défaut, tous les flux soient interdits sauf les protocoles de signalisation, indispensables au démarrage des connexions des utilisateurs (transport des données d'authentification , collecte d'information sur la configuration du réseau , résolution de noms). Ainsi un fraudeur qui voudrait utiliser le hot spot sans payer n'aurait que les protocoles de signalisation pour construire un canal caché. A l'inverse, les protocoles "utiles" comme http ou telnet étant interdits par un firewall tant que l'utilisateur n'est pas autorisé à se connecter, ils ne peuvent pas être utilisés en canal caché pour frauder. I l existe aussi un autre aspect selon lequel l'invention traite les protocoles comme les protocoles "http" ou « ftp » . En effet, dans son usage courant, le protocole "http" est un protocole qui présente un débit fortement asymétrique : un débit faible du terminal vers le serveur qui correspond à des requêtes et un débit élevé dans l'autre sens qui correspond aux pages html servies en réponse. Si une fraude par canal caché sur http venait à rompre cette caractéristique du débit d'une connexion http, c'est-à-dire si le débit montant devenait soudainement anormalement élevé alors l'invention serait en mesure de bloquer ce trafic. Pour atteindre ces objets, la présente invention concerne un procédé de protection de protocoles de réseaux sans altération de leurs usages licites qui consiste, pour un flux de paquets de données d'entrée, à appliquer une fonction de retardement pour chaque paquet, insuffisant pour gêner un usage licite, mais suffisant pour gêner un usage illicite. Particulièrement, dans un protocole de signalisation, l'invention appliquera une fonction de retardement croissante avec le débit du flux surveillé, de sorte que si l'usage illicite du protocole à titre de transport de données privées vient à dépasser un débit standard, le retard croit indéfiniment ce qui coupe pratiquement le canal en usage illicite sans gêner les autres flux. D'autres caractéristiques et avantages de la présente invention seront mieux compris de la description et des dessins annexés parmi lesquels : - la figure 1 représente une séquence selon un protocole à protéger ; - la figure 2 représente u n graphe temporel des débits sur des flux surveillés selon un autre protocole à protéger en cas d'attaque non bloquée et en cas d'attaque bloquée par le procédé de l'invention ; - la figu re 3 est un schéma bloc d'un équipement de traitement de flux à surveiller dans le procédé de l'invention ; - la figure 4 est un organigramme d'un mode particulier de réalisation du procédé de l'invention ; - la figure 5 est un schéma expliquant les divers scénarios dans un premier exemple d'application de l'invention ; - la figure 6 est un graphe temporelle expliquant un scénario dans un second exemple d'application de l'invention. On va maintenant décrire deux techniques d'attaques utilisées. La première technique d'attaque est utilisable sur les réseaux de type I P. De tels réseaux, peuvent être des réseaux d'entreprises, l'Internet ou des "hot spots". La deuxième technique d'attaque, par contre, est spécifique aux réseaux "hot spots", et vise particulièrement le serveur d'authentification GSM interconnecté à un réseau « hot spot » . Généralement, les terminaux connectés à un réseau IP exploité par une entreprise, par un opérateu r de télécommunication ou par un fournisseur d'accès à Internet, ne sont pas libres de faire n'importe quel type de connexions. Il existe trois grandes raisons à cela. Une première raison est que le réseau est un réseau de production et on ne souhaite pas que les utilisateurs en fassent un usage détourné à des fins de divertissement, d'enrichissement personnel ou de nuisance à autrui. Une seconde raison est que le réseau est d'usage payant et il convient de n'autoriser que les flux pour lesquels l'utilisateur a réglé un droit. Une troisième raison est qu'autoriser plus de connexions que ce qui est nécessaire pour le bon fonctionnement de l'organisation propriétaire du réseau ne peut être qu'une occasion d'un usage illicite. Une opération de filtrage des flux entrant et sortant du réseau est généralement réutilisée sur des équipements à la frontière du réseau tels que des routeurs filtrants ou des pare- feux (dans la suite, ce genre d'équipement est désigné collectivement sous l'appellation "pare-feux" ou "firewalls"). De plus, pour le bon fonctionnement des protocoles autorisés, ces équipements doivent laisser passer sans restriction d'autres protocoles indispensables tels que le protocole ICMP (RFC 792) ou le protocole DNS (RFC 1034) Or, il existe des outils logiciels qu i permettent d'utiliser les protocoles autorisés par les pare-feux pou r faire passer des protocoles interd its Ces techniques sont connues sous le nom de "canaux cachés" ou "firewall piercing" et sont toutes construites sur le même schéma, qui sera décrit à l'aide de la figure 5 qui présente ce type d'attaque dans le cas où le protocole DNS est utilisé pour transporter des données au travers du firewall : a) Le pirate laisse un serveur en libre accès quelque part sur Internet, à l'extérieur du réseau sur lequel son terminal est connecté. Ce serveur a deux fonctions: i. Encapsuler/décapsuler les paquets