FR2888439A1 - Detection dynamique d'anomalies dans le trafic relatif a une entite de service - Google Patents

Detection dynamique d'anomalies dans le trafic relatif a une entite de service Download PDF

Info

Publication number
FR2888439A1
FR2888439A1 FR0552099A FR0552099A FR2888439A1 FR 2888439 A1 FR2888439 A1 FR 2888439A1 FR 0552099 A FR0552099 A FR 0552099A FR 0552099 A FR0552099 A FR 0552099A FR 2888439 A1 FR2888439 A1 FR 2888439A1
Authority
FR
France
Prior art keywords
service entity
traffic
volume
deviation
moving average
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR0552099A
Other languages
English (en)
Inventor
Herve Sibert
Emmanuel Besson
Aline Gouget
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Priority to FR0552099A priority Critical patent/FR2888439A1/fr
Priority to PCT/FR2006/050670 priority patent/WO2007006995A2/fr
Publication of FR2888439A1 publication Critical patent/FR2888439A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Dans un dispositif détectant rapidement des anomalies dans le trafic (LT) relatif à au moins une entité de service (SE) suite à des attaques de type déni de service par inondation, un module (MOD) modélise l'activité normale de l'entité par des modèles pour des composantes volumiques du trafic évaluées périodiquement pendant une durée prédéterminée. Chaque modèle d'une composante volumique comprend des coefficients de déviation dépendant d'une moyenne mobile de la composante volumique évaluée pendant ladite durée. Pour au moins une évaluation ultérieure, un module (DET) incrémente une valeur d'alerte pour au moins un coefficient de déviation si une nouvelle valeur de celui-ci excède un seuil du modèle.

