EP4298814A1 - Procedes de commande d'un dispositif de protection d'un element d'un reseau, entite de commande et dispositif de protection - Google Patents

Procedes de commande d'un dispositif de protection d'un element d'un reseau, entite de commande et dispositif de protection

Info

Publication number
EP4298814A1
EP4298814A1 EP22710685.3A EP22710685A EP4298814A1 EP 4298814 A1 EP4298814 A1 EP 4298814A1 EP 22710685 A EP22710685 A EP 22710685A EP 4298814 A1 EP4298814 A1 EP 4298814A1
Authority
EP
European Patent Office
Prior art keywords
protection
network
action
protection device
execution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP22710685.3A
Other languages
German (de)
English (en)
Inventor
Hichem SEDJELMACI
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Publication of EP4298814A1 publication Critical patent/EP4298814A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Definitions

  • the invention relates to the general field of telecommunications and more particularly to the security of communications networks and to the protection of the latter against attacks such as computer attacks also commonly called cyber-attacks.
  • This security is enabled via an architecture based in particular on a security orchestrator and on a centralized controller, as well as on VNFs dedicated to security provided in each slice, including protection devices such as intrusion detection devices (or IDS for "Intrusion Detection Systems” in English) or intrusion prevention (or IPS for "Intrusion Prevention Systems” in English), or even packet inspection (or DPI for "Deep Packet Inspection” in English) .
  • protection devices such as intrusion detection devices (or IDS for "Intrusion Detection Systems” in English) or intrusion prevention (or IPS for "Intrusion Prevention Systems” in English), or even packet inspection (or DPI for "Deep Packet Inspection” in English) .
  • IDS intrusion detection devices
  • IPS intrusion Prevention Systems
  • DPI Deep Packet Inspection
  • the invention makes it possible in particular to remedy the aforementioned drawback by relying on a hierarchical configuration in which a so-called network control entity decides on the tasks related to network security executed by configurable devices, deployed in the network to protect its elements (for example, network functions), these tasks corresponding to different levels of protection and complexity of implementation.
  • the invention relates, according to a first aspect, to a control method, by a so-called network control entity, of a protection device for at least one element of the network, this control method comprising, following a signaling of an anomaly detected by the protection device during an execution of a first protection action:
  • the invention also relates to a so-called network control entity comprising:
  • a determination module activated following a report of an anomaly detected by a protection device of at least one element of the network during an execution of a first protection action, this determination module being configured to determine if a second protection action must be executed by the protection device according to an anomaly detection level associated with the protection device and at least one level of resource consumption by the device during the execution of said first protective action;
  • a sending module activated if necessary, and configured to send to the protection device an order to execute the second protection action.
  • the invention also relates, according to a second aspect, to a method of protection, by a protection device, of at least one element of a network, comprising:
  • the invention also relates to a device for protecting at least one element of a network comprising:
  • a monitoring module configured to execute at least a first protective action and to report an anomaly to a so-called network control entity detected concerning said at least one element of the network; and - a triggering module, activated upon receipt of an order from the control entity, configured to trigger execution by the monitoring module of a second protective action determined by the control entity according to a anomaly detection level associated with the protection device and at least one level of resource consumption by the protection device during the execution of said first protection action.
  • the second protective action is typically a separate protective action from the first protective action; it can be selected in particular from an anomaly detection action, an attack prediction action and an attack mitigation action.
  • the network elements protected by the protection device can be physical equipment (eg servers, memories, CPU (for "Central Processing Unit” in English), etc.) or virtual or software elements (such as virtual network functions or VNFs).
  • said at least one element of the network protected by the protection device can for example be a virtual network function hosting the protection device.
  • the anomaly detection level associated with a protection device can be either, within the meaning of the invention, an "absolute” level (e.g. number of anomalies detected by the protection device in question over a period given time), a “relative” level (e.g. correct detection rate, corresponding to the number of anomalies detected by the protection device taking into account the anomalies actually present in the network and likely to affect the network element(s) monitored by the protective device), or a combination of both.
  • a “relative” detection level advantageously gives an indication of the precision and robustness of the protection device, while an “absolute” detection level gives an indication of the threat in terms of cyber-attacks relating to the element(s) of the network it monitors.
  • resource consumption can be evaluated both in terms of the amount of physical resources consumed (e.g. memory space required, etc.), as well as the time taken to execute protection actions or during which such physical resources are solicited. (e.g. CPU time).
  • the control entity therefore decides, on the basis of information available to it, on the resources consumed by the protection device and on the current level of threat weighing on the element or elements that it protects and/or on the effectiveness of the protection device (provided in particular by the level of detection associated with the protection device), of the protective actions that the latter must perform to effectively protect this or these elements.
  • This advantageously makes it possible to make a compromise between the level of protection applied by the protection device and the resulting complexity for the protection device and incidentally for the network.
  • the control entity can decide that the latter switches to a more robust protection mode, or conversely, if the environment improves, to a lighter protection mode.
  • the second protective action may correspond to a more robust protective mode or to a lighter protective mode than the first protective action.
  • the control entity can, depending on the context and a trade-off between accuracy of the detection/complexity that it seeks to achieve, decide that the device of protection executes a more robust and more powerful algorithm making it possible to characterize the attacks affecting the element(s) that the execution device protects.
  • a simple anomaly detection algorithm for example, an algorithm using detection rules or a binary supervised algorithm able to distinguish two classes of behavior, namely normal behavior or abnormal behavior
  • the control entity can, depending on the context and a trade-off between accuracy of the detection/complexity that it seeks to achieve, decide that the device of protection executes a more robust and more powerful algorithm making it possible to characterize the attacks affecting the element(s) that the execution device protects.
  • Such an algorithm is for example a multi-class automatic learning algorithm.
  • the protection device can alternatively decide, if the environment is very threatening, that the protection device locally executes one or more mitigation measures, such as the eviction of the element or elements affected by an attack, or the change of at least one cryptographic key used to communicate on the network by this or these elements affected by the attack.
  • one or more mitigation measures such as the eviction of the element or elements affected by an attack, or the change of at least one cryptographic key used to communicate on the network by this or these elements affected by the attack.
  • the protection actions are not executed simultaneously by the protection device (in other words, when the control entity orders the execution of a second protection action, the protection device executes this second action replacing the first protection action).
  • certain protection actions duly selected by the control entity being executed concomitantly by the protection device such as for example a detection action and a mitigating action.
  • said at least one level of resource consumption may include:
  • the invention can also consider, in addition to the detection level and the resource consumption level or levels, other criteria for triggering the execution of a protection action, such as for example a specific context, a network vulnerability level, threat level, etc.
  • the intervention of the control entity makes it possible to manage the scenario where the protection device is itself targeted by a cyber-attack.
  • the protection device can trigger various measures aimed at reducing the capacities of the element of the network which hosts it. , which can lead to the deterioration of the function performed by this element in the network and its fall.
  • the intervention of the command entity as recommended by the invention makes it possible to avoid this situation.
  • the invention is therefore particularly well suited for application to scalable networks, such as for example 5G or 6G networks, and in particular networks implementing NFV network function virtualization technologies, network SDN defined by software and/or network slicing.
  • the protection device can be embedded at the level of the access network (for example in a micro-cellular antenna or in a base station), and the control entity of this protection device at the level of the access network (for example in a base station for a protection device located in a micro-cellular antenna) or of the core network (for a protection device located in a micro-cellular antenna). It can in particular be embedded in a network function (for example at the level of the network function managing access and mobility, also known as the AMF function (for “Access and Mobility Management Function”) in a 5G network or in a 6G network). It is also possible to consider deploying one or more protection devices at the level of network functions of the core network, and the control entity of these protection devices in a security operations center (or SOC for “Security Operations Center”). " in English).
  • the same network element (for example a core network device) can embed a control entity, controlling protection devices located at a lower hierarchical level (for example located in an access network), and a protection device, itself controlled by a control entity located at a higher hierarchical level, such as for example in a security operations center.
  • a control entity controlling protection devices located at a lower hierarchical level (for example located in an access network)
  • a protection device itself controlled by a control entity located at a higher hierarchical level, such as for example in a security operations center.
  • control entity being configured to control one or more protection devices.
  • the invention also relates to an entity of an access network of a network comprising a control entity or a protection device according to the invention, and a entity of a core network of a network comprising a control entity or a protection device according to the invention.
  • the step of determining the control method comprises an evaluation of an indicator defined from a linear function of the anomaly detection level and of said at least one level of consumption of resource, and a comparison of said indicator with at least one given threshold dependent on said second protection action.
  • the first protection action comprises an execution of an anomaly detection algorithm and during the determination step, the control entity decides:
  • the protection device - if the indicator is greater than the second threshold, ordering the protection device to execute at least one attack mitigation measure affecting said at least one element protected by the protection device.
  • said at least one level of consumption of at least one resource by said protection device during the execution of said first protection action is provided by the protection device when reporting the anomaly.
  • This embodiment is particularly simple to implement. Indeed, this information can easily be estimated by the protection device, which can then send it back each time an anomaly is reported to the control entity. This allows the controlling entity to determine without delay if further protective action should be considered to protect the network.
  • control and/or protection methods are implemented by a computer.
  • the invention also relates to a computer program on a recording medium, this program being able to be implemented in a computer or more generally in a control entity in accordance with the invention and comprises instructions adapted to the implementation of a control method as described above.
  • the invention also relates to a computer program on a recording medium, this program being able to be implemented in a computer or more generally in a protection device in accordance with the invention and comprises instructions adapted to the implementation of a protection method as described above.
  • Each of these programs can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in partially compiled form, or in any other desirable form.
  • the invention also relates to an information medium or a recording medium readable by a computer, and comprising instructions of a computer program as mentioned above.
  • the information or recording medium can be any entity or device capable of storing the programs.
  • the medium may comprise a storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or else a magnetic recording means, for example a hard disk, or a flash memory.
  • the information or recording medium can be a transmissible medium such as an electrical or optical signal, which can be routed via an electrical or optical cable, by radio link, by optical link without wire or by other means.
  • the program according to the invention can in particular be downloaded from an Internet-type network.
  • the information or recording medium may be an integrated circuit in which a program is incorporated, the circuit being adapted to execute or to be used in the execution of the control and protection methods according to the invention.
  • the invention also relates to a network monitoring system comprising at least one device for protecting at least one network resource according to the invention and at least one control entity according to the invention wherein said at least one network element comprises a virtual network function hosting said protection device.
  • At least one said protection device, said first protection device is embedded in equipment of a network access network
  • at least one said protection device, said second protection device is embedded in a network function of a core network of the network
  • a said command entity of the first protection device is embedded in the network function
  • a said command entity of the second protection device is embedded in a center of core network security operations.
  • the monitoring system can also be a virtual network function hosting a protection device according to the invention and a control entity according to the invention, configured to control at least one other protection device according to the invention.
  • the monitoring system according to the invention has the same advantages mentioned above as the control method, the control entity, the protection method and the protection device according to the invention.
  • control method the protection method, the control entity, the protection device and the monitoring system according to the invention to present in combination any or part of the aforementioned characteristics.
  • FIG. 1 represents, in its environment, a monitoring system according to the invention in a particular embodiment