en provenance de la machine du pirate ii. Retransmettre le paquet extrait vers son destinataire final et recevoir les paquets de ce même destinataire pour les renvoyer vers le pirate (fonction de relais). b) Le terminal du pirate copie le paquet de données d'un protocole interdit dans une zone libre d'un paquet d'un protocole autorisé et l'envoie à son serveur qui le traite. De cette manière, le pirate parvient à faire sortir et entrer du trafic normalement interdit en l'encapsulant dans un paquet d'un protocole autorisé. Cette fraude est redoutable pour deux raisons: pratiquement tous les protocoles permettent l'encapsulation, - les pare-feux doivent nécessairement laisser passer certains protocoles comme DNS et ICMP qui sont connus pour avoir cette capacité d'encapsulation. Un blocage pur et simple de ces protocoles rendrait d'une part ce réseau non conforme aux recommandations de bon fonctionnement et d'interopérabilités, mais empêcherait un fonctionnement normal pour les utilisateurs légitimes. Les réseaux de type hot spot qui utilisent la méthode d'authentification par carte S I M reposent su r un protocole de communication appelé "EAP-S I M" qui est défini dans les normes publ iées. Ce protocole permet de réaliser une authentification GSM entre un client d'un service hot spot, et un opérateur de téléphonie mobile GSM . L'authentification GSM nécessite quelques ressources (charge système). Un grand nombre de demandes d'authentification peut entraîner une perte de qualité de service, à la fois pour les clients des services GSM classiques, et pour les clients des services sur les réseaux Wi-Fi. A la figu re 1 , on a représenté un schéma d'authentification par la méthode EAP-SI M. Un requérant 1 sur le réseau de communications envoie une requête d'authentification 2 selon un protocole 802.1 1 vers une ressource d'authentification 3. La ressource d'authentification exécute une opération d'authentification et produit une réponse d'authentification 4 selon un protocole AAA vers un serveur d'authentification 5. Le serveur d'authentification 5 produit en réponse un message d'authentification 6 qui est transmis selon le protocole SS7 vers un centre d'authentification 7,. En appliquant le schéma EAP-S I M en cas d'une attaque, le mode opératoire est le suivant : L'attaquant signale au point d'accès qu'il est prêt à s'authentifier (EAPOL_Start); Le point d'accès demande alors à l'attaquant de lui donner son identité (EAP-Request/ldentity); L'attaquant répond donc avec une identité (Network Access Identifier (REC 2486) ou NAI contenue dans EAP- Response/ldentity; Le point d'accès relaie la réponse de l'attaquant vers le Proxy- RADI US; Le proxy-RADI US analyse le contenu de l'identité NAI et relaie la réponse vers le serveur RADI US de l'opérateur grâce au contenu du NAI (après le symbole @ ) ; Le serveur RADIUS de l'opérateur analyse la requête contenant l'identité NAI (en particulier le code I MS I ) ; Le serveu r RADI US de l'opérateu r demande alors à l'attaquant de s'authentifier avec l'authentification GSM (EAP- Request/S I M/Start) via le proxy-RADI US de l'hot spot visité; L'attaquant répond donc avec un EAP-Response/SI M/Start (Nonce); Le proxy-RADI US relaie alors cette réponse vers le serveur RADI US de l'opérateur; Le serveur RADI US de l'opérateur interroge alors la base d'authentification GSM pour récupérer n triplets GSM (n=2 ou 3). C'est la dernière phase qui est coûteuse ; car elle permet à l'attaquant de faire calculer n triplets GSM. L'attaque consiste donc à rejouer au maximum le mode opératoire précèdent en envoyant un type de paquet initiant la phase d'authentification (paquets EAPOL_Start). Il est alors possible de réaliser une attaque par déni de service par saturation de ressou rces au niveau du centre d'authentification 7, ce qui met en péril à la fois le réseau hot spot, mais surtout le réseau GSM. Pour remédier aux problèmes liés aux attaques de protocoles de communication, l'état de la technique fou rnit trois moyens qui sont - les pare-feux dits "firewalls" ; - les systèmes de contrôle de débit ; et - les systèmes de détection et de prévention des intrusions. Les firewalls sont les systèmes habituellement utilisés pour contrôler les flux sur un réseau. Ils sont généralement placés en coupure entre deux sous-réseaux et analysent les paquets qui les traversent. Ils sont capables de faire un filtrage à différents niveaux : - I P/ICMP : le le systèmes analyse le contenu des champs des entêtes (adresse IP sources/destination , type et code ICMP) ; - I P/TCP U DP: le système analyse le contenu des champs des entêtes (adresse I P sources/destination , port TCP UDP) - Session : le système fait u ne analyse complète d'une initialisation de session pour l'établissement d'une communication sur un protocole particulier et ainsi s'assure que les paquets entrants correspondent effectivement a des paquets sortants. - contenu des données échangées dans les protocoles applicatifs et ainsi interd ire certains contenus (ex: URL de sites pornographiques). Les firewalls ne sont néanmoins pas capables de bloquer les flux issus d'attaques par canaux cachés car ils agissent par filtrage "tout ou rien" si le flux est déclaré valide. Dans ce cas, il passe