Description

Détection dynamique d'anomalies dans le trafic
relatif à une entité de service La présente invention se rapporte au domaine de la sécurité des réseaux et aux attaques de type déni de service par inondation. Plus particulièrement elle a trait à une détection d'anomalies dans le trafic supporté par une liaison de transmission et relatif à au moins une entité de service.
Les réseaux de télécommunications, comme l'internet, transmettent des données entre différentes entités de service, via une infrastructure commune. Une entité de service connectée à un tel réseau répond à des requêtes de terminaux de clients en leur fournissant un service, c'est-àdire en effectuant des actions bien définies et demandées par les clients. Des entités de service sont par exemple un serveur web, un serveur de contenus ou de streaming proposant un téléchargement de fichiers multimédias ou diffusant des fichiers multimédias, un serveur de messagerie électronique qui relaie des messages, ou un serveur de noms de domaine DNS qui fournit des adresses IP correspondant à des noms de domaine. Ces entités de service sont, dans certains cas, des extrémités du réseau et sont localisées chez des clients d'un opérateur, tandis que d'autres entités de service, tels les serveurs DNS, sont gérées par l'opérateur du réseau lui-même.
Une attaque par déni de service est une attaque qui vise à rendre indisponible une entité de service. Il existe plusieurs types d'attaques par déni de service, par exemple des requêtes spécifiques qui attaquent directement le fonctionnement de l'entité de service en lui demandant d'effectuer une action "non conforme". Parmi les attaques par déni de service, les attaques de type déni de service par inondation consistent à dépasser, et donc à "inonder" la capacité réseau de l'entité de service ou de la liaison de transmission par laquelle l'entité de service est reliée au réseau. Dans les deux cas, des caractéristiques volumiques du trafic réseau à destination de l'entité de service augmentent soudainement.
Afin de détecter les attaques par déni de service, il existe deux grandes familles de procédés de détection.
La première famille est relative aux détections par signature. Elle consiste à observer de manière continue le trafic à proximité d'une entité de service potentielle, et à comparer les observations avec des motifs de trafic conservés en mémoire et qui caractérisent des attaques connues. Les procédés de détection de la première famille sont particulièrement adaptés à la détection d'intrusion et la détection de dénis de service non basés sur l'inondation des entités de service.
L'invention concerne davantage la deuxième famille qui est relative aux détections d'anomalies.
Une anomalie est une évaluation de trafic non conforme à un ensemble d'évaluations de trafic normal admissibles. L'ensemble des évaluations admissibles est déterminé a priori à l'aide de règles et de connaissances expertes. Il existe plusieurs types de règles telles qu'une liste de contrôle d'accès et des politiques de sécurité, fixées par l'opérateur ou le client qui possède une entité de service. Ces règles définissent des caractéristiques que le trafic normal doit satisfaire ou au contraire ne pas satisfaire.
Cependant, ces règles sont insuffisantes les entités de service les plus sensibles et les plus visées par la cyber-criminalité sont aussi les plus difficiles à protéger a priori; en particulier, on traite le trafic d'entités de service dont les clients ne sont pas connus à l'avance, et les règles que l'on peut fixer a priori sont limitées. Une attaque peut en effet se conformer à la plupart des règles fixées a priori dans la forme du trafic que l'attaque envoie pour inonder l'entité de service.
Pour éviter cela, il est nécessaire de fixer en plus des règles de type "seuil" sur des composantes volumiques du trafic. Pour une bonne qualité de détection, ces seuils doivent prendre en compte le trafic de l'entité de service en temps normal, ce qui implique une phase d'apprentissage du trafic normal par le procédé de détection, le succès de l'attaque étant fondé sur la quantité de trafic d'attaque effectivement parvenu à l'entité de service pour traitement. Si les règles sont des seuils de trafic, leur efficacité et leur pertinence dépend de la différence entre ces seuils et l'activité du service au moment de l'attaque. Il est donc important que de telles règles prennent en compte l'activité du service, et des règles définies a priori sont insuffisantes.
La détection d'anomalies comportementales consiste à modéliser l'activité de l'entité de service à protéger en l'observant et en modélisant son comportement. Peu de procédés de détection d'anomalies connus sont orientés spécifiquement vers les attaques par inondation. Etant donné des évaluations et un modèle de comportement de l'entité de service, ces procédés font appel à des variables statistiques pour prédire la ou les prochaines évaluations. Si les prochaines évaluations effectives divergent significativement des évaluations prédites, alors une alerte est signalée. Cependant ces procédés de détection d'anomalies détectent également des attaques autres que les attaques par inondation, induisant une perte de temps de traitement par l'opérateur de sécurité.
Par ailleurs sont connus des procédés de détection d'anomalies dédiés à la détection d'attaques par inondation. Mais leur coût est élevé et leurs algorithmes sont maintenus confidentiels. Certains de ces procédés de lutte contre les attaques par inondation sont conçus pour être installés au coeur de réseau et/ou se basent sur des informations basées sur un mécanisme de comptage installé dans des routeurs, lesquelles informations ne caractérisent que très grossièrement les attaques.
L'invention a pour objectif de détecter dynamiquement près d'une entité de service à protéger des anomalies comportementales aussi bien dans le trafic dirigé vers cette entité de service que dans le trafic qui en provient, en recourant à des coefficients et règles pouvant évoluer avec le trafic et sans recourir à une prédiction d'évaluations de variables statistiques, de manière à signaler très rapidement et précisément une attaque de type déni de service par inondation.
Pour atteindre cet objectif, un procédé pour détecter des anomalies dans le trafic supporté par une liaison de transmission et relatif à une entité de service, incluant préalablement une modélisation de l'activité normale de l'entité de service, est caractérisé en ce que la modélisation fournit des modèles pour des composantes volumiques du trafic évaluées périodiquement pendant une durée prédéterminée, un modèle relatif à une composante volumique comprenant des coefficients de déviation évalués en fonction d'une moyenne mobile de la composante volumique évaluée pendant la durée prédéterminée, ledit procédé comprenant pour au moins une évaluation ultérieure de coefficients de déviation relatifs aux composantes volumiques, une incrémentation d'une valeur d'alerte respective pour au moins un coefficient de déviation si une nouvelle valeur du coefficient de déviation est supérieure à une valeur de seuil respective incluse dans le modèle.
Le procédé de l'invention est fondé non pas sur des valeurs absolues de paramètres du trafic de l'entité de service à un instant donné, mais sur des coefficients de déviation dépendant au moins de deux évaluations d'une composante volumique, de manière à observer les transitions comportementales dans le trafic relatif à l'entité de service. En particulier, l'invention extrapole une activité dynamique normale de l'entité de service en fondant les coefficients de déviation sur des moyennes et dérivées discrètes de trafic évaluées lors de la modélisation et pouvant être actualisées périodiquement au plus à chaque évaluation des composantes volumiques. A chaque évaluation ultérieure de composantes volumiques et de coefficients de déviation, les coefficients de déviation sont comparés à des seuils pour détecter si les transitions comportementales dans la succession des évaluations restent plus faibles que les transitions comportementales selon les modèles; sinon une valeur d'alerte est incrémentée.
Ainsi, l'invention permet de détecter une activité anormale dans le trafic de l'entité de service lorsque la valeur d'alerte excède un niveau d'alerte prédéterminé.
L'invention détecte et caractérise une attaque de type déni de service par inondation afin de protéger des entités de service d'un opérateur ou de ses clients par exemple. Lorsqu'une attaque de type déni de service par inondation est détectée, l'invention la caractérise par le résultat de comparaisons des coefficients de déviation évalués à des valeurs de seuil, lequel résultat peut représenter une anomalie sous forme d'une variation anormale des composantes volumiques évaluées. On notera que, dans le cadre de l'invention, les évaluations de composantes volumiques peuvent porter sur le trafic à destination de l'entité de service à protéger, ou sur le trafic provenant de cette entité, ou sur ces deux trafics à la fois.
La détection d'anomalies comportementales selon l'invention est dite "dynamique" parce qu'elle repose sur des mesures de déviations de trafic de manière relative en fonction d'évaluations successives de composantes volumiques, indépendamment de valeurs absolues, et n'a pas vocation à traiter des périodes d'activité stable de l'entité de service surveillée.
Grâce à l'invention, et notamment à la modélisation incluant une moyenne mobile, on peut donc avantageusement effectuer une analyse statistique fine du trafic relatif à une entité de service.
Selon des caractéristiques particulières, ladite moyenne mobile est une moyenne mobile à pondération exponentielle.
Cette disposition permet avantageusement de réduire la quantité de données à mémoriser par comparaison, par exemple, à la quantité de données requise dans le cas d'une moyenne mobile arithmétique de la composante volumique, puisqu'une telle moyenne devrait être recalculée à chaque fois sur la base de valeurs précédentes de la composante volumique, qui devraient donc être mémorisées à cet effet.