  • FIG. 2 represents the hardware architecture of an item of equipment hosting a protection device and/or a control entity according to the invention belonging to the surveillance system of FIG. 1, in a particular embodiment;
  • FIG. 3 represents the functional modules of a protection device according to the invention belonging to the surveillance system of FIG. 1, in a particular embodiment
  • FIG. 4 represents the functional modules of a control entity according to the invention belonging to the surveillance system of FIG. 1, in a particular embodiment
  • FIG. 5 represents the steps of a protection method according to the invention as they are implemented by the protection device of FIG. 3, in a particular embodiment
  • FIG. 6 represents the steps of a control method according to the invention as they are implemented by the control entity of FIG. 4, in a particular embodiment
  • FIG. 1 shows, in its environment, a system 1 for monitoring an NW network, according to the invention, in a particular embodiment.
  • the NW network is for example here a 5G network as defined by the 3GPP standard and we are particularly interested, in the example illustrated in FIG. 1, in the protection of virtual network functions (or VNFs) deployed at the network level.
  • core CN of the NW network and of the access network(s) RAN of the NW network allowing access to the core network CN.
  • Such virtual functions are, for example, for a 5G network, a gNodeB function of an access network, or an AMF (for “Access Mobility Function” in English) or UDM (for “Unified Data Management” in English) function of the network CN heart, known to those skilled in the art.
  • networks other than 5G networks such as for example to 6G networks
  • network elements other than virtual network functions such as physical network equipment such as servers, storage spaces, user equipment connected to the network, network elements acting as relays (e.g. vehicles , drones, etc.), etc.
  • the monitoring system 1 comprises a plurality of configurable protection devices 2 and in accordance with the invention.
  • each of these protection devices 2 is configured to protect a distinct element of the network NW, and more specifically, a network function.
  • a protection device 2 being configured to protect several elements of the network.
  • L-IDS for "Local-Intrusion Detection Systems” in English
  • L-IDS are deployed at the level of the RAN access network(s) allowing access to the CN core network, for example they are hosted by gNodeB type base stations to protect access to the CN core network
  • an L-IDS is configured to protect the gNodeB base station which hosts it, but as mentioned above it is possible to envisage that the same L-IDS device be configured to protect not only the gNode base station but also micro-cellular antennas which are attached to it if necessary).
  • At least one protection device 2 is deployed at the level of the CN core network; for example, the G-IDS device is hosted by an AMF virtual network function for managing access and mobility in the 5G network. It is of course possible to envisage other G-IDS devices hosted by other network functions of the CN core network, such as for example in PCF (or "Policy Control Function") functions, SMF (or “Session Management Function” in English), UDM (or “User Data Management” in English), etc.
  • PCF Policy Control Function
  • SMF or “Session Management Function” in English
  • UDM User Data Management
  • each protection device 2 (L-IDS and G-IDS) is configurable and can perform different protection actions to protect the element for which it is responsible.
  • the following protection actions are considered: a so-called detection protection action DETECT, consisting of the execution of a relatively simple anomaly detection algorithm.
  • DETECT detection protection action
  • This algorithm enables the protection device 2 to classify the behaviors of the element that it monitors into two classes (or categories), namely into a class associated with normal behaviors and into a class associated with abnormal behaviors.
  • an algorithm that is not very complex (or "lightweight” in English) such as for example an algorithm based on detection rules or signatures making it possible to distinguish normal behavior from abnormal behavior of the monitored element of the network, or on a behavioral model reflecting normal behavior of the monitored element, or even on a binary supervised algorithm such as a binary vector support machine (or SVM) type algorithm; a so-called prediction PRED protection
  • Such a prediction algorithm is generally more efficient and more robust than a binary anomaly detection algorithm such as that executed during a DETECT detection action, but on the other hand, it is also more complex.
  • a prediction algorithm is for example an algorithm based on signatures of known attacks, or an automatic learning algorithm based on a deep neural network or else a multi-class SVM algorithm.
  • N denoting an integer greater than 2; such categories or classes are for example a class C(1) grouping normal behaviors, a class C(2) grouping behaviors associated with a first type of attack ATTACK1 (eg denial of service or DoS attacks), a class C(3) grouping the behaviors associated with a second type of attack ATTACK2 (e.g. botnet-type attacks), ..., a class C(N-2) grouping the behaviors associated with an N-2-th type ATTACKN-2 attacks (e.g.
  • reaction or mitigation REACT protection action consisting of the execution of at least one local mitigation measure in response to the attack affecting, where appropriate, the element monitored by the protection device 2 .
  • Such a local mitigation measure is for example the eviction of the element monitored and protected by the protection device 2 affected by the attack (for this purpose, the element can be recorded by the protection device 2 in a blacklist (or "blacklist" in English) of elements of the NW network to be avoided, in other words to which the NW network no longer sends data or from which the network no longer accepts data), or the change by the device 2 for protecting at least one cryptographic key used to communicate on the network NW by the element protected by the device 2 for protecting and affected by an attack.
  • a blacklist or "blacklist” in English
  • protection actions are given for illustrative purposes only and other actions or a different number of possible protection actions can be envisaged as a variant.
  • the protection actions executed at a given instant by the protection devices 2 (L-IDS and G-IDS) of the system 1 of monitoring are decided and configured at the level of these protection devices 2 through one or more control entities 3 in accordance with the invention, belonging to the monitoring system 1 and deployed in the NW network.
  • the L-IDS protection devices 2 are controlled (i.e. configured to execute a particular protection action) by a control entity 3 hosted in a virtual network function of the CN core network of the NW network, and more specifically here, in the AMF virtual network function.
  • the AMF virtual network function hosts, on the one hand, a G-IDS protection device 2, and on the other hand, a control entity 3 commanding L-protection devices 2 IDS hosted in the CN core network access network(s). It is also for this reason a surveillance system in accordance with the invention.
  • the SOC 4 is a trusted entity of the NW network which has an overview of the NW network, and in particular of the attacks carried out against its elements. It can itself execute an efficient and robust prediction algorithm based for example on a deep machine learning technique. It advantageously benefits from information provided by cyber-security experts or by third parties, concerning attacks likely to affect the NW network (e.g. signatures of known attacks, learning data) offering the possibility of update or train the algorithms executed in the protection devices 2 and in the SOC itself.
  • the protection devices 2 (L-IDS and G-IDS) and the control entities 3 are software entities, hosted in virtual network functions (or VNFs) of the NW network, these VNFs being themselves hosted by physical equipment of the NW network (eg servers, base band unit (or BBU for "Base Band Unit” in English), etc.).
  • a virtual network function or VNF can comprise either one or more virtual machines (or VM for “Virtual Machines” in English) or one or more containers.
  • the physical equipment hosting these virtual network functions has the hardware architecture of a computer 5, as represented in FIG. 2, comprising in particular a processor 6, a random access memory 7, a ROM 8, a non-volatile memory 9, and means of communication 10.
  • the means of communication 10 integrate various physical and protocol interfaces allowing the computer 5 to communicate with other equipment of the network NW having the same type of hardware architecture.
  • these communication means 10 are used in particular by the protection devices 2 and by the control entities 3 to communicate with each other.
  • Such interfaces are known per se and not described in detail here.
  • the ROM 8 constitutes a recording medium in accordance with the invention, readable by the processor 6 and on which is recorded a computer program in accordance with the invention (this computer program itself being able to be constituted by one or more sub-programs), namely, for the physical equipment hosting protection devices 2, a computer program PROG2, and for the physical equipment hosting control entities 3, a computer program PROG3.
  • the program PROG2 defines through its instructions functional modules of a protection device 2 according to the invention which rely on or control the hardware elements 6 to 10 mentioned above.
  • These functional modules include:
  • a surveillance module SURV configured to execute at least a first protection action and to signal, to the control entity 3 on which the protection device 2 depends, an anomaly detected, if any, concerning the element of the network that the protection device 2 monitors.
  • the first protection action is for example a detection action DETECT or a prediction action PRED as described above.
  • the report made by the monitoring module SURV can be accompanied by the traffic characteristics concerning the monitored element collected by the protection device 2 and which led to the detection of the anomaly detected, possibly if this applies the associated signature to this anomaly (depending on the technique used by the monitoring module), an identification of the element impacted (in particular if the protection device 2 monitors several elements) or of the malicious element at the origin of this anomaly if this is available at the SURV monitoring module, or any other information that can be used by the NW network, and in particular by the control entity 3 or by the SOC 4 to verify the anomaly detected and, in the event of a proven attack , take measures against this attack (eg local and/or global mitigation measures); and
  • a trigger module TRIG activated on receipt of an order from the control entity 3, and configured to trigger execution by the monitoring module SURV of a second protective action determined by the control entity in function an anomaly detection level associated with the protection device 2 and at least one level of resource consumption by this protection device 2 during the execution of the first protection action.
  • the second protective action is for example a prediction action PRED or a mitigation action REACT if the first protection action is a detection action DETECT, or a detection action DETECT or a mitigation action REACT if the first protection action is a prediction action PRED.
  • various levels of resource consumption can be considered by the control entity 3, such as for example a signaling quantity OVERH (also more commonly referred to as "overhead” in English) to signal an anomaly detected by the protection device 2 by executing the first protection action, a COMPUT consumption of a calculation and/or processing resource (or more generally of CPU power for “Central Processing Unit” in English)) during the execution of the first protective action, and/or a consumption MEM of a storage resource during the execution of the first protective action.
  • OVERH also more commonly referred to as "overhead” in English
  • COMPUT consumption of a calculation and/or processing resource or more generally of CPU power for “Central Processing Unit” in English
  • a consumption MEM of a storage resource during the execution of the first protective action.
  • the program PROG2 also defines another functional module, namely an estimation module configured in particular to estimate and communicate to the control entity 3 the level(s) resource consumption that it uses to decide the protection action to be executed by the monitoring module SURV. It is assumed for example here that the control entity 3 uses the three aforementioned resource levels, OVERH, COMPUT and MEM and that the estimation module ESTIM is configured to estimate these three resource levels and transmit them to the entity 3 command when reporting the anomaly detected by the SURV monitoring module.
  • an estimation module configured in particular to estimate and communicate to the control entity 3 the level(s) resource consumption that it uses to decide the protection action to be executed by the monitoring module SURV. It is assumed for example here that the control entity 3 uses the three aforementioned resource levels, OVERH, COMPUT and MEM and that the estimation module ESTIM is configured to estimate these three resource levels and transmit them to the entity 3 command when reporting the anomaly detected by the SURV monitoring module.
  • the SURV, TRIG and ESTIM modules are thus configured to implement the steps of a protection method according to the invention. Their operation is described in more detail with reference to FIG. 5 describing the main steps of this method.
  • the program PROG3 defines via its instructions functional modules of a control entity 3 according to the invention which rely on or control the hardware elements 6 to 10 mentioned above of the computer 5.
  • These functional modules comprise in particular: a determination module DET, activated following a report of an anomaly concerning an element of the network NW detected, during the execution of a first protection action , by a protection device 2 responsible for protecting this element of the network.
  • the DET module is configured to determine whether a second protection action must be executed by the protection device 2 according, as mentioned previously, to an anomaly detection level associated with the protection device 2 and to at least one level of resource consumption by the protection device 2 in the first protection mode.
  • This (these) level(s) of consumption is (are) supplied in the embodiment described here, as mentioned above, by the protection device 2 when the anomaly is signalled. ; and - a sending module TX, activated if necessary, and configured to send to the protection device 2 an order to execute the second protection action.
  • the DET and TX modules are thus configured to implement the steps of a control method according to the invention. Their operation is described in more detail with reference to FIG. 6 describing the main steps of this method.
  • FIG. 6 describing the main steps of this method.
  • the protection device 2 is embedded at the level of a RAN access network of the NW network, in a gNodeB base station, and is configured to protect this gNodeB base station: it is therefore an L-IDS type protection device 2 . It is further assumed that this L-IDS device is managed by a control entity 3 hosted by the AMF virtual network function of the CN core network, which decides on the protection action that the protection device 2 must perform to ensure protection. of the equipment in which it is embedded, namely here the gNodeB base station.
  • the L-IDS protection device 2 can be hosted by a micro antenna -cell of an access network RAN to the core network CN and its control entity 3 in a gNodeB base station of the access network in question; in this configuration, the gNodeB base station can also host a G-IDS protection device 2 whose control entity 3 is hosted by a VNF of the CN core network and in particular by the AMF function of the CN core network.
  • the gNodeB base station can also host a G-IDS protection device 2 whose control entity 3 is hosted by a VNF of the CN core network and in particular by the AMF function of the CN core network.
  • the protection device 2 and more particularly its monitoring module SURV, is configured to monitor and protect the element of the NW network for which it is responsible (station gNodeB in the example considered here) by performing a first protective action.