intégralement ou si le flux et déclaré invalide, aucun paquet ne passe. Or les attaques par canaux cachés sont plus subtiles puisqu'elles utilisent des flux autorisés (voire indispensables comme le DNS). Par conséquent, le seul élément qui permette d'identifier une telle attaque est le débit anormalement élevé auquel fonctionnent ces protocoles licites quand ils sont utilisés pour une attaque par canaux cachés. Aucun firewall ne permet ce genre de critère de filtrage. Par ailleurs, le procédé de l'invention offre un filtrage "auto-adaptatif du trafic suspect qui permet: - de bloquer rapidement les flux suspects; - de relâcher automatiquement le blocage une fois que la situation est revenue à la normale; - d'offrir à chaque type d'attaque une réponse adapté en termes de rapidité de blocage, de limite de débit, de rapidité de relâchement du blocage ainsi qu'il sera décrit plus loin pour la fonction f(), - d'éviter de totalement bloquer un flux légitime, et pourtant trop abondant, en ne faisant qu'un ralentissement du ainsi qu'il sera décrit plus loin sur le mode de fonctionnement "su b-normal" Le trafic continue donc à passer, même si le service est légèrement dégradé. Un firewall classique le bloquerait complètement. Les systèmes de contrôle de débit permettent d'attribuer une partie de la bande passante totale disponible à un type de flux, notamment pour éviter des situations de congestion. I ls font partie des systèmes de gestion de la qualité de service. Dans une certaine mesu re, ces systèmes permettent d'éviter l'utilisation frauduleuse de la bande passante sur les réseaux. Par exemple, ils permettent de limiter le débit total des requêtes DNS et réduisent ainsi la portée de l'attaque par canaux cachés sur DNS . U n logiciel comme le logiciel open source ipfilter, grâce à son module "limit", offre de telles fonctionnalités de limitation de débit. Toutefois, cela ne réduit pas complètement au silence un attaquant puisqu'il pourra toujours émettre des données au maximum du débit autorisé par le système. La figure 2 montre la réponse en termes de débit à une attaque par canaux cachés sur DNS. A la figure 2, on a représenté sur un même graphique temporel : - le débit 12 caractéristique d'un protocole protégé par le procédé de l'invention quand une attaque survient ; - le débit 8 caractéristique d'un protocole protégé par un système de contrôle de débit lors de la même attaque ; - le débit 9 caractéristique d'un protocole sans aucune protection lors d'une même attaque que celle prévue pou r les débits 8 et 12. Lors d'une attaque, le débit augmente relativement rapidement selon une pente 10, pu is le trafic reste sensiblement constant avec des oscillations aléatoires autour d'une valeur de débit de régime établi. En appliquant un contrôle de débit un système de contrôle de débit de l'état de la technique, le débit de l'attaquant monte plus lentement que dans le cas précédent puis reste constant, bloqué à une valeur de seuil qui correspond au moins au débit 8 d'un protocole de signalisation le plus exigeant en débit. En appliquant le procédé de l'invention, le débit de l'attaquant passe par un maximum 13 puis décroît jusqu'à s'annuler plus ou moins rapidement ainsi qu'on le décrira plus loin. On voit bien sur la figure 2 que le système de contrôle de débit ne peut pas faire mieux que limiter la bande passante disponible à l'attaque. En revanche, le procédé de l'invention permet de faire tendre le débit vers zéro avec une vitesse de convergence paramétrable. De ce point de vue, l'invention est bien plus efficace que les systèmes de contrôle de flux pour préven ir les attaques par canaux cachés. Les systèmes de détection d'intrusions (I DS) fonctionnent par analyse des flux circulant su r les artères au moyen d'une sonde. Celle-ci remonte les données collectées à un système "intelligent" qui les interprète et envoie éventuellement une alarme si quelque chose de suspect se produit. Ces systèmes peuvent aussi éventuellement ordonner à un firewall de couper le trafic. On parle alors de systèmes I DS actifs. Une autre évolution de ces systèmes est connue sous le nom de « système de prévention » des intrusions « I PS ». Dans ce cas, le système I DS est directement couplé avec un firewall, le flux analysé traversant cet équipement. Cela offre alors des possibilités de coupu re du trafic semblable aux systèmes IDS actif, mais plus performantes en temps de réaction. Les principes de détection restent les mêmes, les données pertinentes sur lesquelles l'analyse se base sont généralement des séquences d'envoi de messages connus (appelés les signatu res des attaques). Les systèmes I DS sont connus pour présenter de lou rds inconvénients: - ils sont très chers à cause de la technologie de la sonde qui doit être capable d'analyser de grande quantité de trafic; - ils ne sont pas très fiables car, comme tout système de recon naissance automatique ils émettent des alarmes injustifiées (false positive) et réciproquement laissent passer des attaques (false négative); - ils ne cherchent à détecter que les attaques connues. La réponse qu'ils fournissent à une attaque n'est pas satisfaisante, Dans le cas d'un système IDS, une alarme est envoyée à un opérateur humain qui doit réagir