Afin d'assurer une détection efficace des anomalies lorsque le trafic normal relatif à l'entité de service évolue, l'invention prévoit, selon des caractéristiques particulières, une actualisation de modèles pour remplacer périodiquement des modèles anciens courants relatifs à l'entité de service par des modèles actualisés en fonction de valeurs récentes des composantes volumiques et des coefficients de déviation associés à l'entité de service. A chaque évaluation, une valeur courante d'un coefficient de déviation du premier type est actualisée en remplaçant ladite valeur courante par la moyenne de celle-ci et d'une nouvelle valeur du coefficient de déviation si ladite nouvelle valeur est supérieure à la valeur courante du coefficient de déviation lorsque le coefficient de déviation est d'un premier type, ou si ladite nouvelle valeur est inférieure à la valeur courante du coefficient de déviation lorsque le coefficient de déviation est d'un deuxième type.
L'invention concerne également un dispositif pour détecter des anomalies dans le trafic supporté par une liaison de transmission et relatif à une entité de service, l'activité normale de l'entité de service étant préalablement modélisée. Le dispositif est caractérisé en ce qu'il comprend un moyen pour modéliser l'activité normale de l'entité de service par des modèles pour des composantes volumiques du trafic évaluées périodiquement pendant une durée prédéterminée, un modèle relatif à une composante volumique comprenant des coefficients de déviation évalués en fonction d'une moyenne mobile de la composante volumique évaluée pendant la durée prédéterminée, un moyen pour au moins une évaluation ultérieure de coefficients de déviation relatifs aux composantes volumiques pour incrémenter une valeur d'alerte respective pour au moins un coefficient de déviation si une nouvelle valeur du coefficient de déviation est supérieure à une valeur de seuil respective incluse dans le modèle.
Selon des caractéristiques particulières, ladite moyenne mobile est une moyenne mobile à pondération exponentielle.
Enfin, l'invention se rapporte à un programme d'ordinateur apte à être mis en oeuvre dans un dispositif de détection d'anomalies selon l'invention. Le programme comprend des instructions qui, lorsque le programme est chargé et exécuté dans ledit dispositif, réalisent les étapes du procédé de détection d'anomalies selon l'invention.
D'autres caractéristiques et avantages de la présente invention apparaîtront plus clairement à la lecture de la description suivante de plusieurs réalisations préférées de l'invention, données à titre d'exemples non limitatifs, en référence aux dessins annexés correspondants dans lesquels: - la figure 1 est un bloc-diagramme schématique d'un dispositif de détection d'anomalies dynamique dans un réseau de type internet, selon l'invention; et - la figure 2 est un algorithme du procédé de détection d'anomalies dynamique selon l'invention. 5 En référence à la figure 1, un dispositif de détection d'anomalies dynamique DD selon l'invention est inclus dans une sonde et fait office d'agent essentiellement logiciel pour inhiber des attaques contre des entités de service SE dans un réseau de télécommunications par paquets à débit élevé RT géré par un opérateur selon le protocole IP (Internet Protocol). Des données sont transmises dans une liaison de transmission LT du réseau RT constituant une partie de l'internet. Les données sont par exemple contenues dans des paquets transmis par des terminaux de client TC et destinées aux entités de service SE comprenant des serveurs web. La liaison de transmission LT est située à proximité des entités de service SE dont le trafic est à surveiller par la sonde afin que celle-ci détecte des anomalies dans le trafic qui caractérisent des comportements anormaux des clients des entités de service, particulièrement des attaques par inondation des entités de service.
Par exemple, la liaison de transmission LT à laquelle la sonde est connectée en écoute selon la figure 1, est située dans le réseau RT au point d'entrée d'une ou plusieurs entités de service sur le réseau, entre le réseau RT et le dernier routeur RO de l'opérateur du réseau RT précédant un routeur relié à une entité de service SE. La sonde n'est pas connectée à une liaison du client entre le routeur RO et l'entité de service SE dont le trafic pourrait être déjà congestionné à cause de la capacité limitée de la liaison du client.
En variante, la sonde est connectée en coupure à la liaison de transmission LT de manière également à retirer des paquets anormaux destinés à une ou plusieurs entités de service surveillées.
Le dispositif de détection DD signale une alerte à partir de l'observation du trafic relatif à l'entité ou les entités de service dans la liaison LT afin que l'opérateur prenne des mesures adéquates pour contrer une attaque dirigée vers l'entité ou les entités de service.
Quelle que soit l'implémentation de la sonde, limitée ou non au dispositif de détection dynamique de l'invention, la sonde émet des alertes à partir de l'écoute du trafic en un point du réseau RT.
Comme montré à la figure 1, le dispositif de détection dynamique DD peut être sous la forme d'un ordinateur ou d'une station de travail, ou d'un système informatique local ou réparti. En relation avec l'invention, le dispositif DD comprend les modules suivants.
une interface homme - machine de management IHM, locale ou éloignée, incluant notamment un clavier et un écran, pour activer le dispositif automatiquement ou manuellement par un opérateur et saisir notamment des identificateurs et caractéristiques d'entité de service, sélectionner des données pour la détection et lire des alertes; un module de déclaration d'entité de service DEC pour sélectionner une partie du trafic à surveiller dans la liaison LT qui est destinée à des entités de service SE à protéger; un module de médiation MED connecté en écoute selon la figure 1, ou en coupure en variante, à la liaison de transmission LT afin d'évaluer des composantes volumiques de trafic; un module de modélisation MOD qui construit des modèles d'activité normale pour les entités de service à protéger en fonction de valeurs de composantes volumiques de trafic évaluées par le module de médiation MED afin de produire des modèles de comportement dynamique pour chaque entité de service protégée et pour chaque composante volumique; une base de données DB pour enregistrer des modèles relatifs aux composantes volumiques des entités de service; un module de détection d'anomalies DET détectant des anomalies dans le trafic observé destiné aux entités de service à protéger, anomalies qui sont décelées sous forme de franchissements anormaux de valeurs de seuil des modèles d'activité normale par des coefficients de déviation évalués en fonction des composantes volumiques; et un module d'alerte ALE délivrant des alertes suite à des franchissements anormaux des coefficients de déviation.
Le procédé de détection dynamique d'anomalies de trafic selon l'invention est mis en oeuvre dans le dispositif de détection DD et comprend trois étapes principales El, E2 et E3, comme montré à la figure 2. Les étapes El, E2 et E3 comprennent respectivement des sous-étapes E10 à E12, E20 à E26 et E30 à E35.
Des sous-étapes sont également indiquées dans la figure 1 au niveau de liens entre des modules du dispositif de détection DD intervenant pour l'exécution de ces sous-étapes.
La première étape El comporte une déclaration des entités de service SE à protéger explicitement par l'opérateur, ce qui définit un ensemble de services à protéger dispensés par ces entités.
A la première sous-étape E10 de l'étape de déclaration d'entité de service El, l'opérateur définit des entités de service SE qu'il souhaite protéger dans le module de déclaration DEC via l'interface homme - machine IHM. Le module DEC sélectionne ainsi une partie du trafic dans la liaison LT qui est destinée à chaque entité de service déclarée.
L'opérateur définit explicitement des entités de service en saisissant des identificateurs et des caractéristiques des entités de service à protéger transmis au module DEC, ou bien en saisissant des identificateurs des entités de service transmis au module DEC qui lit des caractéristiques des entités de service sélectionnées en correspondance aux identificateurs des entités dans une liste préenregistrée dans une base en relation avec la liaison LT. Les caractéristiques identifiant une entité de service sont par exemple des triplets. Typiquement le triplet de caractéristiques d'une entité de service inclut une adresse de destination ou classe d'adresse de destination IP, un protocole de transport et un port. Les identificateurs d'entité de service peuvent aussi être spécialisés, par exemple être les triplets de caractéristiques eux- mêmes.
Par exemple, une entité de service déclarée a pour triplet de caractéristiques (adresse de destination IP, protocole(s) de transport T, port(s) P) une adresse de destination IP qui est au format 'w.x.y.z/m', avec w, x, y et z compris entre 0 et 255, et m compris entre 0 et 32, et éventuellement affectée d'un masque selon la notation CIDR (Classless Internet Domain Routing); par exemple: 159.151.254.0/25 signifie de l'adresse 159.151.254.0 à l'adresse 159.151.254.127 puisque 232 - 225 1 = 127; une liste de protocoles de transport qui est au format 'pl;p2' avec p1, p2, des valeurs en nombre fini prises dans des mots-clés tels que 'tcp', 'udp', 'ip', 'icmp', la valeur 'ip' recouvrant à la fois 'tcp' et 'udp'; et une liste de ports qui est au format 'pl;p2;p3- p4' avec p1, p2, p3, p4, des valeurs entières comprises entre 0 et 65535 et pouvant être incluses dans une plage de valeurs entières, par exemple '3200-3299', ou dans une liste de valeurs entières, par exemple '3200; 3202; 3208'.
Des entités de service "complémentaires" peuvent être implicitement déclarées à la suite de la déclaration explicite des entités de service à protéger. Une entité de service complémentaire implicite peut être une entité de service déclarée par défaut afin de recouvrir des attaques sur des protocoles spécifiques, comme les trafics indésirables selon le protocole de paquet de commande icmp' (Internet Control Message Protocol). Une entité de service complémentaire implicite peut être construite comme un complément à au moins une entité de service déclarée ayant une adresse IP, et relative à des trafics autres que ceux qui concernent des services hébergés par l'entité de service déclarée mais ayant ladite adresse IP et par exemple des ports différents.
