EP4128701A1 - Communication management method and associated devices - Google Patents

Communication management method and associated devices

Info

Publication number
EP4128701A1
EP4128701A1 EP21732372.4A EP21732372A EP4128701A1 EP 4128701 A1 EP4128701 A1 EP 4128701A1 EP 21732372 A EP21732372 A EP 21732372A EP 4128701 A1 EP4128701 A1 EP 4128701A1
Authority
EP
European Patent Office
Prior art keywords
communication
network
collaboration
entity
action
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP21732372.4A
Other languages
German (de)
French (fr)
Inventor
Mohamed Boucadair
Christian Jacquenet
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Publication of EP4128701A1 publication Critical patent/EP4128701A1/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network

Definitions

  • the invention relates to the general field of telecommunications.
  • Such a service can be, for example, an intrusion or computer attack detection service, a flow filtering service via a firewall, an address translation service (or NAT for Network Address Translation), etc.
  • the invention applies in particular to computer attacks of the denial of service type (DoS (for "Deniai of Service” in English) or DDoS (for "Distributed DoS” in English)).
  • DoS attack can be defined as an attempt to make resources in an IT domain, such as network or compute resources, for example, unavailable to their users.
  • DDoS attacks are increasingly massive and likely to compromise several hundred thousand user equipment (fixed or mobile terminals, connected objects, servers, network resources, routers (CPE (for "Customer Premises Equipment” in English) for example), digital decoders of the STB type (for “Set Top Box” in English), service instances (or “Service Functions”, in English), etc.), which can in turn be used as relays for amplify the harmful power of these attacks.
  • CPE Customer Premises Equipment
  • STB type for “Set Top Box” in English
  • service instances or “Service Functions”, in English
  • etc. can in turn be used as relays for amplify the harmful power of these attacks.
  • the company Symantec in its annual report for 2019, reports nearly 24,000 applications embedded in mobile devices blocked daily by such attacks, a 600% increase between 2016 and 2017 in attacks targeting objects. connected, and an increase in the volume of attack traffic between 2016 and 2017, which represented 5% of global web traffic in 2016 against 7.8% in 2017.
  • DDoS attacks are also more and more frequent and intense. They are also protean, both in terms of their size (volume of attack traffic, amplitude of the attack, etc.) and in terms of their nuisance range (a single target machine, or several targeting the local network of a company, an operator's network, etc.).
  • the targets of these attacks or the relays used to propagate them are also extremely varied: fixed or mobile terminals, connected objects, servers, network resources, etc.
  • DPS protection services for "DDoS Protection Services" in English.
  • DPS protection services for "DDoS Protection Services" in English.
  • DPS protection services For "DDoS Protection Services" in English.
  • DPS protection services When a DPS protection service is subscribed to with an access provider, it is generally present on the path taken by the traffic entering and / or leaving the computer domain monitored and protected by the DPS service.
  • the task of such a DPS service can prove difficult in the case of encryption of incoming and / or outgoing traffic.
  • today we are witnessing an increase in encrypted traffic in particular with the increasing use of the QUIC transport protocol, in particular by certain commonly used applications such as than browsers provided by companies like Mozilla or Google to access Internet websites. This increase responds to a major concern of users who wish to ensure the confidentiality of their communications and of the data exchanged during them.
  • the QUIC protocol is a protocol which is based on the UDP protocol (User Datagram Protocol).
  • UDP User Datagram Protocol
  • the ambition of the QUIC protocol is in particular to reduce the latency times generally observed during the establishment of TCP (Transmission Control Protocol) connections (thus making it possible to exchange data more quickly), and to allow better accommodation of the presence of 'Intermediate entities (eg firewalls, NAT) on the paths supporting communications.
  • TCP Transmission Control Protocol
  • NAT Network Address Translation Protocol
  • the QUIC protocol is described for example in the IETF document by J. Iyengar et al. titled “QUIC: A UDP-based multiplexed and secure transport”, draft- ietf-quic-transport, 2019.
  • Such a packet comprises a public header 1 (that is to say unencrypted) comprising three elements: a first byte 1-1 comprising various indicators
  • the packet also includes an encrypted part 2, containing in particular the payload data transported by the packet, as well as various connection control information, such as, for example, information concerning the number of channels supported, information relating to the migration of the connection. login, changing login credentials, etc.
  • a QUIC packet does not expose useful information for filtering traffic entering a computer domain such as for example start information and end of connection, acknowledgments, etc.
  • proxy responsible for intercepting, in a transparent manner for the users, the characteristic data of their QUIC communications and for analyzing these. characteristics to determine whether the traffic passing through them is legitimate (that is, consented by users) or suspicious (that is, likely to be associated with a computer attack).
  • each proxy should maintain a connection with each of the devices involved in the communication, without however explicitly indicating this to the latter.
  • Each proxy must also maintain a state for each of the connections that it maintains, which requires significant resources (network, CPU, etc.). It thus constitutes de facto a particularly sensitive and critical element in the event of failure (also referred to as SPOF (“Single Point of Failure”)).
  • SPOF Single Point of Failure
  • the devices at the origin of QUIC communications can be multi-interface (that is to say have several access interfaces offering them connectivity via one or more networks), and thus establish communications using multiple paths or, on the contrary, only one path.
  • a proxy located on one of the paths has no visibility on the overall traffic associated with such a multi-interface device.
  • the invention meets this need by proposing, according to a first aspect, a method of managing communications according to a given transport protocol of a first device of a network, this method being implemented by the first device. and comprising, following a detection of a computer attack, a step of activating at the level of the first device, a collaboration with at least one entity of the network to mitigate the computer attack, this collaboration comprising an execution by the first device of at least one determined action called collaboration, during at least one said communication of the first device according to the given transport protocol, via the network.
  • the invention also relates to a first device of a network, comprising an activation module, triggered following a detection of a computer attack, and configured to activate at the level of the first device a collaboration with at least a network entity to mitigate the computer attack, this activation module being configured to perform, during this collaboration, at least one determined action called collaboration, during at least one communication from the first device according to a transport protocol given, through the network.
  • the first device can be user equipment (acting either as client or server) such as a terminal, server, gateway, etc., to which the network provides connectivity, but it can also be user equipment.
  • network infrastructure itself, participating in the management of communications within the network, such as a router.
  • the network entity can be any network device likely to be involved in the management of the detected computer attack, such as, for example, a piece of equipment implements an intrusion detection and / or attack mitigation function (e.g. DPS service), a firewall function, a NAT function, or even a network controller.
  • the first device and the network entity may be under the responsibility of the same administrative entity. This is typically the case of implementation within a corporate network.
  • the invention applies in a privileged manner to the QUIC transport protocol, but it can also be implemented for other transport protocols for which problems similar to those mentioned above for the QUIC protocol. may arise (eg lack of access to communications control information, absence of an explicit consent signal in the packet, etc.).
  • the invention proposes, when a computer attack is detected, to request or encourage the collaboration of the devices (“first devices” within the meaning of the invention) communicating via the network with one or more entities. network in order to mitigate the computer attack. All the devices participating in a communication or only a part of them can thus be brought to collaborate with the network.
  • This collaboration consists of the execution of one or more determined actions which may typically depend on the transport protocol used to establish the communications and on its characteristics, these actions aiming to facilitate the task of the entities of the network responsible for mitigate the computer attack, to distinguish legitimate traffic (that is to say traffic authorized by the user of the device) from suspicious traffic likely to be attributed to the attack.
  • Such actions can be, for example, for a communication according to a given transport protocol:
  • actions have a privileged application in the context of the QUIC protocol for which the control information relating to communications is encrypted and inaccessible by the entities of the network. Thanks to such actions, the entities involved in the mitigation of the current computer attack have a better visibility on the overall traffic destined for or emitted by the first devices and can, by analyzing this traffic, determine more easily whether it is legitimate or associated with the attack, and take appropriate action accordingly.
  • the invention by means of collaborative actions, moreover offers a less radical and more efficient solution in terms of performance than that consisting in a unilateral blocking by the network of the use of the transport protocol in question.
  • the devices are avoided to undergo a long delay during the establishment of their communications linked to unilateral filtering by the communications network according to the QUIC protocol (this delay coming from the time taken by the positive devices to note the failure of the establishment of their communications according to the QUIC protocol due to the filtering operated by the network).
  • the collaborative actions are activated by the device itself, including the (temporary) deactivation of the use of the QUIC protocol.
  • collaboration activated in accordance with the invention can also consist of the execution of a combination of actions, for example a disclosure of the control information and a freeze of the migration of the communication identifiers.
  • the collaboration proposed by the invention therefore advantageously makes it possible to improve the efficiency of the mitigation efforts undertaken within the network by targeting risky communications more easily. It also makes it possible to avoid a sudden interruption of communications following the detection of a computer attack.
  • the invention makes it possible to associate the ("first") communicating devices with the management of attacks. They are the ones who remain masters of the collaborative actions that are implemented (that is to say they who carry them out during their communications), even though these can be chosen in association with the entities of the network. involved in or suggested by attack mitigation.
  • the invention thus offers transparency as to the processing carried out by the network.
  • said at least one collaborative action is executed by the first device for a determined period.
  • This duration can be defined by default, or be fixed by the network or by the first device, and if necessary, be readjusted or renewed, for example as long as the computer attack is in progress. In this way, we ensure the exceptional nature of the collaboration thus put in place, so as to preserve the interests of users. Such a precaution allows the first device to control the information that it shares during the collaboration and to avoid abusive exploitation of this collaboration by the network.
  • the duration of execution of said at least one collaborative action is chosen to be greater than 60 minutes. Indeed, studies show that the vast majority of recent attacks lasted more than an hour, a small percentage of them having lasted more than 12 hours or even more than a day. It is noted that it is also possible, in a particular embodiment, to limit the number of collaborations with the network that can be activated by the first device. For example, it is possible to envisage allowing the activation of only one collaboration as proposed by the invention every 24 hours to avoid the abuse of certain networks.
  • the activation step is triggered by a reception from said at least one entity of the network, of a message proposing said collaboration.
  • the collaboration can be at the initiative of an entity of the network involved in the mitigation of the attack in progress, for example because it encounters difficulties in qualifying the traffic coming from or intended for the first device. (consented versus suspect).
  • the collaboration can be decided locally, at the level of the first device, for example because the latter has been informed or has detected a computer attack, or because it has been requested by one of its correspondents during a call.
  • the implementation of the invention is therefore particularly flexible.
  • the communications management method further comprises a sending step, to at least one second device participating in at least one said communication according to said given transport protocol with said first device , an information message informing said second device of the execution by the first device of said at least one collaborative action.
  • the first device informs its correspondents of the fact that it wishes or has agreed to collaborate with entities of the network for all or part of its communications, and in particular those involving the second device thus informed.
  • the collaboration is implemented in full transparency for each of the devices involved in the communications concerned by this collaboration.
  • the execution of said at least one collaborative action by the first device can moreover be conditioned by the reception of an agreement from the second device.
  • the information message sent by the first device to the second device comprises at least one condition for executing said collaborative action.
  • Such an execution condition is for example a duration of execution of the collaboration action, or to which communications or applications the said collaboration action applies (for example in which direction the collaboration is applied, that is, i.e. first device to second device and / or second device to first device), etc.
  • the invention is based, in order to implement a collaboration between the communicating devices and the entities of the network, not only on the communicating devices themselves (first and second devices within the meaning of invention), but also on the network entities benefiting from this collaboration.
  • the invention also relates to a method of communication with a first device of a network, this method being implemented by a second device and comprising: A step of receiving an information message from the first device, informing the second device of an execution by the first device of at least one action determined during at least one communication according to a transport protocol given with the second device, said action, called collaboration, allowing collaboration with at least one entity of the network to mitigate a computer attack;
  • the invention also relates to a device, said second device, comprising a communication module with a first device of a network, this communication module being configured for:
  • the communication method and the second device benefit from the same advantages mentioned above as the management method and the first device according to the invention.
  • At least one data packet exchanged during a said communication according to the transport protocol given between the first and second devices includes at least one header indicating in clear at least one piece of control information for this communication among:
  • this control information in the headers of the packets exchanged between the first and second devices advantageously makes it possible not to increase the signaling exchanged on the network.
  • this information can be encoded for example in reserved fields of the short or long header of QUIC packets.
  • this control information can be transmitted in dedicated messages, provided specifically for this purpose.
  • the invention also relates to a method of communication by an entity of a network to at least one device of the network, said method comprising, following an inability of said entity to determine whether a data flow intended for said or coming from said device is associated or not with a computer attack, a step of sending by said entity to said device a message proposing a collaboration of the device to mitigate said computer attack, said collaboration comprising an execution by the device of at least one determined action called collaboration, during at least one communication of said device according to a given transport protocol via said network.
  • the invention also relates to an entity of a network comprising a communication module, triggered by an inability of said entity to determine whether a data flow intended for or coming from a (first) device of the network is associated or not with a computer attack, this communication module being configured to send to said device a message proposing a collaboration of the device to mitigate said computer attack, said collaboration comprising an execution by the device of at least one determined so-called collaboration action, during at least one communication of said device according to a given transport protocol via the network.
  • the method of communication by the network entity and the network entity benefit from the same advantages mentioned above as the management method, the first device, the method of communication by the second device and the second device according to the invention.
  • the method of communication by the entity of the network further comprises a step of receiving at least one piece of information identifying at least one flow intended for said device granted by the latter, or identifying the device. at least one stream intended for said device and considered by the latter as being a stream associated with a computer attack.
  • This embodiment allows the first device to share with the entity of the network, independently or not of its current communications, the knowledge on the legitimate flows or on the contrary the suspect flows which it has locally.
  • This information can be provided for example:
  • This embodiment also makes it possible to activate easily and quickly upstream of the first device, at the level of the entity of the network, mechanisms for filtering the flows of the attack.
  • the method of communication by the network entity further comprises a step of sending to said device an authorization request for routing to said device of at least one stream of data identified in said request.
  • This embodiment allows the network entity to request explicit consent from the first device for the routing to the latter of the flows relating to its communications.
  • the method of communication by the network entity further comprises:
  • a step of receiving at least one data packet exchanged during said communication comprising at least one header in which at least one item of control information for said communication among a state of an establishment of said communication, a sending consent and / or reception of data packets by said device during said communication, and a consent or an absence of consent by said device of said communication is indicated in clear;
  • the communication and management methods are implemented by a computer.
  • the invention also relates to a computer program on a recording medium, this program being capable of being implemented in a computer or more generally in a first device in accordance with the invention and comprises suitable instructions. to the implementation of a management method as described above.
  • the invention also relates to a computer program on a recording medium, this program being capable of being implemented in a computer or more generally in a second device in accordance with the invention and comprises suitable instructions. to the implementation of a communication method by a second device as described above.
  • the invention also relates to a computer program on a recording medium, this program being capable of being implemented in a computer or more generally in an entity of a network in accordance with the invention and comprises instructions adapted to the implementation of a communication method by an entity of the network as described above.
  • Each of these programs can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in a partially compiled form, or in any other desirable shape.
  • the invention also relates to an information medium or a recording medium readable by a computer, and comprising instructions of a computer program as mentioned above.
  • the information or recording medium can be any entity or device capable of storing the programs.
  • the medium may comprise a storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or else a magnetic recording means, for example a hard disk, or a flash memory.
  • the information or recording medium can be a transmissible medium such as an electrical or optical signal, which can be routed via an electrical or optical cable, by radio link, by optical link without wire or by other means.
  • the program according to the invention can in particular be downloaded over a network of Internet type.
  • the information or recording medium can be an integrated circuit in which a program is incorporated, the circuit being adapted to execute or to be used in the execution of communication or management methods according to invention.
  • the invention relates to a system comprising:
  • said first device being configured to execute, following a detection of a computer attack, at least one action determined during at least one communication with the second device, so as to collaborate with said at least one entity to mitigate said computer attack.
  • the second device and / or the entity of the network conform to the invention.
  • the system benefits from the same advantages mentioned above as the communication and management methods, the first and second devices and the network entity according to the invention.
  • the communication and management methods, the first and second devices, the network entity and the system according to the invention have in combination all or part of the aforementioned characteristics.
  • FIG. 1 already described, represents the structure of a QUIC data packet with a short header
  • FIG. 2 represents, in its environment, a system according to the invention in a particular embodiment
  • FIG. 3 schematically represents the hardware architecture of devices and of an entity of a network in accordance with the invention, belonging to the system of FIG. 2;
  • FIG. 4 illustrates, in the form of a flowchart, the main steps of a communication method according to the invention, as implemented in a particular embodiment by a network entity of the system of FIG. 2;
  • FIG. 5 represents in flowchart form the main steps of a method for managing communications according to the invention, as implemented in a particular embodiment by one of the devices of the system of Figure 2;
  • FIG. 6 represents in flowchart form the main steps of a communication method according to the invention, as implemented in a particular embodiment by another of the devices of the system of FIG. 2;
  • FIG. 7 shows an example of modification of a short header of a QUIC data packet allowing the disclosure of control information in a particular embodiment of the invention
  • FIG. 8 shows examples of modification of long headers of a QUIC data packet allowing the disclosure of control information in a particular embodiment of the invention.
  • FIG. 9 represents two examples of use of the control information carried by the modified headers of QUIC data packets in a particular embodiment of the invention.
  • FIG. 2 shows, in its environment, a system 3 in accordance with the invention in a particular embodiment, this system 3 making it possible to establish a collaboration between one or more communicating devices and one or more entities of a communications network NW, involved in the mitigation of an ongoing computer attack targeting, or likely to affect, resources protected by said entities.
  • This collaboration is set up to manage communications passing through the network according to a given transport protocol in order to be able to share between the equipment (communicating devices and network entities) certain information making it possible to facilitate the mitigation of the computer attack.
  • the transport protocol considered is the QUIC transport protocol based on the UDP protocol.
  • the invention obviously applies to other transport protocols.
  • communicating devices can also be user equipment (clients or servers, terminals, CPEs (for "Customer Premises Equipment” in English), digital decoders. (or “set top box” in English), etc.) to which the NW network provides connectivity, as equipment from the NW network.
  • the term “communicating devices” is understood here to mean devices capable of establishing communication between them (also hereinafter referred to as connection in the context of the QUIC protocol). These communicating devices are distinguished here from entities located in the network proper, located on communication paths between communicating devices and via which passes the traffic exchanged between the communicating devices on these paths.
  • NW network which can be a fixed or mobile network, whatever the generation (eg 3G, 4G, 5G, 6G) of the latter, etc.
  • generation eg 3G, 4G, 5G, 6G
  • the NW network implements the QUIC transport protocol.
  • No limitation is attached either to the nature of the current computer attack that the system 3 is working to mitigate, or to the computer and / or network resources targeted by this attack. It may for example be a DDoS type attack as mentioned previously, or identity theft, ransomware, etc., which can impact any type of resources such as computing or memory resources, network (e.g. IP addresses, domain names, IP prefixes, etc.), interconnection links with other networks, etc.
  • DDoS type attack e.g. IP addresses, domain names, IP prefixes, etc.
  • interconnection links with other networks e.g. IP addresses, domain names, IP prefixes, etc.
  • the system 3 is based, to mitigate an attack IT ATTACK in progress detected by the NW network (either directly by the latter or via an entity external to the NW network), on two communicating devices 4 and 5 and a network entity 6, the network entity 6 here offering a service Protective DPS against computer attacks and protecting the resources of the NW network.
  • the ATTACK computer attack does not necessarily directly target resources of the NW network protected by the DPS entity 6 or the communicating devices 4 and 5.
  • the resources targeted by the ATTACK computer attack can be of any nature: equipment connected to devices 4 and 5 if these are CPEs for example, applications embedded in devices 4 and 5, all or part of the resources protected by the DPS entity 6, etc. It may for example be that the resources protected by the DPS entity 6 and / or the devices 4 and 5 are not directly targets of the attack but serve as relays for the latter, or make it possible to reach the targets of the attack. the attack.
  • the invention applies to other entities of the network 6 that can implement other functions than a function of protection against computer attacks, and playing a direct or indirect role in the mitigation of an ongoing computer attack.
  • the invention applies generally to any entity located in the NW network, and configured to perform processing on the traffic routed via this network, such as mitigation, filtering (eg firewalls) or bypass processing.
  • traffic classification core for example PCEF (Policy and Charging Enforcement Function)
  • PCEF Policy and Charging Enforcement Function
  • the devices 4 and 5 and the network entity 6 all conform to the invention, and have the hardware architecture of a computer 7, as shown schematically in FIG. 3.
  • the devices 4 and 5 are configured here to act sometimes as a first, respectively a second, device within the meaning of the invention. It should be noted that they can act in this way depending on whether they are at the origin of the establishment of a communication and / or recipient of a communication.