en conséquence. La présence permanente d'un opérateur est d'ailleurs impensable sur un petit réseau. Dans le cas des systèmes I PS , la réponse n'est pas meilleure que celle d'un firewall et on se reportera ci- dessus pour l'analyse. Le procédé de l'invention peut être implémenté soit dans un équipement spécifique, soit comme une fonction supplémentaire dans un équipement de traitement de flux déjà présent - comme par exemple un routeur, un pare-feu ou un serveur DNS. Dans tous les cas, il est indispensable que la totalité du trafic à contrôler passe par cet équipement. Un tel équipement de traitement de flux représenté schématiquement à la figure 3 comporte une interface d'entrée 1 5 et une interface de sortie 17 et que le trafic arrivant sur l'interface d'entrée est réémis sur l'interface de sortie selon une logique définie par le procédé de l'invention . Elle repose sur le principe suivant qui est exécuté sur un processeur 16 de l'équipement de traitement de flux, le flux Fie est réémis sur l'interface de sortie comme flux Fjs avec un délai plus ou moins long , ni trop pour ne pas être perceptible des utilisateurs "honnêtes", ni trop peu pour ne pas permettre à un utilisateur malhonnête de faire circuler des données non autorisées. D'un point de vue physique; les deux interfaces peuvent être réalisées su r la même carte réseau . La distinction entre entrée et sortie est valable pour le trafic allant dans un sens. Si l'invention traite également le trafic dans l'autre sens, les rôles des interfaces sont intervertis. Dans le procédé de l'invention, on exécute d'abord la désignation des classes de flux à su rveiller. La désignation des classes flux à su rveiller peut se baser sur la valeur de certains champs du paquet I P tel que cela ce pratique pour la configuration des passerelles I Psec (RFC 2401 ) ou des firewalls. Par exemple, on peut retenir une désignation des classes de flux par une combinaison des valeurs su ivantes: une ad resse ou une plage d'adresses I P source, une adresse ou une plage d'adresses IP destination , un protocole de niveau supérieur (UDP, TCP, ICMP... ), un numéro de port, une valeur d'un champ dans la partie protocole de niveau supérieur. De manière générale, tout champ protocolaire lisible et interprétable par l'équipement peut être retenu comme critère de sélection , quelque soit son niveau dans la pile des protocoles. De manière spécifique, dans le cas où l'invention ne fonctionne que comme u n ajout à un service particulier, l'implantation d'un système de désignation de classe de flux complet n'est pas forcément nécessaire. Par exemple si le procédé de l'invention est ajouté à un serveu r de résolution de noms DNS dans le but d'empêcher les canaux cachés sur le protocole DNS, alors seule la classe de flux DNS est surveillée, ainsi qu'il sera décrit plus loin. Par conséquent il n'est pas utile de laisser la possibilité de désigner d'autres classes de flux. Dans un mode de réalisation de l'invention, on exécute un armement du mécanisme de bridage des flux à su rveiller. Quand on détecte, sur l'interface d'entrée 15 de l'équipement de traitement des flux, un flux Fje issu d'une machine particulière et appartenant à une classe de flux à su rveiller, on crée dynamiquement un compteur associé à ce flux. Pour le flux indexé N, on note CPTN le compteur associé. Dans un mode de réalisation de l'invention , le processeu r 16 de traitement des flux met en œuvre un mécanisme de bridage des flux non autorisés. Chaque fois qu'un paquet de données arrive sur l'interface d'entrée 1 5, lors d'une étape 21 : Lors d'une étape 22, on exécute un test de mise sous surveillance, s'il n'appartient pas à u n flux sous surveillance, alors il est réémis immédiatement sur l'interface de sortie 17 lors d'une étape 23. Lors d'un test 24, on vérifie si le paquet arrivé appartient à un flux sous surveillance. S'il appartient à un flux sous surveillance c'est-à-dire si un compteur CPTN lui est déjà associé, alors, lors d'une étape 25, le compteur CPTN est incrémenté d'un pas comme l'unité de 1 et le paquet est réémis sur l'interface de sortie 17 lors d'une étape 23, qui dépend d'une fonction f() prédéterminée dépendant de la valeur en cours du compteur CPTN après un délai DN = f(CPTΛ/). La fonction f() est appelée fonction de retardement. Dans un mode de réalisation, à chaque paquet réémis sur l'interface de sortie 17, le compteur CPTN est décrémenté de un pas, comme l'unité 1 , lors d'une étape 26. Dans un mode de réalisation, le procédé de l'invention comporte ensuite un mécanisme de relâchement de la surveillance d'un flux. Une fois que le compteur CPTN atteint une valeur suffisamment basse, cela signifie qu'il n'y a plus de tentative d'émission de trafic illicite. Le compteur CPTN peut alors être supprimé et trafic n'est plus sous surveillance. Cette propriété n'est toutefois pas indispensable, le trafic peut rester sous surveillance indéfiniment. Si à l'issue du test 24, le paquet n'a pas été identifié comme appartenant à une classe de flux sous surveillance, on attribue à son flux un nouveau compteur C PTN et on exécute l'étape 25. La fonction de retardement f n'est pas nécessairement unique pour toutes les classes de flux. Ainsi on pourra retarder un