Les entités de service "complémentaires" sont inférées automatiquement des caractéristiques des entités de service déclarées pour synthétiser l'activité de la liaison LT du réseau qui n'est pas explicitement déclarée par l'opérateur. Les entités de service complémentaires à protéger ont des triplets de caractéristiques (adresse de destination IP, protocole(s) de transport T, tous ports sauf P) et (adresse de destination IP, protocole(s) de transport sauf T, port (s) P).
En variante, à une étape E10a pouvant être conjointe à l'étape E10 ou la remplacer pour certaines entités de service, la déclaration d'entités de service est automatique grâce à une écoute du trafic dans la liaison LT par le module de déclaration DEC. Dans cette variante, le module DEC est connecté en écoute selon la figure 1. Le module DEC établit une liste des entités de service demandées par les paquets qui passent dans la liaison LT et classe ces entités de service par fréquence d'apparition des paquets destinés à ces entités, afin d'obtenir une pré-liste des entités de service. Ensuite, cette liste est réduite automatiquement afin par exemple de ne conserver en mémoire du module DEC que les entités de service demandées par plus de 1% des paquets, ou bien est modifiée par l'opérateur. La liste ainsi établie est la liste des entités de service à protéger.
Après l'étape E10 ou E10a, les entités de service à protéger par le dispositif DD sont bien identifiées.
Le module de modélisation MOD est initialisé en recevant la liste des identificateurs des entités de service à protéger fournie par le module de déclaration DEC. Le module MOD reçoit la liste automatiquement à la sous-étape E11, ou en variante après validation de l'opérateur via l'interface IHM à la sous-étape Ella.
A chaque entité de service à protéger, le module de modélisation MOD associe des paramètres d'évaluation de trafic par défaut qui sont une granularité et une liste par défaut de composantes volumiques de trafic à destination, ou éventuellement en provenance, de l'entité de service SE.
La granularité définit une période d'évaluation du trafic de l'entité de service et peut être une valeur par défaut dépendant d'une caractéristique de l'entité de service. Par exemple, la granularité est 10 secondes si le port P de l'entité de service est 80 (HTTP), ou 1 minute si le port est 23 (Telnet).
Les composantes volumiques de trafic dans la liste par défaut correspondent à des caractéristiques pouvant être relevées à partir d'informations des couches de réseau et de transport et agrégées sous forme de comptes de compteurs remis à zéro à chaque période d'évaluation de trafic définie par la granularité. Les composantes volumiques sont par exemple: au niveau de la couche de réseau IP: la volumétrie exprimée par un débit de trafic en octets par seconde, la volubilité exprimée par un débit de trafic en paquets par seconde, la connexité exprimée par un nombre d'adresses de source différentes dans des paquets destinés à l'entité de service, et la fragmentation exprimée par un taux de paquets fragmentés en fonction des bits DF et MF dans le champ drapeau de l'entête d'un paquet IP; et au niveau de la couche de transport TCP ("Transmission Control Protocol", mots anglais signifiant "Protocole de Commande de Transmission"): l'ouverture de connexion exprimée par un taux de paquets incluant un bit de contrôle SYN à "1", le "stress" exprimé par un taux de paquets incluant un bit de contrôle PUSH à "1" indiquant que les données sont à transférer à la couche supérieure, l'urgence exprimée par un taux de paquets incluant un bit de contrôle de message urgent URG à "1" et la volatilité exprimée par un nombre de ports différents sollicités.
Pour chacune x de ces composantes volumiques, un seuil Sx, que ne doit pas dépasser la composante volumique, et un plancher Px, au-dessous duquel les évaluations des composantes volumiques sont considérées comme non-pertinentes, sont définis a priori par l'opérateur ou bien par défaut suivant les capacités des entités de service protégées.
A la liste par défaut de composantes volumiques de trafic peut être ajoutée une liste d'autres composantes volumiques spécifiques qui dépendent de l'entité de service, comme des grandeurs propres à un protocole applicatif utilisé. Par exemple une composante volumique à évaluer sur un service HTTP (HyperText Transfer Protocol) est le nombre de requêtes sur une méthode spécifique, comme la méthode 'GET', le nombre de requêtes vers des pages CGI (Common Gateway Interface), PHP (Personal Home Page), JSP (Java Server Page), ou un code d'erreur de type 2xx, 3xx, 4xx ou 5xx renvoyé par le serveur impliquant une mesure du trafic retour, ou la version du protocole utilisée (0.9, 1.0, 1.1).
Cependant à la sous-étape Ella, via l'interface IHM, l'opérateur peut modifier manuellement la liste de composantes volumiques ainsi que tout autre paramètre d'évaluation qui a pris une valeur par défaut, comme la granularité.
A la sous-étape E12, le module MOD transmet une liste des entités de service, éventuellement après validation de l'opérateur, au module de médiation MED du dispositif DD. Pour l'activité normale de chaque entité de service à protéger que le module MOD doit modéliser, la liste d'entités de service comprend l'identificateur et les caractéristiques de l'entité de service et les composantes volumiques de trafic nécessaires à la modélisation afin qu'à partir de ces composantes volumiques, le module MOD produise un modèle de comportement dynamique de l'entité de service.
Au début E20 de l'étape de modélisation d'activité d'entité de service E2, le module de médiation MED extrait de chaque paquet pertinent capturé dans la liaison LT et destiné à une entité de service identifiée à protéger, notamment l'adresse de source IP, l'adresse de destination IP, la valeur du champ de protocole de transport, le port source, le port destination, la longueur totale du paquet en octets, le champ drapeau avec les bits de fragmentation, et la liste des drapeaux TCP, afin d'évaluer les composantes volumiques.
Pour chaque entité de service, le module MED comprend des compteurs COM respectivement qui comptent par exemple des octets, paquets, adresses de source prédéterminées et bits de contrôle prédéterminés pour exprimer les composantes volumiques et qui sont ainsi assignés à l'évaluation des composantes volumiques de l'entité de service. Les compteurs sont réinitialisés régulièrement à la période d'évaluation selon la granularité, par exemple de l'ordre de quelques secondes, typiquement 10secondes. Chaque évaluation des composantes volumiques est horodatée avec la date de début de la période. Au cours de la sous-étape E20 et à l'expiration de chaque période d'évaluation, les comptes des compteurs constituent des valeurs des composantes volumiques de trafic demandées qui sont agrégées, formatées et fournies par le module MED au module MOD.
Les composantes volumiques fournies par le module MED sont conservées temporairement dans une base d'évaluations incluse dans le module MOD. Pour une entité de service donnée SE, le module MOD traite une suite d'ensembles de valeurs de composantes volumiques qui ont été évaluées pendant une durée prédéterminée qui est très supérieure à la période d'évaluation de granularité retenue pour l'agrégation des composantes volumiques, ou bien définie par l'opérateur. En particulier, pour l'entité de service donnée, les modèles dépendent de valeurs des composantes volumiques qui sont établies consécutivement au cours d'une durée prédéterminée propre à l'entité de service, pendant laquelle l'entité de service passe par tous les comportements d'activité normale que l'entité de service aura lors de la phase de détection. Par conséquent, compte tenu des variations de l'activité des terminaux de client TC, la durée prédéterminée est par exemple au moins une semaine ou un mois et est définie par l'opérateur. La modélisation dynamique selon l'invention ne détermine pas ainsi des périodes d'activité stable divisant une longue durée de fonctionnement de l'entité de service protégée. La durée prédéterminée pendant laquelle les comptes des compteurs COM sont lus et fournis au module MOD pour effectuer la première modélisation relativement à plusieurs entités de service à protéger supposées en activité normale après la mise en marche du dispositif de détection DD constitue une phase d'apprentissage. A partir de ces composantes volumiques évaluées pendant la phase d'apprentissage pour les entités de service à protéger, le module MOD produit des modèles de comportement dynamique de chaque entité de service protégée, comme expliqué ci-après.
Pour modéliser le comportement du trafic à destination de l'entité de service donnée SE et ainsi l'activité normale de celle-ci en des modèles, le module MOD évalue des coefficients de comportement dynamique admissibles appelés coefficients de déviation CD utilisés par la suite pour la détection dynamique d'anomalies par comparaison.
A cette fin, à la sous-étape E21 le module de modélisation MOD évalue en temps réel plusieurs variables à partir des évaluations des composantes volumiques. Pour chaque composante volumique surveillée x relative à l'entité de service donnée, le module MOD actualise une ou plusieurs moyennes mobiles à pondération exponentielle pendant la durée prédéterminée en fonction d'un ou plusieurs coefficients de moyenne choisis.
On considère la valeur Mn calculée par récurrence à partir de valeurs xo à xn de la manière suivante: Mo = xo et pour n > 0: Mn = C xn + (1 C) Mn_1 où C est une constante judicieusement choisie. On dit alors que Mn est la "moyenne mobile à pondération exponentielle", à coefficient de pondération C, des valeurs xo à x,.
On choisit C = 2/(1+c) E [0, 1], où c est un coefficient de moyenne, par exemple choisi préalablement par défaut pour un modèle dans une liste de coefficients de moyenne {1, 3, 9, 27} dont dispose le module MOD et qui peut être modifiée par l'opérateur.