  • this first protection action is a detection action DETECT as introduced above.
  • the first protective action can be another protective action such as for example a prediction action PRED.
  • This first protection action can be defined by default or result from an order from the entity 3 of control managing the protection device 2.
  • the surveillance module SURV of the protection device 2 therefore monitors the element of the network that it is responsible for protecting by executing a detection action DETECT (step E10) and determines whether the behavior of this network element presents an anomaly (test step E20).
  • the SURV monitoring module can use an anomaly detection algorithm based on detection rules or on a simple behavioral model describing normal behavior of the element it monitors, or another automatic learning algorithm capable of classifying the behavior of the monitored element according to two classes, namely a class associated with normal behavior and a class associated with abnormal behavior (eg binary SVM algorithm).
  • the SURV monitoring module applies this algorithm to characteristics (or “features” in English) of the traffic transiting through the element of the monitored network (emanating from, intended for or relayed by this element), and obtained directly by the protection device 2 or via probes deployed in the network NW in a manner known per se.
  • characteristics are for example a rate of erroneous packets, a number of communication failures, a source address, a number of restarts of user equipment attached to the monitored network element, a number of accesses to certain VNFs, a number of packets sent and deleted per second, an altered information rate, etc.
  • the characteristics to be monitored can be determined in particular by cyber-security experts, depending on the attacks likely to threaten the NW network.
  • the SURV module If an anomaly is detected by the SURV monitoring module while it is executing the anomaly detection algorithm (yes response to the test step E20), the SURV module signals this anomaly to the entity 3 of order (step E30). In the embodiment described here, during this signaling, the SURV module provides different information to the control entity 3, namely the traffic characteristics that led to the detection of an anomaly as well as different levels of resource consumption associated with the execution of the first protection action DETECT (ie execution of the detection algorithm).
  • these consumption levels include the signaling quantity OVERH (overhead) to signal the detected anomaly (including the additional information provided during the signaling by the SURV module and mentioned above). before), the CPU power consumption COMPUT, and the memory consumption MEM relating to the operation of the protection device 2 in the first protection mode DETECT (in other words when it is configured to implement the detection algorithm).
  • the quantity OVERH can be estimated in number of bits by taking into account the quantity of information reported during the reporting to the control entity 3; concerning the COMPUT and MEM consumptions, these are accessible from the operating system of the computer 5 hosting the protection device 2, which is able to indicate for each task executed by the computer 5, by Here you can find the detection algorithm, the CPU usage time, and the amount of memory required.
  • These data are then normalized with respect to the maximum values that they can reach, taking into account the constraints set by the manufacturer of the equipment (eg VNF or physical equipment depending on the scenario considered) hosting the protection device 2 . Note that this normalization is performed to obtain dimensionless consumption levels all between 0 and 1, for the sake of simplification, but is however optional.
  • the control entity 3 via its determination module DET, increments a counter CNT of anomalies detected by the detection device 2 (as a variant, this counter CNT can be incremented by the protection device 2 itself and provides when signaling to the control entity 3) and determines whether it is appropriate to maintain the execution by the device 2 for protecting the first action of protection DETECT or to activate the execution of a second protective action at the level of the protective device 2.
  • the determination module DET evaluates an indicator f for the protection device 2, defined from a linear function of the anomaly detection level DL of the device 2 of protection and of the resource consumption levels OVERH, COMPUT and MEM supplied by the protection device 2 in its signaling (step F20).
  • f a. DL - (b. OVERH + y. COMPUT + d. MEM) where a,b,g, and d designate predetermined weighting factors, chosen between 0 and 1. These weighting factors are chosen according to the compromise that the it is desired to have between the anomaly detection level of the protection device 2 and the complexity of implementation of the protection mode applied by the protection device 2 .
  • weighting factors all equal to 1 A or alternatively grant more importance to the anomaly detection level if one wishes to increase the security of the NW network, or on the contrary grant more importance at consumption levels, if one wishes to promote low complexity and lower latency, or even not to apply the same weighting coefficients to each of the resource consumption levels, depending on the constraints available , etc.
  • the indicator f can take account, in another embodiment, of criteria other than the level of detection of anomalies and levels of resource consumption.
  • the anomaly detection level DL associated with the protection device 2 is more particularly here an anomaly detection rate by the L-IDS protection device 2 with regard to the anomalies actually present in the NW network and affecting the NW network element monitored by the L-IDS protection device 2 .
  • This G-IDS device is advantageously located at a higher hierarchical level with respect to the L-IDS device and benefits from the information collected by the control entity 3 collocated in the AMF function coming from a plurality of protection devices 2 L- IDS (for example a plurality of protection devices 2 hosted by a plurality of gNodeB base stations of the same access network or of several distinct access networks allowing access to the core network CN).
  • a plurality of protection devices 2 L- IDS for example a plurality of protection devices 2 hosted by a plurality of gNodeB base stations of the same access network or of several distinct access networks allowing access to the core network CN.
  • the control entity 3 communicates to the G-IDS device all the information collected from the L-IDS devices (in particular the traffic characteristics) for which it is responsible and which have reported anomalies to it within a predetermined period, and the G-IDS device determines from this information whether an anomaly actually affects the element monitored by the protection device 2 . For example, if malicious mobile node targets several gNodeB base stations of the access network (which is often the case in practice) managed by the same control entity, the control entity reports all the anomalies to the G-IDS device that have been reported to it by L-IDS devices that are related to the behavior of this mobile node.
  • the device G-IDS can in particular apply its prediction algorithm, which is, as mentioned above, robust and precise. It can alternatively use another robust algorithm such as a deep learning algorithm (or “deep learning” in English). If the anomaly is confirmed by the G-IDS device, the control entity 3 via its determination module DET increments a counter N.
  • the module DET for determining the control entity 3 determines the anomaly rate detected by the protection device 2 from the anomaly counter CNT and the number N, i.e.:
  • the number N of effective anomalies can be supplied to the control entity 3 by another entity of the network NW, such as for example by the SOC 4.
  • the control entity 3 can rely on the anomalies detected by the other L-IDS devices under its responsibility (and for the control entity 3 hosted in the SOC 4 on the anomalies detected if necessary by the other G-IDS devices under his responsibility), for example by applying a voting system, to determine whether an anomaly is actually present.
  • the anomaly detection level may consist of the number N of effective anomalies detected by the protection device 2, reflecting the effective threat level against the element protected by the device 2 of protection.
  • the anomaly detection level associated with the protection device 2 can combine these different aspects (e.g. a “relative” level such as a detection rate and an “absolute” level such as the number of actual anomalies detected).
  • the control entity 3 determination module DET compares the indicator f thus evaluated with at least one given threshold (step F30). More specifically here, the module DET compares the indicator f with respect to two thresholds THR1 and THR2 corresponding respectively to the activation of the protection actions PRED and REACT. Preferably, as many thresholds as possible alternative protection actions are considered with respect to the first protection action DETECT executed by the protection device 2 . These thresholds are included here between 0 and 1. For example, THR1 is taken equal to 0.5 and THR2 is taken equal to 0.6. However, these examples are only given by way of illustration, and other threshold values can be envisaged.
  • the module DET for determining the control entity 3 decides to maintain the execution of the first protective action DETECT. In other words, the protection device 2 continues to apply to the traffic characteristics that it collects on the element of the network NW that it monitors, an anomaly detection algorithm.
  • the module DET for determining the control entity 3 decides to trigger at the level of the protection device 2 the execution of a second protection action different from the detection action DETECT.
  • the module DET of the control entity 3 decides to trigger at the level of the protection device 2 a prediction action PRED: otherwise said, the protection device 2 not only detects that the traffic passing through the network element that it sur- standby presents anomalies but now attempts to qualify the type of attack corresponding to the anomalies detected and affecting the element it protects.
  • the module DET of the control entity 3 decides to trigger at the level of the protection device 2 the execution of a REACT mitigation action: in other words, the device 2 protection executes one or more local mitigation measures intended to put an end to the attack(s) affecting the element it protects.
  • the second protective action is executed in replacement of the first protective action.
  • the protection actions are mutually exclusive and are not executed simultaneously in order to preserve the resources of the VNF hosting the protection device 2 .
  • protection actions it is possible, in a variant embodiment, for protection actions to be executed concomitantly, such as for example the mitigation action REACT with the detection action DETECT, once the resulting complexity has been reduced. recorded by the control entity 3.
  • the DET module of the control entity 3 determines that the protection device 2 must execute a second protection action other than the first protection action, it sends to the protection device 2, via its module TX d sending, a CMD order for execution of the second protection action replacing the first protection action (step F50).
  • the DET module of the control entity 3 determines that the protection device 2 must continue to execute the first detection action, it sends to the protection device 2, via its sending module TX, a CMD order to maintain the first protection action DETECT (step F60). Note, however, that this step is optional and it can be envisaged as a variant that in this case, the control entity 3 simply acknowledges the signal sent by the protection device 2 without sending it an explicit command in return (which amounts implicitly to ask it to continue executing the first protection action DETECT).
  • the protection device 2 Upon receipt of the CMD command from the control entity 3 (step E40), the protection device 2 executes it via its TRIG module (step E50). If the order from the control entity 3 orders to maintain the protection action in progress (DETECT in the example considered here), the monitoring module SURV of the protection device 2 continues to apply to the traffic characteristics that it collects the anomaly detection algorithm. Otherwise, the protection device 2 TRIG module configures the monitoring SURV module to execute the protection action indicated in the CMD order received from the control entity 3 (i.e. PRED or REACT in the example considered here).
  • the SURV monitoring module of the protection device 2 now applies to the traffic characteristics that it collects a more robust prediction algorithm and more efficient allowing it not only to detect anomalies but also to qualify the attack at the origin of these anomalies.
  • the steps of FIGS. 5 and 6 which have just been described are then repeated by applying them to the protection action PRED (which becomes “first protection action” within the meaning of the invention).
  • the surveillance module SURV reports this anomaly to the control entity 3, including in its report not only the aforementioned information described above in reference to the step E30 (the resource levels now being evaluated with reference to the prediction action PRED), but also the type of attack that it has associated with this anomaly.
  • the prediction algorithm executed by the SURV monitoring module in the PRED protection mode can result in associating the detected anomaly with the class C(N) which contains all the anomalies that the protection device 2 is unable to characterize, that is to say to associate with a particular type of attack. If it turns out that an anomaly is associated with this class C(N) by the monitoring module SURV, then on receipt of the signal, the control entity 3 communicates to the protection device 2 which is collocated with it (G-IDS device in the example considered here) the traffic characteristics associated with the anomaly so that it in turn attempts to qualify this anomaly and associate it with a known attack. It is noted that in the case where the methods which have just been described are applied between the G-IDS device on board the AMF network function and the SOC 4, it is the SOC 4 which is responsible for characterizing the anomaly detected by the L-IDS protection device 2.
  • the SURV monitoring module of the protection device 2 then executes one or more mitigation measures with regard to the attack affecting the element that he protects.
  • a mitigation measure is for example the eviction of the element affected by the attack or of the equipment at the origin of the attack (e.g. by referencing these elements in a blacklist and by deleting the traffic intended for or originating from this element), the change of one or more cryptographic keys used by the element affected by the attack to communicate on the NW network, etc.
  • the execution of local mitigation actions at the level of the protection device 2 can be accompanied by other mitigation actions at the global level, applied for example by the SOC 4, by a protection device 2 G- IDS or other network equipment.
  • Such an action is for example the instantiation of new VNFs (for example of an AMF function if the AMF function is affected by an attack).
  • the steps E10 to E50 and F10 to F60 which have just been described are applied respectively between each L-IDS protection device 2 and the control entity 3 managing this L-IDS device (colocated here in the AMF network function with a G-IDS protection device 2), and similarly between each G-IDS protection device 2 and the control entity 2 managing this G-IDS device hosted by the SOC 4. resource consumption levels taken into account are then those of the G-IDS device.
  • the SOC 4 can use a different function (eg different weighting factors or a non-linear function) than that used by the control entity of an L-IDS device.
  • protection devices 2 can be provided in any equipment of the access network (e.g. microcell antennas, access points or base stations) or of the CN core network (e.g. virtual network functions, physical equipment), while the control entities 3 can be hosted either in the access network or in the CN core network, and in particular in virtual network functions or in the SOC.
  • the invention also applies in the context of a 5G, 6G or other network using a network slicing technique on each network slice of the network.