flux DNS avec u ne fonction f1 et un flux I CM P avec une fonction f2. La fonction de retardement f doit être au minimum croissante de façon à ce que plus l'attaquant envoie de trafic, plus son trafic est retardé. Une fonction de retardement f à dérivée seconde positive bloquera très vite le flux de l'attaquant. Par exemple f(CPTN) = exp( * CPTN + β) avec α >_0. Dans le cas d'une tentative de saturation de l'équipement de contrôle, un compteur CPTMAXN peut aussi être utilisé, si le nombre de paquets en attente d'émission dépasse la valeur CPTMAXN paramétrée par l'administrateur, alors les paquets en attente sont détruits selon un algorithme à choisir. Cette fonctionnalité a pour but d'éviter une saturation des ressou rces de l'invention. On présente ici un mode de réalisation du procédé de l'invention implémenté dans un serveur DNS local au réseau à protéger. On va maintenant décrire l'attaque se développant sans l'intervention du procédé de l'invention. Un réseau local 30 avec contrôle des flux est souvent construit selon un plan présenté sur le schéma de la figure 5. Le réseau local contient des terminaux, dont un exemplaire est représenté en 34, un serveur DNS, nommé DNS local 31 et un routeur/firewall 32 qui assure l'interconnexion du réseau local 30 avec un autre réseau 33 comme le réseau Internet. Le routeur/firewall 32 est configuré pour interdire certains flux, par exemple des flux « ftp » . Pou r contourner l'interdiction 36, le terminal 34 va encapsuler les paquets « ip » qui transportent le flux « ftp » dans des paquets DNS sur des chemins de flux DNS 37, par exemple, en codant de l'information dans des champs spécifiques du paquet. Il s'assure aussi que la requête DNS ne pourra être traitée que par le serveur DNS pirate 38 sous le contrôle du pirate à l'extérieu r du réseau local , en choisissant judicieusement les noms de domaines de la requête. La machine DNS pirate 38 pourra alors transférer les paquets vers le serveur « ftp » 39 demandé par le terminal. Le trafic dans l'autre sens prend exactement le chemin inverse. En implémentant l'invention su r le serveur DNS local, les attaques par canaux cachés sur DNS seront complètement bloquées. 1 ) Dans ce cas précis décrit à la figure 5, il n'y pas besoin d'implémenter une gestion des classes de flux et des flux sous surveillance. En effet, seuls les flux DNS passent par cette machine. 2) Par ailleurs, on peut surveiller tous les flux DNS en associant un flux à surveiller, c'est-à-dire créer un compteur CPγ pou r chaque terminal et ne jamais l'effacer. On fixe une valeur maximale de CPT comme CPTMAX, CPTMAX = 2000. 3) On décide arbitrairement que pour les services autorisés sur le réseau local , comme un service par exemple http, un débit seuil exprimé par un nombre maximum de requêtes DNS, par exemple de 30 par secondes et par terminal est acceptable. 4) On suppose qu'une attaque par canaux cachés par un terminal provoque une brusque élévation du nombre de requêtes DNS de l'ord re de 100 par seconde. 5) On choisit f(CPT) = exp(CPT/15) comme fonction de retardement (exprimé en milliseconde) On peut distinguer trois modes de fonctionnement d'un système DNS: - un fonctionnement normal : l'utilisateur n'est pas mal intentionné et fait un usage du système conforme à ce qui a été prévu . - un fonctionnement anormal : l'utilisateur est mal intentionné et est probablement en train de commettre une attaque su r le système. - un fonctionnement sub-normal : l'utilisateur n'est pas mal intentionné mais fait fonctionner ponctuellement le système légèrement au delà des limites prévues. L'analyse qui suit permet de montrer que le système s'auto-adapte à ces trois cas pour permettre à l'utilisateur d'utiliser correctement le service DNS dans le cas "normal" et "sub-normal", avec toutefois une légère perte de qualité de service dans le dernier cas; et de bloquer le trafic dans le cas "anormal". L'analyse qui suit n'est pas rigoureuse mais elle permet d'illustrer avec des valeurs numériques une implémentation du procédé, que l'on suivra sur un graphe temporel de la figure 6, représentant l'évolution du nombre de requêtes par seconde en fonction du temps. A la figure 6, on a représenté l'évolution du nombre de requêtes DNS par seconde en fonction du temps. Du fait de la structure du serveur DNS, le compteur affecté au flux surveillé augmente selon une droite 41 . La courbe 42 indique l'arrivée des requêtes pendant l'attaque et la courbe 40 indique le nombre acceptable de requêtes dans le serveur DNS. Enfin la courbe 43 ind ique l'évolution du nombre des requêtes réémises sur l'interface de sortie de l'équipement de traitement de flux DNS auquel le procédé de protection de l'invention est appliqué. 1 ) Cas "normal" Lorsque le système n'est pas sous le feu d'une attaque, il reçoit des requêtes DNS à traiter avec une fréquence de l'ordre de 30 par seconde selon le niveau 40 (figure 6). Le retard appliqué à chaque paquet est alors de exp(30/15) = 7, 39 ms. Cette valeur montre qu'un paquet sera retardé d'au plus 7,39 ms. Ceci veut dire que pratiquement la totalité des paquets arrivés pendant u ne durée d'une seconde seront réémis du rant la même seconde. En effet, 30 paquets bloqués au plus 7,39 ms totalisent une durée de 221, 7 ms, ce qui est largement inférieur à une seconde. Par conséquent, le compteur CPT garde une valeur voisine de 0. 