On montre que la moyenne M1 avec I n+1 ne dépend que des I-n moyennes évaluations précédentes selon la relation: M1 = L C (1 - C) I-i xi + (1 C) I-n Mn si les coefficients négligeables.
La moyenne mobile mathématiquement des I-n c'est-à-dire "a une mémoire" que son actualisation par lek pour k >- I - n sont M1 dépend ainsi dernières évaluations, de I-n évaluations, bien module MOD ne nécessite, C) (1 - outre l'ancienne valeur M1_1 de la moyenne, que la mémorisation de la valeur de la dernière évaluation 25 de la composante volumique x1.
Le module MOD actualise une moyenne à pondération exponentielle MMn des valeurs M1 à Mn de la moyenne mobile de la même manière selon la formule.
mn = C Mn + (1 - C) MMn-1 Outre la moyenne mobile à pondération exponentielle et la moyenne de la moyenne mobile, le module MOD détermine aussi d'autres variables parmi lesquelles une "dérivée première" discrète de composante volumique dn = C(xn - Mn-1) proportionnelle à la différence de la nouvelle valeur de la composante volumique et de la moyenne mobile courante Mn_1, une "dérivée seconde" discrète de composante volumique ddn = dn - dn-1 égale à la différence de la nouvelle valeur de la dérivée première dn et de la valeur courante de la dérivée première dn-1, une moyenne mobile à pondération exponentielle des carrés xo2 à xn2 des valeurs de la composante volumique Nn = C xn2 + (1 - C)Nn_1, et une déviation mobile SDn égale à la racine carrée de la valeur absolue Nn Mn2I de la différence de la moyenne mobile des carrés et du carré de la moyenne mobile. Cette déviation est strictement positive dès qu'au moins une valeur non nulle de la composante volumique a été observée. En particulier un mécanisme de plancher décrit plus loin assure que tous les calculs faisant intervenir ladite déviation mobile ne sont effectués que lorsque ladite déviation mobile est strictement positive.
En fonction des valeurs de ces variables courantes (Mn_I, MMn_i, dn-1, ddn-1, Nn-1. SDn-1) déterminées à l'évaluation courante précédente n-1 de la composante volumique et (Mn, MMn, dn, ddn, Nn, SDn) déterminées à la nouvelle évaluation de la composante volumique n, le module MOD évalue des coefficients de déviation d'un premier type CD1 et des coefficients de déviation d'un deuxième type CD2 pour conférer un caractère dynamique à la détection d'anomalies de trafic, aux sous-étapes courantes E22 et E23.
Les coefficients de déviation CD1 du premier type relatifs à une composante volumique x et à un coefficient de moyenne c dépendent de certaines variables, comme la composante volumique, la moyenne mobile à pondération exponentielle, la moyenne à pondération exponentielle de la moyenne mobile, et la moyenne à pondération exponentielle des carrés de valeurs de la composante volumique. Les coefficients de déviation CD1 servent à vérifier la conformité de l'évaluation courante des composantes volumiques de l'entité de service par rapport à des évaluations précédentes. Selon un premier exemple, un coefficient de déviation CDln du premier type relatif à la composante volumique x est égal au rapport (xn -Mn)/SDn entre la différence entre la composante volumique évaluée xn et la moyenne mobile Mn, et la déviation mobile SDn. Selon un deuxième exemple, lorsque le coefficient de pondération C est choisi différent de 1, un coefficient de déviation CDln du premier type relatif à la composante volumique x est déduit de la formule: CDln = [xn - 2Mn + MMn C (Mn -MM)/(1 - C)]/SDn. Dans ces deux exemples, les coefficients de déviation CDln sont choisis égaux à 0 si la déviation mobile SDn est nulle.
A la sous-étape E22, le module MOD compare l'ancienne valeur courante CDln_1 du coefficient de déviation à la nouvelle valeur du coefficient de déviation CDln, et actualise la valeur courante suivant une règle qui peut être par exemple: si la nouvelle valeur CDln du coefficient de déviation est supérieure à la valeur courante CDln-1 du coefficient de déviation, remplacer ladite valeur courante par la moyenne suivante de celle-ci et de ladite nouvelle valeur: (CD1 +(T -1)CD1.1)/T, où Test une constante entière, par exemple égale à la durée exprimée en jours de l'apprentissage, arrondie à l'entier supérieur.
A la sous-étape E23 le module de modélisation MOD évalue les coefficients de déviation d'un deuxième type CD2 qui relativement à une composante volumique dépendent de certaines variables, comme la composante volumique, la moyenne mobile à pondération exponentielle, la moyenne à pondération exponentielle de valeurs de la moyenne mobile, la dérivée première discrète de composante volumique proportionnelle à la différence de la composante volumique évaluée et de la moyenne mobile, la dérivée seconde discrète de composante volumique égale à la différence d'une nouvelle valeur et d'une valeur courante de la dérivée première, et un seuil commun respectif Sx. Les coefficients de déviation CD2 servent à prédire la conformité de prochaines évaluations de chaque composante volumique succédant à l'évaluation courante, par rapport au seuil Sx fixé pour la composante volumique, en dépendance d'évaluations courante et nouvelle de celle-ci. A cette fin, le module MOD effectue en outre de plusieurs manières une modélisation par prédiction d'une durée nécessaire pour que la composante volumique traitée x excède le seuil respectif Sx qui lui a été attribué initialement et qui est une valeur maximale de la composante volumique admissible par l'entité de service donnée SE. Selon deux exemples pour ce deuxième type de coefficient de déviation, un coefficient de déviation CD2n relatif à la composante volumique x est déduit de la formule: CD2n = (Sx - Mn) /dn, ou de la formule: CD2n = (dn2 + 2 ddn (Sx Mn)) . A la sous-étape E23, le module MOD compare l'ancienne valeur courante CD2n-1 du coefficient de déviation à la nouvelle valeur du coefficient de déviation CD2n, et actualise la valeur courante suivant une règle qui peut être par exemple: si la nouvelle valeur du coefficient de déviation CD2n est inférieure à la valeur courante CD2n_1 du coefficient de déviation, remplacer ladite valeur courante par la moyenne (CD2n +(T -1)CD2n_1)/T de celle-ci et ladite nouvelle valeur.
Un autre mode de modélisation par prédiction consiste en ce que le module MOD possède initialement une liste de constantes appelées coefficients temporels ct, par exemple {10, 30, 60}, et détermine des valeurs de la composante volumique prédites à des dates postérieures à la date courante de l'évaluation de composante volumique, augmentées respectivement de coefficients temporels de la liste. La règle d'actualisation du coefficient de déviation est par exemple: si la nouvelle valeur du coefficient de déviation est supérieure à la valeur courante du coefficient de déviation, remplacer ladite valeur courante par la moyenne de celle-ci et ladite nouvelle valeur.
Avantageusement pour éviter d'obtenir des coefficients de déviation admissibles trop élevés, les valeurs des coefficients de déviation ne sont actualisées que si la composante volumique correspondante x venant d'être évaluée est supérieure à un plancher Px qui constitue une valeur minimale en dessous de laquelle les valeurs de la composante volumique sont considérées comme non significatives pour la détection dynamique selon l'invention. Par exemple le plancher est par défaut 6 koctet/s pour la volumétrie, ou 10 paquets par seconde pour la volubilité, ou 3 adresses de source par seconde pour la connexité. Les valeurs des coefficients de déviation ne sont pas non plus actualisées lors de la transmission des premières évaluations de la composante volumique par le module MED au module MOD. Par exemple les 30 premières évaluations définissant une période d'amortissement préalable à une modélisation servent à actualiser les variables uniquement afin que les variables de type "moyenne" se stabilisent. Le module MOD transforme enfin chacun des coefficients de déviation ainsi obtenus à l'aide de coefficients d'élasticité par défaut, afin d'éviter de potentielles fausses alarmes positives.
Finalement, à la sous-étape E24 après la durée prédéterminée de modélisation au cours de laquelle les divers coefficients de déviation fixent un comportement normal de changement d'activité de l'entité de service SE, le module MOD fournit pour chaque composante volumique x et chaque coefficient de moyenne c, un modèle dynamique. Ce modèle dynamique est une liste comprenant l'identificateur de l'entité de service donnée SE, la granularité, les valeurs de seuil Sx et plancher Px, la date de création du modèle, la désignation de la composante volumique x et les valeurs des coefficients de déviation CD1, CD2 ainsi qu'éventuellement des paramètres supplémentaires comme par exemple un coefficient temporel et si celui-ci intervient dans le mode de modélisation par prédiction choisi. Les évaluations consécutives des composantes volumiques sont alors résumées par les données dans les modèles des différentes composantes volumiques.
Chaque évaluation, lorsqu'elle a été traitée par le module MOD, peut être effacée. En fin de modélisation, le module MOD enregistre chaque modèle dans la base DB à la sous-étape E25.
Le module de modélisation MOD comprend un sous- module d'actualisation de modèles MAM qui périodiquement lit les modèles anciens courants relatifs à une entité de service donnée dans la base DB pour fournir des modèles actualisés remplaçant les modèles anciens courants. Ce remplacement de modèles vise à refléter l'évolution potentielle des usages des clients en matière de communication avec les entités de service protégées SE et donc l'évolution du trafic réel dans la liaison LT entre les terminaux TC et les entités de service protégées. La période d'actualisation peut être réalisée par exemple toutes les semaines ou tous les mois.