  • the devices 4 and 5 and the network entity 6 include in particular a processor 8, a random access memory 9, a read only memory 10, a non-volatile memory 11, and communication means 12 allowing them in particular to communicate with each other. .
  • These communication means 12 are based on a wired or wireless communication interface, known per se and not described in more detail here.
  • the communication means 12 are configured to implement the QUIC transport protocol, and to send and receive data streams in accordance with the QUIC protocol.
  • Each stream comprises one or more QUIC data packets, each QUIC packet itself possibly comprising one or more QUIC frames.
  • a QUIC frame can be a control frame (eg CONNECTION_CLOSE frame used to close a QUIC connection) or a data frame (eg STREAM frame).
  • the read-only memory 10 of the computer 7 constitutes a recording medium in accordance with the invention, readable by the processor 8 and on which is or are recorded (s) one or more computer programs in accordance with the 'invention.
  • the read only memory 10 of each of the devices 4 and 5 comprises a recording of two computer programs PROG4 and PROG5.
  • the PROG4 program defines functional modules of a first device within the meaning of the invention which are based on or control the hardware elements 8 to 12 of the computer. nateur 7 cited above. These modules, triggered following the detection of the ATTACK computer attack, include in particular in the embodiment described here (see FIG. 2):
  • an activation module 4A configured to activate, at the level of the first device, a collaboration with at least one entity of the NW network (and in particular with the DPS entity 6) in order to mitigate the ATTACK computer attack.
  • This activation module 4A is configured to execute, during this collaboration, at least one determined action called collaboration, during at least one communication from the first device according to a given transport protocol (QUIC in the example considered here) via the NW network;
  • a transmission / reception module 4B configured to send and receive messages to and from other communicating devices of the NW network. Such messages are described in more detail later.
  • the PROG5 program defines functional modules of a second device within the meaning of the invention which are based on or control the hardware elements 8 to 12 of the computer 7 mentioned above. These modules, triggered following the detection of the ATTACK computer attack, include in particular in the embodiment described here (cf. FIG. 2), a transmission / reception (or more generally communication) module 5A configured for:
  • each of the devices 4 and 5 can in turn be a first and a second device within the meaning of the invention, the transmission / reception modules 4B and 5A can be grouped together within a single module duly configured to perform the functions of each of the 4B and 5A modules.
  • the read-only memory 10 of the DPS entity 6 comprises a recording of a computer program PROG6.
  • This program PROG6 defines functional modules of the DPS entity 6 which are based on or control the hardware elements 8 to 12 of the computer 7 mentioned above. These modules, triggered following the detection of the ATTACK computer attack, include in particular in the embodiment described here (see FIG. 2):
  • a module 6A for detecting computer attacks targeting resources protected by the DPS 6 entity This module 6A is equipped with means for analyzing the traffic passing through the DPS 6 entity and with information which is fed back to it where applicable. by third party equipment connected to the NW network and / or external to the NW network;
  • module 6B • a module 6B for mitigating computer attacks detected by module 6A;
  • a communication module 6C triggered here on detection of an inability of the DPS entity 6 and in particular of its module 6A to determine whether a data flow intended for or coming from a device of the network NW is associated or not To a computer attack that it has detected (for example here at the ATTACK computer attack), this communication module being configured to send the device a message offering it a collaboration to mitigate said computer attack, this collaboration comprising an execution by the device of at least one determined collaboration action, during at least one communication of the device according to a given transport protocol (QUIC protocol in the example considered here), via the network NW.
  • a communication module 6C triggered here on detection of an inability of the DPS entity 6 and in particular of its module 6A to determine whether a data flow intended for or coming from a device of the network NW is associated or not To a computer attack that it has detected (for example here at the ATTACK computer attack), this communication module being configured to send the device a message offering it a collaboration to mitigate said computer attack, this collaboration comprising an execution by the device of at least one
  • FIG. 4 represents the main steps of a communication method according to the invention as it is implemented, in the embodiment described here, by the DPS entity 6 of the network NW.
  • FIG. 5 represents the main steps of a method of managing communications according to the invention as it is implemented, in the embodiment described here, by the communicating device 4 during its communications, in particular with the communicating device 5.
  • FIG. 6 represents the main steps of a communication method according to the invention as implemented, in the embodiment described here, by the communicating device 5.
  • the DPS entity 6 analyzes via its module 6A the traffic exchanged via the network NW and passing through it (step E20). It is assumed here in particular that the DPS entity 6 is located in the network NW on a path taken by the communications of the device 4, these communications being established here according to the QUIC transport protocol as mentioned above. There is no limitation on the nature of these communications: they may be voice communications, multimedia data transfer, etc., unilateral or bilateral. These communications result in the sending and / or receiving by the device 4 of data streams via the network NW, each data stream comprising a set of QUIC data packets.
  • these data packets are encrypted: the QUIC protocol as defined by ITETF encrypts not only the payload data contained in these packets, but also the connection control information (or communication control, a connection referring to a communication according to the QUIC protocol), with the exception of a small number of them (e.g. connection identifiers), as already commented on with reference to figure 1.
  • connection control information or communication control, a connection referring to a communication according to the QUIC protocol
  • the DPS entity 6 therefore continuously analyzes here, via its module 6A, the traffic (that is to say the data flows) intended for the device 4 and coming from the device 4 (described below. of “associated with the device 4” for the sake of simplicity), to determine whether or not it is affected by the ATTACK computer attack (test step E30). It does this in a manner known per se, for example by examining whether this traffic originates from a known target of the attack, whether it has suspicious characteristics (e.g.
  • the module 6A of the DPS entity 6 is based on statistics that it evaluates, or receives from other entities capable of collecting these statistics, from “public” data on the traffic associated with the device 4 at its disposal.
  • SNMP protocol Simple Network Management Protocol
  • NETCONF protocol NET- work CONFiguration
  • the DPS entity 6 If during this analysis, the DPS entity 6 is able to qualify the traffic, that is to say to decide whether or not it is associated with the attack ("yes" response to the test step E30), the DPS entity 6 processes the traffic appropriately according to this qualification (step E40). Thereby :
  • mitigation module 6B • if it determines that the traffic is associated with the ATTACK attack, it triggers, through its mitigation module 6B, one or more actions to mitigate the ATTACK computer attack.
  • mitigation actions are known per se, and of course depend on the nature of the ATTACK computer attack, its extent, the way in which the traffic associated with the device 4 is infected, etc.
  • Such actions may consist, for example, in blocking the attack traffic ("discard"), in notifying other entities of the NW network for the purpose of redirecting legitimate traffic, in dynamically setting up data wells.
  • the DPS entity 6 detects that it does not have the information necessary to determine whether the traffic originating or terminating at the device 4 is associated or not with the device.
  • ATTACK computer attack (“no” response to test step E30). For example, this traffic has suspicious characteristics as described above, but the DPS 6 entity is not in a position, on the basis of these characteristics, to decide whether it is “legitimate” traffic or not. 'it is associated with the ATTACK computer attack.
  • the DPS entity 6 then requests the device 4 to switch to a collaborative mode (step E50).
  • This collaboration consists, in accordance with the invention, in the execution by the device 4 of one or more determined actions called collaboration.
  • the message sent by the DPS entity 6 to the device 4 is a control frame QUIC, called for example here COMIT (for "COIIaborative MITigation"), and comprising the following elements :
  • a “Lifetime” parameter indicating the duration of the collaboration proposed by the DPS 6 entity; at the end of this deadline, the collaboration can be automatically deactivated by device 4. It is assumed here that a default value is defined for this parameter at the level of each device 4 (for example a value greater than or equal to 60 minutes ), so that if no value of the “Lifetime” parameter is explicitly indicated in the COMIT frame, the duration of the collaboration considered by the device 4 is set at least equal to this default value;
  • a “Strategy_ID” parameter indicating the collaborative action or actions that the DPS entity 6 proposes to the device 4 to perform to help it mitigate the ATTACK computer attack.
  • These actions can be of different types and include in particular the disclosure of communication control information from the device 4, the deactivation of the use of the encrypted transport protocol (QUIC here), or even the freezing of the migration of the communication identifiers. during the communications of the device 4 (so that the DPS entity 6 can more easily associate the data flows with the same communication, etc.).
  • the “Strategy_ID” parameter can take the following values in the context of the QUIC protocol:
  • CID connection identifiers
  • the device 4 on reception of the COMIT frame (step F10), the device 4 has, in the embodiment described here, the possibility of accepting or refusing the collaboration required by the DPS entity. 6 (test step F20). In this way, even if the collabora- tion is at the initiative of the DPS entity 6, the freedom to the device 4 is advantageously left to refuse the collaborative actions that the latter asks it to carry out.
  • the COMIT frame has the consequence of activating the collaboration at the level of the device 4, without requiring an explicit agreement from the latter.
  • step F20 If the device 4 refuses the collaboration ("no" response to test step F20), it informs the DPS entity 6 thereof or ignores the message (step F30).
  • the device 4 If the device 4 accepts the collaboration ("yes" response to test step F20), the device 4 saves the information contained in the COMIT frame (address of the DPS entity 6, duration of the collaboration, actions, etc.) in its non-volatile memory for example, and sends a collaboration confirmation message to the DPS entity 6 (step F40).
  • the collaboration is then activated within the device 4 via its activation module 4A for a minimum duration equal to the duration indicated in the “Lifetime” parameter. It should be noted that if necessary, this duration can be renewed, for example at the initiative of the DPS entity 6 if the ATTACK computer attack is not absorbed when the “Lifetime” period expires.
  • the COMIT frame does not contain a "Lifetime" parameter, no value is defined by default, and the collaboration can be activated for an indefinite period of time until a message is received putting an end to this. collaboration from the DPS 6 entity.
  • the activation of the collaboration at the level of the device 4 results in the execution by the device 4 of the collaboration actions proposed by the DPS entity 6 in the COMIT frame.
  • the device 4 can also request during this collaboration the DPS entity 6 or another entity of the NW network, to notify it of the data flows that it consents and / or the data flows that it accepts. considers as suspects, in other words as associated with a computer attack and in particular with the ATTACK computer attack, taking into account the local knowledge at his disposal of his communications. This can be done outside of any communication established by device 4.
  • the device 4 sends the DPS entity 6 a message comprising information identifying at least one flow intended for the device 4 granted by the latter, or identifying at least one. flow intended for the device 4 and considered by the latter as being a flow associated with a computer attack.
  • This message here takes the form of one of the following commands, each command possibly being associated with a dedicated QUIC control frame:
  • Data flow identifiers can be populated with connection identifiers (CID) or other information to identify the affected data flows, such as source address, source port, etc. ;
  • the DPS entity 6 can itself request the device 4 to ask it for its explicit authorization to route one or more communications to it (or similarly one or more data streams) .
  • it can send it for example a message in the form of a QUIC control frame called CONSENT_CHECK here, comprising the following parameters:
  • a “FLOW_ID” parameter indicating the identifier of at least one communication (or connection), this identifier possibly being, as indicated above, a connection identifier, a source address, a source port, and so on. ;
  • a “Magic Nonce” parameter comprising an identifier generated randomly, the purpose of which is to allow the DPS entity 6 to correlate the CON- SENT_CHECK frame with the response to this frame sent by the device 4.
  • the DPS entity 6 stores in its non-volatile memory the filtering or routing rules agreed with the device 4, and the therefore applies to incoming communications intended for device 4.
  • this information can be sent by the device 4 to the DPS entity 6 outside the communications of the device 4 according to the QUIC protocol, via dedicated messages (or QUIC frames) provided for this purpose. .
  • These messages can be intended for the DPS 6 entity or be broadcast in the network on a predetermined address provided for this purpose, and shared for example by the entities involved in the security of the NW network (for example an IP multicast address reserved for this effect and corresponding to a multicast group to which the entities of the NW network concerned are subscribed).
  • the collaboration actions can be executed by the device 4 during all or part of its communications.
  • the device 4 can, in one embodiment, decide on the communications to which it decides to apply the collaborative actions.
  • a negotiation phase is implemented between the device 4, which has agreed to collaborate with the DPS entity 6 of the NW network , and its correspondents, in other words the devices with which it has established communications during which it plans to execute the collaboration actions (step F50).
  • the execution of collaborative actions by device 4 is conditioned here by the success of this negotiation phase (“yes” response to test step F60): in other words, collaboration actions are only executed by device 4 during its communications if they are approved by its correspondents or under conditions approved by its correspondents .
  • the device 4 may only apply the collaborative actions with some of its correspondents.
  • FIG. 6 represents the main steps implemented by the device 5 during this negotiation phase. These steps are executed in the context of the communication method according to the invention implemented by the device 5.
  • the device 4 sends a message to the device 5 informing it of the execution of collaborative action (s) during the process. its communications with the device 5.
  • This information message is received by the device 5 via its transmission / reception module 5A. It takes the form here of a QUIC frame, encrypted in accordance with the principles of the QUIC protocol.
  • the information message sent by device 4 depends on the collaborative action performed by device 4 (a separate frame depending on the action), and includes one or more conditions for executing collaborative action.
  • the collaborative action executed by the device 4 is the disclosure of control information on the communications of the device 4
  • the information message sent by the device 4 is a QUIC frame named here CON- TROL_REVEAL and comprising in particular the following parameters to specify the conditions for executing the disclosure of the control information:
  • this parameter can take the following values:
  • the device 5 accepts the collaboration (response "yes” to the test step G20 and response "yes” to the step F60) and the execution of the collaboration action consisting in disclosing the information. of control of its communications with the positive device 4.
  • the device 5 then sends to the device 4 an acknowledgment message to inform it of its agreement (step G30).
  • the acknowledgment message is received by the positive device 4 via its transmission / reception module 4B.
  • the two devices 4 and 5 can be called upon independently to collaborate by the DPS entity 6 or by entities distinct from the network NW, or even if they belong to different networks, by entities distinct from their own. respective networks.
  • the devices 4 and 5 can then both send each other QUIC CONTROL_REVEAL frames as part of the same communication if, for example, they have respectively accepted such a collaboration.
  • the negotiation phase which has just been described is carried out for the communications (or connections) QUIC existing of the device 4, in other words for the communications already established.
  • a similar negotiation phase can also be conducted for future QUIC communications from device 4 (i.e., those to be established after a trigger event has been received / detected).
  • the device 4 when it sends a request for setting up a QUIC communication to a remote device (for example to the device 5), it uses a QUIC frame in which the communication control information are disclosed. It also sends, during this establishment request, a CONTROL_REVEAL frame to inform the device 5 of the conditions of execution of the collaboration actions (eg duration, direction).
  • the processing of the CONTROL_REVEAL frame by the device 5 is identical to what has been described previously for the communications in progress. It is therefore noted that for the processing of future communications, the negotiation comes second, and does not preclude the disclosure of the communication control information in the request for establishment of the communication.
  • the device 4 can therefore continue to disclose during its communications with the device 5 the information of control relating to these communications, during the period defined by the “Lifetime” parameter, and according to the execution conditions negotiated with the device 5 (step F70 in FIG. 5).
  • the communication control information is exposed in the public header of the QUIC data packets sent and / or received by the device 4.
  • a function located in the network NW through which these QUIC data packets transit (typically in the example considered here, the DPS entity 6), is able to access the control information disclosed by the device 4 (and / or by its correspondents ).
  • the inventors propose to modify the public part of the headers of the QUIC packets as currently defined in the QUIC protocol to indicate explicitly and in clear information of control of a communication.
  • Such information is for example:
  • FIG. 7 illustrates an example of such a modification for a short header of a QUIC packet.
  • the (reserved) indicator C of the first byte of the short header (cf. byte 1-1 shown in figure 1) is set to "1" to indicate that the QUIC packet contains a new field.
  • "Public Control Status” reflecting various communication control information (in the current state of the art, the reserved indicator C is generally valued at 0; if it is valued at 1, it is not taken. into account).
  • the “Public Control Status” field can be filled in, for example, with the following values:
  • a modification of the long headers to include a new “Public Control Status” field can also be envisaged as a variant, as illustrated by FIG. 8.
  • This field is positioned at “0x0” for the Initial packets (illustrated by the figure 8B) and 0-RTT (illustrated by figure 8A).
  • the advantage of this variant is that it allows the network function to detect in advance the connections established in a collaborative way.
  • said function can keep the CID (Source and Destination) identifiers in memory to facilitate the correlation of the packets sent with the packets received and characteristic of the same QUIC communication.
  • the communicating devices involved in a communication can be configured. transiting through the DPS 6 entity, so that they do not send more than three QUIC packets revealing the control information for this communication.
  • FIG. 9 shows examples of uses by an entity of the network, for example here, by the DPS entity 6, of the control information disclosed in the headers of the QUIC packets exchanged between the devices 4 and 5, to mitigate a computer attack.
  • an agreed collaborative communication at the origin of the device 4, is characterized by the observation by the DPS entity 6 of the following elements:
  • the consent message corresponding to the "Public Control Status ”set to 0x3
  • the DPS entity 6 can decide to redirect the data packets of said communication to a cleaning center (more commonly called “Scrubbing center” in English) for processing these data packets or to block these data packets.
  • a cleaning center more commonly called "Scrubbing center” in English
  • All the packets of this communication, or even the packets of all the communications received from the device 5 are then blocked by the DPS entity 6 and rejected (rejects of the items (QUIC9) and (QUIC10)). These filterings can be removed after the expiration of a specific deadline. It is noted that preferably, the message intercepted by the DPS entity 6 is not routed to the device 5 to prevent the latter from using it to adjust its attack strategy.
  • control information within the framework of the QUIC protocol advantageously allows the DPS entity 6 to better differentiate the traffic authorized by the device 4 from the traffic of the. attack, and take appropriate and effective actions to mitigate the attack.
  • the DPS entity 6 can propose to the device 4 (and where appropriate to the positive device 5) other collaborative actions, and in particular the freezing of the migration of the communication identifiers during the communications established by the device 4 (corresponding to the “Strategy_ID” parameter valued at 0x2 in the COMIT frame transmitted by the DPS entity 6 to the device 4).
  • connection identifiers More commonly referred to as connection identifiers or CID in the context of the QUIC protocol
  • CID connection identifiers
  • This change also known as the “migration of connection identifiers”, is conventionally done via the exchange of QUIC frames provided for this purpose and whose content is encrypted, in particular the connection identifiers to which the communication is intended. to set up so that it is not possible for network entities to make the link between the new connection identifiers of a communication used after migration by the communicating devices and the previous connection identifiers used before migration.
  • the invention offers the possibility of freezing the migration of the connection identifiers relating to a communication during a determined period which may be equal to the value of the "Lifetime" parameter supplied in the COMIT frame, or as a variant, correspond to the time that will last. Communication.
  • the classification by a network function such as the entity DPS 6 of the data packets characteristic of this communication is simplified, because this makes it possible to correlate the packets sent with the packets received during the same communication.
  • the same communication is uniquely identified while one or more mitigation action (s) is / are in progress.
  • the analysis of the packets by the entity DPS6 to determine whether they belong to traffic authorized by the device 4 or to attack traffic is therefore greatly simplified.
  • the device 4 can initiate a negotiation phase with its correspondents, and in particular here with device 5 (step F50 figure 5, steps G10 and G20 figure 6).
  • the device 4 sends to the device 5 a message informing it of the freezing of the connection identifiers that it intends to execute.
  • This message takes the form here of an encrypted QUIC frame called FREEZE_CID and notably comprising a “Lifetime” parameter indicating the duration during which the device 4 intends to maintain a unique connection identifier CID during its communication with the device 5.
  • the “Lifetime” duration is chosen so that the CID connection identifier remains the same throughout the communication (it should be noted that therefore, the “Lifetime” duration of maintenance of the CID connection identifier does not match. not necessarily to the duration of activation of the collaboration provided by the entity DPS 6 in the COMIT message, in particular it may be less than the duration provided in the COMIT message).
  • the FREEZE_CID frame can contain other parameters.
  • a connection identifier CID comprises two parts, a source connection identifier or SCID and a destination connection identifier or DCID.
  • the FREEZE_CID frame can indicate as an execution condition, to which part the maintenance recommended by the collaboration action applies.
  • connection using the known QUIC frames NEW_CONNECTION_ID and RETI RE_CO NN ECTIO N_I D, according to conventional QUIC protocol mechanics known to those skilled in the art.
  • the remote device 5 can accept (answer "yes” to the test step G20), respectively refuse (answer “no” to the test step G20), the freezing of the connection identifiers by responding with a message d 'acknowledgment ACK (step G30), or respectively by ignoring the FREEZE_CID message (step G40).
  • connection identifier CID composed here of a connection identifier generated by the device 4 and a connection identifier generated by the device 5 (serving in turn as SCID and DCID depending on the direction of the messages exchanged during the communication) (steps G50 and F70).
  • a negotiation phase similar or identical to those which have just been described for collaborative actions such as disclosure of control information and freezing of connection identifiers can also be implemented when the The DPS 6 entity proposes in its COMIT message a combination of several collaboration actions (for example, parameter “Strategy_ID” valued at 0x3 to request the freezing of connection identifiers and the disclosure of control information).
  • the remote device 5 can, during the negotiation phase, accept or refuse one or more of these collaboration actions.
  • another possible collaborative action may consist for the device 4 to deactivate the transport protocol QUIC to establish its communications and to use a transport protocol other than QUIC, such as for example the TCP transport protocol. to establish its future communications (that is to say, those to be established after a triggering event has been received / detected).
  • a transport protocol other than QUIC such as for example the TCP transport protocol.
  • a prior negotiation can be set up between the device 4 and its correspondents to ensure that the latter accept the deactivation of the QUIC protocol.
  • the device 4 uses the TCP protocol for establishing its new communications, both that the collaboration is active.
  • the device 4 can reuse the QUIC protocol for establishing its communications with its correspondents.
  • the triggering of the collaboration of the device 4 with the network NW and more particularly with the entity DPS 6, is initiated by the entity DPS 6.
  • the collaboration can be triggered by the device 4 itself.
  • the device 4 does not receive an explicit message from the network, but relies on events that it has observed locally (for example the detection of an attack) or which are reported to it by an available device. remote endpoint or a third party (external or not to the network).
  • the collaboration then concerns by default all of the QUIC communications of the device 4 via the network NW.
  • the device 4 can however at any time decide to activate this collaboration only for a subset of its communications, for example according to the nature of the events reported by its correspondents or by the network used to route the data of a communication. .
  • the device 4 is only connected to a single network NW and is only requested by a single network function, as seen by the DPS entity. 6.
  • the same device can be connected to several distinct networks and decide to activate a collaboration with one or more distinct entities of these networks.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