2) Cas "anormal" Lorsque le système est sous le feu d'une attaque sur un serveur DNS, le procédé de l'invention attribue un compteur CPT au flux de l'attaquant, compteur qui va évoluer selon la courbe 41 . Par exemple 100 requêtes par seconde, sont émises, en moyenne, sur une seconde. Les paquets seront ralentis de exp(100/15) = 785, 77 ms. Par conséquent, su r la durée, CPT aura augmenté d'une valeur δCPT, grossièrement comprise entre 50 et 100 puisque très peu des paquets arrivés n'auront été réémis. Ensuite, le retard appliqué aux paquets arrivés la seconde d'après sera de exp((100 + δCPT)/15) = exp(δCPT) *785, 77 ms » 20 s. On voit donc bien que rapidement le délai appliqué devient complètement bloquant (20 s) et ne cesse de croître jusqu'à atteindre des limites fixées par la valeur maximale de CPT. 3) Cas "subnormal" Lorsque le système n' est pas sous le feu d'u ne attaque, il peut subir simplement une hausse brutale et ponctuelle du nombre de requêtes C'est le cas d'u n utilisateur qui visualise une page html qui comporte de nombreuses U RL, par exemple 40. Alors CPT va sortir de la zone de « bon fonctionnement » momentanément. Au maximum un retard de exp(40/15) = 14,39 ms sera appliqué, ce qui est insensible pour l'utilisateur qui affiche une page html dans un navigateu r. De plus, cette valeur ne permet pas à CPT de croître démesurément car les 40 paquets arrivés, même retardés de 14,39 ms, peuvent repartir dans la seconde durant laquelle ils sont arrivés. Un système 'tout ou rien' au rait bloqué complètement le trafic parce qu'il était sortit de la zone de bon fonctionnement (CPT<30). A l'inverse, l'invention n'introdu it qu'une légère perte de qualité de service (un retard de 14,39 ms) qui s'estompe au fur et à mesure que le système rejoint le mode de fonctionnement "normal". A titre de second exemple, on présente ici comment le procédé de l'invention peut être implémenté dans un serveur Proxy-RADI US local au réseau à protéger. Globalement, le fonctionnement est similaire à la description précédente sur l'implémentation dans le service DNS. En effet, l 'idée dans le cas de la limitation des impacts de l'attaque sur l'authentification GSM, est d'utiliser l'invention en coupure du transport de l'authentification GSM. Par conséquent, la description sera plus succincte, et ne s'attardera que sur les points pa rticuliers à l'authentification GSM. La position la plus simple du mécanisme de contrôle est le proxy-RADIUS pou r plusieurs raisons: L'authentification transite à travers le proxy-RADI US, quel que soit l'opérateur GSM visé (roaming); Les modifications sur le réseau GSM de l'opérateur sont très lourdes et peuvent avoir un impact fort sur les clients GSM. Les champs utilisés pour le mécanisme de contrôle seront contenus dans les données du mécanisme d'authentification EAP- SI M . En effet, il est possible de savoir vers quel opérateur l'authentification EAP-SIM est demandée (sous la forme utilisateur(S)opérateurGSM'). I l est donc possible de mettre en place l'invention au niveau du hot spot, pour protéger tous les opérateurs GSM de ce type d'attaque par déni de service. Ensuite, le mécanisme de contrôle s'exécute dans le cadre normal de l'invention (voir figure 3), qui permet de limiter le nombre de demandes d'authentification grâce à une analyse comportementale sur le transport de l'authentification. On remarque que la présente invention comporte aussi un usage de détection des usages illicites. En effet, le protocole dans un mode de réalisation de l'invention comporte aussi une étape pour détecter une évolution du débit associé à un flux surveillé caractéristique d'un usage illicite. C'est particulièrement le cas quand le compteur associé à un flux surveillé passe par une valeur maximale, puis se réduit rapidement vers un débit nul. Dans un tel cas, le procédé de l'invention permet de produire une alarme d'un tel usage illicite. Un tel signal d'alarme est transmis à un administrateur de réseau qui peut prendre toute mesure, notamment en tenant un historique des incidents , en cherchant l'identité des auteurs de tels usages illicites et en appliquant toute mesure ultérieure pour réduire l'accès à de tels auteurs.
ABREVIATIONS DNS: Domain Name Service EAP: Extensible Authentication Protocol EAP-SI M : EAP-Subscriber Identity Module
GSM: Global System for Mobile Communications
I CMP: I nternet Control Message Protocol
I P: Internet Protocol NAI : Network Access Identifier (identificateur d'accès réseau )
RADI US: Remote Access Dial In User Service (service des utilisateurs pour la numérotation distante)
TCP: Transport Control Protocol (protocole de commande de transport) U DP: User Datagram Protocol (protocole d'utilisation de datagrammes)
I DS : I ntrusion Détection System (système de détection d'intrusion)
I PS = Intrusion Prévention System (système de prévention d'intrusion)
RFC : Request For Communication
HTTP : Hyper Text Transfer Protocol (protocole de transfert de fichiers hypertexte)
FTP : File Transfer Protocol (protocole de transfert de fichiers) HTML = Hyper Text Mark-up Language (langage de marquage hypertexte)