Abstract

Le procédé de commande selon l'invention est mis en œuvre par une entité (3) dite de commande d'un réseau (NW), configurée pour commander un dispositif (2) de protection d'au moins un élément du réseau. Ce procédé de commande comprend, suite à un signalement d'une anomalie détectée par ledit dispositif de protection lors d'une exécution d'une première action de protection : - une étape de détermination si une deuxième action de protection doit être exécutée par le dispositif de protection en fonction d'un niveau de détection d'anomalies associé au dispositif de protection et d'au moins un niveau de consommation de ressource par le dispositif de protection lors de l'exécution de la première action de protection; si oui, une étape d'envoi au dispositif de protection d'un ordre d'exécution de la deuxième action de protection.

Description

Description
Titre de l'invention : Procédés de commande d'un dispositif de protection d'un élément d'un réseau, entité de commande et dispositif de protection
Technique antérieure
[0001] L'invention se rapporte au domaine général des télécommunications et plus particulièrement à la sécurité des réseaux de communications et à la protection de ces derniers contre des attaques telles que des attaques informatiques aussi communément appelées cyber-attaques.
[0002] Elle a une application privilégiée mais non limitative dans le contexte des réseaux exploitant des technologies de virtualisation de fonctions réseau (ou NFV pour « Network Function Virtualization » en anglais), de réseau défini par logiciel (ou SDN pour « Software Defined Networking » en anglais) ou encore de découpage de réseaux en tranches, plus communément appelée « network slicing » en anglais.
[0003] Ces technologies présentent un grand intérêt dans le cadre notamment des réseaux 5G (5ème Génération) ou des réseaux 6G (6ème Génération), ouvrant des perspectives d'usage des réseaux de télécommunications inédites. Elles permettent notamment aux opérateurs de créer pour leurs clients des réseaux logiques virtuels de bout-en-bout, sur mesure et indépendants, évolutifs et agiles, et ce à partir d'une même infrastructure de réseau physique (réseau(x) d'accès, réseau cœur, etc.). Par le biais de ces réseaux logiques virtuels, les opérateurs sont capables de fournir à leurs clients des solutions optimisées pour des scénarii variés correspondant à des contraintes diverses en termes de fonctionnalités, de performances et de qualités de service.
[0004] Toutefois, le recours à ces technologies logicielles et de virtualisation des fonctions réseau expose aussi le réseau à de nouvelles vulnérabilités et pose de véritables challenges en termes de cyber sécurité.
[0005] Le document de Y. Khettab et al., intitulé « Virtual Security as a Service for 5G Verticals », IEEE Wireless Communications and Networking Conférence (WCNC), 2018, propose une solution permettant de sécuriser un réseau 5G mettant en œuvre du « network slicing ». Il s'intéresse plus particulièrement à la sécurisation de chaque slice, et notamment des fonctions réseau virtuelles (ou VNF pour « Virtual Network Functions » en anglais) déployées dynamiquement dans chaque slice. Cette sécurisation est permise via une architecture s'appuyant notamment sur un orchestrateur de sécurité et sur un contrôleur centralisés, ainsi que sur des VNFs dédiées à la sécurité prévues dans chaque slice, incluant des dispositifs de protection tels que des dispositifs de détection d'intrusion (ou IDS pour « Intrusion Détection Systems » en anglais) ou de prévention d'instrusion (ou IPS pour « Intrusion Prévention Systems » en anglais), ou encore d'inspection de paquets (ou DPI pour « Deep Packet Inspection » en anglais). Lorsqu'un dispositif de protection détecte un flux malicieux, il alerte l'orchestrateur de sécurité, qui tient compte du nombre d'alertes reçues et de la sévérité de ces alertes pour instruire le cas échéant le contrôleur de stopper le flux malicieux (temporairement ou définitivement), ou de réduire sa bande passante pour éviter de surcharger le réseau tout en maintenant un certain niveau de service. Afin de ne pas compromettre la sécurité du réseau en cas de dysfonctionnements des VNFs dédiées à la sécurité, cette architecture permet également le déploiement dynamique (« auto-scaling » en anglais), par le biais de l'orchestrateur de sécurité et du contrôleur, de VNFs dédiées à la sécurité dans chacun des slices en fonction des besoins. [0006] La solution proposée par Y. Khettab et al requiert toutefois une grande complexité pour protéger de façon efficace les VNFs déployées dans le réseau et dans ses différents slices, et peut induire une latence préjudiciable à la qualité de service offerte par le réseau.
Exposé de l'invention
[0007] L'invention permet notamment de remédier à l'inconvénient précité en s'appuyant sur une configuration hiérarchique dans laquelle une entité dite de commande du réseau décide des tâches liées à la sécurité du réseau exécutées par des dispositifs configurables, déployés dans le réseau pour protéger ses éléments (par exemple, les fonctions réseau), ces tâches correspondant à différents niveaux de protection et de complexité de mise en œuvre.
[0008] Plus particulièrement, l'invention vise selon un premier aspect, un procédé de commande, par une entité dite de commande d'un réseau, d'un dispositif de protection d'au moins un élément du réseau, ce procédé de commande comprenant, suite à un signalement d'une anomalie détectée par le dispositif de protection lors d'une exécution d'une première action de protection :
- une étape de détermination si une deuxième action de protection doit être exécutée par ledit dispositif de protection en fonction d'un niveau de détection d'anomalies associé au dispositif de protection et d'au moins un niveau de consommation de ressource par ledit dispositif de protection lors de l'exécution de ladite première action ;
- si oui, une étape d'envoi audit dispositif de protection d'un ordre d'exécution de ladite deuxième action de protection.
[0009] Corrélativement, l'invention vise également une entité dite de commande d'un réseau comprenant :
- un module de détermination, activé suite à un signalement d'une anomalie détectée par un dispositif de protection d'au moins un élément du réseau lors d'une exécution d'une première action de protection, ce module de détermination étant configuré pour déterminer si une deuxième action de protection doit être exécutée par le dispositif de protection en fonction d'un niveau de détection d'anomalies associé au dispositif de protection et d'au moins un niveau de consommation de ressource par le dispositif lors de l'exécution de ladite première action de protection ; et
- un module d'envoi, activé le cas échéant, et configuré pour envoyer au dispositif de protection un ordre d'exécution de la deuxième action de protection.
[0010] L'invention concerne aussi, selon un deuxième aspect, un procédé de protection, par un dispositif de protection d'au moins un élément d'un réseau, comprenant :
- une étape de signalement, à une entité dite de commande du réseau, d'une anomalie détectée par le dispositif de protection lors d'une exécution d'une première action de protection ;
- sur réception d'un ordre de l'entité de commande, une étape d'exécution par le dispositif de protection d'une deuxième action de protection déterminée par l'entité de commande en fonction d'un niveau de détection d'anomalies associé au dispositif de protection et d'au moins un niveau de consommation de ressource par le dispositif de protection lors de l'exécution de ladite première action de protection.
[0011] Corrélativement, l'invention vise également un dispositif de protection d'au moins un élément d'un réseau comprenant :
- un module de surveillance, configuré pour exécuter au moins une première action de protection et pour signaler à une entité dite de commande du réseau une anomalie détectée concernant ledit au moins un élément du réseau ; et - un module de déclenchement, activé sur réception d'un ordre de l'entité de commande, configuré pour déclencher une exécution par le module de surveillance d'une deuxième action de protection déterminée par l'entité de commande en fonction d'un niveau de détection d'anomalies associé au dispositif de protection et d'au moins un niveau de consommation de ressource par le dispositif de protection lors de l'exécution de ladite première action de protection.
[0012] La deuxième action de protection est typiquement une action de protection distincte de la première action de protection ; elle peut être sélectionnée notamment parmi une action de détection d'anomalies, une action de prédiction d'attaques et une action de mitigation d'attaques.
[0013] Aucune limitation n'est attachée à la nature des éléments du réseau protégés par le dispositif de protection. Il peut s'agir d'équipements physiques (ex. serveurs, mémoires, CPU (pour « Central Processing Unit » en anglais), etc.) ou d'éléments virtuels ou logicielles (comme par exemple des fonctions réseau virtuelles ou VNFs). Ainsi, ledit au moins un élément du réseau protégé par le dispositif de protection peut être par exemple une fonction réseau virtuelle hébergeant le dispositif de protection.
[0014] Le niveau de détection d'anomalies associé à un dispositif de protection peut être indifféremment, au sens de l'invention, un niveau « absolu » (ex. nombre d'anomalies détectées par le dispositif de protection en question sur une période de temps donnée), un niveau « relatif » (ex. taux de détections correctes, correspondant au nombre d'anomalies détectées par le dispositif de protection compte tenu des anomalies effectivement présentes dans le réseau et susceptibles d'affecter le ou les éléments du réseau surveillés par le dispositif de protection), ou encore une combinaison des deux. Un niveau de détection « relatif » donne avantageusement une indication sur la précision et la robustesse du dispositif de protection, tandis qu'un niveau de détection « absolu » donne une indication sur la menace en termes de cyber-attaques portant sur le ou les éléments du réseau qu'il surveille. En outre, la consommation des ressources peut être évaluée aussi bien en termes de quantité de ressources physiques consommées (ex. espace mémoire requis, etc.), que de temps mis pour exécuter les actions de protection ou durant lequel de telles ressources physiques sont sollicitées (ex. temps CPU).
[0015] Conformément à l'invention, l'entité de commande décide donc, à partir d'informations dont elle dispose sur les ressources consommées par le dispositif de protection et sur le niveau de menace courant pesant sur l'élément ou les éléments qu'il protège et/ou sur l'efficacité du dispositif de protection (fourni notamment par le niveau de détection associé au dispositif de protection), des actions de protection que ce dernier doit exécuter pour protéger efficacement ce ou ces éléments. Cela permet avantageusement de faire un compromis entre le niveau de protection appliqué par le dispositif de protection et la complexité qui en découle pour le dispositif de protection et incidemment pour le réseau.
[0016] La réalisation conjointe de plusieurs actions de protection (ex. détection d'anomalies, prédiction d'attaque, et mitigation) par un même dispositif de protection peut s'avérer extrêmement coûteuse et complexe, et peut « épuiser » les ressources de l'élément du réseau qui héberge ce dispositif de protection, ce qui peut s'avérer extrêmement préjudiciable pour cet élément et incidemment dégrader les performances du réseau. L'invention permet d'adapter ces actions de protection et de les sélectionner en fonction du contexte dans lequel se trouve(nt) l'élément ou les éléments protégés par le dispositif de protection, incluant les contraintes imposées au réseau. En outre, le procédé de commande selon l'invention est avantageusement réversible.
[0017] Ainsi, par exemple, si l'environnement dans lequel se trouve l'élément ou les éléments protégés par le dispositif de protection se dégrade (menace d'attaque plus importante ou attaque avérée), et que les ressources matérielles et/ou logicielles dont dispose le dispositif de protection sont suffisantes, l'entité de commande peut décider que ce dernier bascule vers un mode de protection plus robuste, ou inversement, si l'environnement s'améliore, vers un mode de protection plus léger.
[0018] Ainsi, dans un mode particulier de réalisation, en fonction du niveau de détection d'anomalies associé au dispositif de protection et dudit au moins un niveau de consommation de ressource par le dispositif de protection lors de l'exécution de la première action de protection, la deuxième action de protection peut correspondre à un mode de protection plus robuste ou à un mode de protection plus léger que la première action de protection.
[0019] Plus spécifiquement, et à titre illustratif, si le dispositif de protection exécute par exemple comme première action de protection un algorithme simple de détection d'anomalies (par exemple, un algorithme utilisant des règles de détection ou un algorithme supervisé binaire apte à distinguer deux classes de comportement, à savoir un comportement normal ou un comportement anormal), l'entité de commande peut, en fonction du contexte et d'un compromis précision de la détection/complexité qu'elle cherche à atteindre, décider que le dispositif de protection exécute un algorithme plus robuste et plus performant permettant de caractériser les attaques affectant le ou les éléments que le dispositif d'exécution protège. Un tel algorithme est par exemple un algorithme d'apprentissage automatique multi-classes. Elle peut en variante décider, si l'environnement est très menaçant, que le dispositif de protection exécute localement une ou plusieurs mesures de mitigation, telles que l'éviction de l'élément ou des éléments affectés par une attaque, ou le changement d'au moins une clé cryptographique utilisée pour communiquer sur le réseau par ce ou ces éléments affectés par l'attaque.
[0020] Bien entendu d'autres actions de protection que les actions de détection d'anomalies, de prédiction et de mitigation précitées peuvent être envisagées en variante. On note que préférentiellement, pour limiter la complexité de mise en œuvre de l'invention, les actions de protection ne sont pas exécutées simultanées par le dispositif de protection (autrement dit, lorsque l'entité de commande ordonne l'exécution d'une deuxième action de protection, le dispositif de protection exécute cette deuxième action en remplacement de la première action de protection). On peut toutefois envisager, pour plus d'efficacité en cas d'attaque avérée, que certaines actions de protection dûment sélectionnées par l'entité de commande soient exécutées de façon concomitante par le dispositif de protection, comme par exemple une action de détection et une action de mitigation.
[0021] L'invention, via la collaboration proposée entre l'entité de commande et le dispositif de protection, permet donc de tenir compte, pour sécuriser les éléments d'un réseau contre d'éventuelles cyber-attaques, et notamment les fonctions réseau virtuelles déployées dans ce réseau, de l'impact en termes de complexité des actions de protection mises en œuvre contre de telles cyber-attaques. Typiquement, ledit au moins un niveau de consommation de ressource peut comprendre :
- une quantité de signalisation pour signaler une anomalie détectée par le dispositif de protection ; et/ou
- une consommation d'une ressource de calcul et/ou de traitement ; et/ou
- une consommation d'une ressource de stockage.
[0022] Bien entendu, ces exemples ne sont donnés qu'à titre illustratif et d'autres ressources consommées par le dispositif de protection peuvent être prises en compte. La prise en compte de tels paramètres pour décider des actions de protection mises en œuvre par le dispositif de protection permet avantageusement de préserver la qualité de service du réseau tout en le protégeant efficacement.
[0023] L'invention peut également considérer, en complément du niveau de détection et du ou des niveaux de consommation des ressource, d'autres critères pour déclencher l'exécution d'une action de protection, comme par exemple un contexte spécifique, un niveau de vulnérabilité du réseau, un niveau de menace, etc.
[0024] En outre, l'intervention de l'entité de commande permet de gérer le cas de figure où le dispositif de protection est lui-même ciblé par une cyber-attaque. Dans le cas par exemple d'une attaque de type « épuisement des ressources » ou « resource exhaus- tion attack » en anglais, le dispositif de protection peut déclencher diverses mesures visant à amenuiser les capacités de l'élément du réseau qui l'héberge, ce qui peut entraîner la détérioration de la fonction assurée par cet élément dans le réseau et sa chute. En laissant la liberté au dispositif de protection de décider des actions de protection qu'il doit exécuter pour protéger le réseau (détection, prédiction, mesures de mitigation, etc.), il devient en effet plus vulnérable aux attaques. L'intervention de l'entité de commande comme préconisée par l'invention permet d'éviter cette situation.