The invention relates to a method for managing communications in accordance with a given transport protocol implemented by a first device and comprising, following detection of a cyber attack, a step of activating (F40), in the first device, collaboration with at least one entity of the network in order to mitigate the cyber attack, this collaboration comprising execution (F70), by the first device, of at least one determined action, called collaboration action, during at least one said communication of the first device in accordance with the given transport protocol, via the network.

Description

Description Description
Titre de l'invention : Procédé de gestion de communications et dispositifs associés Title of the invention: Method of managing communications and associated devices
Technique antérieure Prior art
[0001] L'invention se rapporte au domaine général des télécommunications. The invention relates to the general field of telecommunications.
[0002] Elle concerne plus particulièrement un mécanisme permettant de faciliter, en cas de détection d'une attaque informatique, la gestion et le fonctionnement de services de sécurité opérant au sein d'un réseau IP (Internet Protocol). Un tel service peut être par exemple un service de détection d'intrusions ou d'attaques informatiques, un service de filtrage de flux via un pare-feu, un service de traductions d'adresses (ou NAT pour Network Address Translation), etc. [0002] It relates more particularly to a mechanism making it possible to facilitate, in the event of detection of a computer attack, the management and operation of security services operating within an IP (Internet Protocol) network. Such a service can be, for example, an intrusion or computer attack detection service, a flow filtering service via a firewall, an address translation service (or NAT for Network Address Translation), etc.
[0003] L'invention s'applique notamment aux attaques informatiques de type déni de service (DoS, (pour « Déniai of Service » en anglais) ou DDoS (pour « Distributed DoS » en anglais)). Une attaque DoS peut être définie comme une tentative de rendre des ressources d'un domaine informatique, telles que par exemple des ressources réseau ou de calcul, indisponibles pour leurs utilisateurs. [0003] The invention applies in particular to computer attacks of the denial of service type (DoS (for "Deniai of Service" in English) or DDoS (for "Distributed DoS" in English)). A DoS attack can be defined as an attempt to make resources in an IT domain, such as network or compute resources, for example, unavailable to their users.
[0004] Les attaques DDoS sont de plus en plus massives et de nature à compromettre plusieurs centaines de milliers d'équipements utilisateurs (terminaux fixes ou mobiles, objets connectés, serveurs, ressources réseau, routeurs (CPE (pour « Customer Premises Equipment » en anglais) par exemple), décodeurs numériques de type STB (pour « Set Top Box » en anglais), instances de service (ou « Service Functions », en anglais), etc.), qui peuvent à leur tour être utilisés comme relais pour amplifier le pouvoir de nuisance de ces attaques. A titre indicatif, la société Symantec, dans son rapport annuel de 2019, fait état de près de 24000 applications embarquées dans des terminaux mobiles bloquées quotidiennement par de telles attaques, d'une augmentation de 600% entre 2016 et 2017 des attaques ciblant des objets connectés, et d'une augmentation de la volumétrie du trafic d'attaque entre 2016 et 2017 qui représentait 5% du trafic web global en 2016 contre 7.8% en 2017. [0004] DDoS attacks are increasingly massive and likely to compromise several hundred thousand user equipment (fixed or mobile terminals, connected objects, servers, network resources, routers (CPE (for "Customer Premises Equipment" in English) for example), digital decoders of the STB type (for “Set Top Box” in English), service instances (or “Service Functions”, in English), etc.), which can in turn be used as relays for amplify the harmful power of these attacks. As an indication, the company Symantec, in its annual report for 2019, reports nearly 24,000 applications embedded in mobile devices blocked daily by such attacks, a 600% increase between 2016 and 2017 in attacks targeting objects. connected, and an increase in the volume of attack traffic between 2016 and 2017, which represented 5% of global web traffic in 2016 against 7.8% in 2017.
[0005] Les attaques DDoS sont aussi de plus en plus fréquentes et intenses. Elles sont en outre protéiformes, tant par leur dimensionnement (volumétrie du trafic de l'attaque, amplitude de l'attaque, etc.) que par leur portée de nuisance (une seule machine visée, ou plusieurs en visant le réseau local d'une entreprise, le réseau d'un opérateur, etc.). Les cibles de ces attaques ou les relais utilisés pour les propager sont en outre extrêmement variés : terminaux fixes ou mobiles, objets connectés, serveurs, ressources réseau, etc. [0005] DDoS attacks are also more and more frequent and intense. They are also protean, both in terms of their size (volume of attack traffic, amplitude of the attack, etc.) and in terms of their nuisance range (a single target machine, or several targeting the local network of a company, an operator's network, etc.). The targets of these attacks or the relays used to propagate them are also extremely varied: fixed or mobile terminals, connected objects, servers, network resources, etc.
[0006] Pour protéger leurs ressources informatiques contre de telles attaques, de nombreuses entreprises souscrivent à des offres de services de protection DPS (pour « DDoS Protection Services » en anglais). Lorsqu'un service de protection DPS est souscrit auprès d'un fournisseur d'accès, il est généralement présent sur le chemin emprunté par le trafic entrant et/ou sortant du domaine informatique surveillé et protégé par le service DPS. La tâche d'un tel service DPS peut toutefois s'avérer difficile en cas de chiffrement du trafic entrant et/ou sortant. Or, on assiste aujourd'hui à une augmentation du trafic chiffré, notamment avec l'utilisation croissante du protocole de transport QUIC, en particulier par certaines applications couramment utilisées telles que les navigateurs fournis par des sociétés comme Mozilla ou Google pour accéder aux sites web de l'Internet. Cette augmentation répond à une préoccupation majeure des utilisateurs qui souhaitent s'assurer de la confidentialité de leurs communications et des données échangées lors de celles-ci. To protect their computer resources against such attacks, many companies subscribe to offers of DPS protection services (for "DDoS Protection Services" in English). When a DPS protection service is subscribed to with an access provider, it is generally present on the path taken by the traffic entering and / or leaving the computer domain monitored and protected by the DPS service. However, the task of such a DPS service can prove difficult in the case of encryption of incoming and / or outgoing traffic. However, today we are witnessing an increase in encrypted traffic, in particular with the increasing use of the QUIC transport protocol, in particular by certain commonly used applications such as than browsers provided by companies like Mozilla or Google to access Internet websites. This increase responds to a major concern of users who wish to ensure the confidentiality of their communications and of the data exchanged during them.
[0007] De façon connue, le protocole QUIC est un protocole qui repose sur le protocole UDP (User Datagram Protocol). Le protocole QUIC a pour ambition notamment de réduire les temps de latence généralement observés lors de l'établissement de connexions TCP (Transmission Control Protocol) (permettant ainsi d'échanger des données plus rapidement), et de permettre une meilleure accommodation de la présence d'entités intermédiaires (par exemple, pare-feux, NAT) sur les chemins supportant les communications. Le protocole QUIC est décrit par exemple dans le document de l'IETF de J. Iyengar et al. intitulé « QUIC : A UDP-based multiplexed and secure transport », draft- ietf-quic-transport, 2019. In known manner, the QUIC protocol is a protocol which is based on the UDP protocol (User Datagram Protocol). The ambition of the QUIC protocol is in particular to reduce the latency times generally observed during the establishment of TCP (Transmission Control Protocol) connections (thus making it possible to exchange data more quickly), and to allow better accommodation of the presence of 'Intermediate entities (eg firewalls, NAT) on the paths supporting communications. The QUIC protocol is described for example in the IETF document by J. Iyengar et al. titled “QUIC: A UDP-based multiplexed and secure transport”, draft- ietf-quic-transport, 2019.
[0008] Conformément au protocole QUIC, non seulement les données utiles échangées lors des communications sont chiffrées, mais également la plupart des informations de contrôle de la communication (aussi souvent désignée par « connexion » dans le contexte du protocole QUIC). Les informations QUIC envoyées en clair sont limitées, comme illustré sur la figure 1, qui représente la structure d'un paquet de données QUIC à en-tête court (ou « short header » en anglais). [0008] In accordance with the QUIC protocol, not only the payload data exchanged during communications are encrypted, but also most of the communication control information (also often referred to as “connection” in the context of the QUIC protocol). The QUIC information sent in clear is limited, as illustrated in FIG. 1, which represents the structure of a short header QUIC data packet.
[0009] Un tel paquet comporte un en-tête 1 public (c'est-à-dire non chiffré) comprenant trois éléments : un premier octet 1-1 comprenant divers indicateurs |0| 1|S|R|C|K|P|P| (ou « Flags » en anglais), un deuxième élément 1-2 correspondant à l'identifiant de la connexion (CID pour Connection IDentifier) qui permet l'acheminement du paquet, et un troisième élément 1-3 contenant le numéro du paquet. Le paquet comporte par ailleurs une partie chiffrée 2, contenant notamment les données utiles transportées par le paquet, ainsi que diverses informations de contrôle de la connexion, comme par exemple des informations concernant le nombre de canaux supportés, des informations relatives à la migration de la connexion, au changement des identifiants de connexion, etc. [0009] Such a packet comprises a public header 1 (that is to say unencrypted) comprising three elements: a first byte 1-1 comprising various indicators | 0 | 1 | S | R | C | K | P | P | (or "Flags" in English), a second element 1-2 corresponding to the identifier of the connection (CID for Connection IDentifier) which allows the routing of the packet, and a third element 1-3 containing the number of the packet. The packet also includes an encrypted part 2, containing in particular the payload data transported by the packet, as well as various connection control information, such as, for example, information concerning the number of channels supported, information relating to the migration of the connection. login, changing login credentials, etc.
[0010] En outre, le protocole QUIC reposant sur le protocole de transport UDP, un paquet QUIC n'expose pas d'informations utiles pour le filtrage de trafic à l'entrée d'un domaine informatique telles que par exemple des informations de début et de fin de connexion, des acquittements, etc. In addition, the QUIC protocol based on the UDP transport protocol, a QUIC packet does not expose useful information for filtering traffic entering a computer domain such as for example start information and end of connection, acknowledgments, etc.
[0011] Ainsi, il est difficile pour un service DPS de déterminer si un trafic QUIC destiné à un équipement utilisateur est légitime (c'est-à-dire reçu avec le consentement du destinataire d'un paquet QUIC) ou s'il est suspect. Le protocole QUIC est donc particulièrement vulnérable aux attaques DDoS, et notamment aux attaques par réflexion et par usurpation d'identité. [0011] Thus, it is difficult for a DPS service to determine whether QUIC traffic intended for user equipment is legitimate (that is to say received with the consent of the recipient of a QUIC packet) or whether it is suspect. The QUIC protocol is therefore particularly vulnerable to DDoS attacks, and in particular to attacks by reflection and by identity theft.
[0012] Une approche pour résoudre ce problème pourrait consister à déployer au sein des réseaux des fournisseurs d'accès des « proxys » chargés d'intercepter, de façon transparente pour les utilisateurs, les données caractéristiques de leurs communications QUIC et d'analyser ces caractéristiques en vue de déterminer si le trafic transitant par eux est légitime (autrement dit, consenti par les utilisateurs) ou suspect (c'est-à-dire susceptible d'être associé à une attaque informatique). A cet effet, chaque proxy devrait maintenir une connexion avec chacun des dispositifs impliqués dans la communication, sans toutefois l'indiquer de façon explicite à ces derniers. One approach to solve this problem could consist in deploying within the networks of access providers "proxies" responsible for intercepting, in a transparent manner for the users, the characteristic data of their QUIC communications and for analyzing these. characteristics to determine whether the traffic passing through them is legitimate (that is, consented by users) or suspicious (that is, likely to be associated with a computer attack). To this end, each proxy should maintain a connection with each of the devices involved in the communication, without however explicitly indicating this to the latter.
[0013] Toutefois, une telle approche paraît difficilement viable. [0014] En effet, la mise en place de tels proxys serait réalisée à l'insu des utilisateurs sans leur consentement explicite, alors même qu'elle porterait atteinte à la confidentialité de leurs communications et qu'elle pourrait compromettre leurs données personnelles. However, such an approach seems hardly viable. [0014] Indeed, the setting up of such proxies would be carried out without the knowledge of the users without their explicit consent, even though it would undermine the confidentiality of their communications and could compromise their personal data.
[0015] En outre, cette approche introduirait de nouveaux vecteurs d'attaques, comme le souligne l'article de Z. Durumeric et al. intitulé « The security impact of HTTPS interception », NDSS'2017, selon lequel l'interception de communications chiffrées les rend plus vulnérables aux attaques. [0015] In addition, this approach would introduce new attack vectors, as the article by Z. Durumeric et al. titled "The security impact of HTTPS interception", NDSS'2017, according to which the interception of encrypted communications makes them more vulnerable to attacks.
[0016] Chaque proxy doit par ailleurs maintenir un état pour chacune des connexions qu'il maintient, ce qui nécessite des ressources (réseau, CPU, etc.) importantes. Il constitue ainsi de facto un élément particulièrement sensible et critique en cas de défaillance (aussi désigné par SPOF (« Single Point of Failure » en anglais)). Each proxy must also maintain a state for each of the connections that it maintains, which requires significant resources (network, CPU, etc.). It thus constitutes de facto a particularly sensitive and critical element in the event of failure (also referred to as SPOF (“Single Point of Failure”)).
[0017] De plus, les dispositifs à l'origine de communications QUIC peuvent être multi-inter- faces (c'est-à-dire disposer de plusieurs interfaces d'accès leur offrant une connectivité via un ou plusieurs réseaux), et ainsi établir des communications empruntant des chemins multiples ou au contraire seulement un chemin. Un proxy situé sur l'un des chemins n'a pas de visibilité sur le trafic global associé à un tel dispositif multi-interfaces. [0017] In addition, the devices at the origin of QUIC communications can be multi-interface (that is to say have several access interfaces offering them connectivity via one or more networks), and thus establish communications using multiple paths or, on the contrary, only one path. A proxy located on one of the paths has no visibility on the overall traffic associated with such a multi-interface device.
[0018] Il existe donc un besoin d'un mécanisme permettant d'améliorer la sécurité des domaines informatiques et par là-même des communications de leurs utilisateurs, y compris lorsque ces communications s'appuient sur des protocoles de transport chiffrés tels que QUIC, et ce, sans porter atteinte à la confidentialité de ces communications, ni compromettre les données personnelles des utilisateurs. [0018] There is therefore a need for a mechanism making it possible to improve the security of computer domains and thereby of the communications of their users, including when these communications are based on encrypted transport protocols such as QUIC, without compromising the confidentiality of these communications, nor compromising the personal data of users.
Exposé de l'invention Disclosure of the invention
[0019] L'invention répond à ce besoin en proposant, selon un premier aspect, un procédé de gestion de communications selon un protocole de transport donné d'un premier dispositif d'un réseau, ce procédé étant mis en œuvre par le premier dispositif et comprenant, suite à une détection d'une attaque informatique, une étape d'activation au niveau du premier dispositif, d'une collaboration avec au moins une entité du réseau pour mitiger l'attaque informatique, cette collaboration comprenant une exécution par le premier dispositif d'au moins une action déterminée dite de collaboration, lors d'au moins une dite communication du premier dispositif selon le protocole de transport donné, via le réseau. The invention meets this need by proposing, according to a first aspect, a method of managing communications according to a given transport protocol of a first device of a network, this method being implemented by the first device. and comprising, following a detection of a computer attack, a step of activating at the level of the first device, a collaboration with at least one entity of the network to mitigate the computer attack, this collaboration comprising an execution by the first device of at least one determined action called collaboration, during at least one said communication of the first device according to the given transport protocol, via the network.
[0020] Corrélativement, l'invention concerne aussi un premier dispositif d'un réseau, comprenant un module d'activation, déclenché suite à une détection d'une attaque informatique, et configuré pour activer au niveau du premier dispositif une collaboration avec au moins une entité du réseau pour mitiger l'attaque informatique, ce module d'activation étant configuré pour exécuter, lors de cette collaboration, au moins une action déterminée dite de collaboration, lors d'au moins une communication du premier dispositif selon un protocole de transport donné, via le réseau. Correspondingly, the invention also relates to a first device of a network, comprising an activation module, triggered following a detection of a computer attack, and configured to activate at the level of the first device a collaboration with at least a network entity to mitigate the computer attack, this activation module being configured to perform, during this collaboration, at least one determined action called collaboration, during at least one communication from the first device according to a transport protocol given, through the network.
[0021] Aucune limitation n'est attachée à la nature du premier dispositif ou de l'entité du réseau. Le premier dispositif peut être un équipement utilisateur (agissant indifféremment comme client ou comme serveur) tel un terminal, un serveur, une passerelle, etc., auquel le réseau fournit une connectivité, mais il peut également s'agir d'un équipement de l'infrastructure réseau à proprement parler, participant à la gestion des communications au sein du réseau, telle qu'un routeur. De même, l'entité du réseau peut être n'importe quel équipement du réseau susceptible d'être impliqué dans la gestion de l'attaque informatique détectée, comme par exemple un équipement met tant en œuvre une fonction de détection d'intrusions et/ou de mitigation des attaques (ex. service DPS), une fonction pare-feu, une fonction NAT, ou encore un contrôleur réseau. Le premier dispositif et l'entité du réseau peuvent être sous la responsabilité d'une même entité administrative. C'est typiquement le cas de mise en œuvre au sein d'un réseau d'entreprise. No limitation is attached to the nature of the first device or of the network entity. The first device can be user equipment (acting either as client or server) such as a terminal, server, gateway, etc., to which the network provides connectivity, but it can also be user equipment. network infrastructure itself, participating in the management of communications within the network, such as a router. Likewise, the network entity can be any network device likely to be involved in the management of the detected computer attack, such as, for example, a piece of equipment implements an intrusion detection and / or attack mitigation function (e.g. DPS service), a firewall function, a NAT function, or even a network controller. The first device and the network entity may be under the responsibility of the same administrative entity. This is typically the case of implementation within a corporate network.
[0022] Par ailleurs, l'invention s'applique de façon privilégiée au protocole de transport QUIC, mais elle peut également être mise en œuvre pour d'autres protocoles de transport pour lesquels des problèmes similaires à ceux évoqués précédemment pour le proto cole QUIC peuvent se poser (ex. absence d'accès aux informations de contrôle des communications, absence de signal de consentement explicite dans le paquet, etc.). Furthermore, the invention applies in a privileged manner to the QUIC transport protocol, but it can also be implemented for other transport protocols for which problems similar to those mentioned above for the QUIC protocol. may arise (eg lack of access to communications control information, absence of an explicit consent signal in the packet, etc.).
[0023] Ainsi, l'invention propose, lorsqu'une attaque informatique est détectée, de solliciter ou d'inciter la collaboration des dispositifs (« premiers dispositifs » au sens de l'inven tion) communiquant via le réseau avec une ou plusieurs entités du réseau en vue de mitiger l'attaque informatique. Tous les dispositifs participant à une communication ou seulement une partie d'entre eux peuvent être ainsi amenés à collaborer avec le ré seau. [0023] Thus, the invention proposes, when a computer attack is detected, to request or encourage the collaboration of the devices (“first devices” within the meaning of the invention) communicating via the network with one or more entities. network in order to mitigate the computer attack. All the devices participating in a communication or only a part of them can thus be brought to collaborate with the network.
[0024] Cette collaboration consiste en l'exécution d'une ou de plusieurs actions déterminées pouvant dépendre typiquement du protocole de transport utilisé pour établir les com munications et de ses caractéristiques, ces actions visant à faciliter la tâche des enti tés du réseau chargées de mitiger l'attaque informatique, pour distinguer le trafic légi time (c'est-à-dire consenti par l'utilisateur du dispositif) du trafic suspect susceptible d'être imputé à l'attaque. This collaboration consists of the execution of one or more determined actions which may typically depend on the transport protocol used to establish the communications and on its characteristics, these actions aiming to facilitate the task of the entities of the network responsible for mitigate the computer attack, to distinguish legitimate traffic (that is to say traffic authorized by the user of the device) from suspicious traffic likely to be attributed to the attack.
[0025] De telles actions (dites de collaboration dans la suite de la description) peuvent être par exemple, pour une communication selon un protocole de transport donné : [0025] Such actions (called collaborative actions in the remainder of the description) can be, for example, for a communication according to a given transport protocol:
• une divulgation d'informations de contrôle relatives à cette communication ;• a disclosure of control information relating to this communication;
• un gel de la migration des identifiants de communication (ou identifiants de con nexion) utilisés lors de la communication ; ou • a freeze on the migration of communication identifiers (or connection identifiers) used during communication; Where
• une désactivation de l'utilisation du protocole de transport en question lors de la communication. • deactivation of the use of the transport protocol in question during the communication.
[0026] Ces exemples d'actions ont une application privilégiée dans le contexte du protocole QUIC pour lequel les informations de contrôle relatives aux communications sont chif frées et inaccessibles par les entités du réseau. Grâce à de telles actions, les entités impliquées dans la mitigation de l'attaque informatique en cours ont une meilleure vi sibilité sur le trafic global destiné ou émis par les premiers dispositifs et peuvent, en analysant ce trafic, déterminer plus facilement s'il est légitime ou associé à l'attaque, et avoir une action appropriée en conséquence. These examples of actions have a privileged application in the context of the QUIC protocol for which the control information relating to communications is encrypted and inaccessible by the entities of the network. Thanks to such actions, the entities involved in the mitigation of the current computer attack have a better visibility on the overall traffic destined for or emitted by the first devices and can, by analyzing this traffic, determine more easily whether it is legitimate or associated with the attack, and take appropriate action accordingly.
[0027] En outre, très avantageusement, ces actions permettent de préserver la confidentialité des communications, puisque tout au plus, ce sont des informations de contrôle des communications qui sont divulguées ou restent inchangées pour permettre aux entités du réseau de corréler plus aisément les flux de données échangées entre eux avec les dispositifs à l'origine ou destinataires de ces flux. [0027] In addition, very advantageously, these actions make it possible to preserve the confidentiality of communications, since at most, it is communication control information which is disclosed or remains unchanged to allow the entities of the network to more easily correlate the flows. of data exchanged between them with the devices at the origin or recipients of these flows.
[0028] L'invention par le biais des actions de collaboration offre par ailleurs une solution moins radicale et plus efficace en termes de performances que celle consistant en un blocage unilatéral par le réseau de l'utilisation du protocole de transport considéré.The invention, by means of collaborative actions, moreover offers a less radical and more efficient solution in terms of performance than that consisting in a unilateral blocking by the network of the use of the transport protocol in question.
Ceci permet avantageusement de préserver la volonté et les intérêts des utilisateurs et notamment d'améliorer sensiblement la qualité du service de connectivité telle que perçue par l'utilisateur. Par exemple dans le cadre du protocole QUIC, certains services ou certaines applications reposent uniquement sur l'utilisation de ce protocole ; un blocage permanent de l'utilisation du protocole QUIC par le réseau conduirait à priver les utilisateurs de ces services et applications et serait contraire au principe de neutra lité de l'Internet. This advantageously makes it possible to preserve the will and the interests of the users and in particular to significantly improve the quality of the connectivity service such as perceived by the user. For example, within the framework of the QUIC protocol, certain services or certain applications are based solely on the use of this protocol; permanent blocking of the use of the QUIC protocol by the network would deprive users of these services and applications and would be contrary to the principle of the neutrality of the Internet.
[0029] En outre, grâce à l'invention, on évite aux dispositifs de subir un délai long lors de l'établissement de leurs communications lié à un filtrage unilatéral par le réseau des communications selon le protocole QUIC (ce délai provenant du temps mis par les dis positifs pour constater l'échec de l'établissement de leurs communications selon le protocole QUIC en raison du filtrage opéré par le réseau). Au contraire, dans le cadre de l'invention, les actions de collaboration sont activées par le dispositif lui-même, y compris la désactivation (temporaire) de l'utilisation du protocole QUIC. In addition, thanks to the invention, the devices are avoided to undergo a long delay during the establishment of their communications linked to unilateral filtering by the communications network according to the QUIC protocol (this delay coming from the time taken by the positive devices to note the failure of the establishment of their communications according to the QUIC protocol due to the filtering operated by the network). On the contrary, within the framework of the invention, the collaborative actions are activated by the device itself, including the (temporary) deactivation of the use of the QUIC protocol.
[0030] On note par ailleurs que ces exemples d'actions (et plus généralement les actions exé cutées par les dispositifs dans le cadre de la collaboration stimulée par l'invention) ne sont pas nécessairement destinés à aider une entité spécifique du réseau. Le premier dispositif n'a pas à adresser de messages spécifiques à une entité particulière pour collaborer selon ces exemples, mais tout ou partie des entités du réseau placées sur le chemin des communications peuvent en bénéficier. It should also be noted that these examples of actions (and more generally the actions carried out by the devices within the framework of the collaboration stimulated by the invention) are not necessarily intended to help a specific entity of the network. The first device does not have to send specific messages to a particular entity in order to collaborate according to these examples, but all or part of the entities of the network placed on the communications path can benefit from them.
[0031] Ces exemples d'actions ne sont bien entendu donnés qu'à titre indicatif, et d'autres ac tions peuvent être envisagées en variante, en fonction des protocoles de transport considérés. En outre, la collaboration activée conformément à l'invention peut égale ment consister en l'exécution d'une combinaison d'actions, par exemple une divulga tion des informations de contrôle et un gel de la migration des identifiants de commu nication. These examples of actions are of course given only as an indication, and other actions can be considered as a variant, depending on the transport protocols considered. In addition, the collaboration activated in accordance with the invention can also consist of the execution of a combination of actions, for example a disclosure of the control information and a freeze of the migration of the communication identifiers.
[0032] La collaboration proposée par l'invention permet donc avantageusement d'améliorer l'efficacité des efforts de mitigation entrepris au sein du réseau en ciblant plus facile ment les communications à risque. Elle permet également d'éviter une interruption brutale des communications suite à la détection d'une attaque informatique. The collaboration proposed by the invention therefore advantageously makes it possible to improve the efficiency of the mitigation efforts undertaken within the network by targeting risky communications more easily. It also makes it possible to avoid a sudden interruption of communications following the detection of a computer attack.
[0033] En outre, l'invention permet d'associer les (« premiers ») dispositifs communicants à la gestion des attaques. Ce sont eux qui restent maîtres des actions de collaboration qui sont mises en œuvre (c'est-à-dire eux qui les exécutent lors de leurs communica tions), quand bien même celles-ci peuvent être choisies en association avec les entités du réseau impliquées dans la mitigation de l'attaque ou suggérées par ces dernières. L'invention offre ainsi une transparence quant aux traitements réalisés par le réseau. [0033] In addition, the invention makes it possible to associate the ("first") communicating devices with the management of attacks. They are the ones who remain masters of the collaborative actions that are implemented (that is to say they who carry them out during their communications), even though these can be chosen in association with the entities of the network. involved in or suggested by attack mitigation. The invention thus offers transparency as to the processing carried out by the network.