Claims

REVENDI CATIONS 1 . Procédé de détection et de prévention des usages illicites de certains protocoles de réseaux sans altération de leurs usages licites, caractérisé en ce qu'il consiste, pour un flux de paquets de données d'entrée, à appliquer une fonction de retardement f() pour chaque paquet, appliquant un retard insuffisant pour gêner un usage licite, mais suffisant pour gêner un usage illicite. 2. Procédé selon la revendication 1 , notamment dans un protocole de signalisation, caractérisé en ce qu'il consiste à sélectionner une fonction de retardement croissante avec le débit du flux surveillé, de sorte que si l'usage illicite du protocole à titre de transport de données privées vient à dépasser un débit standard , le retard croit indéfiniment ce qui coupe pratiquement le canal en usage illicite sans gêner les autres flux. 3. Procédé selon l'une des revendications précédentes, caractérisé en ce qu'il consiste, à la détection (21 ) d'arrivée d'un paquet de données, à déterminer (22) s'il appartient à un flux surveillé et dans la négative, à lui affecter un compteu r (CPT). 4. Procédé selon la revendication 3, caractérisé en ce qu'il consiste, après la détection (21 ) d'arrivée d'un paquet de données, à incrémenter (25) le compteur associé au flux surveillé (C PTN ) d'un pas prédéterminé et à appliquer la valeur en cou rs du compteur comme argument de la fonction de retardement avant de relâcher le paquet de données sur un flux de sortie. 5. Procédé selon la revendication 4, caractérisé en ce qu'il consiste à sélectionner une fonction de retardement à dérivée seconde positive. 6. Procédé selon la revendication 5, caractérisé en ce que la fonction de retardement est un exponentielle dépendant du compteu r associé au flux su rveillé selon une relation de la forme : f(CPTN) = exp{a * CPTN + β) avec α >_0. 7. Procédé selon l'une quelconque des revendications 3 à 6, caractérisé en ce qu'il consiste à déterminer pour le flux surveillé une valeur maximale admissible de débit CPTMAXN, pu is à déterminer si le nombre de paquets en attente d'émission dépasse la valeur CPTMAXN, et en réponse à détruire les paquets en attente. 8. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il consiste, pour un système DNS, à s'auto-adapter dans : - un fonctionnement normal : l'utilisateur n'est pas mal intentionné et fait un usage du système conforme à ce qui a été prévu , le compteur CPT associé gardant une valeur voisine de 0 ; - un fonctionnement anormal : l'utilisateur est mal intentionné et est probablement en train de commettre une attaque sur le système, le retard appliqué aux paquets DNS augmentant et le compteur CPT associé augmentant ; - un fonctionnement sub-normal : l'utilisateur n'est pas mal intentionné mais fait fonctionner ponctuellement le système légèrement au delà des limites prévues, le compteur CPT restant à des niveaux modérés. 9. Procédé selon l'une quelconque des revendications 1 à 7, caractérisé en ce qu'il est implémenté dans un serveur Proxy- RADI US, local au réseau GSM à protéger, en ce qu'il consiste à déterminer des champs utilisés pour le mécanisme de contrôle contenus dans les données du mécanisme d'authentification EAP- SI M, puis à exécuter le mécanisme de contrôle pour limiter le nombre de demandes d'authentification grâce à une analyse comportementale sur le transport de l'authentification. 1 0. Protocole selon l'une quelconque des revendications 3 à 9, caractérisé en ce qu'il comporte aussi une étape pou r détecter une évolution du débit associé à un flux surveillé caractéristique d'un usage illicite et pour produire une alarme d'un tel usage illicite.
EP04805415A 2003-11-28 2004-11-08 Procede de detection et de prevention des usages illicites de certains protocoles de reseaux sans alteration de leurs usages licites Withdrawn EP1698144A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0350929A FR2863128A1 (fr) 2003-11-28 2003-11-28 Procede de detection et de prevention des usages illicites de certains protocoles de reseaux sans alteration de leurs usages licites
PCT/FR2004/002872 WO2005064886A1 (fr) 2003-11-28 2004-11-08 Procede de detection et de prevention des usages illicites de certains protocoles de reseaux sans alteration de leurs usages licites

Publications (1)

Publication Number Publication Date
EP1698144A1 true EP1698144A1 (fr) 2006-09-06

Family

ID=34566377

Family Applications (1)