[0025] L'invention est donc particulièrement bien adaptée pour une application à des réseaux évolutifs, tels que par exemple des réseaux 5G ou 6G, et en particulier des réseaux mettant en œuvre des technologies NFV de virtualisation de fonctions réseau, SDN de réseau défini par logiciel et/ou de network slicing.
[0026] On note que différentes configurations peuvent être envisagées pour mettre en œuvre l'invention.
[0027] Ainsi par exemple, le dispositif de protection peut être embarqué au niveau du réseau d'accès (par exemple dans une antenne micro-cellulaire ou dans une station de base), et l'entité de commande de ce dispositif de protection au niveau du réseau d'accès (par exemple dans une station de base pour un dispositif de protection localisé dans une antenne micro-cellulaire) ou du réseau cœur (pour un dispositif de protection localisé dans une antenne micro-cellulaire). Elle peut notamment être embarquée dans une fonction réseau (par exemple au niveau de la fonction réseau gérant l'accès et la mobilité aussi connue sous l'appellation de fonction AMF (pour « Access and Mobility Manag- menent Function » en anglais) dans un réseau 5G ou dans un réseau 6G). On peut également envisager de déployer un ou plusieurs dispositifs de protection au niveau de fonctions réseau du réseau cœur, et l'entité de commande de ces dispositifs de protection dans un centre d'opérations de sécurité (ou SOC pour « Security Operations Cen- ter » en anglais).
[0028] En outre, un même élément du réseau (par exemple un équipement du réseau cœur) peut embarquer une entité de commande, commandant des dispositifs de protection situés à un niveau hiérarchique inférieur (par exemple situés dans un réseau d'accès), et un dispositif de protection, lui-même commandé par une entité de commande située à un niveau hiérarchique supérieur, comme par exemple dans un centre d'opérations de sécurité.
[0029] On peut également envisager qu'une entité de commande soit configurée pour commander un ou plusieurs dispositifs de protection.
[0030] Ainsi, l'invention concerne également une entité d'un réseau d'accès d'un réseau comprenant une entité de commande ou un dispositif de protection selon l'invention, et une entité d'un réseau cœur d'un réseau comprenant une entité de commande ou un dispositif de protection selon l'invention.
[0031] Dans un mode particulier de réalisation, l'étape de détermination du procédé de commande comprend une évaluation d'un indicateur défini à partir d'une fonction linéaire du niveau de détection d'anomalies et dudit au moins un niveau de consommation de ressource, et une comparaison dudit indicateur avec au moins un seuil donné dépendante de ladite deuxième action de protection.
[0032] A titre illustratif, dans un mode particulier de réalisation, la première action de protection comprend une exécution d'un algorithme de détection d'anomalies et lors de l'étape de détermination, l'entité de commande décide :
- si l'indicateur est inférieur à un premier seuil, de maintenir l'exécution par le dispositif de protection de la première action de protection ;
- si l'indicateur est compris entre le premier seuil et un deuxième seuil, d'ordonner au dispositif de protection d'exécuter un algorithme de prédiction d'une attaque affectant ledit au moins un élément protégé par le dispositif de protection ; et
- si l'indicateur est supérieur au deuxième seuil, d'ordonner au dispositif de protection d'exécuter au moins une mesure de mitigation d'une attaque affectant ledit au moins un élément protégé par le dispositif de protection.
[0033] De cette sorte, on s'assure d'une réponse graduelle en fonction de la sévérité de l'anomalie détectée et des ressources qui doivent être engagées pour y répondre. En outre, un tel indicateur est particulièrement simple à évaluer et permet d'adopter un compromis en fonction des paramètres que l'on souhaite privilégier via un choix approprié des facteurs de pondération appliqués dans la fonction linéaire.
[0034] Bien entendu, cet exemple n'est donné qu'à titre illustratif et d'autres fonctions, par exemple des fonctions plus complexes, peuvent être envisagées. En outre, les facteurs de pondération de la fonction linéaire peuvent également évoluer dans le temps si besoin ou en fonction des contraintes des opérateurs.
[0035] Dans un mode particulier de réalisation de l'invention, ledit au moins un niveau de consommation d'au moins une ressource par ledit dispositif de protection lors de l'exécution de ladite première action de protection est fourni par le dispositif de protection lors du signalement de l'anomalie.
[0036] Ce mode de réalisation est particulièrement simple à mettre en œuvre. En effet, ces informations peuvent être estimées aisément par le dispositif de protection, qui peut ensuite les faire remonter à chaque signalement d'anomalie à l'entité de commande. Cela permet à l'entité de commande de déterminer sans délai si une autre action de protection doit être envisagée pour protéger le réseau.
[0037] Dans un mode particulier de réalisation de l'invention, les procédés de commande et/ou de protection sont mis en œuvre par un ordinateur.
[0038] L'invention vise également un programme d'ordinateur sur un support d'enregistrement, ce programme étant susceptible d'être mis en œuvre dans un ordinateur ou plus généralement dans une entité de commande conforme à l'invention et comporte des instructions adaptées à la mise en œuvre d'un procédé de commande tel que décrit ci-dessus.
[0039] L'invention vise également un programme d'ordinateur sur un support d'enregistrement, ce programme étant susceptible d'être mis en œuvre dans un ordinateur ou plus généralement dans un dispositif de protection conforme à l'invention et comporte des instructions adaptées à la mise en œuvre d'un procédé de protection tel que décrit ci- dessus.
[0040] Chacun de ces programmes peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable.
[0041] L'invention vise aussi un support d'information ou un support d'enregistrement lisibles par un ordinateur, et comportant des instructions d'un programme d'ordinateur tel que mentionné ci-dessus.
[0042] Le support d'information ou d'enregistrement peut être n'importe quelle entité ou dispositif capable de stocker les programmes. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple un disque dur, ou une mémoire flash.
[0043] D'autre part, le support d'information ou d'enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par lien radio, par lien optique sans fil ou par d'autres moyens.
[0044] Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.
[0045] Alternativement, le support d'information ou d'enregistrement peut être un circuit intégré dans lequel un programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution des procédés de commande et de protection selon l'invention.
[0046] Selon un autre aspect, l'invention vise aussi un système de surveillance d'un réseau comprenant au moins un dispositif de protection d'au moins une ressource du réseau selon l'invention et au moins une entité de commande selon l'invention dans lequel ledit au moins un élément du réseau comprend une fonction réseau virtuelle hébergeant ledit dispositif de protection.
[0047] Par exemple, au moins un dit dispositif de protection, dit premier dispositif de protection, est embarqué dans un équipement d'un réseau d'accès au réseau, et au moins un dit dispositif de protection, dit deuxième dispositif de protection, est embarqué dans une fonction réseau d'un réseau cœur du réseau, et une dite entité de commande du premier dispositif de protection est embarquée dans la fonction réseau, et une dite entité de commande du deuxième dispositif de protection est embarquée dans un centre d'opérations de sécurité du réseau cœur.
[0048] Dans un mode particulier de réalisation, le système de surveillance peut également être une fonction réseau virtuelle hébergeant un dispositif de protection selon l'invention et une entité de commande selon l'invention, configurée pour commander au moins un autre dispositif de protection selon l'invention.
[0049] Le système de surveillance selon l'invention dispose des mêmes avantages cités précédemment que le procédé de commande, l'entité de commande, le procédé de protection et le dispositif de protection selon l'invention.
[0050] On peut également envisager, dans d'autres modes de réalisation, que le procédé de commande, le procédé de protection, l'entité de commande, le dispositif de protection et le système de surveillance selon l'invention présentent en combinaison tout ou partie des caractéristiques précitées.
Brève description des dessins
[0051] D'autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures : [Fig. 1] la figure 1 représente, dans son environnement, un système de surveillance selon l'invention dans un mode particulier de réalisation ;
[Fig. 2] la figure 2 représente l'architecture matérielle d'un équipement hébergeant un dispositif de protection et/ou une entité de commande selon l'invention appartenant au système de surveillance de la figure 1, dans un mode particulier de réalisation ;
[Fig. 3] la figure 3 représente les modules fonctionnels d'un dispositif de protection selon l'invention appartenant au système de surveillance de la figure 1, dans un mode particulier de réalisation ;
[Fig. 4] la figure 4 représente les modules fonctionnels d'une entité de commande selon l'invention appartenant au système de surveillance de la figure 1, dans un mode particulier de réalisation ;
[Fig. 5] la figure 5 représente les étapes d'un procédé de protection selon l'invention telles qu'elles sont mises en œuvre par le dispositif de protection de la figure 3, dans un mode particulier de réalisation ;
[Fig. 6] la figure 6 représente les étapes d'un procédé de commande selon l'invention telles qu'elles sont mises en œuvre par l'entité de commande de la figure 4, dans un mode particulier de réalisation ;
Description de l'invention
[0052] La figure 1 représente, dans son environnement, un système 1 de surveillance d'un réseau NW, conforme à l'invention, dans un mode particulier de réalisation. Le réseau NW est par exemple ici un réseau 5G tel que défini par le standard 3GPP et on s'intéresse notamment, dans l'exemple illustré à la figure 1, à la protection de fonctions réseau virtuelles (ou VNFs) déployées au niveau du réseau cœur CN du réseau NW et du ou des réseaux d'accès RAN du réseau NW permettant d'accéder au réseau cœur CN. De telles fonctions virtuelles sont par exemple pour un réseau 5G une fonction gNodeB d'un réseau d'accès, ou une fonction AMF (pour « Access Mobility Function » en anglais) ou UDM (pour « Unified Data Management » en anglais) du réseau cœur CN, connues de l'homme du métier.
[0053] On note que ces hypothèses ne sont pas limitatives en soi, et on peut envisager d'appliquer l'invention à d'autres réseaux que des réseaux 5G, comme par exemple à des réseaux 6G, ainsi qu'à la surveillance d'autres éléments du réseau que des fonctions réseau virtuelles, comme par exemple des équipements physiques du réseau tels que des serveurs, des espaces de stockage, des équipements utilisateurs connectés au réseau, à des éléments du réseau jouant le rôle de relais (ex. véhicules, drones, etc.), etc.
[0054] Pour assurer la surveillance des éléments du réseau NW, le système 1 de surveillance comprend une pluralité de dispositifs 2 de protection configurables et conformes à l'invention. Par souci de simplification, dans l'exemple envisagé ici, chacun de ces dispositifs 2 de protection est configuré pour protéger un élément distinct du réseau NW, et plus spécifiquement, une fonction réseau. Bien entendu, cette hypothèse n'est pas limitative en soi, et on peut envisager en variante qu'un dispositif 2 de protection soit configuré pour protéger plusieurs éléments du réseau.
[0055] Parmi ces dispositifs 2 de protection, certains, alors référencés plus spécifiquement par L-IDS (pour « Local-Intrusion Détection Systems » en anglais), sont déployés au niveau du ou des réseaux d'accès RAN permettant d'accéder au réseau cœur CN, par exemple ils sont hébergés par des stations de base de type gNodeB pour protéger l'accès au réseau cœur CN (dans l'exemple envisagé ici, un L-IDS est configuré pour protéger la station de base gNodeB qui l'héberge, mais comme mentionné ci-avant on peut envisager qu'un même dispositif L-IDS soit configuré pour protéger non seulement la station de base gNode mais également des antennes micro-cellulaires qui lui sont le cas échéant rattachées). Par ailleurs, au moins un dispositif 2 de protection, alors référencé par G- IDS (pour « Global-Intrusion Détection Systems » en anglais), est déployé au niveau du réseau cœur CN ; par exemple, le dispositif G-IDS est hébergé par une fonction réseau virtuelle AMF de gestion de l'accès et de la mobilité dans le réseau 5G. On peut bien entendu envisager d'autres dispositifs G-IDS hébergés par d'autres fonctions réseau du réseau cœur CN, comme par exemple dans des fonctions PCF (ou « Policy Control Func- tion » en anglais), SMF (ou « Session Management Function » en anglais), UDM (ou « User Data Management » en anglais), etc.
[0056] Conformément à l'invention, chaque dispositif 2 de protection (L-IDS et G-IDS) est configurable et peut exécuter différentes actions de protection pour protéger l'élément dont il est en charge. Dans le mode de réalisation décrit ici, on considère les actions de protection suivantes : une action de protection DETECT dite de détection, consistant en l'exécution d'un algorithme de détection d'anomalies relativement simple. Cet algorithme permet au dispositif 2 de protection de classer les comportements de l'élément qu'il surveille dans deux classes (ou catégories), à savoir dans une classe associée aux comportements normaux et dans une classe associée aux comportements anormaux. Il s'agit préférentiellement d'un algorithme peu complexe (ou « lightweight » en anglais) comme par exemple un algorithme basé sur des règles de détection ou des signatures permettant de distinguer un comportement normal d'un comportement anormal de l'élément surveillé du réseau, ou sur un modèle comportemental reflétant un comportement normal de l'élément surveillé, ou encore sur un algorithme supervisé binaire tel qu'un algorithme de type machine à supports de vecteurs (ou SVM pour « Support Vector Machine ») binaire ; une action de protection PRED dite de prédiction, consistant en l'exécution d'un algorithme de prédiction capable de caractériser plus précisément le comportement de l'élément surveillé et protégé par le dispositif 2 de protection, et notamment d'associer ce comportement à un type d'attaque particulier ou au contraire à un comportement normal. Un tel algorithme de prédiction est généralement plus performant et plus robuste qu'un algorithme de détection d'anomalies binaire tel que celui exécuté lors d'une action de détection DETECT, mais en contrepartie, il est également plus complexe. Un tel algorithme de prédiction est par exemple un algorithme basé sur des signatures d'attaques connues, ou un algorithme d'apprentissage automatique s'appuyant sur un réseau de neurones profond ou encore un algorithme SVM multi-classes. Il est capable de classer les comportements de l'élément surveillé par le dispositif 2 de protection selon un nombre N de catégories ou classes, N désignant un entier supérieur à 2 ; de telles catégories ou classes sont par exemple une classe C(l) regroupant les comportements normaux, une classe C(2) regroupant les comportements associés à un premier type d'attaque ATTACK1 (ex. attaques par déni de service ou DoS), une classe C(3) regroupant les comportements associés à un deuxième type d'attaque ATTACK2 (ex. attaques de type botnet), ..., une classe C(N-2) regroupant les comportements associés à un N-2- ième type d'attaque ATTACKN-2 (ex. attaques de type « resource exhaustion »), et une classe C(N) regroupant les comportements inconnus que l'algorithme de pré diction n'est pas capable d'associer à l'une des N-l autres classes ; et une action de protection REACT dite de réaction ou de mitigation, consistant en l'exécution d'au moins une mesure de mitigation locale en réponse à l'attaque af fectant le cas échéant l'élément surveillé par le dispositif 2 de protection. Une telle mesure de mitigation locale est par exemple l'éviction de l'élément surveillé et pro tégé par le dispositif 2 de protection affecté par l'attaque (à cet effet, l'élément peut être enregistré par le dispositif 2 de protection dans une liste noire (ou « blacklist » en anglais) d'éléments du réseau NW à éviter, autrement dit vers lesquels le réseau NW n'envoie plus de données ou en provenance desquels le réseau n'accepte plus de données), ou le changement par le dispositif 2 de protection d'au moins une clé cryptographique utilisée pour communiquer sur le réseau NW par l'élément protégé par le dispositif 2 de protection et affecté par une attaque.