Pour une actualisation de modèles E26 répétant au moins les sous-étape E20 à E25, le module MOD produit des modèles actualisés en fonction de valeurs récentes des composantes volumiques associées à l'entité de service, évaluées avec la granularité définie dans lesdits modèles courants et fournies par le module MED depuis la dernière actualisation, comme à l'étape E20. Les valeurs récentes des composantes volumiques évaluées sont d'abord conservées temporairement dans la base d'évaluations, puis épurées de toute valeur ayant conduit à la génération d'une alerte et donc au signalement d'une activité anormale de l'entité de service, en vérifiant que ces valeurs récentes sont conformes aux modèles anciens existants, c'est-à-dire qu'elles ne déclenchent pas d'alerte en leur appliquant une comparaison relative à la détection détaillée plus loin. Ainsi à l'étape E26, un coefficient de déviation n'est actualisé que si la composante volumique évaluée correspondante n'a pas été épurée et donc n'a conduit à aucun signalement d'une activité anormale dans le trafic de l'entité de service SE.
L'épuration peut cependant être sautée par décision de l'opérateur ou conformément à la définition de différents modes d'actualisation: par exemple un mode "obsolète" pour lequel l'épuration est sautée, et un mode "normal" pour lequel l'épuration est exécutée.
Ensuite, pour chaque composante volumique surveillée x relative à l'entité de service donnée et pour chaque coefficient de moyenne c, le sous-module MAM actualise le modèle correspondant en déterminant à nouveau les variables précitées en fonction de leurs valeurs courantes anciennes et de la valeur récemment évaluée de la composante volumique. Le module MOD détermine les valeurs des coefficients de déviation CD1, CD2 dans les modèles de manière semblable à la phase d'apprentissage.
De préférence le sous-module d'actualisation de modèles MAM actualise les valeurs des coefficients de déviation CD1, CD2 dans chaque modèle en appliquant une pondération aux valeurs des coefficients de déviation du modèle ancien courant. La pondération peut dépendre de la durée et de la date de création du modèle ancien courant pour conférer moins de poids au modèle ancien courant ou créé très rapidement. Par exemple, les valeurs des coefficients de déviation du modèle ancien sont pondérées par la durée de la modélisation et l'inverse de l'âge du modèle ancien courant.
En conséquence le module MOD établit un âge de chaque modèle enregistré exprimé en nombre de jours, en association à l'identificateur de l'entité de service, la date de création du modèle et un nombre entier prédéterminé, servant de code de phase, indiquant si le modèle est en cours de construction pendant la phase apprentissage, en cours d'utilisation pour la détection, ou invalide temporairement, ou encore a généré une alerte récente.
Après l'actualisation, les modèles actualisés sont transférés à la base DB qui les enregistre comme à la sous-étape E25 pour remplacer et supprimer les modèles anciens courants.
L'étape de détection d'activité anormale E3 comprend des sous-étapes d'initialisation E30 à E32 et des sous-étapes de comparaison aux modèles E33 à E35.
Le module de détection d'anomalies DET est activé soit automatiquement après la sous-étape E25 de la phase d'apprentissage, c'est-à-dire après la première modélisation, soit par l'opérateur via l'interface homme machine IHM. A la sous-étape E30, le module DET reçoit du module de déclaration DEC et/ou de l'opérateur via l'interface IHM la liste des identificateurs et caractéristiques des entités de service à protéger, et éventuellement la liste des paramètres d'évaluation, notamment la granularité des évaluations, pour chaque entité de service. Le module DET lit dans la base de données DB tous les modèles courants correspondant aux paramètres, et si pour une entité de service aucune granularité n'est mentionnée, le module DET appelle dans la base DB les modèles courants et donc les plus récents pour cette entité de service et lit leurs granularités. Ainsi, le module DET dispose de la liste des entités de service à protéger et des modèles courants pertinents pour la détection. Le module DET charge et conserve en mémoire vive tous ces modèles courants.
Pour chaque entité de service SE que le dispositif DD doit protéger, l'identificateur et les caractéristiques de l'entité de service et les paramètres d'évaluation de trafic de cette entité nécessaires à la détection et contenus dans les modèles sont, après modification et validation éventuelles par l'opérateur, appliqués ensuite par le module DET au module de médiation MED, à la sous-étape E31.
En réponse aux caractéristiques et paramètres de l'entité de service, le module de médiation MED délivre périodiquement au module de détection DET une évaluation du trafic destiné à l'entité de service, à la sous-étape E32. Cette évaluation comprend les comptes des compteurs COM qui sont assignés à l'évaluation des composantes volumiques de l'entité de service et qui sont réinitialisés régulièrement à la période d'évaluation selon la granularité demandée pour l'entité de service.
Les composantes volumiques évaluées de l'entité de service ont des valeurs "instantanées" exprimées par les comptes des compteurs respectifs COM qui sont délivrés par le module MED pour être traités par le module de détection DET. Suite à l'évaluation, le module DET appelle les modèles courants relatifs aux composantes volumiques. Chaque composante volumique pour l'entité de service donnée est associée à au moins un modèle courant d'activité normale transféré de la base BD dans la mémoire vive.
A la sous-étape E33, à chaque évaluation de chaque composante volumique x, le module de détection DET évalue les mêmes variables dont les moyennes, les dérivées et la déviation, et les mêmes coefficients de déviation CD1, CD2 que ceux évalués par le module de modélisation MOD, selon les paramètres contenus dans le modèle de la composante volumique, comme le coefficient de moyenne c et l'éventuel coefficient temporel ct.
De la même manière que le module MOD ne modélise qu'après une période d'amortissement et pour des évaluations supérieures au plancher Px, le module DET n'effectue pas de détection par utilisation des coefficients de déviation, lors desdites premières évaluations ou lorsque la valeur de la composante volumique évaluée x est inférieure au plancher Px. Pour les coefficients de déviation CD1 du premier type dans un modèle, le module DET compare la valeur respective du coefficient de déviation incluse dans le modèle à la nouvelle valeur du coefficient de déviation venant d'être évaluée et incrémente une valeur d'alerte respective Al si la nouvelle valeur du coefficient de déviation est supérieure à la valeur du coefficient de déviation incluse dans le modèle. Pour les coefficients de déviation CD2 du deuxième type dans un modèle, représentatifs de prédictions de durée nécessaire à un dépassement de seuil, le module DET combine la valeur du coefficient de déviation CD2 incluse dans le modèle à des variables venant d'être évaluées pour déterminer une valeur de prédiction. Le module DET compare la valeur de prédiction au seuil Sx de la composante volumique x incluse dans le modèle et incrémente une valeur d'alerte respective A2 si la valeur de prédiction est supérieure au seuil Sx.
Puis à la sous-étape E34, pour chaque composante volumique x et pour chaque modèle et donc pour chaque coefficient de moyenne et, optionnellement, chaque coefficient temporel (c, ct), le module DET regroupe les valeurs d'alerte Al, A2 relatives respectivement aux coefficients de déviation dans un vecteur d'alerte. Le module DET détermine aussi une déviation globale DG en fonction des valeurs d'alerte Al, A2 pour les composantes volumiques évaluées, par exemple égale à la moyenne quadratique des valeurs d'alerte. Le vecteur d'alerte représente ainsi la similarité plus ou moins prononcée de l'évaluation aux modèles courants pertinents pour cette évaluation. Le vecteur d'alerte est délivré au module d'alerte ALE chargé de la sortie des alertes.
Finalement à la sous-étape E35, le module d'alerte ALE décide si le vecteur d'alerte doit engendrer une alerte ou non. Pour cela, le module ALE examine ledit vecteur d'alerte, et détermine en fonction de ce vecteur d'alerte une valeur d'alerte globale. Si la valeur d'alerte globale excède un niveau d'alerte prédéterminé, le module ALE signale une activité anormale dans le trafic de l'entité de service SE en transmettant une alerte pour l'opérateur via l'interface IHM, et/ou vers un dispositif externe. L'alerte transmise est accompagnée des valeurs des composantes volumiques de l'évaluation qui a déclenché l'alerte, des seuils de coefficient de déviation pertinents au moment de l'évaluation, et d'un type d'alerte dépendant des valeurs des déviations des composantes volumiques.
En pratique, le procédé de détection d'anomalies selon l'invention est prévu pour pouvoir détecter des anomalies relatives au trafic de plusieurs entités de service supporté par la liaison de transmission. Préalablement, chaque entité de service est déclarée par une adresse de destination, au moins un protocole de transport et au moins un port et une liste de composantes volumiques à évaluer pendant la durée prédéterminée.
L'invention décrite ici concerne un procédé et un dispositif informatique DD pour détecter des anomalies dans le trafic supporté par la liaison de transmission LT et relatif à une ou plusieurs entités de service SE. Selon une implémentation préférée, les étapes du procédé de l'invention sont déterminées par les instructions d'un programme d'ordinateur incorporé dans le dispositif informatique. Le programme comporte des instructions de programme qui, lorsque ledit programme est chargé et exécuté dans le dispositif, dont le fonctionnement est alors commandé par l'exécution du programme, réalisent les étapes du procédé selon l'invention.
En conséquence, l'invention s'applique également à un programme d'ordinateur, notamment un programme d'ordinateur sur ou dans un support d'informations, adapté à mettre en oeuvre l'invention. Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable pour implémenter le procédé selon l'invention.
Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage ou support d'enregistrement, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore une clé USB, ou encore un moyen d'enregistrement magnétique, par exemple une disquette (floppy disc) ou un disque dur.
D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type internet.
Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé selon l'invention.