[0034] Dans un mode particulier de réalisation de l'invention, ladite au moins une action de collaboration est exécutée par le premier dispositif pendant une durée déterminée. In a particular embodiment of the invention, said at least one collaborative action is executed by the first device for a determined period.
[0035] Cette durée peut être définie par défaut, ou être fixée par le réseau ou par le premier dispositif, et si besoin, être réajustée ou reconduite, par exemple tant que l'attaque informatique est en cours. De la sorte, on s'assure du caractère exceptionnel de la col laboration ainsi mise en place, de sorte à préserver l'intérêt des utilisateurs. Une telle précaution permet au premier dispositif de contrôler les informations qu'il partage lors de la collaboration et d'éviter une exploitation abusive de cette collaboration par le ré seau. This duration can be defined by default, or be fixed by the network or by the first device, and if necessary, be readjusted or renewed, for example as long as the computer attack is in progress. In this way, we ensure the exceptional nature of the collaboration thus put in place, so as to preserve the interests of users. Such a precaution allows the first device to control the information that it shares during the collaboration and to avoid abusive exploitation of this collaboration by the network.
[0036] Dans un mode particulier de réalisation, la durée d'exécution de ladite au moins une action de collaboration est choisie supérieure à 60 minutes. En effet, des études mon trent que la grande majorité des attaques récentes ont duré plus d'une heure, un faible pourcentage d'entre elles ayant duré plus de 12h voire plus d'une journée. [0037] On note qu'il est également possible, dans un mode particulier de réalisation, de limiter le nombre de collaborations avec le réseau pouvant être activées par le premier dispositif. Par exemple, on peut envisager de ne permettre l'activation que d'une seule collaboration telle que proposée par l'invention toutes les 24h pour éviter les abus de certains réseaux. In a particular embodiment, the duration of execution of said at least one collaborative action is chosen to be greater than 60 minutes. Indeed, studies show that the vast majority of recent attacks lasted more than an hour, a small percentage of them having lasted more than 12 hours or even more than a day. It is noted that it is also possible, in a particular embodiment, to limit the number of collaborations with the network that can be activated by the first device. For example, it is possible to envisage allowing the activation of only one collaboration as proposed by the invention every 24 hours to avoid the abuse of certain networks.
[0038] Dans un mode particulier de réalisation, l'étape d'activation est déclenchée par une réception en provenance de ladite au moins une entité du réseau, d'un message proposant ladite collaboration. In a particular embodiment, the activation step is triggered by a reception from said at least one entity of the network, of a message proposing said collaboration.
[0039] Autrement dit, la collaboration peut être à l'initiative d'une entité du réseau impliquée dans la mitigation de l'attaque en cours, par exemple parce qu'elle rencontre des difficultés à qualifier le trafic issu ou destiné au premier dispositif (consenti versus suspect). In other words, the collaboration can be at the initiative of an entity of the network involved in the mitigation of the attack in progress, for example because it encounters difficulties in qualifying the traffic coming from or intended for the first device. (consented versus suspect).
[0040] En variante, la collaboration peut être décidée localement, au niveau du premier dispositif, par exemple parce que celui-ci a été informé ou a détecté une attaque informatique, ou parce qu'il a été sollicité par l'un de ses correspondants lors d'une communication. [0040] As a variant, the collaboration can be decided locally, at the level of the first device, for example because the latter has been informed or has detected a computer attack, or because it has been requested by one of its correspondents during a call.
[0041] La mise en œuvre de l'invention est donc particulièrement flexible. The implementation of the invention is therefore particularly flexible.
[0042] Dans un mode particulier de l'invention, le procédé de gestion des communications comprend en outre une étape d'envoi, à un moins un deuxième dispositif participant à au moins une dite communication selon ledit protocole de transport donné avec ledit premier dispositif, d'un message d'information informant ledit deuxième dispositif de l'exécution par le premier dispositif de ladite au moins une action de collaboration. In a particular embodiment of the invention, the communications management method further comprises a sending step, to at least one second device participating in at least one said communication according to said given transport protocol with said first device , an information message informing said second device of the execution by the first device of said at least one collaborative action.
[0043] De cette façon, le premier dispositif informe ses correspondants du fait qu'il souhaite ou a accepté de collaborer avec des entités du réseau pour tout ou partie de ses communications, et notamment celles impliquant le deuxième dispositif ainsi informé. De la sorte, la collaboration est mise en œuvre en toute transparence pour chacun des dispositifs impliqués dans les communications concernées par cette collaboration. In this way, the first device informs its correspondents of the fact that it wishes or has agreed to collaborate with entities of the network for all or part of its communications, and in particular those involving the second device thus informed. In this way, the collaboration is implemented in full transparency for each of the devices involved in the communications concerned by this collaboration.
[0044] L'exécution de ladite au moins une action de collaboration par le premier dispositif peut par ailleurs être conditionnée par la réception d'un accord du deuxième dispositifThe execution of said at least one collaborative action by the first device can moreover be conditioned by the reception of an agreement from the second device.
[0045] On note toutefois que selon les actions de collaboration envisagées et leurs conditions d'exécution, l'information des correspondants et la réception de leur accord peuvent être optionnelles. However, it should be noted that depending on the collaborative actions envisaged and their conditions of execution, the information of correspondents and the reception of their agreement may be optional.
[0046] Dans un mode particulier de réalisation, le message d'information envoyé par le premier dispositif au deuxième dispositif comprend au moins une condition d'exécution de ladite action de collaboration. In a particular embodiment, the information message sent by the first device to the second device comprises at least one condition for executing said collaborative action.
[0047] Une telle condition d'exécution est par exemple une durée d'exécution de l'action de collaboration, ou à quelles communications ou applications s'applique ladite action de collaboration (par exemple dans quel sens la collaboration est appliquée, c'est-à-dire premier dispositif vers deuxième dispositif et/ou deuxième dispositif vers premier dispositif), etc. Such an execution condition is for example a duration of execution of the collaboration action, or to which communications or applications the said collaboration action applies (for example in which direction the collaboration is applied, that is, i.e. first device to second device and / or second device to first device), etc.
[0048] Au vu de ce qui précède, l'invention s'appuie, pour mettre en œuvre une collaboration entre les dispositifs communicants et les entités du réseau, non seulement sur les dispositifs communicants eux-mêmes (premier et deuxième dispositifs au sens de l'invention), mais également sur les entités du réseau bénéficiant de cette collaboration. In view of the foregoing, the invention is based, in order to implement a collaboration between the communicating devices and the entities of the network, not only on the communicating devices themselves (first and second devices within the meaning of invention), but also on the network entities benefiting from this collaboration.
[0049] Ainsi, selon un deuxième aspect, l'invention vise également un procédé de communication avec un premier dispositif d'un réseau, ce procédé étant mis en œuvre par un deuxième dispositif et comprenant : • une étape de réception d'un message d'information en provenance du premier dispositif, informant le deuxième dispositif d'une exécution par le premier disposi tif d'au moins une action déterminée lors d'au moins une communication selon un protocole de transport donné avec le deuxième dispositif, ladite action, dite de collaboration, permettant une collaboration avec au moins une entité du réseau pour mitiger une attaque informatique ; Thus, according to a second aspect, the invention also relates to a method of communication with a first device of a network, this method being implemented by a second device and comprising: A step of receiving an information message from the first device, informing the second device of an execution by the first device of at least one action determined during at least one communication according to a transport protocol given with the second device, said action, called collaboration, allowing collaboration with at least one entity of the network to mitigate a computer attack;
• si ledit deuxième dispositif accepte l'exécution de ladite action de collaboration, une étape d'information du premier dispositif de son accord. • if said second device accepts the execution of said collaboration action, a step of informing the first device of its agreement.
[0050] Corrélativement, l'invention concerne aussi un dispositif, dit deuxième dispositif, com prenant un module de communication avec un premier dispositif d'un réseau, ce mo dule de communication étant configuré pour : Correspondingly, the invention also relates to a device, said second device, comprising a communication module with a first device of a network, this communication module being configured for:
• recevoir un message d'information en provenance de ce premier dispositif, infor mant le deuxième dispositif d'une exécution par le premier dispositif d'au moins une action déterminée lors d'au moins une communication selon un protocole de transport donné avec le deuxième dispositif, ladite action, dite de collaboration, permettant une collaboration avec au moins une entité dudit réseau pour mitiger une attaque informatique ; • receive an information message from this first device, informing the second device of an execution by the first device of at least one action determined during at least one communication according to a given transport protocol with the second device, said action, called collaboration, allowing collaboration with at least one entity of said network to mitigate a computer attack;
• si ledit deuxième dispositif accepte l'exécution de ladite action de collaboration, informer le premier dispositif de son accord. • if said second device accepts the execution of said collaboration action, informing the first device of its agreement.
[0051] Le procédé de communication et le deuxième dispositif bénéficient des mêmes avan tages cités précédemment que le procédé de gestion et le premier dispositif selon l'in vention. The communication method and the second device benefit from the same advantages mentioned above as the management method and the first device according to the invention.
[0052] Dans un mode particulier de réalisation du procédé de communication et du procédé de gestion, au moins un paquet de données échangé lors d'une dite communication selon le protocole de transport donné entre les premier et deuxième dispositifs com prend au moins un entête indiquant en clair au moins une information de contrôle de cette communication parmi : In a particular embodiment of the communication method and of the management method, at least one data packet exchanged during a said communication according to the transport protocol given between the first and second devices includes at least one header indicating in clear at least one piece of control information for this communication among:
• un état d'un établissement de la communication ; • a state of a communication establishment;
• un consentement du premier ou du deuxième dispositif d'envoi et/ou de récep tion de paquets de données lors de cette communication ; et • consent from the first or second device for sending and / or receiving data packets during this communication; and
• un consentement ou une absence de consentement du premier ou du deuxième dispositif de cette communication. • consent or absence of consent of the first or second device of this communication.
[0053] Ces différentes informations de contrôle fournissent des données utiles aux entités du réseau qui peuvent être exploitées (puisqu'elles sont disponibles en clair) pour amélio rer la sécurité et mitiger plus efficacement l'attaque informatique en cours. These various control information provide useful data to network entities which can be exploited (since they are available in the clear) to improve security and more effectively mitigate the current computer attack.
[0054] La présence de ces informations de contrôle dans les en-têtes des paquets échangés entre les premier et deuxième dispositifs permet avantageusement de ne pas aug menter la signalisation échangée sur le réseau. Dans le contexte du protocole QUIC, ces informations peuvent être codées par exemple dans des champs réservés de l'en tête court ou long des paquets QUIC. Toutefois, en variante, ces informations de con trôle peuvent être transmises dans des messages dédiés, prévus spécifiquement à cet effet. The presence of this control information in the headers of the packets exchanged between the first and second devices advantageously makes it possible not to increase the signaling exchanged on the network. In the context of the QUIC protocol, this information can be encoded for example in reserved fields of the short or long header of QUIC packets. However, as a variant, this control information can be transmitted in dedicated messages, provided specifically for this purpose.
[0055] On note que classiquement lorsqu'une communication n'est pas consentie par un dis positif, celui-ci est généralement configuré pour ignorer cette communication. Trans mettre une information de contrôle aux entités du réseau reflétant qu'une communi cation n'est pas consentie par un dispositif peut permettre d'activer une fonction dans le réseau chargée de filtrer tous les flux relatifs à cette communication. Ceci peut être avantageux dans le cas d'un dispositif corrompu qui envoie par exemple à d'autres dispositifs des flux à son insu. It is noted that conventionally when a communication is not granted by a positive device, the latter is generally configured to ignore this communication. Transmitting control information to network entities reflecting that a communication is not granted by a device can enable a function to be activated in the network responsible for filtering all flows relating to this communication. This can be advantageous in the case of a corrupt device which, for example, sends streams to other devices without its knowledge.
[0056] Comme mentionné précédemment, selon un troisième aspect, l'invention vise également un procédé de communication par une entité d'un réseau à au moins un dispositif du réseau, ledit procédé comprenant, suite à une incapacité de ladite entité à déterminer si un flux de données destiné audit ou provenant dudit dispositif est associé ou non à une attaque informatique, une étape d'envoi par ladite entité audit dispositif d'un message proposant une collaboration du dispositif pour mitiger ladite attaque informatique, ladite collaboration comprenant une exécution par le dispositif d'au moins une action déterminée dite de collaboration, lors d'au moins une communication dudit dispositif selon un protocole de transport donné via ledit réseau. As mentioned above, according to a third aspect, the invention also relates to a method of communication by an entity of a network to at least one device of the network, said method comprising, following an inability of said entity to determine whether a data flow intended for said or coming from said device is associated or not with a computer attack, a step of sending by said entity to said device a message proposing a collaboration of the device to mitigate said computer attack, said collaboration comprising an execution by the device of at least one determined action called collaboration, during at least one communication of said device according to a given transport protocol via said network.
[0057] Corrélativement, l'invention concerne aussi une entité d'un réseau comprenant un module de communication, déclenché par une incapacité de ladite entité à déterminer si un flux de données destiné à ou provenant d'un (premier) dispositif du réseau est associé ou non à une attaque informatique, ce module de communication étant configuré pour envoyer audit dispositif un message proposant une collaboration du dispositif pour mitiger ladite attaque informatique, ladite collaboration comprenant une exécution par le dispositif d'au moins une action déterminée dite de collaboration, lors d'au moins une communication dudit dispositif selon un protocole de transport donné via le réseau. Correspondingly, the invention also relates to an entity of a network comprising a communication module, triggered by an inability of said entity to determine whether a data flow intended for or coming from a (first) device of the network is associated or not with a computer attack, this communication module being configured to send to said device a message proposing a collaboration of the device to mitigate said computer attack, said collaboration comprising an execution by the device of at least one determined so-called collaboration action, during at least one communication of said device according to a given transport protocol via the network.
[0058] Le procédé de communication par l'entité du réseau et l'entité du réseau bénéficient des mêmes avantages cités précédemment que le procédé de gestion, le premier dispositif, le procédé de communication par le deuxième dispositif et le deuxième dispositif selon l'invention. The method of communication by the network entity and the network entity benefit from the same advantages mentioned above as the management method, the first device, the method of communication by the second device and the second device according to the invention.
[0059] Dans un mode particulier de réalisation, le procédé de communication par l'entité du réseau comprend en outre une étape de réception d'au moins une information identifiant au moins un flux destiné audit dispositif consenti par celui-ci, ou identifiant au moins un flux destiné audit dispositif et considéré par celui-ci comme étant un flux associé à une attaque informatique. In a particular embodiment, the method of communication by the entity of the network further comprises a step of receiving at least one piece of information identifying at least one flow intended for said device granted by the latter, or identifying the device. at least one stream intended for said device and considered by the latter as being a stream associated with a computer attack.
[0060] Ce mode de réalisation permet au premier dispositif de partager avec l'entité du réseau, indépendamment ou non de ses communications en cours, la connaissance sur les flux légitimes ou au contraire les flux suspects dont il dispose localement. This embodiment allows the first device to share with the entity of the network, independently or not of its current communications, the knowledge on the legitimate flows or on the contrary the suspect flows which it has locally.
[0061] Cette information peut être fournie par exemple : This information can be provided for example:
• dans une commande de blocage (« discard » ou « rate-limit », en anglais) par ladite entité dudit au moins un flux considéré par le dispositif comme étant un flux associé à une attaque informatique ; ou • in a blocking command (“discard” or “rate-limit”, in English) by said entity of said at least one flow considered by the device as being a flow associated with a computer attack; Where
• dans une commande d'autorisation (« accept », en anglais) d'acheminement dudit au moins un flux consenti par le dispositif. • in an authorization command (“accept”) for routing said at least one flow granted by the device.
[0062] Ce mode de réalisation permet en outre d'activer facilement et rapidement en amont du premier dispositif, au niveau de l'entité du réseau, des mécanismes de filtrage des flux de l'attaque. This embodiment also makes it possible to activate easily and quickly upstream of the first device, at the level of the entity of the network, mechanisms for filtering the flows of the attack.
[0063] Dans un mode particulier de réalisation, le procédé de communication par l'entité du réseau comprend en outre une étape d'envoi audit dispositif d'une demande d'autorisation d'acheminement vers ledit dispositif d'au moins un flux de données identifié dans ladite demande. [0064] Ce mode de réalisation permet à l'entité du réseau de solliciter un consentement explicite du premier dispositif pour l'acheminement vers ce dernier des flux relatifs à ses communications. In a particular embodiment, the method of communication by the network entity further comprises a step of sending to said device an authorization request for routing to said device of at least one stream of data identified in said request. This embodiment allows the network entity to request explicit consent from the first device for the routing to the latter of the flows relating to its communications.
[0065] Dans un mode particulier de réalisation, le procédé de communication par l'entité du réseau comprend en outre : In a particular embodiment, the method of communication by the network entity further comprises:
• une étape de réception d'au moins un paquet de données échangé lors de ladite communication comprenant au moins un entête dans lequel au moins une information de contrôle de ladite communication parmi un état d'un établissement de ladite communication, un consentement d'envoi et/ou de réception de paquets de données par ledit dispositif lors de ladite communication, et un consentement ou une absence de consentement par ledit dispositif de ladite communication est indiquée en clair ; et A step of receiving at least one data packet exchanged during said communication comprising at least one header in which at least one item of control information for said communication among a state of an establishment of said communication, a sending consent and / or reception of data packets by said device during said communication, and a consent or an absence of consent by said device of said communication is indicated in clear; and
• une étape d'utilisation de ladite au moins une information de contrôle pour mitiger l'attaque informatique. • a step of using said at least one piece of control information to mitigate the computer attack.
[0066] Dans un mode particulier de réalisation de l'invention, les procédés de communication et de gestion sont mis en œuvre par un ordinateur. In a particular embodiment of the invention, the communication and management methods are implemented by a computer.
[0067] L'invention vise également un programme d'ordinateur sur un support d'enregistrement, ce programme étant susceptible d'être mis en œuvre dans un ordinateur ou plus généralement dans un premier dispositif conforme à l'invention et comporte des instructions adaptées à la mise en œuvre d'un procédé de gestion tel que décrit ci- dessus. The invention also relates to a computer program on a recording medium, this program being capable of being implemented in a computer or more generally in a first device in accordance with the invention and comprises suitable instructions. to the implementation of a management method as described above.
[0068] L'invention vise également un programme d'ordinateur sur un support d'enregistrement, ce programme étant susceptible d'être mis en œuvre dans un ordinateur ou plus généralement dans un deuxième dispositif conforme à l'invention et comporte des instructions adaptées à la mise en œuvre d'un procédé de communication par un deuxième dispositif tel que décrit ci-dessus. The invention also relates to a computer program on a recording medium, this program being capable of being implemented in a computer or more generally in a second device in accordance with the invention and comprises suitable instructions. to the implementation of a communication method by a second device as described above.
[0069] L'invention vise également un programme d'ordinateur sur un support d'enregistrement, ce programme étant susceptible d'être mis en œuvre dans un ordinateur ou plus généralement dans une entité d'un réseau conforme à l'invention et comporte des instructions adaptées à la mise en œuvre d'un procédé de communication par une entité du réseau tel que décrit ci-dessus. The invention also relates to a computer program on a recording medium, this program being capable of being implemented in a computer or more generally in an entity of a network in accordance with the invention and comprises instructions adapted to the implementation of a communication method by an entity of the network as described above.
[0070] Chacun de ces programmes peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable. Each of these programs can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in a partially compiled form, or in any other desirable shape.
[0071] L'invention vise aussi un support d'information ou un support d'enregistrement lisibles par un ordinateur, et comportant des instructions d'un programme d'ordinateur tel que mentionné ci-dessus. The invention also relates to an information medium or a recording medium readable by a computer, and comprising instructions of a computer program as mentioned above.
[0072] Le support d'information ou d'enregistrement peut être n'importe quelle entité ou dispositif capable de stocker les programmes. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple un disque dur, ou une mémoire flash. The information or recording medium can be any entity or device capable of storing the programs. For example, the medium may comprise a storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or else a magnetic recording means, for example a hard disk, or a flash memory.
[0073] D'autre part, le support d'information ou d'enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par lien radio, par lien optique sans fil ou par d'autres moyens. On the other hand, the information or recording medium can be a transmissible medium such as an electrical or optical signal, which can be routed via an electrical or optical cable, by radio link, by optical link without wire or by other means.
[0074] Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet. The program according to the invention can in particular be downloaded over a network of Internet type.
[0075] Alternativement, le support d'information ou d'enregistrement peut être un circuit in tégré dans lequel un programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution des procédés de communication ou de gestion se lon l'invention. Alternatively, the information or recording medium can be an integrated circuit in which a program is incorporated, the circuit being adapted to execute or to be used in the execution of communication or management methods according to invention.
[0076] Selon un quatrième aspect, l'invention concerne un système comprenant : According to a fourth aspect, the invention relates to a system comprising:
• au moins un premier dispositif d'un réseau selon l'invention ; • at least a first device of a network according to the invention;
• au moins un deuxième dispositif apte à communiquer avec le premier dispositif ; et • at least one second device able to communicate with the first device; and
• au moins une entité du réseau ; ledit premier dispositif étant configuré pour exécuter, suite à une détection d'une at taque informatique, au moins une action déterminée lors d'au moins une communica tion avec le deuxième dispositif, de sorte à collaborer avec ladite au moins une entité pour mitiger ladite attaque informatique. • at least one network entity; said first device being configured to execute, following a detection of a computer attack, at least one action determined during at least one communication with the second device, so as to collaborate with said at least one entity to mitigate said computer attack.
[0077] Dans un mode particulier de réalisation, le deuxième dispositif et/ou l'entité du réseau sont conformes à l'invention. In a particular embodiment, the second device and / or the entity of the network conform to the invention.
[0078] Le système bénéficie des mêmes avantages cités précédemment que les procédés de communication et de gestion, les premier et deuxième dispositifs et l'entité du réseau selon l'invention. The system benefits from the same advantages mentioned above as the communication and management methods, the first and second devices and the network entity according to the invention.
[0079] On peut également envisager, dans d'autres modes de réalisation, que les procédés de communication et de gestion, les premier et deuxième dispositifs, l'entité du réseau et le système selon l'invention présentent en combinaison tout ou partie des caractéris tiques précitées. It is also conceivable, in other embodiments, that the communication and management methods, the first and second devices, the network entity and the system according to the invention have in combination all or part of the aforementioned characteristics.
Brève description des dessins Brief description of the drawings
[0080] D'autres caractéristiques et avantages de la présente invention ressortiront de la des cription faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures : Other characteristics and advantages of the present invention will emerge from the description given below, with reference to the appended drawings which illustrate an exemplary embodiment thereof without any limiting nature. In the figures:
[Fig. 1] la figure 1, déjà décrite, représente, la structure d'un paquet de données QUIC à en-tête court ; [Fig. 1] FIG. 1, already described, represents the structure of a QUIC data packet with a short header;
[Fig. 2] la figure 2 représente dans son environnement, un système selon l'invention dans un mode particulier de réalisation ; [Fig. 2] FIG. 2 represents, in its environment, a system according to the invention in a particular embodiment;
[Fig. 3] la figure 3 représente schématiquement l'architecture matérielle de dispositifs et d'une entité d'un réseau conformes à l'invention, appartenant au système de la fi gure 2 ; [Fig. 3] FIG. 3 schematically represents the hardware architecture of devices and of an entity of a network in accordance with the invention, belonging to the system of FIG. 2;
[Fig. 4] la figure 4 illustre, sous forme d'ordinogramme, les principales étapes d'un procédé de communication selon l'invention, tel qu'il est mis en œuvre dans un mode particulier de réalisation par une entité réseau du système de la figure 2 ; [Fig. 4] FIG. 4 illustrates, in the form of a flowchart, the main steps of a communication method according to the invention, as implemented in a particular embodiment by a network entity of the system of FIG. 2;
[Fig. 5] la figure 5 représente sous forme d'ordinogramme, les principales étapes d'un procédé de gestion de communications selon l'invention, tel qu'il est mis en œuvre dans un mode particulier de réalisation par l'un des dispositifs du système de la figure 2 ; [Fig. 5] FIG. 5 represents in flowchart form the main steps of a method for managing communications according to the invention, as implemented in a particular embodiment by one of the devices of the system of Figure 2;
[Fig. 6] la figure 6 représente sous forme d'ordinogramme, les principales étapes d'un procédé de communication selon l'invention, tel qu'il est mis en œuvre dans un mode particulier de réalisation par un autre des dispositifs du système de la figure 2 ; [Fig. 6] FIG. 6 represents in flowchart form the main steps of a communication method according to the invention, as implemented in a particular embodiment by another of the devices of the system of FIG. 2;
[Fig. 7] la figure 7 représente un exemple de modification d'un en-tête court d'un pa quet de données QUIC permettant la divulgation d'informations de contrôle dans un mode particulier de réalisation de l'invention ; [Fig. 7] FIG. 7 shows an example of modification of a short header of a QUIC data packet allowing the disclosure of control information in a particular embodiment of the invention;
[Fig. 8] la figure 8 représente des exemples de modification d'en-têtes longs d'un pa quet de données QUIC permettant la divulgation d'informations de contrôle dans un mode particulier de réalisation de l'invention ; et [Fig. 8] FIG. 8 shows examples of modification of long headers of a QUIC data packet allowing the disclosure of control information in a particular embodiment of the invention; and