[0057] Bien entendu, ces actions de protection ne sont données qu'à titre illustratif et d'autres actions ou un nombre différent d'actions de protection possibles peuvent être envisagés en variante.
[0058] Conformément à l'invention, les actions de protection (DETECT, PRED ou REACT dans l'exemple envisagé ici) exécutées à un instant donné par les dispositifs 2 de protection (L-IDS et G-IDS) du système 1 de surveillance sont décidées et configurées au niveau de ces dispositifs 2 de protection par l'entremise d'une ou de plusieurs entités 3 de commande conformes à l'invention, appartenant au système 1 de surveillance et dé ployées dans le réseau NW.
[0059] Plus particulièrement, dans le mode de réalisation décrit ici, les dispositifs 2 de protec tion L-IDS sont commandés (i.e. configurés pour exécuter une action de protection par ticulière) par une entité 3 de commande hébergée dans une fonction réseau virtuelle du réseau cœur CN du réseau NW, et plus spécifiquement ici, dans la fonction réseau virtuelle AMF. Autrement dit, dans le mode de réalisation décrit ici, la fonction réseau virtuelle AMF héberge d'une part, un dispositif 2 de protection G-IDS, et d'autre part, une entité 3 de commande commandant des dispositifs 2 de protection L-IDS hébergés dans le ou les réseaux d'accès au réseau cœur CN. C'est également à ce titre un système de surveillance conforme à l'invention.
[0060] Le dispositif 2 de protection G-IDS hébergé par la fonction réseau AMF, et le cas échéant, les dispositifs 2 de protection G-IDS hébergés par les autres fonctions réseau du réseau cœur CN, est (sont) quant à lui (eux) commandé(s) par une entité 3 de commande hébergée dans le centre 4 d'opérations de sécurité (ou SOC) du réseau NW, situé dans le réseau cœur CN. De façon connue en soi, le SOC 4 est une entité de confiance du réseau NW qui dispose d'une vue d'ensemble sur le réseau NW, et en particulier sur les attaques diligentées contre ses éléments. Il peut lui-même exécuter un algorithme de prédiction performant et robuste s'appuyant par exemple sur une technique d'appren tissage automatique profond (« deep machine learning »). Il bénéficie avantageuse ment d'informations fournies par des experts en cyber-sécurité ou par des tiers, con cernant des attaques susceptibles d'affecter le réseau NW (ex. signatures d'attaques connues, données d'apprentissage) offrant la possibilité de mettre à jour ou d'entraîner les algorithmes exécutés dans les dispositifs 2 de protection et dans le SOC lui-même.
[0061] Dans le mode de réalisation décrit ici, les dispositifs 2 de protection (L-IDS et G-IDS) et les entités 3 de commande sont des entités logicielles, hébergées dans des fonctions réseau virtuelles (ou VNFs) du réseau NW, ces VNFs étant elles-mêmes hébergées par des équipements physiques du réseau NW (ex. serveurs, unité en bande de base (ou BBU pour « Base Band Unit » en anglais), etc.). On note qu'une fonction réseau virtuelle ou VNF peut comprendre indifféremment une ou plusieurs machines virtuelles (ou VM pour « Virtual Machines » en anglais) ou un ou plusieurs conteneurs. Les équipements physiques hébergeant ces fonctions réseau virtuelles disposent de l'architecture matérielle d'un ordinateur 5, telle que représentée à la figure 2, comprenant notamment un processeur 6, une mémoire vive 7, une mémoire morte 8, une mémoire non volatile 9, et des moyens de communication 10. Les moyens de communication 10 intègrent diverses interfaces physiques et protocolaires permettant à l'ordinateur 5 de communiquer avec d'autres équipements du réseau NW ayant le même type d'architecture matérielle. Dans le cadre de l'invention, ces moyens de communication 10 sont exploités notamment par les dispositifs 2 de protection et par les entités 3 de commande pour communiquer entre eux. De telles interfaces sont connues en soi et non décrites en détail ici.
[0062] La mémoire morte 8 constitue un support d'enregistrement conforme à l'invention, lisible par le processeur 6 et sur lequel est enregistré un programme d'ordinateur conforme à l'invention (ce programme d'ordinateur pouvant lui-même être constitué par un ou plusieurs sous-programmes), à savoir, pour les équipements physiques hébergeant des dispositifs 2 de protection, un programme d'ordinateur PROG2, et pour les équipements physiques hébergeant des entités 3 de commande, un programme d'ordinateur PROG3.
[0063] Comme illustré sur la figure 3, le programme PROG2 définit par l'intermédiaire de ses instructions des modules fonctionnels d'un dispositif 2 de protection selon l'invention qui s'appuient ou commandent les éléments matériels 6 à 10 précités. Ces modules fonctionnels comprennent notamment :
- un module SURV de surveillance, configuré pour exécuter au moins une première action de protection et pour signaler, à l'entité 3 de commande dont le dispositif 2 de protection dépend, une anomalie détectée le cas échéant concernant l'élément du réseau que le dispositif 2 de protection surveille. La première action de protection est par exemple une action de détection DETECT ou de prédiction PRED telles que décrites précédemment. Le signalement effectué par le module SURV de surveillance peut être accompagné des caractéristiques de trafic concernant l'élément surveillé collectées par le dispositif 2 de protection et qui ont conduit à la détection de l'anomalie détectée, éventuellement si cela s'applique la signature associée à cette anomalie (selon la technique utilisée par le module de surveillance), une identification de l'élément impacté (notamment si le dispositif 2 de protection surveille plusieurs éléments) ou de l'élément malicieux à l'origine de cette anomalie si cela est disponible au niveau du module SURV de surveillance, ou toute autre information pouvant être exploitée par le réseau NW, et en particulier par l'entité 3 de commande ou par le SOC 4 pour vérifier l'anomalie détectée et, en cas d'attaque avérée, prendre des dispositions contre cette attaque (ex. mesures de mitigation locales et/ou globales) ; et
- un module TRIG de déclenchement, activé sur réception d'un ordre de l'entité 3 de commande, et configuré pour déclencher une exécution par le module SURV de surveillance d'une deuxième action de protection déterminée par l'entité de commande en fonction d'un niveau de détection d'anomalies associé au dispositif 2 de protection et d'au moins un niveau de consommation de ressource par ce dispositif 2 de protection lors de l'exécution de la première action de protection. La deuxième action de protection est par exemple une action de prédiction PRED ou une action de mitigation REACT si la première action de protection est une action de détection DETECT, ou une action de détection DETECT ou une action de mitigation REACT si la première action de protection est une action de prédiction PRED. Comme détaillé davantage ultérieurement, pour décider de l'action de protection à activer au niveau du dispositif 2 de protection, divers niveaux de consommation de ressource peuvent être considérés par l'entité 3 de commande, comme par exemple une quantité OVERH de signalisation (aussi plus communément désignée par « overhead » en anglais) pour signaler une anomalie détectée par le dispositif 2 de protection en exécutant la première action de protection, une consommation COMPUT d'une ressource de calcul et/ou de traitement (ou plus généralement de puissance CPU pour « Central Processing Unit » en anglais)) lors de l'exécution de la première action de protection, et/ou une consommation MEM d'une ressource de stockage lors de l'exécution de la première action de protection. Bien entendu, ces exemples ne sont donnés qu'à titre illustratif et ne sont pas limitatifs de l'invention, on peut envisager d'autres niveaux de consommation d'autres ressources, et l'entité 3 de commande peut exploiter un ou plusieurs de ces niveaux.
[0064] Dans le mode de réalisation décrit ici, le programme PROG2 définit également un autre module fonctionnel, à savoir un module ESTIM d'estimation configuré notamment pour estimer et communiquer à l'entité 3 de commande le(s) niveau(x) de consommation de ressource qu'elle exploite pour décider de l'action de protection à exécuter par le module SURV de surveillance. On suppose par exemple ici que l'entité 3 de commande exploite les trois niveaux de ressource précités, OVERH, COMPUT et MEM et que le module ESTIM d'estimation est configuré pour estimer ces trois niveaux de ressource et les transmettre à l'entité 3 de commande lors du signalement de l'anomalie détectée par le module SURV de surveillance.
[0065] Les modules SURV, TRIG et ESTIM sont ainsi configurés pour mettre en œuvre les étapes d'un procédé de protection selon l'invention. Leur fonctionnement est décrit plus en détail en référence à la figure 5 décrivant les principales étapes de ce procédé.
[0066] De façon similaire, et comme illustré sur la figure 4, le programme PROG3 définit par l'intermédiaire de ses instructions des modules fonctionnels d'une entité 3 de commande selon l'invention qui s'appuient ou commandent les éléments matériels 6 à 10 précités de l'ordinateur 5. Ces modules fonctionnels comprennent notamment : un module DET de détermination, activé suite à un signalement d'une anomalie concernant un élément du réseau NW détectée, lors de l'exécution d'une première action de protection, par un dispositif 2 de protection chargé de protéger cet élément du réseau. Le module DET est configuré pour déterminer si une deuxième action de protection doit être exécutée par le dispositif 2 de protection en fonction, comme mentionné précédemment, d'un niveau de détection d'anomalies associé au dispositif 2 de protection et d'au moins un niveau de consommation de ressource par le dispositif 2 de protection dans le premier mode de protection. Ce(s) niveau(x) de consommation est (sont) fourni(s) dans le mode de réalisation décrit ici, comme mentionné précédemment, par le dispositif 2 de protection lors du signalement de l'anomalie. ; et - un module TX d'envoi, activé le cas échéant, et configuré pour envoyer au dispositif 2 de protection un ordre d'exécution de la deuxième action de protection.
[0067] Les modules DET et TX sont ainsi configurés pour mettre en œuvre les étapes d'un procédé de commande selon l'invention. Leur fonctionnement est décrit plus en détail en référence à la figure 6 décrivant les principales étapes de ce procédé. [0068] Nous allons maintenant décrire, en référence aux figures 5 et 6, les principales étapes d'un procédé de protection et d'un procédé de commande telles qu'elles sont mises en œuvre respectivement par un dispositif 2 de protection et par une entité 3 de commande tels que décrits ci-avant, dans un mode particulier de réalisation de l'invention.
[0069] On envisage ici, pour faciliter la compréhension de l'invention, que le dispositif 2 de protection est embarqué au niveau d'un réseau d'accès RAN du réseau NW, dans une station de base gNodeB, et est configuré pour protéger cette station de base gNodeB : il s'agit donc d'un dispositif 2 de protection de type L-IDS. On suppose par ailleurs que ce dispositif L-IDS est géré par une entité 3 de commande hébergée par la fonction réseau virtuelle AMF du réseau cœur CN, qui décide de l'action de protection que le dispositif 2 de protection doit exécuter pour assurer la protection de l'équipement dans lequel il est embarqué, à savoir ici la station de base gNodeB.
[0070] On note toutefois que ces hypothèses ne sont pas limitatives en soi et l'invention peut s'appliquer indifféremment à d'autres niveaux du réseau NW. Selon un premier exemple, elle peut s'appliquer notamment, au niveau d'un dispositif 2 de protection hébergé dans le réseau cœur CN (autrement dit, au niveau d'un dispositif de type G-IDS), comme par exemple dans la fonction AMF, et au niveau d'une entité 3 de commande hébergée dans une autre fonction du réseau cœur CN, comme par exemple dans le SOC 4. Selon un deuxième exemple, le dispositif 2 de protection L-IDS peut être hébergé par une antenne micro-cellulaire d'un réseau d'accès RAN au réseau cœur CN et son entité 3 de commande dans une station de base gNodeB du réseau d'accès en question ; dans cette configuration, la station de base gNodeB peut également héberger un dispositif 2 de protection G-IDS dont l'entité 3 de commande se trouve hébergée par une VNF du réseau cœur CN et notamment par la fonction AMF du réseau cœur CN. Bien entendu ces exemples ne sont donnés qu'à titre illustratif et bien d'autres configurations peuvent être envisagées.
[0071] On suppose ici, que le dispositif 2 de protection, et plus particulièrement son module SURV de surveillance, est configuré pour surveiller et protéger l'élément du réseau NW dont il a la charge (station gNodeB dans l'exemple envisagé ici) en exécutant une première action de protection. On suppose ici à titre illustratif que cette première action de protection est une action de détection DETECT telle qu'introduite précédemment. Toutefois, cette hypothèse n'est pas limitative en soi, la première action de protection peut être une autre action de protection comme par exemple une action de prédiction PRED.
[0072] La configuration du dispositif 2 de protection pour qu'il exécute lors de la surveillance de la station de base gNodeB l'hébergeant cette première action de protection peut être définie par défaut ou résulter d'un ordre de l'entité 3 de commande gérant le dispositif 2 de protection.
[0073] En référence à la figure 5, le module SURV de surveillance du dispositif 2 de protection surveille donc l'élément du réseau qu'il est chargé de protéger en exécutant une action de détection DETECT (étape E10) et détermine si le comportement de cet élément du réseau présente une anomalie (étape test E20). A cet effet, comme mentionné précédemment, le module SURV de surveillance peut utiliser un algorithme de détection d'anomalies s'appuyant sur des règles de détection ou sur un modèle comportemental simple décrivant un comportement normal de l'élément qu'il surveille, ou encore un algorithme d'apprentissage automatique capable de classer le comportement de l'élément surveillé selon deux classes, à savoir une classe associée à un comportement normal et une classe associée à un comportement anormal (ex. algorithme SVM binaire). Le module SURV de surveillance applique cet algorithme à des caractéristiques (ou « features » en anglais) du trafic transitant par l'élément du réseau surveillé (émanant de, destinées à ou relayées par cet élément), et obtenues directement par le dispositif 2 de protection ou par l'intermédiaire de sondes déployées dans le réseau NW de façon connue en soi. De telles caractéristiques sont par exemple un taux de paquets erronés, un nombre d'échecs de communication, une adresse source, un nombre de redémarrages d'équipements utilisateurs attachés à l'élément du réseau surveillé, un nombre d'accès à certaines VNFs, un nombre de paquets envoyés et supprimés par seconde, un taux d'information altéré, etc. Les caractéristiques à surveiller peuvent être déterminées notamment par des experts en cyber-sécurité, en fonction des attaques susceptibles de menacer le réseau NW.
[0074] Si aucune anomalie n'est détectée (réponse non à l'étape test E20), la surveillance continue, comme décrit ci-avant.
[0075] Si une anomalie est détectée par le module SURV de surveillance alors qu'il exécute l'algorithme de détection d'anomalies (réponse oui à l'étape test E20), le module SURV signale cette anomalie à l'entité 3 de commande (étape E30). Dans le mode de réalisation décrit ici, lors de ce signalement, le module SURV fournit différentes informations à l'entité 3 de commande, à savoir les caractéristiques de trafic ayant conduit à détecter une anomalie ainsi que différents niveaux de consommation de ressource associés à l'exécution de la première action de protection DETECT (c'est-à-dire à l'exécution de l'algorithme de détection).
[0076] Dans l'exemple envisagé ici, comme mentionné précédemment, ces niveaux de consommation comprennent la quantité OVERH de signalisation (overhead) pour signaler l'anomalie détectée (incluant les informations complémentaires fournies lors du signalement par le module SURV et évoquées ci-avant), la consommation COMPUT de puissance CPU, et la consommation MEM de mémoire relatives au fonctionnement du dispositif 2 de protection dans le premier mode de protection DETECT (autrement dit lorsqu'il est configuré pour mettre en œuvre l'algorithme de détection). Elles sont évaluées par le module ESTIM du dispositif 2 de protection à partir d'informations disponibles auprès du dispositif 2 de protection : par exemple, la quantité OVERH peut être estimée en nombre de bits en tenant compte de la quantité d'informations remontée lors du signalement à l'entité 3 de commande ; concernant les consommations COMPUT et MEM, celles-ci sont accessibles auprès du système d'exploitation de l'ordinateur 5 hébergeant le dispositif 2 de protection, qui est en mesure d'indiquer pour chaque tâche exécutée par l'ordinateur 5, en l'espèce ici l'algorithme de détection, le temps d'utilisation du CPU, et la quantité de mémoire requise. Ces données sont ensuite normalisées par rapport aux valeurs maximales qu'elles peuvent atteindre, compte tenu des contraintes fixées par le constructeur de l'équipement (ex. VNF ou équipement physique selon le cas de figure considéré) hébergeant le dispositif 2 de protection. On note que cette normalisation est effectuée pour obtenir des niveaux de consommation sans dimension tous compris entre 0 et 1, par souci de simplification, mais est toutefois optionnelle.