Claims (1)

  1. 34 REVENDICATIONS
    1 - Procédé pour détecter des anomalies dans le trafic supporté par une liaison de transmission (LT) et relatif à une entité de service (SE), incluant préalablement une modélisation de l'activité normale de l'entité de service, caractérisé en ce que la modélisation (E2) fournit des modèles pour des composantes volumiques du trafic évaluées périodiquement pendant une durée prédéterminée, un modèle relatif à une composante volumique comprenant des coefficients de déviation évalués en fonction d'une moyenne mobile de la composante volumique évaluée pendant la durée prédéterminée, ledit procédé comprenant pour au moins une évaluation ultérieure de coefficients de déviation relatifs aux composantes volumiques, une incrémentation (E31 - E33) d'une valeur d'alerte respective pour au moins un coefficient de déviation si une nouvelle valeur du coefficient de déviation est supérieure à une valeur de seuil respective incluse dans le modèle.
    2 - Procédé conforme à la revendication 1, selon lequel ladite moyenne mobile est une moyenne mobile à pondération exponentielle.
    3 - Procédé conforme à la revendication 2, selon lequel des coefficients de déviation d'un premier type relatifs à une composante volumique dépendent, outre de la composante volumique et de la moyenne mobile à pondération exponentielle, d'une moyenne à pondération exponentielle de la moyenne mobile, et d'une moyenne à pondération exponentielle des carrés de valeurs de la composante volumique, et les valeurs de seuil pour les coefficients de déviation de premier type sont des coefficients de déviation évalués lors de la modélisation.
    4 - Procédé conforme à la revendication 3, comprenant à chaque évaluation, une actualisation (E22) d'une valeur courante d'un coefficient de déviation du premier type si une nouvelle valeur du coefficient de déviation est supérieure à la valeur courante du coefficient de déviation, en remplaçant ladite valeur courante par la moyenne de celle-ci et de ladite nouvelle valeur.
    - Procédé conforme à la revendication 3 ou 4, selon lequel les moyennes à pondération exponentielle pour les coefficients de déviation du premier type relatifs à une composante volumique et un modèle dépendent d'un coefficient de moyenne choisi préalablement pour le modèle.
    6 - Procédé conforme à l'une quelconque des revendications 1 à 5, selon lequel des coefficients de déviation d'un deuxième type relatifs à une composante volumique dépendent, outre de la composante volumique et de la moyenne mobile à pondération exponentielle, d'une moyenne à pondération exponentielle de valeurs de la moyenne mobile, d'une dérivée première discrète de composante volumique proportionnelle à la différence de la composante volumique évaluée et de la moyenne mobile, d'une dérivée seconde discrète de composante volumique égale à la différence d'une nouvelle valeur et d'une valeur courante de la dérivée première, et d'un seuil commun, et les valeurs de seuil pour les coefficients de déviation de deuxième type sont égales au seuil commun relatif à la composante volumique.
    7 - Procédé conforme à la revendication 6, comprenant à chaque évaluation, une actualisation (E23) d'une valeur courante d'un coefficient de déviation d'un deuxième type si une nouvelle valeur du coefficient de déviation est inférieure à la valeur courante du coefficient de déviation, en remplaçant ladite valeur courante par la moyenne de celle-ci et ladite nouvelle valeur.
    8 - Procédé conforme à la revendication 4 ou 7, selon lequel un coefficient de déviation n'est actualisé que si la composante volumique évaluée correspondante n'a conduit à aucun signalement d'une activité anormale dans le trafic de l'entité de service (SE).
    9 - Procédé conforme à la revendication 4 ou 7 ou 8, selon lequel les coefficients de déviation dans un modèle sont actualisés en appliquant une pondération dépendant d'une date de création du modèle aux valeurs des coefficients de déviation du modèle.
    10 - Procédé conforme à l'une quelconque des revendications 1 à 9, détectant des anomalies relatives au trafic de plusieurs entités de service (SE) supporté par la liaison de transmission (LT), et comprenant préalablement une déclaration de chaque entité de service par une adresse de destination, au moins un protocole de transport et au moins un port et une liste de composantes volumiques à évaluer pendant la durée prédéterminée.
    11 - Dispositif (DD) pour détecter des anomalies dans le trafic supporté par une liaison de transmission (LT) et relatif à une entité de service (SE), l'activité normale de l'entité de service étant préalablement modélisée, caractérisé en ce qu'il comprend un moyen (MOD) pour modéliser l'activité normale de l'entité de service par des modèles pour des composantes volumiques du trafic évaluées périodiquement pendant une durée prédéterminée, un modèle relatif à une composante volumique comprenant des coefficients de déviation évalués en fonction d'une moyenne mobile de la composante volumique évaluée pendant la durée prédéterminée, un moyen (DET) pour au moins une évaluation ultérieure de coefficients de déviation relatifs aux composantes volumiques pour incrémenter une valeur d'alerte respective pour au moins un coefficient de déviation si une nouvelle valeur du coefficient de déviation est supérieure à une valeur de seuil respective incluse dans le modèle.
    12 - Dispositif conforme à la revendication 11, dans lequel ladite moyenne mobile est une moyenne mobile à pondération exponentielle.
    13 - Programme d'ordinateur apte à être mis en oeuvre dans un dispositif (DD) pour détecter des anomalies dans le trafic supporté par une liaison de transmission (LT) et relatif à une entité de service (SE), l'activité normale de l'entité de service étant préalablement modélisée, ledit programme comprenant des instructions qui, lorsque le programme est chargé et exécuté dans ledit dispositif, réalisent les étapes consistant à : modéliser (E2) l'activité normale de l'entité de service par des modèles pour des composantes volumiques du trafic évaluées périodiquement pendant une durée prédéterminée, un modèle relatif à une composante volumique comprenant des coefficients de déviation évalués en fonction d'une moyenne mobile de la composante volumique évaluée pendant la durée prédéterminée, pour au moins une évaluation ultérieure de coefficients de déviation relatifs aux composantes volumiques, incrémenter (E31 - E33) une valeur d'alerte respective pour au moins un coefficient de déviation si une nouvelle valeur du coefficient de déviation est supérieure à une valeur de seuil respective incluse dans le modèle.
    14 - Programme d'ordinateur conforme à la revendication 13, dans lequel ladite moyenne mobile est une moyenne mobile à pondération exponentielle.
FR0552099A 2005-07-07 2005-07-07 Detection dynamique d'anomalies dans le trafic relatif a une entite de service Pending FR2888439A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR0552099A FR2888439A1 (fr) 2005-07-07 2005-07-07 Detection dynamique d'anomalies dans le trafic relatif a une entite de service
PCT/FR2006/050670 WO2007006995A2 (fr) 2005-07-07 2006-07-04 Detection dynamique d'anomalies dans le trafic relatif a une entite de service