Application Number Title Priority Date Filing Date
EP04805415A Withdrawn EP1698144A1 (fr) 2003-11-28 2004-11-08 Procede de detection et de prevention des usages illicites de certains protocoles de reseaux sans alteration de leurs usages licites

Country Status (5)

Country Link
EP (1) EP1698144A1 (fr)
JP (1) JP2007512745A (fr)
CN (1) CN1906911A (fr)
FR (1) FR2863128A1 (fr)
WO (1) WO2005064886A1 (fr)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI20065179A0 (fi) 2006-03-20 2006-03-20 Nixu Sofware Oy Kokonaisuudeksi koottu nimipalvelin
US8826437B2 (en) * 2010-12-14 2014-09-02 General Electric Company Intelligent system and method for mitigating cyber attacks in critical systems through controlling latency of messages in a communications network
CN106534209B (zh) * 2016-12-29 2017-12-19 广东睿江云计算股份有限公司 一种分流反射型ddos流量的方法及系统

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10200581A (ja) * 1997-01-16 1998-07-31 Nippon Telegr & Teleph Corp <Ntt> Ipパケット遅延転送制御通信方法および装置
US6789203B1 (en) * 2000-06-26 2004-09-07 Sun Microsystems, Inc. Method and apparatus for preventing a denial of service (DOS) attack by selectively throttling TCP/IP requests
US7707305B2 (en) * 2000-10-17 2010-04-27 Cisco Technology, Inc. Methods and apparatus for protecting against overload conditions on nodes of a distributed network
JP3566700B2 (ja) * 2002-01-30 2004-09-15 株式会社東芝 サーバ計算機保護装置および同装置のデータ転送制御方法
JP3652661B2 (ja) * 2002-03-20 2005-05-25 日本電信電話株式会社 サービス不能攻撃の防御方法および装置ならびにそのコンピュータプログラム
US7313092B2 (en) * 2002-09-30 2007-12-25 Lucent Technologies Inc. Apparatus and method for an overload control procedure against denial of service attack
US20040236966A1 (en) * 2003-05-19 2004-11-25 Alcatel Queuing methods for mitigation of packet spoofing

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2005064886A1 *

Also Published As

Publication number Publication date
WO2005064886A1 (fr) 2005-07-14
JP2007512745A (ja) 2007-05-17
CN1906911A (zh) 2007-01-31
FR2863128A1 (fr) 2005-06-03

Similar Documents

Publication Publication Date Title
JP4955107B2 (ja) Ipネットワーク内のトラフィックを分類するための方法およびユニット
US7644151B2 (en) Network service zone locking
CA2470294C (fr) Blocage de zones d&#39;un service de reseau
KR101111433B1 (ko) 능동 네트워크 방어 시스템 및 방법
EP1733539B1 (fr) Dispositif et procédé de détection et de prévention d&#39;intrusions dans un réseau informatique
Anderson et al. Preventing Internet denial-of-service with capabilities
US7895326B2 (en) Network service zone locking
US7930740B2 (en) System and method for detection and mitigation of distributed denial of service attacks
KR101424490B1 (ko) 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법
US20140075539A1 (en) Packet classification in a network security device
US7475420B1 (en) Detecting network proxies through observation of symmetric relationships
US20090094691A1 (en) Intranet client protection service
Gont Security assessment of the internet protocol version 4
US7970886B1 (en) Detecting and preventing undesirable network traffic from being sourced out of a network domain
Gont et al. Recommendations on filtering of ipv4 packets containing ipv4 options
EP1698144A1 (fr) Procede de detection et de prevention des usages illicites de certains protocoles de reseaux sans alteration de leurs usages licites
US7873731B1 (en) Use of per-flow monotonically decreasing TTLs to prevent IDS circumvention
JP4322179B2 (ja) サービス拒絶攻撃防御方法およびシステム
WO2019035488A1 (fr) Dispositif de commande, système de communication, procédé de commande et programme informatique
Cisco Configuring Context-Based Access Control
US20070113290A1 (en) Method of detecting and preventing illicit use of certain network protocols without degrading legitimate use thereof
Townsley et al. Encapsulation of MPLS over Layer 2 Tunneling Protocol Version 3
KR101028101B1 (ko) 분산 서비스 거부 공격 방어 보안장치 및 그 방법
CN108377365B (zh) 基于视频安全接入路径的视频监控系统
Kabila Network Based Intrusion Detection and Prevention Systems in IP-Level Security Protocols

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20060626

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LU MC NL PL PT RO SE SI SK TR

RIN1 Information on inventor provided before grant (corrected)

Inventor name: CHARLES, OLIVIER

Inventor name: VEYSSET, FRANCK

Inventor name: BUTTI, LAURENT

RIN1 Information on inventor provided before grant (corrected)

Inventor name: CHARLES, OLIVIER

Inventor name: VEYSSET, FRANCK

Inventor name: BUTTI, LAURENT

DAX Request for extension of the european patent (deleted)
RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: FRANCE TELECOM

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20100601