[0077] En référence à la figure 6, suite au signalement du dispositif 2 de protection (étape F10), l'entité 3 de commande, par l'intermédiaire de son module DET de détermination, incrémente un compteur CNT d'anomalies détectées par le dispositif 2 de détection (en variante, ce compteur CNT peut être incrémenté par le dispositif 2 de protection lui- même et fournit lors du signalement à l'entité 3 de commande) et détermine s'il convient de maintenir l'exécution par le dispositif 2 de protection de la première action de protection DETECT ou d'activer l'exécution d'une deuxième action de protection au ni veau du dispositif 2 de protection.
[0078] A cet effet, dans le mode de réalisation décrit ici, le module DET de détermination évalue un indicateur f pour le dispositif 2 de protection, défini à partir d'une fonction linéaire du niveau DL de détection d'anomalies du dispositif 2 de protection et des niveaux OVERH, COMPUT et MEM de consommation de ressource fournis par le dispositif 2 de protection dans son signalement (étape F20). Par exemple : f = a. DL - (b. OVERH + y. COMPUT + d. MEM) où a,b,g, et d désignent des facteurs de pondération prédéterminés, choisis entre 0 et 1. Ces facteurs de pondération sont choisis en fonction du compromis que l'on souhaite avoir entre le niveau de détection d'anomalies du dispositif 2 de protection et la com plexité de mise en œuvre du mode de protection appliqué par le dispositif 2 de protec tion. Par exemple, on peut choisir les facteurs de pondération tous égaux à 1A ou en variante accorder plus d'importance au niveau de détection d'anomalies si l'on souhaite accroître la sécurité du réseau NW, ou au contraire accorder plus d'importance aux ni veaux de consommation, si l'on souhaite favoriser une complexité faible et une latence en résultant plus faible, ou encore ne pas appliquer les mêmes coefficients de pondé ration à chacun des niveaux de consommation de ressource, en fonction des contraintes dont on dispose, etc.
[0079] Il convient de noter que comme évoqué précédemment, l'indicateur f peut tenir compte, dans un autre mode de réalisation, d'autres critères que le niveau de détection d'ano malies et des niveaux de consommation de ressource.
[0080] Le niveau DL de détection d'anomalies associé au dispositif 2 de protection (dispositif L-IDS pour mémoire) est plus particulièrement ici un taux de détection d'anomalies par le dispositif 2 de protection L-IDS au regard des anomalies effectivement présentes dans le réseau NW et affectant l'élément du réseau NW surveillé par le dispositif 2 de pro tection L-IDS. On prend ici comme référence pour déterminer les anomalies effective ment présentes dans le réseau NW les anomalies détectées par le dispositif G-IDS hé bergé par le même équipement que l'entité 3 de commande, à savoir dans l'exemple envisagé ici la fonction réseau AMF. Ce dispositif G-IDS est avantageusement situé à un niveau hiérarchique supérieur par rapport au dispositif L-IDS et bénéficie des informa tions récoltées par l'entité 3 de commande colocalisée dans la fonction AMF provenant d'une pluralité de dispositifs 2 de protection L-IDS (par exemple une pluralité de dispo sitifs 2 de protection hébergés par une pluralité de stations de base gNodeB d'un même réseau d'accès ou de plusieurs réseaux d'accès distincts permettant d'accéder au réseau cœur CN). A chaque anomalie signalée par un dispositif 2 de protection L-IDS, l'entité 3 de commande communique au dispositif G-IDS toutes les informations récoltées des dispositifs L-IDS (en particulier les caractéristiques de trafic) dont elle a la charge et qui lui ont remonté des anomalies dans une période prédéterminée, et le dispositif G-IDS détermine à partir de ces informations si une anomalie affecte effectivement l'élément surveillé par le dispositif 2 de protection. Par exemple, si nœud mobile malicieux cible plusieurs stations de base gNodeB du réseau d'accès (ce qui est souvent le cas en pratique) gérées par une même entité de commande, l'entité de commande remonte au dispositif G-IDS toutes les anomalies qui lui ont été signalées par des dispositifs L- IDS qui sont en lien avec le comportement de ce nœud mobile. On note que pour cette détermination, le dispositif G-IDS peut appliquer notamment son algorithme de prédic tion, qui est comme mentionné précédemment, robuste et précis. Il peut en variante utiliser un autre algorithme robuste tel qu'un algorithme d'apprentissage profond (ou « deep learning » en anglais). Si l'anomalie est confirmée par le dispositif G-IDS, l'entité 3 de commande via son module DET de détermination incrémente un compteur N.
[0081] On note par ailleurs que si l'on se place au niveau d'un dispositif 2 de protection G-IDS, c'est le SOC 4 qui exécute un algorithme de prédiction pour confirmer ou non l'anomalie remontée par le dispositif 2 de protection G-IDS.
[0082] Puis le module DET de détermination de l'entité 3 de commande détermine le taux d'anomalies détecté par le dispositif 2 de protection à partir du compteur CNT d'anomalies et du nombre N, soit :
DL = CNT/N
[0083] Dans une variante de réalisation, le nombre N d'anomalies effectives peut être fourni à l'entité 3 de commande par une autre entité du réseau NW, comme par exemple par le SOC 4. Dans une autre variante encore, l'entité 3 de commande peut s'appuyer sur les anomalies détectées par les autres dispositifs L-IDS sous sa responsabilité (et pour l'entité 3 de commande hébergée dans le SOC 4 sur les anomalies détectées le cas échéant par les autres dispositifs G-IDS sous sa responsabilité), en appliquant par exemple un système de vote, pour déterminer si une anomalie est effectivement présente. Ces exemples ne sont donnés qu'à titre illustratif et d'autres variantes peuvent être envisagées pour déterminer le niveau de détection d'anomalies associé au dispositif 2 de protection. Dans une autre variante, le niveau de détection d'anomalies peut consister en le nombre N d'anomalies effectives détectées par le dispositif 2 de protection, reflétant le niveau de menace effectif à l'encontre de l'élément protégé par le dispositif 2 de protection. Dans une autre variante encore, le niveau de détection d'anomalies associé au dispositif 2 de protection peut combiner ces différents aspects (ex. un niveau « relatif » comme un taux de détection et un niveau « absolu » comme le nombre d'anomalies effectives détectées).
[0084] Le module DET de détermination de l'entité 3 de commande compare ensuite l'indicateur f ainsi évalué avec au moins un seuil donné (étape F30). Plus spécifiquement ici, le module DET compare l'indicateur f par rapport à deux seuils THR1 et THR2 correspondant respectivement à l'activation des actions de protection PRED et REACT. Préférentiellement, on considère autant de seuils que d'actions de protection alternatives possibles par rapport à la première action de protection DETECT exécutée par le dispositif 2 de protection. Ces seuils sont compris ici entre 0 et 1. Par exemple, THR1 est pris égal à 0.5 et THR2 est pris égal à 0.6. Toutefois ces exemples ne sont donnés qu'à titre illustratif, et d'autres valeurs de seuil peuvent être envisagées.
[0085] Si l'indicateur f est inférieur au seuil THR1 (réponse non à l'étape test F40), le module DET de détermination de l'entité 3 de commande décide de maintenir au niveau du dispositif 2 de protection l'exécution de la première action de protection DETECT. Autrement dit, le dispositif 2 de protection continue d'appliquer aux caractéristiques de trafic qu'il collecte sur l'élément du réseau NW qu'il surveille, un algorithme de détection d'anomalies.
[0086] Sinon (réponse oui à l'étape test F40), le module DET de détermination de l'entité 3 de commande décide de déclencher au niveau du dispositif 2 de protection l'exécution d'une deuxième action de protection différente de l'action de détection DETECT.
[0087] Plus spécifiquement ici, si l'indicateur f est compris entre le seuil THR1 et le seuil THR2, le module DET de l'entité 3 de commande décide de déclencher au niveau du dispositif 2 de protection une action de prédiction PRED : autrement dit, le dispositif 2 de protection ne détecte pas seulement que le trafic transitant par l'élément du réseau qu'il sur- veille présente des anomalies mais tente maintenant de qualifier le type d'attaque cor respondant aux anomalies détectées et affectant l'élément qu'il protège.
[0088] Si l'indicateur f est supérieur au seuil THR2, le module DET de l'entité 3 de commande décide de déclencher au niveau du dispositif 2 de protection l'exécution d'une action de mitigation REACT : autrement dit, le dispositif 2 de protection exécute une ou plusieurs mesures de mitigation locales destinées à mettre fin à la ou aux attaques affectant l'élément qu'il protège.
[0089] On note que dans le mode de réalisation décrit ici, la deuxième action de protection est exécutée en remplacement de la première action de protection. Autrement dit, les ac tions de protection sont exclusives les unes des autres et ne sont pas exécutées simul tanément afin de préserver les ressources de la VNF hébergeant le dispositif 2 de pro tection. Toutefois, on peut envisager, dans une variante de réalisation, que des actions de protection soient exécutées de façon concomitante, comme par exemple de l'action de mitigation REACT avec l'action de détection DETECT, dès lors que la complexité en résultant a été actée par l'entité 3 de commande.
[0090] Si le module DET de l'entité 3 de commande détermine que le dispositif 2 de protection doit exécuter une deuxième action de protection autre que la première action de pro tection, il envoie au dispositif 2 de protection, via son module TX d'envoi, un ordre CMD d'exécution de la deuxième action de protection en remplacement de la première action de protection (étape F50).
[0091] Dans le mode de réalisation décrit ici, si le module DET de l'entité 3 de commande détermine que le dispositif 2 de protection doit continuer d'exécuter la première action de détection, il envoie au dispositif 2 de protection, via son module TX d'envoi, un ordre CMD de maintien de la première action de protection DETECT (étape F60). On note toutefois que cette étape est optionnelle et on peut envisager en variante que dans ce cas de figure, l'entité 3 de commande acquitte simplement le signalement remonté par le dispositif 2 de protection sans lui envoyer de commande explicite en retour (ce qui revient implicitement à lui demander de continuer d'exécuter la première action de pro tection DETECT).
[0092] Sur réception de l'ordre CMD de l'entité 3 de commande (étape E40), le dispositif 2 de protection l'exécute par l'intermédiaire de son module TRIG (étape E50). Si l'ordre de l'entité 3 de commande ordonne de maintenir l'action de protection en cours (DETECT dans l'exemple envisagé ici), le module SURV de surveillance du dispositif 2 de protec tion continue d'appliquer aux caractéristiques de trafic qu'il collecte l'algorithme de dé tection d'anomalies. Sinon, le module TRIG du dispositif 2 de protection configure le module SURV de surveillance pour qu'il exécute l'action de protection indiquée dans l'ordre CMD reçu de l'entité 3 de commande (à savoir PRED ou REACT dans l'exemple envisagé ici).
[0093] Autrement dit, si l'ordre CMD comprend un ordre d'exécuter une action de prédiction PRED, le module SURV de surveillance du dispositif 2 de protection applique dorénavant aux caractéristiques de trafic qu'il collecte un algorithme de prédiction plus robuste et plus performant lui permettant non seulement de détecter des anomalies mais égale ment de qualifier l'attaque à l'origine de ces anomalies. Les étapes des figures 5 et 6 qui viennent d'être décrites sont alors réitérées en les appliquant à l'action de protection PRED (qui devient « première action de protection » au sens de l'invention). Dès lors, dès qu'il détecte une anomalie (en l'espèce ici une attaque), le module SURV de sur veillance signale cette anomalie à l'entité 3 de commande, incluant dans son signale ment non seulement les informations précitées décrites précédemment en référence à l'étape E30 (les niveaux de ressources étant maintenant évalués en référence à l'action de prédiction PRED), mais également le type de l'attaque qu'il a associé à cette anomalie.
[0094] On note que dans l'exemple envisagé ici, l'algorithme de prédiction exécuté par le mo dule SURV de surveillance dans le mode de protection PRED peut conduire à associer à l'anomalie détectée la classe C(N) qui contient toutes les anomalies que le dispositif 2 de protection n'est pas en mesure de caractériser, c'est-à-dire d'associer à un type d'at taque particulier. S'il s'avère qu'une anomalie est associée à cette classe C(N) par le module SURV de surveillance, alors sur réception du signalement, l'entité 3 de com mande communique au dispositif 2 de protection qui est colocalisé avec elle (dispositif G-IDS dans l'exemple envisagé ici) les caractéristiques de trafic associées à l'anomalie pour qu'il tente à son tour de qualifier cette anomalie et de l'associer à une attaque connue. On note que dans le cas où les procédés qui viennent d'être décrits sont appli qués entre le dispositif G-IDS embarqué dans la fonction réseau AMF et le SOC 4, c'est le SOC 4 qui est chargé de caractériser l'anomalie détectée par le dispositif 2 de protec tion L-IDS.
[0095] Si l'ordre CMD comprend l'exécution d'une action de mitigation REACT, le module SURV de surveillance du dispositif 2 de protection exécute alors une ou plusieurs mesures de mitigation à l'égard de l'attaque affectant l'élément qu'il protège. Une telle mesure de mitigation est par exemple l'éviction de l'élément affecté par l'attaque ou de l'équipe ment à l'origine de l'attaque (ex. en référençant ces éléments dans une liste noire et en supprimant le trafic destiné à ou issu de cet élément), le changement d'une ou de plusieurs clés cryptographiques utilisées par l'élément affecté par l'attaque pour com muniquer sur le réseau NW, etc. On note que l'exécution d'actions de mitigation locales au niveau du dispositif 2 de protection peut s'accompagner d'autres actions de mitiga tions au niveau global, appliquées par exemple par le SOC 4, par un dispositif 2 de protection G-IDS ou par d'autres équipements du réseau. Une telle action est par exemple l'instantiation de nouvelles VNFs (par exemple d'une fonction AMF si la fonction AMF est affectée par une attaque).
[0096] Comme mentionné précédemment, les étapes E10 à E50 et F10 à F60 qui viennent d'être décrites sont appliquées respectivement entre chaque dispositif 2 de protection L-IDS et l'entité 3 de commande gérant ce dispositif L-IDS (colocalisée ici dans la fonc tion réseau AMF avec un dispositif 2 de protection G-IDS), et de façon similaire entre chaque dispositif 2 de protection G-IDS et l'entité 2 de commande gérant ce dispositif G-IDS hébergée par le SOC 4. Les niveaux de consommation de ressource pris en compte sont alors ceux du dispositif G-IDS. On note que pour évaluer l'indicateur f, le SOC 4 peut utiliser une fonction différente (ex. des facteurs de pondération différents ou une fonction non linéaire) que celle utilisée par l'entité de commande d'un dispositif L-IDS.
[0097] On note également que l'invention s'applique dans d'autres configurations que celle représentée à la figure 1 où les dispositifs L-IDS sont hébergés par des stations de base gNodeB et le dispositif G-IDS est hébergé par une fonction réseau virtuelle AMF du réseau cœur CN, et où l'entité 3 de commande des dispositifs L-IDS est hébergée dans la fonction réseau virtuelle AMF tandis que l'entité 3 de commande du dispositif G-IDS est hébergée dans le SOC 4. De manière générale, on peut prévoir des dispositifs 2 de protection dans n'importe quel équipement du réseau d'accès (ex. antennes microcel lulaire, points d'accès ou stations de base) ou du réseau cœur CN (ex. fonctions réseau virtuelles, équipements physiques), tandis que les entités 3 de commande peuvent être hébergées indifféremment dans le réseau d'accès ou dans le réseau cœur CN, et en particulier dans les fonctions réseau virtuelles ou dans le SOC. En outre, l'invention s'applique également dans le cadre d'un réseau 5G, 6G ou autre utilisant une technique de network slicing sur chaque tranche de réseau du réseau.