[Fig. 9] la figure 9 représente deux exemples d'utilisation des informations de contrôle portées par les en-têtes modifiés de paquets de données QUIC dans un mode particu lier de réalisation de l'invention. [Fig. 9] FIG. 9 represents two examples of use of the control information carried by the modified headers of QUIC data packets in a particular embodiment of the invention.
Description de l'invention Description of the invention
[0081] La figure 2 représente, dans son environnement, un système 3 conforme à l'inven tion dans un mode particulier de réalisation, ce système 3 permettant d'établir une collaboration entre un ou plusieurs dispositifs communicants et une ou plusieurs enti tés d'un réseau de communications NW, impliquées dans la mitigation d'une attaque informatique en cours ciblant, ou susceptible d'affecter, des ressources protégées par lesdites entités. Cette collaboration est mise en place pour gérer les communications transitant via le réseau selon un protocole de transport donné afin de pouvoir partager entre les équipements (dispositifs communicants et entités du réseau) certaines infor mations permettant de faciliter la mitigation de l'attaque informatique. FIG. 2 shows, in its environment, a system 3 in accordance with the invention in a particular embodiment, this system 3 making it possible to establish a collaboration between one or more communicating devices and one or more entities of a communications network NW, involved in the mitigation of an ongoing computer attack targeting, or likely to affect, resources protected by said entities. This collaboration is set up to manage communications passing through the network according to a given transport protocol in order to be able to share between the equipment (communicating devices and network entities) certain information making it possible to facilitate the mitigation of the computer attack.
[0082] Dans le mode de réalisation décrit ici, le protocole de transport considéré est le proto cole de transport QUIC s'appuyant sur le protocole UDP. Toutefois l'invention s'ap plique bien entendu à d'autres protocoles de transport. In the embodiment described here, the transport protocol considered is the QUIC transport protocol based on the UDP protocol. However, the invention obviously applies to other transport protocols.
[0083] On note que par souci de simplification, on considère ici un unique réseau NW ; toute fois les dispositifs communicants et/ou les entités de réseau considérés peuvent être raccordés ou appartenir à des réseaux différents. It is noted that for the sake of simplification, a single network NW is considered here; however, the communicating devices and / or the network entities considered can be connected or belong to different networks.
[0084] Aucune limitation n'est attachée à la nature des dispositifs communicants considérés, qui peuvent être aussi bien des équipements utilisateurs (clients ou serveurs, des ter minaux, des CPE (pour « Customer Premises Equipment » en anglais), des décodeurs numériques (ou « set top box » en anglais), etc.) auxquels le réseau NW fournit une connectivité, que des équipements du réseau NW. Par « dispositifs communicants », on entend ici des dispositifs aptes à établir entre eux une communication (aussi dési gnée dans la suite par connexion dans le contexte du protocole QUIC). On distingue ici ces dispositifs communicants des entités localisées dans le réseau à proprement parler, se trouvant sur des chemins de communication entre des dispositifs communi cants et via lesquelles transite le trafic échangé entre les dispositifs communicants sur ces chemins. No limitation is attached to the nature of the communicating devices considered, which can also be user equipment (clients or servers, terminals, CPEs (for "Customer Premises Equipment" in English), digital decoders. (or "set top box" in English), etc.) to which the NW network provides connectivity, as equipment from the NW network. The term “communicating devices” is understood here to mean devices capable of establishing communication between them (also hereinafter referred to as connection in the context of the QUIC protocol). These communicating devices are distinguished here from entities located in the network proper, located on communication paths between communicating devices and via which passes the traffic exchanged between the communicating devices on these paths.
[0085] De même, aucune limitation n'est attachée à la nature du réseau NW qui peut être un réseau fixe ou mobile, quelle que soit la génération (ex. 3G, 4G, 5G, 6G) de ce der nier, etc. Dans le mode de réalisation décrit ici, on suppose que le réseau NW met en œuvre le protocole de transport QUIC. Likewise, no limitation is attached to the nature of the NW network which can be a fixed or mobile network, whatever the generation (eg 3G, 4G, 5G, 6G) of the latter, etc. In the embodiment described here, it is assumed that the NW network implements the QUIC transport protocol.
[0086] Aucune limitation n'est attachée non plus à la nature de l'attaque informatique en cours que le système 3 s'emploie à mitiger, ni aux ressources informatiques et/ou ré seau ciblées par cette attaque. Il peut s'agir par exemple d'une attaque de type DDoS telle que mentionnée précédemment, ou de type usurpation d'identité, ransomware, etc., pouvant impacter tout type de ressources telles que des ressources de calcul ou de mémoire, des ressources réseau (ex. adresses IP, noms de domaine, préfixes IP, etc.), des liens d'interconnexion avec d'autres réseaux, etc. No limitation is attached either to the nature of the current computer attack that the system 3 is working to mitigate, or to the computer and / or network resources targeted by this attack. It may for example be a DDoS type attack as mentioned previously, or identity theft, ransomware, etc., which can impact any type of resources such as computing or memory resources, network (e.g. IP addresses, domain names, IP prefixes, etc.), interconnection links with other networks, etc.
[0087] Dans l'exemple envisagé à la figure 2, le système 3 s'appuie, pour mitiger une attaque informatique ATTACK en cours détectée par le réseau NW (soit directement par ce dernier, soit via une entité externe au réseau NW), sur deux dispositifs communicants 4 et 5 et une entité du réseau 6, l'entité du réseau 6 offrant ici un service DPS de pro tection contre des attaques informatiques et protégeant les ressources du réseau NW. On note que l'attaque informatique ATTACK ne cible pas nécessairement directement des ressources du réseau NW protégées par l'entité DPS 6 ni les dispositifs communi cants 4 et 5. Comme mentionné ci-avant, les ressources ciblées par l'attaque informa tique ATTACK peuvent être de n'importe quelle nature : équipements connectés aux dispositifs 4 et 5 si ceux-ci sont des CPE par exemple, applications embarquées dans les dispositifs 4 et 5, tout ou partie des ressources protégées par l'entité DPS 6, etc. Il se peut par exemple que les ressources protégées par l'entité DPS 6 et/ou les disposi tifs 4 et 5 ne soient pas directement des cibles de l'attaque mais servent de relais à cette dernière, ou permettent d'atteindre les cibles de l'attaque. In the example considered in Figure 2, the system 3 is based, to mitigate an attack IT ATTACK in progress detected by the NW network (either directly by the latter or via an entity external to the NW network), on two communicating devices 4 and 5 and a network entity 6, the network entity 6 here offering a service Protective DPS against computer attacks and protecting the resources of the NW network. It should be noted that the ATTACK computer attack does not necessarily directly target resources of the NW network protected by the DPS entity 6 or the communicating devices 4 and 5. As mentioned above, the resources targeted by the ATTACK computer attack can be of any nature: equipment connected to devices 4 and 5 if these are CPEs for example, applications embedded in devices 4 and 5, all or part of the resources protected by the DPS entity 6, etc. It may for example be that the resources protected by the DPS entity 6 and / or the devices 4 and 5 are not directly targets of the attack but serve as relays for the latter, or make it possible to reach the targets of the attack. the attack.
[0088] On note en outre que l'invention s'applique à d'autres entités du réseau 6 pouvant mettre en œuvre d'autres fonctions qu'une fonction de protection contre des attaques informatiques, et jouant un rôle direct ou indirect dans la mitigation d'une attaque in formatique en cours. L'invention s'applique de façon générale à toute entité localisée dans le réseau NW, et configurée pour effectuer des traitements sur le trafic acheminé via ce réseau, tels que des traitements de mitigation, de filtrage (ex. pare-feu) ou en core de classification de trafic (par exemple PCEF (Policy and Charging Enforcement Function)), etc. It is further noted that the invention applies to other entities of the network 6 that can implement other functions than a function of protection against computer attacks, and playing a direct or indirect role in the mitigation of an ongoing computer attack. The invention applies generally to any entity located in the NW network, and configured to perform processing on the traffic routed via this network, such as mitigation, filtering (eg firewalls) or bypass processing. traffic classification core (for example PCEF (Policy and Charging Enforcement Function)), etc.
[0089] Dans le mode de réalisation décrit ici, les dispositifs 4 et 5 et l'entité du réseau 6 sont tous conformes à l'invention, et ont l'architecture matérielle d'un ordinateur 7, telle que représentée schématiquement sur la figure 3. Les dispositifs 4 et 5 sont configu rés ici pour agir tantôt comme un premier, respectivement un deuxième, dispositif au sens de l'invention. On note qu'ils peuvent agir ainsi selon qu'ils sont à l'origine de l'établissement d'une communication et/ou destinataire d'une communication. In the embodiment described here, the devices 4 and 5 and the network entity 6 all conform to the invention, and have the hardware architecture of a computer 7, as shown schematically in FIG. 3. The devices 4 and 5 are configured here to act sometimes as a first, respectively a second, device within the meaning of the invention. It should be noted that they can act in this way depending on whether they are at the origin of the establishment of a communication and / or recipient of a communication.
[0090] Les dispositifs 4 et 5 et l'entité du réseau 6 comprennent notamment un processeur 8, une mémoire vive 9, une mémoire morte 10, une mémoire non volatile 11, et des moyens de communication 12 leur permettant notamment de communiquer entre eux. Ces moyens de communication 12 s'appuient sur une interface de communication filaire ou sans fil, connue en soi et non décrite plus en détail ici. En outre, dans le mode de réalisation décrit ici, les moyens de communication 12 sont configurés pour mettre en œuvre le protocole de transport QUIC, et émettre et recevoir des flux de données conformes au protocole QUIC. Chaque flux comprend un ou plusieurs pa quets de données QUIC, chaque paquet QUIC pouvant comprendre lui-même une ou plusieurs trames QUIC. Une trame QUIC peut être une trame de contrôle (ex. trame CONNECTION_CLOSE utilisée pour fermer une connexion QUIC) ou une trame de données (ex. trame STREAM). The devices 4 and 5 and the network entity 6 include in particular a processor 8, a random access memory 9, a read only memory 10, a non-volatile memory 11, and communication means 12 allowing them in particular to communicate with each other. . These communication means 12 are based on a wired or wireless communication interface, known per se and not described in more detail here. Furthermore, in the embodiment described here, the communication means 12 are configured to implement the QUIC transport protocol, and to send and receive data streams in accordance with the QUIC protocol. Each stream comprises one or more QUIC data packets, each QUIC packet itself possibly comprising one or more QUIC frames. A QUIC frame can be a control frame (eg CONNECTION_CLOSE frame used to close a QUIC connection) or a data frame (eg STREAM frame).
[0091] La mémoire morte 10 de l'ordinateur 7 constitue un support d'enregistrement con forme à l'invention, lisible par le processeur 8 et sur lequel est ou sont enregistré(s) un ou plusieurs programmes d'ordinateur conformes à l'invention. The read-only memory 10 of the computer 7 constitutes a recording medium in accordance with the invention, readable by the processor 8 and on which is or are recorded (s) one or more computer programs in accordance with the 'invention.
[0092] Plus spécifiquement, la mémoire morte 10 de chacun des dispositifs 4 et 5 comprend un enregistrement de deux programmes d'ordinateur PROG4 et PROG5. More specifically, the read only memory 10 of each of the devices 4 and 5 comprises a recording of two computer programs PROG4 and PROG5.
[0093] Le programme PROG4 définit des modules fonctionnels d'un premier dispositif au sens de l'invention qui s'appuient ou commandent les éléments matériels 8 à 12 de l'ordi- nateur 7 cités précédemment. Ces modules, déclenchés suite à la détection de l'attaque informatique ATTACK, comprennent notamment dans le mode de réalisation décrit ici (cf. figure 2) : The PROG4 program defines functional modules of a first device within the meaning of the invention which are based on or control the hardware elements 8 to 12 of the computer. nateur 7 cited above. These modules, triggered following the detection of the ATTACK computer attack, include in particular in the embodiment described here (see FIG. 2):
• un module 4A d'activation, configuré pour activer au niveau du premier dispositif une collaboration avec au moins une entité du réseau NW (et notamment avec l'entité DPS 6) pour mitiger l'attaque informatique ATTACK. Ce module d'activation 4A est configuré pour exécuter, lors de cette collaboration, au moins une action déterminée dite de collaboration, lors d'au moins une communication du premier dispositif selon un protocole de transport donné (QUIC dans l'exemple considéré ici) via le réseau NW ; • an activation module 4A, configured to activate, at the level of the first device, a collaboration with at least one entity of the NW network (and in particular with the DPS entity 6) in order to mitigate the ATTACK computer attack. This activation module 4A is configured to execute, during this collaboration, at least one determined action called collaboration, during at least one communication from the first device according to a given transport protocol (QUIC in the example considered here) via the NW network;
• un module 4B d'émission/réception, configuré pour émettre et recevoir des messages à destination et en provenance d'autres dispositifs communicants du réseau NW. De tels messages sont décrits plus en détail ultérieurement.• a transmission / reception module 4B, configured to send and receive messages to and from other communicating devices of the NW network. Such messages are described in more detail later.
[0094] Le programme PROG5 définit des modules fonctionnels d'un deuxième dispositif au sens de l'invention qui s'appuient sur ou commandent les éléments matériels 8 à 12 de l'ordinateur 7 cités précédemment. Ces modules, déclenchés suite à la détection de l'attaque informatique ATTACK, comprennent notamment dans le mode de réalisation décrit ici (cf. figure 2), un module 5A d'émission/réception (ou plus généralement de communication) configuré pour : The PROG5 program defines functional modules of a second device within the meaning of the invention which are based on or control the hardware elements 8 to 12 of the computer 7 mentioned above. These modules, triggered following the detection of the ATTACK computer attack, include in particular in the embodiment described here (cf. FIG. 2), a transmission / reception (or more generally communication) module 5A configured for:
• recevoir un message d'information en provenance d'un autre dispositif communicant (premier dispositif au sens de l'invention), informant le deuxième dispositif d'une exécution par le premier dispositif d'au moins une action de collaboration déterminée lors d'au moins une communication selon un protocole de transport donné (QUIC dans l'exemple envisagé ici) avec le deuxième dispositif ; et • receive an information message from another communicating device (first device within the meaning of the invention), informing the second device of an execution by the first device of at least one collaborative action determined during at least one communication according to a given transport protocol (QUIC in the example considered here) with the second device; and
• si ledit deuxième dispositif accepte l'exécution de cette action de collaboration, informer le premier dispositif de son accord. • if said second device accepts the execution of this collaborative action, inform the first device of its agreement.
[0095] On note que chacun des dispositifs 4 et 5 pouvant tour à tour être un premier et un deuxième dispositif au sens de l'invention, les modules d'émission/réception 4B et 5A peuvent être regroupés au sein d'un seul module dûment configuré pour réaliser les fonctions de chacun des modules 4B et 5A. It is noted that each of the devices 4 and 5 can in turn be a first and a second device within the meaning of the invention, the transmission / reception modules 4B and 5A can be grouped together within a single module duly configured to perform the functions of each of the 4B and 5A modules.
[0096] La mémoire morte 10 de l'entité DPS 6 comprend un enregistrement d'un programme d'ordinateur PROG6. Ce programme PROG6 définit des modules fonctionnels de l'entité DPS 6 qui s'appuient ou commandent les éléments matériels 8 à 12 de l'ordinateur 7 cités précédemment. Ces modules, déclenchés suite à la détection de l'attaque informatique ATTACK, comprennent notamment dans le mode de réalisation décrit ici (cf. figure 2) : The read-only memory 10 of the DPS entity 6 comprises a recording of a computer program PROG6. This program PROG6 defines functional modules of the DPS entity 6 which are based on or control the hardware elements 8 to 12 of the computer 7 mentioned above. These modules, triggered following the detection of the ATTACK computer attack, include in particular in the embodiment described here (see FIG. 2):
• un module 6A de détection d'attaques informatiques ciblant des ressources protégées par l'entité DPS 6. Ce module 6A est doté de moyens d'analyse du trafic transitant par l'entité DPS 6 et des informations qui lui sont remontées le cas échéant par des équipements tiers connectés au réseau NW et/ou externes au réseau NW ; • a module 6A for detecting computer attacks targeting resources protected by the DPS 6 entity. This module 6A is equipped with means for analyzing the traffic passing through the DPS 6 entity and with information which is fed back to it where applicable. by third party equipment connected to the NW network and / or external to the NW network;
• un module 6B de mitigation des attaques informatiques détectées par le module 6A ; et • a module 6B for mitigating computer attacks detected by module 6A; and
• un module 6C de communication, déclenché ici sur détection d'une incapacité de l'entité DPS 6 et en particulier de son module 6A à déterminer si un flux de données destiné à ou provenant d'un dispositif du réseau NW est associé ou non à une ataque informatique qu'il a détectée (par exemple ici à l'ataque informa tique ATTACK), ce module de communication étant configuré pour envoyer au dispositif un message lui proposant une collaboration pour mitiger ladite ataque informatique, cete collaboration comprenant une exécution par le dispositif d'au moins une action de collaboration déterminée, lors d'au moins une communica tion du dispositif selon un protocole de transport donné (protocole QUIC dans l'exemple envisagé ici), via le réseau NW. • a communication module 6C, triggered here on detection of an inability of the DPS entity 6 and in particular of its module 6A to determine whether a data flow intended for or coming from a device of the network NW is associated or not To a computer attack that it has detected (for example here at the ATTACK computer attack), this communication module being configured to send the device a message offering it a collaboration to mitigate said computer attack, this collaboration comprising an execution by the device of at least one determined collaboration action, during at least one communication of the device according to a given transport protocol (QUIC protocol in the example considered here), via the network NW.
[0097] Nous allons maintenant décrire, en référence aux figures 4 à 6, comment est mise en œuvre, dans le mode de réalisation décrit ici, la collaboration entre les dispositifs 4 et 5, et l'entité DPS 6 du réseau, en vue de mitiger une ataque informatique en cours (c'est-à-dire de tenter de la traiter et de la résorber ou tout du moins de réduire ses conséquences), à savoir ici l'ataque informatique ATTACK. La figure 4 représente les principales étapes d'un procédé de communication selon l'invention tel qu'il est mis en œuvre, dans le mode de réalisation décrit ici, par l'entité DPS 6 du réseau NW. La figure 5 représente les principales étapes d'un procédé de gestion des communications selon l'invention tel qu'il est mis en œuvre, dans le mode de réalisation décrit ici, par le dispositif communicant 4 lors de ses communications notamment avec le dispositif communicant 5. La figure 6 représente les principales étapes d'un procédé de com munication selon l'invention tel qu'il est mis en œuvre, dans le mode de réalisation dé crit ici, par le dispositif communicant 5. We will now describe, with reference to Figures 4 to 6, how is implemented, in the embodiment described here, the collaboration between the devices 4 and 5, and the DPS entity 6 of the network, in view to mitigate a computer attack in progress (that is to say to try to treat it and to reabsorb it or at least to reduce its consequences), namely here the computer attack ATTACK. FIG. 4 represents the main steps of a communication method according to the invention as it is implemented, in the embodiment described here, by the DPS entity 6 of the network NW. FIG. 5 represents the main steps of a method of managing communications according to the invention as it is implemented, in the embodiment described here, by the communicating device 4 during its communications, in particular with the communicating device 5. FIG. 6 represents the main steps of a communication method according to the invention as implemented, in the embodiment described here, by the communicating device 5.
[0098] Aucune limitation n'est atachée à la façon dont l'ataque informatique ATTACK est dé tectée (par l'entité DPS 6 directement, par une entité externe au réseau NW qui en informe l'entité DPS 6, par un dispositif communicant, etc.) ni quelles ressources elle cible. On suppose ici qu'elle est susceptible d'affecter des ressources protégées par l'entité DPS 6 (directement ou indirectement, comme évoqué précédemment, en se servant des ressources protégées par l'entité DPS 6 comme relais d'attaque ou pour ateindre d'autres ressources) et déclenche ainsi une intervention de celle-ci en vue de la mitiger. No limitation is attached to the way in which the ATTACK computer attack is detected (by the DPS 6 entity directly, by an entity external to the NW network which informs the DPS 6 entity thereof, by a communicating device , etc.) or what resources it targets. It is assumed here that it is likely to affect resources protected by the DPS 6 entity (directly or indirectly, as mentioned previously, by using the resources protected by the DPS 6 entity as an attack relay or to reach d 'other resources) and thus triggers an intervention of the latter in order to mitigate it.
[0099] Dans l'exemple envisagé ici, en référence à la figure 4, suite à la détection de l'at taque informatique ATTACK (étape E10), l'entité DPS 6 analyse via son module 6A le trafic échangé via le réseau NW et transitant par elle (étape E20). On suppose notam ment ici que l'entité DPS 6 se trouve dans le réseau NW sur un chemin emprunté par les communications du dispositif 4, ces communications étant établies ici selon le pro tocole de transport QUIC comme évoqué précédemment. Aucune limitation n'est atta chée à la nature de ces communications : il peut s'agir de communications vocales, de transfert de données multimédia, etc., unilatérales ou bilatérales. Ces communications se traduisent par l'envoi et/ou la réception par le dispositif 4 de flux de données via le réseau NW, chaque flux de données comprenant un ensemble de paquets de données QUIC. Conformément au protocole QUIC, ces paquets de données sont chiffrés : le protocole QUIC tel que défini par ITETF chiffre non seulement les données utiles con tenues dans ces paquets, mais également les informations de contrôle de connexion (ou de contrôle de la communication, une connexion faisant référence à une commu nication selon le protocole QUIC), à l'exception d'un petit nombre d'entre elles (ex. identifiants de connexion), comme déjà commenté en référence à la figure 1. In the example considered here, with reference to FIG. 4, following the detection of the ATTACK computer attack (step E10), the DPS entity 6 analyzes via its module 6A the traffic exchanged via the network NW and passing through it (step E20). It is assumed here in particular that the DPS entity 6 is located in the network NW on a path taken by the communications of the device 4, these communications being established here according to the QUIC transport protocol as mentioned above. There is no limitation on the nature of these communications: they may be voice communications, multimedia data transfer, etc., unilateral or bilateral. These communications result in the sending and / or receiving by the device 4 of data streams via the network NW, each data stream comprising a set of QUIC data packets. In accordance with the QUIC protocol, these data packets are encrypted: the QUIC protocol as defined by ITETF encrypts not only the payload data contained in these packets, but also the connection control information (or communication control, a connection referring to a communication according to the QUIC protocol), with the exception of a small number of them (e.g. connection identifiers), as already commented on with reference to figure 1.
[0100] L'entité DPS 6 analyse donc en continu ici, via son module 6A, le trafic (c'est-à-dire les flux de données) destiné au dispositif 4 et issu du dispositif 4 (qualifiés dans la suite d'« associés au dispositif 4 » par souci de simplification), pour déterminer s'il est af fecté ou non par l'attaque informatique ATTACK (étape test E30). Elle procède à cet effet de façon connue en soi, par exemple en examinant si ce trafic provient d'une cible connue de l'attaque, s'il présente des caractéristiques suspectes (ex. dépasse ment de la capacité d'un lien local, nombre de connexions attribuées au dispositif 4 sur une période donnée supérieur à la moyenne observée habituellement sur cette pé riode ou supérieur à un seuil, nombre de connexions « embryonnaires » à destination du dispositif 4 supérieur à un seuil, une connexion embryonnaire correspondant à une connexion initialisée par un dispositif communicant distant sans terminer l'envoi des messages nécessaires pour confirmer la connexion, les seuils considérés étant fixés en fonction d'une connaissance de l'attaque ATTACK), etc. On note que lors de cette ana lyse, le module 6A de l'entité DPS 6 s'appuie sur des statistiques qu'il évalue, ou reçoit d'autres entités aptes à collecter ces statistiques, à partir des données « publiques » sur le trafic associé au dispositif 4 dont il dispose. Il s'appuie par exemple sur les iden tifiants de connexion (ou de communication) véhiculés en clair dans les paquets de données QUIC destinés à ou issus du dispositif 4, sur les statistiques de trafic collec tées par des compteurs associés à l'activation du protocole SNMP (Simple Network Management Protocol) utilisé pour gérer un dispositif, un réseau, sur les statistiques de trafic fournis par les compteurs associés à l'activation du protocole NETCONF (NET- work CONFiguration), etc. [0100] The DPS entity 6 therefore continuously analyzes here, via its module 6A, the traffic (that is to say the data flows) intended for the device 4 and coming from the device 4 (described below. of “associated with the device 4” for the sake of simplicity), to determine whether or not it is affected by the ATTACK computer attack (test step E30). It does this in a manner known per se, for example by examining whether this traffic originates from a known target of the attack, whether it has suspicious characteristics (e.g. exceeding the capacity of a local link, number of connections allocated to device 4 over a given period greater than the average usually observed over this period or greater than a threshold, number of "embryonic" connections to device 4 greater than a threshold, an embryonic connection corresponding to a connection initialized by a remote communicating device without completing the sending of the messages necessary to confirm the connection, the thresholds considered being set according to knowledge of the ATTACK attack), etc. It should be noted that during this analysis, the module 6A of the DPS entity 6 is based on statistics that it evaluates, or receives from other entities capable of collecting these statistics, from “public” data on the traffic associated with the device 4 at its disposal. It is based, for example, on the connection (or communication) identifiers conveyed in clear in the QUIC data packets intended for or coming from the device 4, on the traffic statistics collected by counters associated with the activation of the device. SNMP protocol (Simple Network Management Protocol) used to manage a device, a network, on the traffic statistics provided by the counters associated with the activation of the NETCONF protocol (NET- work CONFiguration), etc.
[0101] Si lors de cette analyse, l'entité DPS 6 est en mesure de qualifier le trafic, c'est-à-dire de décider s'il est associé ou non à l'attaque (réponse « oui » à l'étape test E30), l'en tité DPS 6 traite le trafic de façon appropriée en fonction de cette qualification (étape E40). Ainsi : [0101] If during this analysis, the DPS entity 6 is able to qualify the traffic, that is to say to decide whether or not it is associated with the attack ("yes" response to the test step E30), the DPS entity 6 processes the traffic appropriately according to this qualification (step E40). Thereby :
• s'il détermine que le trafic est associé à l'attaque ATTACK, il déclenche, par l'in termédiaire de son module 6B de mitigation, une ou plusieurs actions de mitiga tion de l'attaque informatique ATTACK. De telles actions de mitigation sont con nues en soi, et dépendent bien entendu de la nature de l'attaque informatique ATTACK, de son étendue, de la façon dont le trafic associé au dispositif 4, est in fecté, etc. De telles actions peuvent consister par exemple à un blocage du trafic de l'attaque (« discard »), à la notification d'autres entités du réseau NW à des fins de redirection de trafic légitime, à la mise en place dynamique de puits de trafic destinés à détruire les paquets caractéristiques du trafic d'attaque, à mettre en place des « pots de miel » (« honeypot » en anglais) destinés à attirer le trafic d'attaque pour le rediriger plus facilement vers un puits de trafic ou pour consti tuer un dossier « abuse » auprès des autorités compétentes (contexte d'usurpa tion d'identité, notamment), etc. ; • if it determines that the traffic is associated with the ATTACK attack, it triggers, through its mitigation module 6B, one or more actions to mitigate the ATTACK computer attack. Such mitigation actions are known per se, and of course depend on the nature of the ATTACK computer attack, its extent, the way in which the traffic associated with the device 4 is infected, etc. Such actions may consist, for example, in blocking the attack traffic ("discard"), in notifying other entities of the NW network for the purpose of redirecting legitimate traffic, in dynamically setting up data wells. traffic intended to destroy the packets characteristic of attack traffic, to set up "honeypots" intended to attract attack traffic to redirect it more easily to a traffic pit or to draw up an “abuse” file with the competent authorities (context of identity theft, in particular), etc .; ;
• s'il détermine que le trafic est légitime (« sain »), il achemine ce trafic vers son destinataire. • if it determines that the traffic is legitimate (“healthy”), it routes this traffic to its recipient.
[0102] On suppose qu'à un instant donné lors de cette analyse, l'entité DPS 6 détecte qu'elle ne dispose pas des informations nécessaires pour déterminer si le trafic issu ou des tiné au dispositif 4 est associé ou non à l'attaque informatique ATTACK (réponse « non » à l'étape test E30). Par exemple, ce trafic présente des caractéristiques sus pectes telles que décrites ci-avant mais l'entité DPS 6 n'est pas en mesure à partir de ces caractéristiques de décider s'il s'agit d'un trafic « légitime » ou s'il est associé à l'attaque informatique ATTACK. It is assumed that at a given moment during this analysis, the DPS entity 6 detects that it does not have the information necessary to determine whether the traffic originating or terminating at the device 4 is associated or not with the device. ATTACK computer attack (“no” response to test step E30). For example, this traffic has suspicious characteristics as described above, but the DPS 6 entity is not in a position, on the basis of these characteristics, to decide whether it is “legitimate” traffic or not. 'it is associated with the ATTACK computer attack.
[0103] Conformément à l'invention, l'entité DPS 6 sollicite alors le dispositif 4 pour basculer vers un mode collaboratif (étape E50). Pour ce faire, dans le mode de réalisation décrit ici, l'entité DPS 6, via son module 6C de communication, envoie au dispositif 4 un message proposant une collaboration de ce dernier pour mitiger l'attaque informatique ATTACK (étape E60). Cette collaboration consiste, conformément à l'invention, en l'exécution par le dispositif 4 d'une ou de plusieurs actions déterminées dites de collaboration. According to the invention, the DPS entity 6 then requests the device 4 to switch to a collaborative mode (step E50). To do this, in the embodiment described here, the DPS entity 6, via its communication module 6C, sends to the device 4 a message proposing a collaboration of the latter to mitigate the ATTACK computer attack (step E60). This collaboration consists, in accordance with the invention, in the execution by the device 4 of one or more determined actions called collaboration.
[0104] Plus particulièrement, dans l'exemple envisagé ici, le message envoyé par l'entité DPS 6 au dispositif 4 est une trame de contrôle QUIC, appelée par exemple ici COMIT (pour « COIIaborative MITigation »), et comprenant les éléments suivants : More particularly, in the example considered here, the message sent by the DPS entity 6 to the device 4 is a control frame QUIC, called for example here COMIT (for "COIIaborative MITigation"), and comprising the following elements :
• un paramètre « Lifetime » indiquant la durée de la collaboration proposée par l'entité DPS 6 ; à l'issue de cette échéance, la collaboration peut être désactivée automatiquement par le dispositif 4. On suppose ici qu'une valeur par défaut est définie pour ce paramètre au niveau de chaque dispositif 4 (par exemple une valeur supérieure ou égale à 60 minutes), de sorte que si aucune valeur du paramètre « Lifetime » n'est explicitement indiquée dans la trame COMIT, la durée de la collaboration considérée par le dispositif 4 est fixée au moins égale à cette valeur par défaut ; • a “Lifetime” parameter indicating the duration of the collaboration proposed by the DPS 6 entity; at the end of this deadline, the collaboration can be automatically deactivated by device 4. It is assumed here that a default value is defined for this parameter at the level of each device 4 (for example a value greater than or equal to 60 minutes ), so that if no value of the “Lifetime” parameter is explicitly indicated in the COMIT frame, the duration of the collaboration considered by the device 4 is set at least equal to this default value;
• un paramètre « Strategy_ID » indiquant la ou les actions de collaboration que l'entité DPS 6 propose au dispositif 4 d'exécuter pour l'aider à mitiger l'attaque informatique ATTACK. Ces actions peuvent être de différentes natures et comprendre notamment la divulgation d'informations de contrôle des communications du dispositif 4, la désactivation de l'utilisation du protocole de transport chiffré (QUIC ici), ou encore le gel de la migration des identifiants de communication lors des communications du dispositif 4 (pour que l'entité DPS 6 puisse associer plus facilement les flux de données à une même communication, etc.). Ainsi par exemple, le paramètre « Strategy_ID » peut prendre les valeurs suivantes dans le contexte du protocole QUIC : • a “Strategy_ID” parameter indicating the collaborative action or actions that the DPS entity 6 proposes to the device 4 to perform to help it mitigate the ATTACK computer attack. These actions can be of different types and include in particular the disclosure of communication control information from the device 4, the deactivation of the use of the encrypted transport protocol (QUIC here), or even the freezing of the migration of the communication identifiers. during the communications of the device 4 (so that the DPS entity 6 can more easily associate the data flows with the same communication, etc.). For example, the “Strategy_ID” parameter can take the following values in the context of the QUIC protocol:
- 0x0 : désigne la divulgation des informations de contrôle des communications (connexion) ; - 0x0: designates the disclosure of communication control information (connection);
- 0x1 : désigne la désactivation du protocole de transport QUIC lors des communications ; - 0x1: indicates the deactivation of the QUIC transport protocol during communications;
- 0x2 : désigne le gel des identifiants de connexion (CID) lors des communications ; - 0x2: designates the freezing of connection identifiers (CID) during communications;
- 0x3 : désigne le gel des identifiants de connexion et des informations de contrôle des communications. - 0x3: designates the freezing of connection identifiers and communications control information.
Bien entendu, cette liste d'actions n'est pas exhaustive et d'autres actions peuvent être envisagées. On peut par ailleurs envisager une pluralité d'actions de collaboration proposées par l'entité DPS 6 du réseau (cf. code 0x3 dans l'exemple donné ci-dessus). On peut en outre considérer, qu'en l'absence de paramètre « Strategy_ID » explicite contenu dans la trame COMIT, une ou plusieurs actions de collaboration par défaut soient destinées à être appliquées par le dispositif 4, à savoir par exemple les actions correspondant au code 0x3 ici. Of course, this list of actions is not exhaustive and other actions can be considered. It is also possible to envisage a plurality of collaborative actions proposed by the DPS entity 6 of the network (cf. code 0x3 in the example given above). It can also be considered that, in the absence of an explicit "Strategy_ID" parameter contained in the COMIT frame, one or more default collaboration actions are intended to be applied by the device 4, namely for example the actions corresponding to the code 0x3 here.
[0105] En référence à la figure 5, sur réception de la trame COMIT (étape F10), le dispositif 4 a, dans le mode de réalisation décrit ici, la possibilité d'accepter ou de refuser la collaboration requise par l'entité DPS 6 (étape test F20). De la sorte, même si la collabora- tion est à l'initiative de l'entité DPS 6, on laisse avantageusement la liberté au disposi tif 4 de refuser les actions de collaboration que celle-ci lui demande d'exécuter. On peut toutefois envisager, dans un autre mode de réalisation, que la trame COMIT ait pour conséquence d'activer la collaboration au niveau du dispositif 4, sans requérir d'accord explicite de ce dernier. With reference to FIG. 5, on reception of the COMIT frame (step F10), the device 4 has, in the embodiment described here, the possibility of accepting or refusing the collaboration required by the DPS entity. 6 (test step F20). In this way, even if the collabora- tion is at the initiative of the DPS entity 6, the freedom to the device 4 is advantageously left to refuse the collaborative actions that the latter asks it to carry out. However, it is possible to envisage, in another embodiment, that the COMIT frame has the consequence of activating the collaboration at the level of the device 4, without requiring an explicit agreement from the latter.
[0106] Si le dispositif 4 refuse la collaboration (réponse « non » à l'étape test F20), il en in forme l'entité DPS 6 ou ne tient pas compte du message (étape F30). If the device 4 refuses the collaboration ("no" response to test step F20), it informs the DPS entity 6 thereof or ignores the message (step F30).
[0107] Si le dispositif 4 accepte la collaboration (réponse « oui » à l'étape test F20), le dispo sitif 4 sauvegarde les informations contenues dans la trame COMIT (adresse de l'en tité DPS 6, durée de la collaboration, actions, etc.) dans sa mémoire non volatile par exemple, et envoie un message de confirmation de la collaboration à l'entité DPS 6 (étape F40). La collaboration est alors activée au sein du dispositif 4 via son module 4A d'activation pour une durée minimum égale à la durée indiquée dans le paramètre « Lifetime ». On note que si besoin, cette durée peut être renouvelée, par exemple à l'initiative de l'entité DPS 6 si l'attaque informatique ATTACK n'est pas résorbée à l'ex piration de la durée « Lifetime ». If the device 4 accepts the collaboration ("yes" response to test step F20), the device 4 saves the information contained in the COMIT frame (address of the DPS entity 6, duration of the collaboration, actions, etc.) in its non-volatile memory for example, and sends a collaboration confirmation message to the DPS entity 6 (step F40). The collaboration is then activated within the device 4 via its activation module 4A for a minimum duration equal to the duration indicated in the “Lifetime” parameter. It should be noted that if necessary, this duration can be renewed, for example at the initiative of the DPS entity 6 if the ATTACK computer attack is not absorbed when the “Lifetime” period expires.
[0108] En variante, la trame COMIT ne contient pas de paramètre « Lifetime », aucune valeur n'est définie par défaut, et la collaboration peut être activée pour une durée indéter minée jusqu'à réception d'un message mettant fin à cette collaboration en provenance de l'entité DPS 6. [0108] As a variant, the COMIT frame does not contain a "Lifetime" parameter, no value is defined by default, and the collaboration can be activated for an indefinite period of time until a message is received putting an end to this. collaboration from the DPS 6 entity.
[0109] L'activation de la collaboration au niveau du dispositif 4 se traduit par l'exécution par le dispositif 4 des actions de collaboration proposées par l'entité DPS 6 dans la trame COMIT. The activation of the collaboration at the level of the device 4 results in the execution by the device 4 of the collaboration actions proposed by the DPS entity 6 in the COMIT frame.
[0110] En outre, le dispositif 4 peut également solliciter lors de cette collaboration l'entité DPS 6 ou une autre entité du réseau NW, pour lui signaler les flux de données qu'il consent et/ou les flux de données qu'il considère comme suspects, autrement dit as sociés à une attaque informatique et notamment à l'attaque informatique ATTACK, compte tenu de la connaissance locale dont il dispose de ses communications. Ceci peut se faire en dehors de toute communication établie par le dispositif 4. [0110] In addition, the device 4 can also request during this collaboration the DPS entity 6 or another entity of the NW network, to notify it of the data flows that it consents and / or the data flows that it accepts. considers as suspects, in other words as associated with a computer attack and in particular with the ATTACK computer attack, taking into account the local knowledge at his disposal of his communications. This can be done outside of any communication established by device 4.
[0111] Pour ce faire, dans le mode de réalisation décrit ici, le dispositif 4 envoie à l'entité DPS 6 un message comprenant des informations identifiant au moins un flux destiné au dispositif 4 consenti par celui-ci, ou identifiant au moins un flux destiné au dispositif 4 et considéré par celui-ci comme étant un flux associé à une attaque informatique. Ce message prend ici la forme de l'une des commandes suivantes, chaque commande pouvant être par exemple associée à une trame de contrôle QUIC dédiée : To do this, in the embodiment described here, the device 4 sends the DPS entity 6 a message comprising information identifying at least one flow intended for the device 4 granted by the latter, or identifying at least one. flow intended for the device 4 and considered by the latter as being a flow associated with a computer attack. This message here takes the form of one of the following commands, each command possibly being associated with a dedicated QUIC control frame:
• une commande, appelée « DISCARD_ALL », de blocage (filtrage) par l'entité DPS 6 de toutes les communications entrantes vers le dispositif 4 ; • a command, called “DISCARD_ALL”, for blocking (filtering) by the DPS entity 6 of all incoming communications to the device 4;
• une commande, appelée « DISCARD_ALL/Except: ACCEPT_LIST(FLOW_ID) », de blocage (filtrage) par l'entité DPS 6 de toutes les communications entrantes vers le dispositif 4 à l'exception de celles identifiées par les identifiants de flux de don nées FLOW_ID fournis dans la liste ACCEPT_LIST(FLOW_ID). Les identifiants de flux de données peuvent être renseignés avec les identifiants de connexion (CID) ou d'autres informations permettant d'identifier les flux de données concernés, telles que l'adresse source, le port source, etc. ; • a command, called "DISCARD_ALL / Except: ACCEPT_LIST (FLOW_ID)", blocking (filtering) by the DPS 6 entity of all incoming communications to device 4 except those identified by the donation flow identifiers born FLOW_ID provided in the list ACCEPT_LIST (FLOW_ID). Data flow identifiers can be populated with connection identifiers (CID) or other information to identify the affected data flows, such as source address, source port, etc. ;
• une commande, appelée « ACCEPT_ALL », d'autorisation d'acheminement par l'entité DPS 6 de toutes les communications entrantes actives vers le dispositif 4 ; • a command, called “ACCEPT_ALL”, authorizing routing by the DPS entity 6 of all active incoming communications to the device 4;
• une commande, appelée « ACCEPT_ALlVExcept: DISCARD_LIST(FLOW_ID) », d'autorisation d'acheminement par l'entité DPS 6 de toutes les communications entrantes actives vers le dispositif 4 à l'exception de celles identifiées par les identifiants de flux de données FLOW_ID fournis dans la liste « DIS- CARD_LIST(FLOW_ID) ». • a command, called "ACCEPT_ALlVExcept: DISCARD_LIST (FLOW_ID)", authorization for routing by the DPS entity 6 of all active incoming communications to the device 4 except for those identified by the FLOW_ID data flow identifiers provided in the “DISCARD_LIST (FLOW_ID)” list.
[0112] Dans un autre mode de réalisation, l'entité DPS 6 peut elle-même solliciter le dispositif 4 pour lui demander son autorisation explicite pour acheminer vers lui une ou plu sieurs communications (ou de manière similaire un ou plusieurs flux de données). Elle peut à cet effet lui envoyer par exemple un message sous la forme d'une trame de contrôle QUIC appelée CONSENT_CHECK ici, comprenant les paramètres suivants : In another embodiment, the DPS entity 6 can itself request the device 4 to ask it for its explicit authorization to route one or more communications to it (or similarly one or more data streams) . For this purpose, it can send it for example a message in the form of a QUIC control frame called CONSENT_CHECK here, comprising the following parameters:
• un paramètre « FLOW_ID », indiquant l'identifiant d'au moins une communica tion (ou connexion), cet identifiant pouvant être comme indiqué précédemment, un identifiant de connexion, une adresse source, un port source, etc. ; • a “FLOW_ID” parameter, indicating the identifier of at least one communication (or connection), this identifier possibly being, as indicated above, a connection identifier, a source address, a source port, and so on. ;
• un paramètre « Magic Nonce » comprenant un identifiant généré de manière aléatoire dont le but est de permettre à l'entité DPS 6 de corréler la trame CON- SENT_CHECK avec la réponse à cette trame envoyée par le dispositif 4. • a “Magic Nonce” parameter comprising an identifier generated randomly, the purpose of which is to allow the DPS entity 6 to correlate the CON- SENT_CHECK frame with the response to this frame sent by the device 4.
[0113] Quelle que soit la variante mise en œuvre (commandes « DISCARD/ACCEPT » ou message CONSENT_CHECK), l'entité DPS 6 mémorise dans sa mémoire non volatile les règles de filtrage ou d'acheminement convenues avec le dispositif 4, et les ap plique dès lors aux communications entrantes destinées au dispositif 4. Whatever the variant implemented ("DISCARD / ACCEPT" commands or CONSENT_CHECK message), the DPS entity 6 stores in its non-volatile memory the filtering or routing rules agreed with the device 4, and the therefore applies to incoming communications intended for device 4.
[0114] Nous allons maintenant décrire comment est ou sont exécutées par le dispositif 4 la ou les actions de collaboration requises par l'entité DPS 6 et telles que décrites dans la trame COMIT dans le mode de réalisation envisagé ici. Ces actions peuvent être exé cutées dans le cadre de communications QUIC actives ou à venir du dispositif 4 avec d'autres dispositifs communicants, et s'appuyer sur l'envoi de paquets QUIC lors de ces communications contenant des informations susceptibles d'aider l'entité DPS 6 à mitiger l'attaque informatique ATTACK. We will now describe how the collaborative action or actions required by the DPS entity 6 are or are executed by the device 4 and as described in the COMIT frame in the embodiment considered here. These actions can be executed within the framework of active or future QUIC communications of the device 4 with other communicating devices, and rely on the sending of QUIC packets during these communications containing information likely to help the device. DPS 6 entity to mitigate the ATTACK computer attack.
[0115] En variante ou en complément, ces informations peuvent être envoyées par le disposi tif 4 à l'entité DPS 6 en dehors des communications du dispositif 4 selon le protocole QUIC, via des messages (ou trames QUIC) dédiés prévus à cet effet. Ces messages peuvent être destinés à l'entité DPS 6 ou être diffusés dans le réseau sur une adresse prédéterminée prévue à cet effet, et partagée par exemple par les entités impliquées dans la sécurité du réseau NW (par exemple une adresse multicast IP réservée à cet effet et correspondant à un groupe multicast auquel les entités du réseau NW concer nés sont abonnées). As a variant or in addition, this information can be sent by the device 4 to the DPS entity 6 outside the communications of the device 4 according to the QUIC protocol, via dedicated messages (or QUIC frames) provided for this purpose. . These messages can be intended for the DPS 6 entity or be broadcast in the network on a predetermined address provided for this purpose, and shared for example by the entities involved in the security of the NW network (for example an IP multicast address reserved for this effect and corresponding to a multicast group to which the entities of the NW network concerned are subscribed).
[0116] De telles précautions permettent au dispositif 4 de contrôler les informations qu'il par tage avec le réseau et d'éviter une exploitation abusive par ce dernier des informa tions qui lui sont révélées sur une durée limitée. [0116] Such precautions allow the device 4 to control the information that it shares with the network and to prevent the latter from abusing the information revealed to it over a limited period of time.
[0117] Les actions de collaboration peuvent être exécutées par le dispositif 4 lors de tout ou partie de ses communications. Ainsi, le dispositif 4 peut, dans un mode de réalisation, décider des communications auxquelles il décide d'appliquer les actions de collabora tion. The collaboration actions can be executed by the device 4 during all or part of its communications. Thus, the device 4 can, in one embodiment, decide on the communications to which it decides to apply the collaborative actions.
[0118] Dans le mode de réalisation décrit ici, préalablement à l'exécution des actions de col laboration, une phase de négociation est mise en œuvre entre le dispositif 4, qui a ac cepté de collaborer avec l'entité DPS 6 du réseau NW, et ses correspondants, autre ment dit les dispositifs avec lesquels il a établi des communications au cours des quelles il prévoit d'exécuter les actions de collaboration (étape F50). L'exécution des actions de collaboration par le dispositif 4 est conditionnée ici par le succès de cette phase de négociation (réponse « oui » à l'étape test F60) : autrement dit, les actions de collaboration ne sont exécutées par le dispositif 4 lors de ses communications que si elles sont approuvées par ses correspondants ou dans des conditions approuvées par ses correspondants. Il en résulte qu'il se peut que le dispositif 4 n'applique les ac tions de collaboration qu'avec certains de ses correspondants. In the embodiment described here, prior to the execution of the collaboration actions, a negotiation phase is implemented between the device 4, which has agreed to collaborate with the DPS entity 6 of the NW network , and its correspondents, in other words the devices with which it has established communications during which it plans to execute the collaboration actions (step F50). The execution of collaborative actions by device 4 is conditioned here by the success of this negotiation phase (“yes” response to test step F60): in other words, collaboration actions are only executed by device 4 during its communications if they are approved by its correspondents or under conditions approved by its correspondents . As a result, the device 4 may only apply the collaborative actions with some of its correspondents.
[0119] On suppose par exemple ici qu'une telle phase de négociation est mise en œuvre par le dispositif 4 avec le dispositif 5. La figure 6 représente les principales étapes mises en œuvre par le dispositif 5 lors de cette phase de négociation. Ces étapes sont exé cutées dans le cadre du procédé de communication selon l'invention mis en œuvre par le dispositif 5. It is assumed here, for example, that such a negotiation phase is implemented by the device 4 with the device 5. FIG. 6 represents the main steps implemented by the device 5 during this negotiation phase. These steps are executed in the context of the communication method according to the invention implemented by the device 5.
[0120] Plus précisément, dans le mode de réalisation décrit ici, lors de la phase de négocia tion, le dispositif 4 envoie un message au dispositif 5 l'informant de l'exécution d'ac- tion(s) de collaboration lors de ses communications avec le dispositif 5. Ce message d'information est reçu par le dispositif 5 via son module 5A d'émission/réception. Il prend la forme ici d'une trame QUIC, chiffrée conformément aux principes du proto cole QUIC. Dans le mode de réalisation décrit ici, le message d'information envoyé par le dispositif 4 dépend de l'action de collaboration exécutée par le dispositif 4 (une trame distincte selon l'action), et comprend une ou plusieurs conditions d'exécution de l'action de collaboration. [0120] More precisely, in the embodiment described here, during the negotiation phase, the device 4 sends a message to the device 5 informing it of the execution of collaborative action (s) during the process. its communications with the device 5. This information message is received by the device 5 via its transmission / reception module 5A. It takes the form here of a QUIC frame, encrypted in accordance with the principles of the QUIC protocol. In the embodiment described here, the information message sent by device 4 depends on the collaborative action performed by device 4 (a separate frame depending on the action), and includes one or more conditions for executing collaborative action.
[0121] Ainsi, par exemple, si l'action de collaboration exécutée par le dispositif 4 est la divul gation d'informations de contrôle sur les communications du dispositif 4, le message d'information envoyé par le dispositif 4 est une trame QUIC nommée ici CON- TROL_REVEAL et comprenant notamment les paramètres suivants pour préciser les conditions d'exécution de la divulgation des informations de contrôle : [0121] Thus, for example, if the collaborative action executed by the device 4 is the disclosure of control information on the communications of the device 4, the information message sent by the device 4 is a QUIC frame named here CON- TROL_REVEAL and comprising in particular the following parameters to specify the conditions for executing the disclosure of the control information:
• un paramètre « Lifetime », indiquant comme dans la trame COMIT la durée de la collaboration mise en place par le dispositif 4. Si aucun paramètre « Lifetime » n'est valorisé dans la trame CONTROL_REVEAL, on peut envisager qu'une valeur par défaut, par exemple supérieure ou égale à 60 minutes, est appliquée par le dispositif 4 ; et • a "Lifetime" parameter, indicating, as in the COMIT frame, the duration of the collaboration set up by device 4. If no "Lifetime" parameter is set in the CONTROL_REVEAL frame, we can consider that a default value , for example greater than or equal to 60 minutes, is applied by the device 4; and
• un paramètre « Direction » indiquant la direction de la communication concernée par l'action de collaboration mise en œuvre par le dispositif 4. Par exemple, ce paramètre peut prendre les valeurs suivantes : • a "Direction" parameter indicating the direction of the communication concerned by the collaborative action implemented by device 4. For example, this parameter can take the following values:
- 0x0 : seuls les paquets de données envoyés par le dispositif 4 sont concer nés par la divulgation des informations de contrôle ; - 0x0: only the data packets sent by the device 4 are concerned by the disclosure of the control information;
- 0x1 : seuls les paquets de données envoyés par le dispositif 5 distant sont concernés par la divulgation des informations de contrôle ; - 0x1: only the data packets sent by the remote device 5 are concerned by the disclosure of the control information;
- 0x2 : tous les paquets de données envoyés par le dispositif 4 et par le dis positif 5 sont concernés par la divulgation des informations de contrôle. En l'absence de valeur précisée dans la trame CONTROL_REVEAL pour le pa ramètre « Direction », on considère ici que c'est l'option appliquée par dé faut. - 0x2: all the data packets sent by device 4 and by device 5 are affected by the disclosure of control information. In the absence of a value specified in the CONTROL_REVEAL frame for the “Direction” parameter, it is considered here that it is the option applied by default.
[0122] Bien entendu, ces paramètres ne sont donnés qu'à titre illustratif et d'autres condi tions d'exécution peuvent être spécifiées. Par exemple, seuls les paquets partageant une même adresse destination donnée, une même adresse source donnée, un même numéro de port source ou destination ou une combinatoire de ces critères et envoyés par le dispositif 4 (respectivement le dispositif 5) sont concernés par la divulgation des informations de contrôle, etc. [0123] Le dispositif 5 peut alors accepter ou refuser (par exemple en ignorant le message CONTROL_REVEAL, étape G40) la collaboration mise en place par le dispositif 4 (étape test G20). En variante, une négociation d'une ou de plusieurs conditions d'exé cution de l'action de collaboration peut être déclenchée entre les deux dispositifs. L'ac ceptation ou le refus de la collaboration met fin à la phase de négociation. [0122] Of course, these parameters are given only by way of illustration and other execution conditions can be specified. For example, only the packets sharing the same given destination address, the same given source address, the same source or destination port number or a combination of these criteria and sent by the device 4 (respectively the device 5) are concerned by the disclosure. control information, etc. The device 5 can then accept or refuse (for example by ignoring the message CONTROL_REVEAL, step G40) the collaboration set up by the device 4 (test step G20). As a variant, a negotiation of one or more conditions for executing the collaboration action can be triggered between the two devices. Acceptance or rejection of the collaboration ends the negotiation phase.
[0124] On suppose ici que le dispositif 5 accepte la collaboration (réponse « oui » à l'étape test G20 et réponse « oui » à l'étape F60) et l'exécution de l'action de collaboration consistant à divulguer les informations de contrôle de ses communications avec le dis positif 4. Le dispositif 5 envoie alors au dispositif 4 un message d'acquittement pour l'informer de son accord (étape G30). Le message d'acquittement est reçu par le dis positif 4 via son module 4B d'émission/réception. It is assumed here that the device 5 accepts the collaboration (response "yes" to the test step G20 and response "yes" to the step F60) and the execution of the collaboration action consisting in disclosing the information. of control of its communications with the positive device 4. The device 5 then sends to the device 4 an acknowledgment message to inform it of its agreement (step G30). The acknowledgment message is received by the positive device 4 via its transmission / reception module 4B.
[0125] On note que les deux dispositifs 4 et 5 peuvent être sollicités indépendamment pour collaborer par l'entité DPS 6 ou par des entités distinctes du réseau NW, ou encore s'ils appartiennent à des réseaux différents, par des entités distinctes de leurs réseaux respectifs. Les dispositifs 4 et 5 peuvent alors tous les deux s'envoyer respectivement des trames QUIC CONTROL_REVEAL au titre d'une même communication si, par exemple, ils ont accepté respectivement une telle collaboration. [0125] It is noted that the two devices 4 and 5 can be called upon independently to collaborate by the DPS entity 6 or by entities distinct from the network NW, or even if they belong to different networks, by entities distinct from their own. respective networks. The devices 4 and 5 can then both send each other QUIC CONTROL_REVEAL frames as part of the same communication if, for example, they have respectively accepted such a collaboration.
[0126] La phase de négociation qui vient d'être décrite est effectuée pour les communications (ou connexions) QUIC existantes du dispositif 4, autrement dit pour les communica tions déjà établies. Une phase de négociation similaire peut également être conduite pour les communications QUIC à venir du dispositif 4 (c'est-à-dire, celles à établir après qu'un évènement déclencheur a été reçu/détecté). The negotiation phase which has just been described is carried out for the communications (or connections) QUIC existing of the device 4, in other words for the communications already established. A similar negotiation phase can also be conducted for future QUIC communications from device 4 (i.e., those to be established after a trigger event has been received / detected).
[0127] Pour ce faire, lorsque le dispositif 4 envoie une demande d'établissement d'une com munication QUIC vers un dispositif distant (par exemple vers le dispositif 5), il utilise une trame QUIC dans lequel les informations de contrôle de la communication sont divulguées. Il envoie également, lors de cette demande d'établissement, une trame CONTROL_REVEAL pour informer le dispositif 5 des conditions d'exécution des actions de collaboration (ex. durée, direction). Le traitement de la trame CONTROL_REVEAL par le dispositif 5 est identique à ce qui a été décrit précédemment pour les communi cations en cours. On note donc que pour le traitement des communications à venir, la négociation vient dans un second temps, et ne s'oppose pas à la divulgation des infor mations de contrôle de la communication dans la demande d'établissement de la com munication. To do this, when the device 4 sends a request for setting up a QUIC communication to a remote device (for example to the device 5), it uses a QUIC frame in which the communication control information are disclosed. It also sends, during this establishment request, a CONTROL_REVEAL frame to inform the device 5 of the conditions of execution of the collaboration actions (eg duration, direction). The processing of the CONTROL_REVEAL frame by the device 5 is identical to what has been described previously for the communications in progress. It is therefore noted that for the processing of future communications, the negotiation comes second, and does not preclude the disclosure of the communication control information in the request for establishment of the communication.
[0128] Lorsque la phase de négociation se solde par une acceptation de la collaboration par le dispositif distant (dispositif 5 dans les exemples précédents), le dispositif 4 peut dès lors continuer de divulguer lors de ses communications avec le dispositif 5 les informa tions de contrôle relatives à ces communications, pendant la durée définie par le para mètre « Lifetime », et selon les conditions d'exécution négociées avec le dispositif 5 (étape F70 sur la figure 5). When the negotiation phase ends in an acceptance of the collaboration by the remote device (device 5 in the preceding examples), the device 4 can therefore continue to disclose during its communications with the device 5 the information of control relating to these communications, during the period defined by the “Lifetime” parameter, and according to the execution conditions negotiated with the device 5 (step F70 in FIG. 5).
[0129] Dans le mode de réalisation décrit ici, les informations de contrôle des communica tions sont exposées dans l'en-tête public des paquets de données QUIC envoyés et/ou reçus par le dispositif 4. De la sorte, une fonction localisée dans le réseau NW par la quelle transitent ces paquets de données QUIC (typiquement dans l'exemple envisagé ici, l'entité DPS 6), est en mesure d'accéder aux informations de contrôle divulguées par le dispositif 4 (et/ou par ses correspondants). In the embodiment described here, the communication control information is exposed in the public header of the QUIC data packets sent and / or received by the device 4. In this way, a function located in the network NW through which these QUIC data packets transit (typically in the example considered here, the DPS entity 6), is able to access the control information disclosed by the device 4 (and / or by its correspondents ).
[0130] Plus particulièrement, dans le mode de réalisation décrit ici, les inventeurs proposent de modifier la partie publique des en-têtes des paquets QUIC tels que définis actuellement dans le protocole QUIC pour indiquer explicitement et en clair des informations de contrôle d'une communication. De telles informations sont par exemple : [0130] More particularly, in the embodiment described here, the inventors propose to modify the public part of the headers of the QUIC packets as currently defined in the QUIC protocol to indicate explicitly and in clear information of control of a communication. Such information is for example:
• un état d'un établissement de la communication ; • a state of a communication establishment;
• un consentement d'envoi et/ou de réception de paquets de données lors de la communication par l'un et/ou l'autre des dispositifs impliqués dans la communication (dispositifs 4 et 5 dans l'exemple envisagé ici) ; et • consent to send and / or receive data packets during communication by one and / or other of the devices involved in the communication (devices 4 and 5 in the example considered here); and
• un consentement ou une absence de consentement de ladite communication par l'un et/ou l'autre des dispositifs impliqués dans la communication (dispositifs 4 et 5 dans l'exemple envisagé ici). • consent or absence of consent for said communication by one and / or other of the devices involved in the communication (devices 4 and 5 in the example considered here).
[0131] La figure 7 illustre un exemple d'une telle modification pour un en-tête court d'un paquet QUIC. Dans cet exemple, l'indicateur (réservé) C du premier octet de l'en-tête court (cf. octet 1-1 représenté sur la figure 1) est valorisé à « 1 » pour indiquer que le paquet QUIC contient un nouveau champ appelé ici « Public Control Status » reflétant diverses informations de contrôle de la communication (dans l'état actuel de la technique, l'indicateur réservé C est généralement valorisé à 0 ; s'il est valorisé à 1, il n'est pas pris en compte). Le champ « Public Control Status » peut être renseigné par exemple avec les valeurs suivantes : [0131] FIG. 7 illustrates an example of such a modification for a short header of a QUIC packet. In this example, the (reserved) indicator C of the first byte of the short header (cf. byte 1-1 shown in figure 1) is set to "1" to indicate that the QUIC packet contains a new field. here called "Public Control Status" reflecting various communication control information (in the current state of the art, the reserved indicator C is generally valued at 0; if it is valued at 1, it is not taken. into account). The “Public Control Status” field can be filled in, for example, with the following values:
• 0x0 : pour indiquer que la communication (ou connexion) est en cours d'établissement ; • 0x0: to indicate that the communication (or connection) is being established;
• 0x1 : pour indiquer le consentement du dispositif 4 à recevoir de paquets de données en provenance du dispositif distant (dispositif 5 dans l'exemple envisagé ici) ; • 0x1: to indicate the consent of the device 4 to receive data packets from the remote device (device 5 in the example considered here);
• 0x2 : pour indiquer le consentement du dispositif 4 à envoyer et recevoir des paquets de données ; • 0x2: to indicate the consent of device 4 to send and receive data packets;
• 0x3 : pour indiquer une communication établie avec consentement mutuel des dispositifs 4 et 5 ; et • 0x3: to indicate a communication established with mutual consent of devices 4 and 5; and
• 0x4 : pour indiquer une communication non consentie. • 0x4: to indicate an unauthorized communication.
[0132] On note que, dans l'état de la technique, une communication non consentie par un dispositif est en général ignorée par ce dernier. Au contraire, les inventeurs proposent d'exploiter avantageusement cette information et de la porter à la connaissance d'une ou de plusieurs fonctions du réseau NW (par exemple ici de l'entité DPS 6) qui peuvent alors se charger de filtrer tous les flux relatifs à cette communication non consentie par le dispositif 4 (voire relatifs à toutes les communications établies avec le dispositif distant 5). It is noted that, in the state of the art, a communication not granted by a device is generally ignored by the latter. On the contrary, the inventors propose to exploit this information advantageously and to bring it to the attention of one or more functions of the NW network (for example here of the entity DPS 6) which can then take care of filtering all the flows. relating to this communication not granted by the device 4 (or even relating to all the communications established with the remote device 5).
[0133] D'autres valeurs peuvent bien entendu être envisagées en variante pour fournir d'autres informations de contrôle de la communication aux entités du réseau impliquées dans la mitigation de l'attaque informatique ATTACK. Il convient toutefois de noter qu'il n'apparaît pas utile de divulguer les sous-états de contrôle de la communication comme par exemple la création ou la clôture d'un nouveau canal ou STREAM, la retransmission de paquets QUIC, etc., ces informations n'étant a priori pas exploitables par de telles entités du réseau. [0133] Other values can of course be considered as a variant to provide other communication control information to the entities of the network involved in the mitigation of the ATTACK computer attack. Note, however, that it does not appear useful to disclose communication control substates such as the creation or closure of a new channel or STREAM, retransmission of QUIC packets, etc., these information not being a priori usable by such network entities.
[0134] Une modification des en-têtes longs pour inclure un nouveau champ « Public Control Status » peut également être envisagée en variante, comme illustrée par la figure 8. Ce champ est positionné à « 0x0 » pour les paquets Initial (illustré par la figure 8B) et 0-RTT (illustré par la figure 8A). L'avantage de cette variante est de permettre à la fonction réseau de détecter à l'avance les connexions établies selon un mode collabo ratif. Ainsi, ladite fonction peut garder en mémoire les identifiants CID (Source et Des tination) pour faciliter la corrélation des paquets émis avec les paquets reçus et carac téristiques d'une même communication QUIC. [0134] A modification of the long headers to include a new “Public Control Status” field can also be envisaged as a variant, as illustrated by FIG. 8. This field is positioned at “0x0” for the Initial packets (illustrated by the figure 8B) and 0-RTT (illustrated by figure 8A). The advantage of this variant is that it allows the network function to detect in advance the connections established in a collaborative way. Thus, said function can keep the CID (Source and Destination) identifiers in memory to facilitate the correlation of the packets sent with the packets received and characteristic of the same QUIC communication.
[0135] On note qu'afin d'éviter d'utiliser la collaboration mise en place entre le dispositif 4 et l'entité DPS 6 pour introduire dans le réseau NW des attaques par réflexion, on peut configurer les dispositifs communicants impliqués dans une communication transitant par l'entité DPS 6, pour qu'ils n'envoient pas plus de trois paquets QUIC révélant les informations de contrôle de cette communication. It is noted that in order to avoid using the collaboration set up between the device 4 and the DPS entity 6 to introduce reflection attacks into the NW network, the communicating devices involved in a communication can be configured. transiting through the DPS 6 entity, so that they do not send more than three QUIC packets revealing the control information for this communication.
[0136] La figure 9 montre des exemples d'utilisations par une entité du réseau, par exemple ici, par l'entité DPS 6, des informations de contrôle divulguées dans les en-têtes des paquets QUIC échangés entre les dispositifs 4 et 5, pour mitiger une attaque informa tique. FIG. 9 shows examples of uses by an entity of the network, for example here, by the DPS entity 6, of the control information disclosed in the headers of the QUIC packets exchanged between the devices 4 and 5, to mitigate a computer attack.
[0137] En référence à la figure 9A, une communication collaborative consentie, à l'origine du dispositif 4, est caractérisée par l'observation par l'entité DPS 6 des éléments sui vants : [0137] With reference to FIG. 9A, an agreed collaborative communication, at the origin of the device 4, is characterized by the observation by the DPS entity 6 of the following elements:
• Envoi (QUIC1) d'un message QUIC d'initialisation d'une communication du dispo sitif 4 vers le dispositif 5 : dans ce message, le flag C est valorisé à 1 et le champ « Public Control Status » (ou PCS sur la figure) est valorisé à PCS=0x0 (ou 0). L'identifiant de connexion du dispositif 4 (SCID ou Source CID) est valorisé à Val4 et celui du dispositif 5 distant (DCID) à 0 ; • Sending (QUIC1) of a QUIC message to initialize a communication from device 4 to device 5: in this message, the C flag is set to 1 and the “Public Control Status” field (or PCS on the figure) is valued at PCS = 0x0 (or 0). The connection identifier of device 4 (SCID or Source CID) is valued at Val4 and that of remote device 5 (DCID) at 0;
• Envoi (QUIC2) d'un message QUIC par le dispositif 5 au dispositif 4 dans lequel le flag C est valorisé à 1 et le champ « Public Control Status » est valorisé à PCS=0xl (reflétant une information de consentement d'envoi ou de réception) ; • Sending (QUIC2) of a QUIC message by device 5 to device 4 in which the flag C is set to 1 and the “Public Control Status” field is set to PCS = 0xl (reflecting a sending consent information or reception) ;
• Envoi (QUIC3) d'un message QUIC par le dispositif 4 au dispositif 5 dans lequel le flag C est valorisé à 1 et le champ « Public Control Status » est valorisé à PCS=0x2 (reflétant une information de consentement d'envoi et de réception de paquets) ; • Sending (QUIC3) of a QUIC message by device 4 to device 5 in which the flag C is set to 1 and the “Public Control Status” field is set to PCS = 0x2 (reflecting a sending consent information and packet reception);
• Envois (QUIC4) et (QUIC5) de messages QUIC par le dispositif 5 au dispositif 4, et par le dispositif 4 au dispositif 5 dans lesquels le flag C est valorisé à 1 et le champ « Public Control Status » est valorisé à PCS=0x03 (reflétant une commu nication établie avec consentement mutuel). • Sending (QUIC4) and (QUIC5) of QUIC messages by device 5 to device 4, and by device 4 to device 5 in which flag C is set to 1 and the “Public Control Status” field is set to PCS = 0x03 (reflecting communication established with mutual consent).
[0138] Un échange similaire peut être décrit pour une communication établie à l'initiative du dispositif 5. A similar exchange can be described for a communication established at the initiative of the device 5.
[0139] L'entité DPS 6, placée sur le chemin des échanges ayant lieu entre les dispositifs 4 et 5, peut détecter une anomalie dans le trafic destiné ou issu du dispositif 4 si le mes sage de consentement (correspondant au champ « Public Control Status » positionné à 0x3) n'est pas échangé entre les deux dispositifs, ou si le dispositif 4 n'a pas explici tement indiqué son consentement à recevoir du trafic au titre d'une communication établie avec le dispositif 5. The DPS entity 6, placed on the path of the exchanges taking place between the devices 4 and 5, can detect an anomaly in the traffic intended for or coming from the device 4 if the consent message (corresponding to the "Public Control Status ”set to 0x3) is not exchanged between the two devices, or if device 4 has not explicitly indicated its consent to receive traffic as part of a communication established with device 5.
[0140] Si une telle anomalie est détectée, l'entité DPS 6 peut décider de rediriger les paquets de données de ladite communication vers un centre de nettoyage (plus couramment appelé « Scrubbing center » en anglais) pour traitement de ces paquets de données ou de bloquer ces paquets de données. [0140] If such an anomaly is detected, the DPS entity 6 can decide to redirect the data packets of said communication to a cleaning center (more commonly called "Scrubbing center" in English) for processing these data packets or to block these data packets.
[0141] Selon un autre exemple illustré sur la figure 9B, le dispositif 4 peut envoyer, après avoir reçu divers paquets de données en provenance du dispositif 5 (envois (QUIC6) et (QUIC7)), un message QUIC avec le champ « Public Control Status » positionné à PCS=0x4 (envoi (QUIC8)). Ce message est intercepté par l'entité DPS 6 qui en extrait les informations de contrôle de la communication avant de supprimer le message.[0141] According to another example illustrated in FIG. 9B, the device 4 can send, after having received various data packets originating from the device 5 (sendings (QUIC6) and (QUIC7)), a QUIC message with the "Public" field. Control Status ”set to PCS = 0x4 (send (QUIC8)). This message is intercepted by the DPS entity 6 which extracts from it the communication control information before deleting the message.
Tous les paquets de cette communication, voire les paquets de toutes les communica tions reçues du dispositif 5 sont alors bloqués par l'entité DPS 6 et rejetés (rejets des envois (QUIC9) et (QUIC10)). Ces filtrages peuvent être supprimés après l'expiration d'une échéance spécifique. On note que préférentiellement, le message intercepté par l'entité DPS 6 n'est pas acheminé vers le dispositif 5 pour éviter que celui-ci ne l'utilise pour ajuster sa stratégie d'attaque. All the packets of this communication, or even the packets of all the communications received from the device 5 are then blocked by the DPS entity 6 and rejected (rejects of the items (QUIC9) and (QUIC10)). These filterings can be removed after the expiration of a specific deadline. It is noted that preferably, the message intercepted by the DPS entity 6 is not routed to the device 5 to prevent the latter from using it to adjust its attack strategy.
[0142] Au regard de ces deux exemples, il apparaît clairement que la divulgation des informa tions de contrôle dans le cadre du protocole QUIC permet avantageusement à l'entité DPS 6 de mieux différencier le trafic consenti par le dispositif 4 du trafic de l'attaque, et de prendre des actions appropriées et efficaces en vue de mitiger l'attaque. [0142] With regard to these two examples, it clearly appears that the disclosure of control information within the framework of the QUIC protocol advantageously allows the DPS entity 6 to better differentiate the traffic authorized by the device 4 from the traffic of the. attack, and take appropriate and effective actions to mitigate the attack.
[0143] Comme mentionné précédemment, outre la divulgation d'informations de contrôle des communications, l'entité DPS 6 peut proposer au dispositif 4 (et le cas échéant au dis positif 5) d'autres actions de collaboration, et notamment le gel de la migration des identifiants de communication lors des communications établies par le dispositif 4 (correspondant au paramètre « Strategy_ID » valorisé à 0x2 dans la trame COMIT transmise par l'entité DPS 6 au dispositif 4). As mentioned above, in addition to the disclosure of communications control information, the DPS entity 6 can propose to the device 4 (and where appropriate to the positive device 5) other collaborative actions, and in particular the freezing of the migration of the communication identifiers during the communications established by the device 4 (corresponding to the “Strategy_ID” parameter valued at 0x2 in the COMIT frame transmitted by the DPS entity 6 to the device 4).
[0144] Pour cette action également, on peut envisager la mise en œuvre d'une phase de né gociation entre les dispositifs 4 et 5 suite à l'acceptation par le dispositif 4 de la colla boration proposée par l'entité DPS 6. [0144] For this action also, it is possible to envisage the implementation of a negotiation phase between the devices 4 and 5 following the acceptance by the device 4 of the collaboration proposed by the DPS entity 6.
[0145] De façon connue en soi, le protocole QUIC offre la possibilité aux dispositifs communi cants de changer lors de leurs communications les identifiants de communication (plus communément désignés par identifiants de connexion ou CID dans le contexte du protocole QUIC) qu'ils utilisent pour caractériser celles-ci. Ce changement, aussi connu sous le nom de « migration des identifiants de connexion », se fait classiquement via l'échange de trames QUIC prévues à cet effet et dont le contenu est chiffré, notam ment les identifiants de connexion vers lesquels la communication est destinée à mi grer de sorte qu'il n'est pas possible aux entités du réseau de faire le lien entre les nouveaux identifiants de connexion d'une communication utilisés après migration par les dispositifs communicants et les précédents identifiants de connexion utilisés avant migration. L'invention offre la possibilité de geler la migration des identifiants de con nexion relatifs à une communication durant une durée déterminée qui peut être égale à la valeur du paramètre « Lifetime » fournie dans la trame COMIT, ou en variante, correspondre au temps que durera la communication. [0145] In a manner known per se, the QUIC protocol offers the possibility for communicating devices to change the communication identifiers (more commonly referred to as connection identifiers or CID in the context of the QUIC protocol) that they use during their communications. to characterize these. This change, also known as the “migration of connection identifiers”, is conventionally done via the exchange of QUIC frames provided for this purpose and whose content is encrypted, in particular the connection identifiers to which the communication is intended. to set up so that it is not possible for network entities to make the link between the new connection identifiers of a communication used after migration by the communicating devices and the previous connection identifiers used before migration. The invention offers the possibility of freezing the migration of the connection identifiers relating to a communication during a determined period which may be equal to the value of the "Lifetime" parameter supplied in the COMIT frame, or as a variant, correspond to the time that will last. Communication.
[0146] En maintenant les mêmes identifiants de connexion pendant la durée de la communi cation QUIC, la classification par une fonction réseau telle que l'entité DPS 6 des pa quets de données caractéristiques de cette communication est simplifiée, car cela per met de corréler les paquets envoyés avec les paquets reçus au cours d'une même communication. Ainsi une même communication est identifiée de façon unique pen dant qu'une ou plusieurs action(s) de mitigation est/sont en cours. L'analyse des pa quets par l'entité DPS6 pour déterminer s'ils appartiennent à un trafic consenti par le dispositif 4 ou à un trafic d'attaque est de ce fait grandement simplifiée. By maintaining the same connection identifiers for the duration of the QUIC communication, the classification by a network function such as the entity DPS 6 of the data packets characteristic of this communication is simplified, because this makes it possible to correlate the packets sent with the packets received during the same communication. Thus the same communication is uniquely identified while one or more mitigation action (s) is / are in progress. The analysis of the packets by the entity DPS6 to determine whether they belong to traffic authorized by the device 4 or to attack traffic is therefore greatly simplified.
[0147] Comme pour la divulgation des informations de contrôle, préalablement à l'application du gel de la migration des identifiants de connexion relatifs à ses communications en cours, le dispositif 4 peut engager une phase de négociation avec ses correspondants, et en particulier ici avec le dispositif 5 (étape F50 figure 5, étapes G10 et G20 figure 6). As for the disclosure of control information, prior to the application of the freeze on the migration of connection identifiers relating to its communications in progress, the device 4 can initiate a negotiation phase with its correspondents, and in particular here with device 5 (step F50 figure 5, steps G10 and G20 figure 6).
[0148] Pour ce faire, le dispositif 4 envoie au dispositif 5 un message l'informant du gel des identifiants de connexion qu'il envisage d'exécuter. Ce message prend la forme ici d'une trame QUIC chiffrée appelée FREEZE_CID et comprenant notamment un para mètre « Lifetime » indiquant la durée pendant laquelle le dispositif 4 envisage de maintenir un unique identifiant de connexion CID lors de sa communication avec le dispositif 5. Préférentiellement, la durée « Lifetime » est choisie de sorte que l'identi fiant de connexion CID reste le même durant toute la communication (on note que de ce fait, la durée « Lifetime » de maintien de l'identifiant de connexion CID ne corres pond pas nécessairement à la durée d'activation de la collaboration fournie par l'entité DPS 6 dans le message COMIT. Elle peut notamment être inférieure à la durée fournie dans le message COMIT). To do this, the device 4 sends to the device 5 a message informing it of the freezing of the connection identifiers that it intends to execute. This message takes the form here of an encrypted QUIC frame called FREEZE_CID and notably comprising a “Lifetime” parameter indicating the duration during which the device 4 intends to maintain a unique connection identifier CID during its communication with the device 5. Preferably. , the “Lifetime” duration is chosen so that the CID connection identifier remains the same throughout the communication (it should be noted that therefore, the “Lifetime” duration of maintenance of the CID connection identifier does not match. not necessarily to the duration of activation of the collaboration provided by the entity DPS 6 in the COMIT message, in particular it may be less than the duration provided in the COMIT message).
[0149] En variante, la trame FREEZE_CID peut contenir d'autres paramètres. Ainsi, de façon connue de l'homme du métier, un identifiant de connexion CID comprend deux par ties, un identifiant de connexion source ou SCID et un identifiant de connexion desti nataire ou DCID. La trame FREEZE_CID peut indiquer comme condition d'exécution, à quelle partie s'applique le maintien préconisé par l'action de collaboration. [0149] As a variant, the FREEZE_CID frame can contain other parameters. Thus, in a manner known to those skilled in the art, a connection identifier CID comprises two parts, a source connection identifier or SCID and a destination connection identifier or DCID. The FREEZE_CID frame can indicate as an execution condition, to which part the maintenance recommended by the collaboration action applies.
[0150] A l'issue de la durée « Lifetime », la collaboration est désactivée automatiquement au niveau du dispositif 4. Le dispositif 4 peut alors générer s'il le souhaite de nouveaux identifiants de connexion et procéder à une migration d'identifiants de connexion à l'aide des trames QUIC connues NEW_CONNECTION_ID et RETI RE_CO N N ECTIO N_I D, selon la mécanique protocolaire QUIC classique connue de l'homme du métier. [0150] At the end of the "Lifetime" period, the collaboration is automatically deactivated at the level of the device 4. The device 4 can then generate, if desired, new connection identifiers and proceed with a migration of user identifiers. connection using the known QUIC frames NEW_CONNECTION_ID and RETI RE_CO NN ECTIO N_I D, according to conventional QUIC protocol mechanics known to those skilled in the art.
[0151] Le dispositif distant 5 peut accepter (réponse « oui » à l'étape test G20), respective ment refuser (réponse « non » à l'étape test G20), le gel des identifiants de connexion en répondant avec un message d'acquittement ACK (étape G30), ou respectivement en ignorant le message FREEZE_CID (étape G40). The remote device 5 can accept (answer "yes" to the test step G20), respectively refuse (answer "no" to the test step G20), the freezing of the connection identifiers by responding with a message d 'acknowledgment ACK (step G30), or respectively by ignoring the FREEZE_CID message (step G40).
[0152] Une fois la phase de négociation terminée avec succès, les deux dispositifs 4 et 5 maintiennent un et un seul identifiant de connexion CID composé ici d'un identifiant de connexion généré par le dispositif 4 et d'un identifiant de connexion généré par le dispositif 5 (servant tour à tour de SCID et de DCID selon le sens des messages échangés lors de la communication) (étapes G50 et F70). Once the negotiation phase is successfully completed, the two devices 4 and 5 maintain one and only one connection identifier CID composed here of a connection identifier generated by the device 4 and a connection identifier generated by the device 5 (serving in turn as SCID and DCID depending on the direction of the messages exchanged during the communication) (steps G50 and F70).
[0153] On note qu'une phase de négociation similaire ou identique à celles qui viennent d'être décrites pour des actions de collaboration de type divulgation d'informations de contrôle et gel des identifiants de connexion peut être mise en œuvre également lors que l'entité DPS 6 propose dans son message COMIT une combinaison de plusieurs actions de collaboration (par exemple, paramètre « Strategy_ID » valorisé à 0x3 pour requérir le gel des identifiants de connexion et la divulgation d'informations de con trôle). Dans ce cas, le dispositif distant 5 peut, lors de la phase de négociation, accep ter ou refuser une ou plusieurs de ces actions de collaboration. [0153] It should be noted that a negotiation phase similar or identical to those which have just been described for collaborative actions such as disclosure of control information and freezing of connection identifiers can also be implemented when the The DPS 6 entity proposes in its COMIT message a combination of several collaboration actions (for example, parameter “Strategy_ID” valued at 0x3 to request the freezing of connection identifiers and the disclosure of control information). In this case, the remote device 5 can, during the negotiation phase, accept or refuse one or more of these collaboration actions.
[0154] Comme évoqué précédemment, une autre action de collaboration possible peut con sister pour le dispositif 4 à désactiver le protocole de transport QUIC pour établir ses communications et à utiliser un autre protocole de transport que QUIC, comme par exemple le protocole de transport TCP pour établir ses communications à venir (c'est- à-dire, celles à établir après qu'un évènement déclencheur a été reçu/détecté). As mentioned previously, another possible collaborative action may consist for the device 4 to deactivate the transport protocol QUIC to establish its communications and to use a transport protocol other than QUIC, such as for example the TCP transport protocol. to establish its future communications (that is to say, those to be established after a triggering event has been received / detected).
Comme pour les autres actions de collaboration, une négociation préalable peut être mise en place entre le dispositif 4 et ses correspondants pour s'assurer que ces der niers acceptent la désactivation du protocole QUIC. [0155] Suite à l'acceptation de la collaboration proposée par l'entité DPS 6, et le cas échéant, si ses correspondants sont d'accord, le dispositif 4 utilise le protocole TCP pour l'éta blissement de ses nouvelles communications, tant que la collaboration est active. A l'expiration de la collaboration (autrement dit de la durée « Lifetime »), le dispositif 4 peut réutiliser le protocole QUIC pour l'établissement de ses communications avec ses correspondants. As for the other collaboration actions, a prior negotiation can be set up between the device 4 and its correspondents to ensure that the latter accept the deactivation of the QUIC protocol. [0155] Following the acceptance of the collaboration proposed by the DPS entity 6, and if applicable, if its correspondents agree, the device 4 uses the TCP protocol for establishing its new communications, both that the collaboration is active. At the end of the collaboration (in other words of the “Lifetime” period), the device 4 can reuse the QUIC protocol for establishing its communications with its correspondents.
[0156] Les actions de collaboration qui viennent d'être évoquées ne sont pas limitatives en soi. Elles ont une application privilégiée dans le cadre du protocole QUIC mais ne sont toutefois pas limitées à ce protocole. Par ailleurs, d'autres actions de collaboration peuvent bien entendu être envisagées, en variante ou en complément de celles qui viennent d'être citées et détaillées. The collaborative actions which have just been mentioned are not limiting in themselves. They have a privileged application within the framework of the QUIC protocol but are not however limited to this protocol. Moreover, other collaborative actions can of course be envisaged, as a variant or in addition to those which have just been cited and detailed.
[0157] En outre, dans le mode de réalisation décrit ici, le déclenchement de la collaboration du dispositif 4 avec le réseau NW et plus particulièrement avec l'entité DPS 6, est à l'initiative de l'entité DPS 6. En variante, la collaboration peut être déclenchée par le dispositif 4 lui-même. Dans ce cas, le dispositif 4 ne reçoit pas de message explicite en provenance du réseau, mais s'appuie sur des évènements qu'il a observés locale ment (par exemple la détection d'une attaque) ou qui lui sont rapportés par un dispo sitif distant ou une entité tierce (externe ou non au réseau). In addition, in the embodiment described here, the triggering of the collaboration of the device 4 with the network NW and more particularly with the entity DPS 6, is initiated by the entity DPS 6. As a variant , the collaboration can be triggered by the device 4 itself. In this case, the device 4 does not receive an explicit message from the network, but relies on events that it has observed locally (for example the detection of an attack) or which are reported to it by an available device. remote endpoint or a third party (external or not to the network).
[0158] Dans ce mode de réalisation, la collaboration concerne alors par défaut l'ensemble des communications QUIC du dispositif 4 via le réseau NW. Le dispositif 4 peut toutefois à tout moment décider de n'activer cette collaboration que pour un sous-ensemble de ses communications, par exemple selon la nature des événements rapportés par ses correspondants ou par le réseau utilisé pour acheminer les données d'une communi cation. In this embodiment, the collaboration then concerns by default all of the QUIC communications of the device 4 via the network NW. The device 4 can however at any time decide to activate this collaboration only for a subset of its communications, for example according to the nature of the events reported by its correspondents or by the network used to route the data of a communication. .
[0159] On note par ailleurs, que dans le mode de réalisation décrit ici, le dispositif 4 n'est rac cordé qu'à un seul réseau NW et n'est sollicité que par une seule fonction réseau à sa voir l'entité DPS 6. En variante, un même dispositif peut être raccordé à plusieurs ré seaux distincts et décider d'activer une collaboration avec une ou plusieurs entités dis tinctes de ces réseaux. [0159] It should also be noted that in the embodiment described here, the device 4 is only connected to a single network NW and is only requested by a single network function, as seen by the DPS entity. 6. As a variant, the same device can be connected to several distinct networks and decide to activate a collaboration with one or more distinct entities of these networks.

Claims

Revendications Claims
[Revendication 1] Procédé de gestion de communications selon un protocole de transport donné d'un premier dispositif (4) d'un réseau, ledit procédé étant mis en œuvre par le premier dispositif et comprenant, suite à une détection d'une attaque informatique (E10), une étape d'activation (F40) au niveau dudit premier dispositif, d'une collaboration avec au moins une entité dudit réseau pour mitiger ladite attaque informatique, ladite collaboration comprenant une exécution (F70) par ledit premier dispositif d'au moins une action déterminée dite de collaboration, lors d'au moins une dite communication dudit premier dispositif selon ledit protocole de transport donné, via ledit réseau. [Claim 1] Method for managing communications according to a given transport protocol of a first device (4) of a network, said method being implemented by the first device and comprising, following detection of a computer attack (E10), a step of activating (F40) at said first device, a collaboration with at least one entity of said network to mitigate said computer attack, said collaboration comprising an execution (F70) by said first device of at least one at least one determined so-called collaborative action, during at least one said communication of said first device according to said given transport protocol, via said network.
[Revendication 2] Procédé de gestion selon la revendication 1 dans lequel ladite étape d'activation est déclenchée par une réception (F10) en provenance de ladite au moins une entité du réseau, d'un message proposant ladite collaboration. [Claim 2] The management method according to claim 1 wherein said activation step is triggered by a reception (F10) from said at least one entity of the network, of a message proposing said collaboration.
[Revendication 3] Procédé de gestion selon la revendication 1 ou 2 comprenant en outre une étape d'envoi (F50), à un moins un deuxième dispositif (5) participant à au moins une dite communication selon ledit protocole de transport donné avec ledit premier dispositif, d'un message d'information informant ledit deuxième dispositif de l'exécution par le premier dispositif de ladite au moins une action de collaboration. [Claim 3] The management method according to claim 1 or 2 further comprising a sending step (F50), to at least one second device (5) participating in at least one said communication according to said given transport protocol with said first device, an information message informing said second device of the execution by the first device of said at least one collaborative action.
[Revendication 4] Procédé de gestion selon la revendication 3 dans lequel l'exécution de ladite au moins une action de collaboration est conditionnée par la réception d'un accord du deuxième dispositif. [Claim 4] The management method according to claim 3 wherein the execution of said at least one collaborative action is conditioned by the reception of an agreement from the second device.
[Revendication 5] Procédé de gestion selon la revendication 3 ou 4 dans lequel ledit message d'information comprend au moins une condition d'exécution de ladite action de collaboration. [Claim 5] The management method according to claim 3 or 4 wherein said information message comprises at least one condition for executing said collaboration action.
[Revendication 6] Procédé de communication avec un premier dispositif (4) d'un réseau, ledit procédé étant mis en œuvre par un deuxième dispositif (5) et comprenant : [Claim 6] A method of communicating with a first device (4) of a network, said method being implemented by a second device (5) and comprising:
• une étape de réception (G10) d'un message d'information en provenance du premier dispositif, informant le deuxième dispositif d'une exécution par le premier dispositif d'au moins une action déterminée lors d'au moins une communication selon un protocole de transport donné avec le deuxième dispositif, ladite action, dite de collaboration, permettant une collaboration avec au moins une entité du réseau pour mitiger une attaque informatique ; A step of receiving (G10) an information message from the first device, informing the second device of an execution by the first device of at least one action determined during at least one communication according to a protocol of transport given with the second device, said action, called collaboration, allowing collaboration with at least one entity of the network to mitigate a computer attack;
• si ledit deuxième dispositif accepte l'exécution de ladite action de collaboration, une étape d'information (G30) du premier dispositif de son accord. • if said second device accepts the execution of said collaboration action, a step of informing (G30) of the first device of its agreement.
[Revendication 7] Procédé selon l'une quelconque des revendications 1 à 6 dans lequel au moins un paquet de données échangé lors d'une dite communication selon ledit protocole de transport donné comprend au moins un entête indiquant en clair au moins une information de contrôle de ladite communication parmi : [Claim 7] A method according to any one of claims 1 to 6 wherein at least one data packet exchanged during a said communication according to said given transport protocol comprises at least one header indicating in clear at least one piece of control information for said communication among:
• un état d'un établissement de ladite communication ; • a state of an establishment of said communication;
• un consentement d'envoi et/ou de réception de paquets de données lors de ladite communication ; et • consent to send and / or receive data packets during said communication; and
• un consentement ou une absence de consentement de ladite communication. • consent or lack of consent for said communication.
[Revendication 8] Procédé de communication par une entité (6) d'un réseau à au moins un dispositif du réseau, ledit procédé comprenant, suite à une incapacité de ladite entité à déterminer si un flux de données destiné audit ou provenant dudit dispositif est associé ou non à une attaque informatique, une étape d'envoi (E60) par ladite entité audit dispositif d'un message proposant une collaboration du dispositif pour mitiger ladite attaque informatique, ladite collaboration comprenant une exécution par le dispositif d'au moins une action déterminée dite de collaboration, lors d'au moins une communication dudit dispositif selon un protocole de transport donné via ledit réseau.[Claim 8] A method of communicating by an entity (6) from a network to at least one device in the network, said method comprising, following an inability of said entity to determine whether a data stream intended for or originating from said device is associated or not with a computer attack, a sending step (E60) by said entity to said device of a message proposing a collaboration of the device to mitigate said computer attack, said collaboration comprising an execution by the device of at least one action determined so-called collaboration, during at least one communication of said device according to a given transport protocol via said network.
[Revendication 9] Procédé de communication selon la revendication 8 comprenant en outre une étape de réception d'au moins une information identifiant au moins un flux destiné audit dispositif consenti par celui-ci, ou identifiant au moins un flux destiné audit dispositif et considéré par celui-ci comme étant un flux associé à une attaque informatique. [Claim 9] The communication method according to claim 8 further comprising a step of receiving at least one piece of information identifying at least one flow intended for said device granted by the latter, or identifying at least one flow intended for said device and considered by this as being a flow associated with a computer attack.
[Revendication 10] Procédé de communication selon la revendication 9 dans lequel ladite au moins une information est fournie : [Claim 10] A communication method according to claim 9 wherein said at least one piece of information is provided:
• dans une commande de blocage par ladite entité dudit au moins un flux considéré par le dispositif comme étant un flux associé à une attaque informatique ; ou • in a blocking command by said entity of said at least one flow considered by the device as being a flow associated with a computer attack; Where
• dans une commande d'autorisation d'acheminement dudit au moins un flux consenti par le dispositif. • in a routing authorization command of said at least one flow granted by the device.
[Revendication 11] Procédé de communication selon l'une quelconque des revendications 8 à 10 comprenant en outre une étape d'envoi audit dispositif d'une demande d'autorisation d'acheminement vers ledit dispositif d'au moins un flux de données identifié dans ladite demande. [Claim 11] A communication method according to any one of claims 8 to 10 further comprising a step of sending to said device a request for authorization to route to said device at least one data stream identified in said request.
[Revendication 12] Procédé de communication selon l'une quelconque des revendications 8 à 11 comprenant en outre : [Claim 12] A communication method according to any of claims 8 to 11 further comprising:
• une étape de réception d'au moins un paquet de données échangé lors de ladite communication comprenant au moins un entête dans lequel au moins une information de contrôle de ladite communication parmi un état d'un établissement de ladite communication, un consentement d'envoi et/ou de réception de paquets de données par ledit dispositif lors de ladite communication, et un consentement ou une absence de consentement par ledit dispositif de ladite communication est indiquée en clair ; et • une étape d'utilisation de ladite au moins une information de contrôle pour mitiger l'attaque informatique. A step of receiving at least one data packet exchanged during said communication comprising at least one header in which at least one item of control information for said communication among a state of an establishment of said communication, a sending consent and / or reception of data packets by said device during said communication, and a consent or an absence of consent by said device of said communication is indicated in clear; and • a step of using said at least one piece of control information to mitigate the computer attack.
[Revendication 13] Procédé selon l'une quelconque des revendications 1 à 12 dans lequel ladite au moins une action de collaboration comprend : [Claim 13] A method according to any one of claims 1 to 12 wherein said at least one collaborative action comprises:
• une divulgation d'informations de contrôle de ladite au moins une communication ; et/ou • a disclosure of control information of said at least one communication; and or
• un gel d'une migration des identifiants de communication utilisés lors de ladite au moins une communication ; ou • a freeze of a migration of the communication identifiers used during said at least one communication; Where
• une désactivation d'une utilisation dudit protocole de transport donné par ledit dispositif lors de ladite au moins une communication. • deactivation of a use of said transport protocol given by said device during said at least one communication.
[Revendication 14] Procédé selon l'une quelconque des revendications 1 à 13 dans lequel ladite au moins une action de collaboration est exécutée pendant une durée déterminée. [Claim 14] A method according to any one of claims 1 to 13 wherein said at least one collaborative action is performed for a determined period of time.
[Revendication 15] Procédé selon l'une quelconque des revendications 1 à 14 dans lequel ledit protocole de transport donné est le protocole QUIC. [Claim 15] A method according to any one of claims 1 to 14 wherein said given transport protocol is the QUIC protocol.
[Revendication 16] Programme d'ordinateur (PROG4, PROG5, PROG6) comportant des instructions pour l'exécution d'un procédé selon l'une quelconque des revendications 1 à 15, lorsque ledit programme est exécuté par un ordinateur. [Claim 16] A computer program (PROG4, PROG5, PROG6) comprising instructions for executing a method according to any one of claims 1 to 15, when said program is executed by a computer.
[Revendication 17] Dispositif (4) d'un réseau, comprenant un module d'activation, déclenché suite à une détection d'une attaque informatique, et configuré pour activer au niveau dudit dispositif une collaboration avec au moins une entité du réseau pour mitiger ladite attaque informatique, ledit module d'activation (4A) étant configuré pour exécuter, lors de ladite collaboration, au moins une action déterminée dite de collaboration, lors d'au moins une communication dudit dispositif selon un protocole de transport donné, via ledit réseau. [Claim 17] Device (4) of a network, comprising an activation module, triggered following a detection of a computer attack, and configured to activate at said device a collaboration with at least one entity of the network to mitigate said computer attack, said activation module (4A) being configured to execute, during said collaboration, at least one determined action called collaboration, during at least one communication of said device according to a given transport protocol, via said network .
[Revendication 18] Dispositif (5), dit deuxième dispositif, comprenant un module de communication (5A) avec un premier dispositif d'un réseau, ledit module de communication étant configuré pour : [Claim 18] Device (5), said second device, comprising a communication module (5A) with a first device of a network, said communication module being configured for:
• recevoir un message d'information en provenance de ce premier dispositif, informant le deuxième dispositif d'une exécution par le premier dispositif d'au moins une action déterminée lors d'au moins une communication selon un protocole de transport donné avec le deuxième dispositif, ladite action, dite de collaboration, permettant une collaboration avec au moins une entité dudit réseau pour mitiger une attaque informatique ; • receive an information message from this first device, informing the second device of an execution by the first device of at least one action determined during at least one communication according to a given transport protocol with the second device , said action, called collaboration, allowing collaboration with at least one entity of said network to mitigate a computer attack;
• si ledit deuxième dispositif accepte l'exécution de ladite action de collaboration, informer le premier dispositif de son accord. • if said second device accepts the execution of said collaboration action, informing the first device of its agreement.
[Revendication 19] Entité (6) d'un réseau comprenant un module de communication, déclenché par une incapacité de ladite entité à déterminer si un flux de données destiné à ou provenant d'un dispositif du réseau est associé ou non à une attaque informatique, ledit module de communication (6C) étant configuré pour envoyer audit dispositif un message proposant une collaboration du dispositif pour mitiger ladite attaque informatique, ladite collaboration comprenant une exécution par le dispositif d'au moins une action déterminée dite de collaboration, lors d'au moins une communication dudit dispositif selon un protocole de transport donné via ledit réseau. [Claim 19] Entity (6) of a network comprising a communication module, triggered by an inability of said entity to determine whether a data flow intended for or originating from a device of the network is associated or not with a computer attack, said communication module (6C) being configured to send to said device a message proposing a collaboration of the device to mitigate said computer attack, said collaboration comprising an execution by the device of at least one determined action called collaboration, during 'at least one communication from said device according to a given transport protocol via said network.
[Revendication 20] Système (3) comprenant : [Claim 20] System (3) comprising:
• au moins un premier dispositif (4) d'un réseau selon la revendication• at least a first device (4) of a network according to claim
17 ; 17;
• au moins un deuxième dispositif (5) apte à communiquer avec le premier dispositif ; et • at least one second device (5) capable of communicating with the first device; and
• au moins une entité (6) du réseau ; ledit premier dispositif étant configuré pour exécuter, suite à une détection d'une attaque informatique, au moins une action déterminée lors d'au moins une communication avec le deuxième dispositif, de sorte à collaborer avec ladite au moins une entité pour mitiger ladite attaque informatique. • at least one entity (6) of the network; said first device being configured to perform, following detection of a computer attack, at least one action determined during at least one communication with the second device, so as to collaborate with said at least one entity to mitigate said computer attack .
[Revendication 21] Système (3) selon la revendication 20 dans lequel le deuxième dispositif est conforme à la revendication 18 et/ou l'entité du réseau est conforme à la revendication 19. [Claim 21] A system (3) according to claim 20 wherein the second device conforms to claim 18 and / or the network entity conforms to claim 19.
EP21732372.4A 2020-03-26 2021-03-25 Communication management method and associated devices Pending EP4128701A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2002986A FR3108752A1 (en) 2020-03-26 2020-03-26 Method of managing communications and associated devices
PCT/FR2021/050515 WO2021191567A1 (en) 2020-03-26 2021-03-25 Communication management method and associated devices

Publications (1)

Publication Number Publication Date
EP4128701A1 true EP4128701A1 (en) 2023-02-08

Family

ID=71662010

Family Applications (1)

Application Number Title Priority Date Filing Date
EP21732372.4A Pending EP4128701A1 (en) 2020-03-26 2021-03-25 Communication management method and associated devices

Country Status (5)

Country Link
US (1) US20230146254A1 (en)
EP (1) EP4128701A1 (en)
CN (1) CN115380508A (en)
FR (1) FR3108752A1 (en)
WO (1) WO2021191567A1 (en)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10728280B2 (en) * 2016-06-29 2020-07-28 Cisco Technology, Inc. Automatic retraining of machine learning models to detect DDoS attacks

Also Published As

Publication number Publication date
US20230146254A1 (en) 2023-05-11
WO2021191567A1 (en) 2021-09-30
CN115380508A (en) 2022-11-22
FR3108752A1 (en) 2021-10-01

Similar Documents

Publication Publication Date Title
EP3476096B1 (en) Udp communication method between two terminals via multiple paths
US9887974B2 (en) Method for network communication past encryption devices
FR2860369A1 (en) Communications network digital stream packet access control having detector comparing interface digital packet header/following identification generating network management system destination
EP1894350B1 (en) Ip telephony securing
WO2020260813A1 (en) Method for managing communication between terminals in a communication network, and devices for implementing the method
FR3072238B1 (en) DEVICE AND METHOD FOR DATA TRANSMISSION
EP3520012A1 (en) Method of enciphered traffic inspection with trapdoors provided
EP4066461B1 (en) Method, device and system for coordinating the mitigation of network attacks
FR3058015A1 (en) METHOD FOR DYNAMIC AND INTERACTIVE CONTROL OF A RESIDENTIAL GATEWAY CONNECTED TO A COMMUNICATION NETWORK, CORRESPONDING COMPUTER DEVICE AND PROGRAM
WO2021191567A1 (en) Communication management method and associated devices
EP4222994A1 (en) Methods for configuring a user apparatus, negotiating with a network entity, and managing a connection, and associated devices
FR3105486A1 (en) Method for detecting malicious behavior in a communication network, device, equipment for accessing said network, method for detecting a distributed attack in said network, device, node equipment and corresponding computer programs
EP3815336A1 (en) Methods for managing the traffic associated with a client domain, and associated server, client node and computer program
EP3788762A1 (en) Method for sending an information item and for receiving an information item for the reputation management of an ip resource
EP1986398A1 (en) Method of filtering unwanted data flows from a terminal presumed to be malicious
WO2021105617A1 (en) Assistance method for managing a cyber attack, and device and system thereof
WO2020065233A1 (en) Method of collaboration and for requesting collaboration between protecting services associated with at least one domain, corresponding agents and computer program
WO2022084624A1 (en) Method and device for prioritising packet flows
WO2022084625A1 (en) Methods and devices for protecting a stream of packets
WO2023242318A1 (en) Method for communication between a first device and a remote server, corresponding method for managing communications, first device, remote server and computer program
FR2863128A1 (en) Signaling protocols e.g. internet protocol, unlawful usage detection and prevention method for e.g. Internet, involves applying delay insufficient and sufficient for blocking lawful and unlawful usage, respectively
FR2950767A1 (en) Entities e.g. web server, communication method for e.g. Internet, involves deducing current value of transaction number and value of session key, if value of transaction identifier does not correspond to expected value of transaction number

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20221019

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
RAP3 Party data changed (applicant data changed or rights of an application transferred)

Owner name: ORANGE