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0552099A FR2888439A1 (fr) 2005-07-07 2005-07-07 Detection dynamique d'anomalies dans le trafic relatif a une entite de service

Publications (1)

Publication Number Publication Date
FR2888439A1 true FR2888439A1 (fr) 2007-01-12

Family

ID=36124039

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0552099A Pending FR2888439A1 (fr) 2005-07-07 2005-07-07 Detection dynamique d'anomalies dans le trafic relatif a une entite de service

Country Status (2)

Country Link
FR (1) FR2888439A1 (fr)
WO (1) WO2007006995A2 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115452936A (zh) * 2022-07-11 2022-12-09 合肥贵专电磁科技有限公司 一种基于无线传输的钢丝绳探测结果评估系统

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101841435B (zh) * 2010-01-18 2012-08-29 中国科学院计算机网络信息中心 Dns查询流量异常的检测方法、装置和系统
CN107493272A (zh) * 2017-08-01 2017-12-19 杭州迪普科技股份有限公司 一种流量清洗方法、装置和系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
SIRIS V A ET AL: "Application of anomaly detection algorithms for detecting SYN flooding attacks", GLOBAL TELECOMMUNICATIONS CONFERENCE, 2004. GLOBECOM '04. IEEE DALLAS, TX, USA 29 NOV.-3 DEC., 2004, PISCATAWAY, NJ, USA,IEEE, vol. 4, 29 November 2004 (2004-11-29), pages 2050 - 2054, XP010757893, ISBN: 0-7803-8794-5 *
YE N, BORROR C, ZHANG Y: "EWMA TECHNIQUES FOR COMPUTER INTRUSION DETECTION THROUGH ANOMALOUS CHANGES IN EVENT INTENSITY", QUALITY AND RELIABILITY ENGINEERING INTERNATIONAL, 13 August 2002 (2002-08-13), XP002376922, Retrieved from the Internet <URL:http://ceaspub.eas.asu.edu/ye/publications/v2/Ye_32.pdf> [retrieved on 20060412] *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115452936A (zh) * 2022-07-11 2022-12-09 合肥贵专电磁科技有限公司 一种基于无线传输的钢丝绳探测结果评估系统

Also Published As

Publication number Publication date
WO2007006995A3 (fr) 2007-04-12
WO2007006995A2 (fr) 2007-01-18

Similar Documents

Publication Publication Date Title
EP1463238B1 (fr) Dispositif de gestion locale de procédés d&#39;assurance pour un équipement de réseau de communications
EP2023533B1 (fr) Procédé et installation de classification de trafics dans les réseaux IP
US20100080133A1 (en) Media session identification method for ip networks
EP3957045A1 (fr) Procede et dispositif de traitement d&#39;un message d&#39;alerte notifiant une anomalie detectee dans un trafic emis via un reseau
EP1367769A1 (fr) Dispositif et procédé de classification de messages d&#39;alarme résultant d&#39;une violation d&#39;accord de niveau de service dans un réseau de communications
Aiello et al. Profiling DNS tunneling attacks with PCA and mutual information
EP2053783A1 (fr) Procédé et système pour l&#39;identification de trafic VoIP dans des réseaux
FR2888438A1 (fr) Detection statique d&#39;anomalies dans le trafic relatif a une entite de service
FR2888439A1 (fr) Detection dynamique d&#39;anomalies dans le trafic relatif a une entite de service
WO2008050059A2 (fr) Procede de supervision d&#39;une pluralite d&#39;equipements dans un reseau de communication
EP2353272B1 (fr) Procede de caracterisation d&#39;entites a l&#39;origine de variations dans un trafic reseau
EP4009584A1 (fr) Procédé de détermination de classifieurs pour la détection d&#39;attaques dans un réseau de communication, dispositif de détermination associé
FR2834409A1 (fr) Systeme de gestion de reseaux de transport base sur l&#39;analyse des tendances des donnees acquises sur le reseau
WO2007020361A2 (fr) Etablissement d&#39;alertes par detection d&#39;anomalies statique et dynamique dans le trafic d&#39;une entite de service
Yoon et al. Header signature maintenance for Internet traffic identification
EP2838241B1 (fr) Procédé de détection d&#39;évènements suspects dans un fichier de collecte d&#39;informations relatives à un flux de données ; support d&#39;enregistrement et système associés.
EP3963842A1 (fr) Procedes et dispositifs de mesure de reputation dans un reseau de communication
EP3869368A1 (fr) Procede et dispositif de detection d&#39;anomalie
CN116800588B (zh) 网通产品网络优化方法和装置
FR2917556A1 (fr) Detection d&#39;anomalie dans le trafic d&#39;entites de service a travers un reseau de paquets
EP1372295A1 (fr) Dispositif et procédé de contrôle de profils, notamment de flux de données, dans un réseau de communications
FR3044195A1 (fr) Procede et dispositif de traitement d&#39;une annonce non legitime d&#39;un bloc d&#39;adresses ip
FR3104761A1 (fr) Procédé de surveillance de données transitant par un équipement utilisateur
WO2006123036A1 (fr) Procede de representation en structure arborescente d&#39;un groupe de flots de donnees numeriques. structure arborescente, procede et systeme de detection d&#39;une attaque par inondation
EP2464068B1 (fr) Système de gestion globale de filtrage personnalisé basé sur un circuit d&#39;échange d&#39;informations sécurisé et procédé associé