Claims

Revendications
[Revendication 1] Procédé de commande, par une entité (3) dite de commande d'un réseau (NW), d'un dispositif (2) de protection d'au moins un élément du réseau, ledit procédé de commande comprenant, suite à un signalement (F10) d'une anomalie détectée par ledit dispositif de protection lors d'une exécution d'une première action de protection (ACT1) :
- une étape de détermination (F20,F30,F40) si une deuxième action (ACT2) de protection doit être exécutée par ledit dispositif de protection en fonction d'un niveau de détection d'anomalies associé au dispositif de protection et d'au moins un niveau de consommation de ressource par ledit dispositif de protection lors de l'exécution de ladite première action de protection, ladite deuxième action de protection étant une action de protection distincte de la première action de protection, sélectionnée parmi une action de détection d'anomalies, une action de prédiction d'attaques et une action de mitigation d'attaques ;
- si oui, une étape d'envoi (F50) audit dispositif de protection d'un ordre d'exécution de ladite deuxième action (ACT2) de protection.
[Revendication 2] Procédé de commande selon la revendication 1 dans lequel l'étape de détermination comprend une évaluation (F20) d'un indicateur (f) défini à partir d'une fonction linéaire du niveau de détection d'anomalies et dudit au moins un niveau de consommation de ressource, et une comparaison (F30,F40) de l'indicateur évalué avec au moins un seuil (THR1, THR2) dépendant de ladite deuxième action de protection.
[Revendication 3] Procédé de commande selon la revendication 2 dans lequel la première action de protection (ACT1) comprend une exécution d'un algorithme (DETECT) de détection d'anomalies et lors de l'étape de détermination, l'entité de commande décide :
- si ledit indicateur (f) est inférieur à un premier seuil (THR1), de maintenir (F60) l'exécution par le dispositif de protection de la première action de protection ;
- si ledit indicateur (f) est compris entre le premier seuil (THR1) et un deuxième seuil (THR2), d'ordonner (F50) au dispositif de protection d'exécuter un algorithme de prédiction (PRED) d'une attaque affectant ledit au moins un élément protégé par le dispositif de protection ; et
- si ledit indicateur (f) est supérieur au deuxième seuil (THR2), d'ordonner (F50) au dispositif de protection d'exécuter au moins une mesure de mitigation (REACT) d'une attaque affectant ledit au moins un élément protégé par le dispositif de protection.
[Revendication 4] Procédé de commande selon l'une quelconque des revendications 1 à 3 dans lequel ledit au moins un niveau de consommation d'au moins une ressource par ledit dispositif de protection lors de l'exécution de ladite première action de protection est fourni par le dispositif de protection lors du signalement de l'anomalie.
[Revendication 5] Procédé de protection, par un dispositif (2) de protection d'au moins un élément d'un réseau, comprenant :
- une étape (E30) de signalement, à une entité dite de commande du réseau, d'une anomalie détectée par ledit dispositif de protection lors d'une exécution d'une première action de protection ;
- sur réception (E40) d'un ordre de ladite entité de commande, une étape d'exécution (E50) par le dispositif de protection d'une deuxième action (ACT2) de protection distincte de la première action de protection et sélectionnée parmi une action de détection d'anomalies, une action de prédiction d'attaques et une action de mitigation d'attaques, ladite deuxième action de détection ayant été déterminée par l'entité de commande en fonction d'un niveau de détection d'anomalies associé audit dispositif de protection et d'au moins un niveau de consommation de ressource par ledit dispositif de protection lors de l'exécution de ladite première action de protection.
[Revendication 6] Procédé selon l'une quelconque des revendications 1 à 5 dans lequel ladite au moins une première action de protection (ACT1) comprend une exécution d'un algorithme de détection (DETECT) d'anomalies et ladite deuxième action de protection comprend une exécution d'un algorithme de prédiction (PRED) d'une attaque affectant ledit au moins un élément du réseau ou d'au moins une mesure de mitigation (REACT) d'une attaque affectant ledit au moins un élément du réseau.
[Revendication 7] Procédé selon la revendication 3 ou 6 dans lequel ladite au moins une mesure de mitigation (REACT) comprend une éviction dudit au moins un élément du réseau affecté par ladite attaque, ou un changement d'au moins une clé cryptographique utilisée pour communiquer sur le réseau par ledit au moins un élément du réseau affecté par ladite attaque.
[Revendication 8] Procédé selon l'une quelconque des revendications 1 à 7 dans lequel ledit au moins un niveau de consommation de ressource comprend :
- une quantité de signalisation pour signaler une anomalie détectée par le dispositif de protection ; et/ou
- une consommation d'une ressource de calcul et/ou de traitement ; et/ou
- une consommation d'une ressource de stockage.
[Revendication 9] Procédé selon l'une quelconque des revendications 1 à 8 dans lequel ledit au moins un élément du réseau est une fonction réseau virtuelle (AMF) hébergeant le dispositif de protection.
[Revendication 10] Procédé selon l'une quelconque des revendications 1 à 9 dans lequel en fonction dudit niveau de détection d'anomalies associé au dispositif de protection et dudit au moins un niveau de consommation de ressource par ledit dispositif de protection lors de l'exécution de ladite première action de protection, ladite deuxième action de protection correspond à un mode de protection plus robuste ou à un mode de protection plus léger que ladite première action de protection.
[Revendication 11] Programme d'ordinateur (PROG2,PROG3) comportant des instructions pour l'exécution d'un procédé selon l'une quelconque des revendications 1 à 10, lorsque ledit programme est exécuté par un ordinateur.
[Revendication 12] Entité (3) dite de commande d'un réseau comprenant :
- un module (DET) de détermination, activé suite à un signalement d'une anomalie détectée par un dispositif de protection d'au moins un élément du réseau lors d'une exécution d'une première action de protection, ledit module de détermination étant configuré pour déterminer si une deuxième action de protection doit être exécutée par ledit dispositif de protection en fonction d'un niveau de détection d'anomalies associé audit dispositif de protection et d'au moins un niveau de consommation de ressource par ledit dispositif lors de l'exécution de ladite première action de protection, ladite deuxième action de protection étant une action de protection distincte de la première action de protection, sélectionnée parmi une action de détection d'anomalies, une action de prédiction d'attaques et une action de mitigation d'attaques ; et
- un module (TX) d'envoi, activé le cas échéant, et configuré pour envoyer au dispositif de protection un ordre d'exécution de ladite deuxième action de protection.
[Revendication 13] Dispositif (2) de protection d'au moins un élément d'un réseau, ledit dispositif de protection comprenant :
- un module (SURV) de surveillance, configuré pour exécuter au moins une première action de protection et pour signaler à une entité dite de commande du réseau une anomalie détectée concernant ledit au moins un élément du réseau ; et
- un module (TRIG) de déclenchement, activé sur réception d'un ordre de ladite entité de commande, configuré pour déclencher une exécution par le module de surveillance d'une deuxième action de protection distincte de la première action de protection et sélectionnée parmi une action de détection d'anomalies, une action de prédiction d'attaques et une action de mitigation d'attaques, ladite deuxième action de détection ayant été déterminée par l'entité de commande en fonction d'un niveau de détection d'anomalies associé audit dispositif de protection et d'au moins un niveau de consommation de ressource par ledit dispositif de protection lors de l'exécution de ladite première action de protection.
[Revendication 14] Entité d'un réseau d'accès d'un réseau comprenant une entité (3) de commande selon la revendication 12 ou un dispositif (2) de protection selon la revendication 13.
[Revendication 15] Entité (AMF, 4) d'un réseau cœur d'un réseau comprenant une entité (3) de commande selon la revendication 12 ou un dispositif (2) de protection selon la revendication 13.
[Revendication 16] Système de surveillance (1, AMF) d'un réseau (NW) comprenant :
- au moins un dispositif (2) de protection d'au moins un élément du réseau selon la revendication 13 ; et - au moins une entité (3) de commande selon la revendication 12 ; dans lequel ledit au moins un élément du réseau comprend une fonction réseau virtuelle (AMF) hébergeant ledit dispositif de protection.
[Revendication 17] Système de surveillance (1) d'un réseau selon la revendication 14 dans lequel :
- au moins un dit dispositif (L-IDS) de protection, dit premier dispositif de protection, est embarqué dans un équipement d'un réseau d'accès (RAN) audit réseau, et au moins un dit dispositif (G-IDS) de protection, dit deuxième dispositif de protection, est embarqué dans une fonction réseau (AMF) d'un réseau cœur (CN) dudit réseau ; et
- une dite entité (3) de commande du premier dispositif de protection est embarquée dans ladite fonction réseau (AMF), et une dite entité de commande (3) du deuxième dispositif de protection est embarquée dans un centre (4) d'opérations de sécurité du réseau cœur.
EP22710685.3A 2021-02-24 2022-02-23 Procedes de commande d'un dispositif de protection d'un element d'un reseau, entite de commande et dispositif de protection Pending EP4298814A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2101801A FR3120143A1 (fr) 2021-02-24 2021-02-24 Procédés de commande d’un dispositif de protection d’un élément d’un réseau, entité de commande et dispositif de protection
PCT/FR2022/050326 WO2022180339A1 (fr) 2021-02-24 2022-02-23 Procedes de commande d'un dispositif de protection d'un element d'un reseau, entite de commande et dispositif de protection

Publications (1)

Publication Number Publication Date
EP4298814A1 true EP4298814A1 (fr) 2024-01-03

Family

ID=75439033

Family Applications (1)

Application Number Title Priority Date Filing Date
EP22710685.3A Pending EP4298814A1 (fr) 2021-02-24 2022-02-23 Procedes de commande d'un dispositif de protection d'un element d'un reseau, entite de commande et dispositif de protection

Country Status (3)

Country Link
EP (1) EP4298814A1 (fr)
FR (1) FR3120143A1 (fr)
WO (1) WO2022180339A1 (fr)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3095313A1 (fr) * 2019-04-18 2020-10-23 Orange Procédé et dispositif de traitement d’un message d’alerte notifiant une anomalie détectée dans un trafic émis via un réseau

Also Published As

Publication number Publication date
FR3120143A1 (fr) 2022-08-26
WO2022180339A1 (fr) 2022-09-01

Similar Documents

Publication Publication Date Title
EP3479285B1 (fr) Procédé et dispositif de surveillance de la sécurité d'un système d'information
CA2935387C (fr) Determination du niveau d'evaluation de menace et elimination de menace destinees a une architecture de securite multicouche fondee sur le web
EP2724509B1 (fr) Procédé de détection d'attaques et de protection
US9060014B2 (en) System and method for continuous device profiling
Carlin et al. Intrusion detection and countermeasure of virtual cloud systems-state of the art and current challenges
US20110185431A1 (en) System and method for enabling remote registry service security audits
WO2006010866A1 (fr) Syteme et procedes de securisation de postes informatiques et/ou de reseaux de communications
EP3957045A1 (fr) Procede et dispositif de traitement d'un message d'alerte notifiant une anomalie detectee dans un trafic emis via un reseau
WO2021152262A1 (fr) Procede de surveillance de donnees echangees sur un reseau et dispositif de detection d'intrusions
EP3063693B1 (fr) Système de détection d'intrusion dans un dispositif comprenant un premier système d'exploitation et un deuxième système d'exploitation
EP4021051A1 (fr) Procede d'apprentissage collaboratif entre une pluralite de noeuds d'un reseau d'un modele de detection d'anomalies
WO2018060657A1 (fr) Procédé d 'inspection de trafic chiffré avec des trapdoors fournies
EP3205068B1 (fr) Procede d'ajustement dynamique d'un niveau de verbosite d'un composant d'un reseau de communications
EP4298814A1 (fr) Procedes de commande d'un dispositif de protection d'un element d'un reseau, entite de commande et dispositif de protection
EP4066461B1 (fr) Procédé de coordination de la mitigation d'une attaque informatique, dispositif et système associés
EP3871381B1 (fr) Technique de collecte d'informations relatives à un flux acheminé dans un réseau
FR3111506A1 (fr) Système et procédé de surveillance d’au moins une tranche d’un réseau de communications
FR3111250A1 (fr) Procédé de détection d’anomalies dans un réseau de communication, procédé de coordination de détection d’anomalies, dispositifs, équipement routeur, système de gestion d’anomalies et programmes d’ordinateur correspondants.
FR3111505A1 (fr) Système et procédé de surveillance d’au moins une tranche d’un réseau de communications utilisant un indice de confiance attribué à la tranche du réseau
EP4169226A1 (fr) Surveillance d'au moins une tranche d'un reseau de communications utilisant un indice de confiance attribue a la tranche du reseau
EP3835985A1 (fr) Procédé de surveillance de données transitant par un équipement utilisateur
Ficco et al. Agent-based intrusion detection for federated clouds
FR3123527A1 (fr) Procédé de surveillance d’un réseau, dispositif et système associés
WO2021105617A1 (fr) Procede d'assistance pour la gestion d'une attaque informatique, dispositif et systeme associes

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20230913

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR