FR2902905A1 - Detection et reaction aux propagations virales par reseau ad-hoc - Google Patents

Detection et reaction aux propagations virales par reseau ad-hoc Download PDF

Info

Publication number
FR2902905A1
FR2902905A1 FR0652575A FR0652575A FR2902905A1 FR 2902905 A1 FR2902905 A1 FR 2902905A1 FR 0652575 A FR0652575 A FR 0652575A FR 0652575 A FR0652575 A FR 0652575A FR 2902905 A1 FR2902905 A1 FR 2902905A1
Authority
FR
France
Prior art keywords
stream
terminal
analysis
flow
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR0652575A
Other languages
English (en)
Inventor
Fabrice Stevens
Al Mahdi Chakri
Pierre Ansel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Priority to FR0652575A priority Critical patent/FR2902905A1/fr
Priority to PCT/FR2007/051349 priority patent/WO2007147993A1/fr
Publication of FR2902905A1 publication Critical patent/FR2902905A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

L'invention concerne un dispositif et un procédé d'analyse, un dispositif et un procédé de pré-analyse. En particulier, l'analyse est une détection de virus se propageant dans un réseau de communication, notamment ad-hoc. Dans le cas de réseaux ad-hoc, l'opérateur n'ayant pas connaissance du trafic qui circule, la détection des propagations virales ne peut pas être faite de manière macroscopique.La présente invention propose de transmettre à l'opérateur des informations concernant les flux échangés entre les terminaux afin de permettre l'analyse des flux échangés. Un objet de l'invention est un dispositif d'analyse de flux. Ce dispositif d'analyse est apte à communiquer avec au moins un terminal échangeant au moins un flux avec un autre terminal dans un réseau de communication. Ce dispositif d'analyse comporte des moyens d'analyse d'un flux reçu par un terminal, lesdits moyens d'analyse étant aptes à analyser ledit flux en fonction d'au moins une information concernant ledit flux transmis par ledit terminal audit dispositif d'analyse.

Description

L'invention concerne un dispositif et un procédé d'analyse, un serveur
l'utilisant, un dispositif et un procédé de pré-analyse, et un terminal l'utilisant. En particulier, l'analyse est une détection de virus se propageant entre terminaux dans un réseau de communication, notamment dans un réseau de communication ad-hoc.
Les techniques de détection de virus, en particulier de propagation de virus dans un réseau de communication, peuvent être, aujourd'hui, divisées lo en deux familles: les techniques localisées chez l'hôte et les techniques localisées dans le réseau.
Parmi les techniques localisées chez l'hôte existent l'antivirus personnel installé dans le terminal hôte, les coupe-feux (firewall en anglais) 15 personnels... Dans le cas de terminaux, notamment de terminaux mobiles, cette approche présente plusieurs problèmes, notamment: des problèmes liés aux capacités de mémoire et de traitement du terminal, des problèmes de non détection (en particulier, lorsque l'antivirus se 20 fonde sur une base de connaissance pour effectuer la détection, seul les virus ayant une signature correspondant à une entrée dans la base de connaissance sont identifiés), le fait que cette technique n'est pas macroscopique et ne permet donc pas de prendre en compte l'évolution du virus dans le réseau. 25 Notamment, cette technique ne permettant pas de savoir si le virus se trouve sur de nombreux terminaux et depuis combien de temps il circule dans le réseau, l'éradication complète d'un virus dans le réseau est alors difficile voire impossible à réaliser.
Pour permettre une détection macroscopique de virus, les techniques localisées dans le réseau semblent plus appropriées. Parmi ces techn,cues ccahsées dans le réseau existent `ant v r uS du serveur email capable d'analyse et de détecter les virus dans les emails transitant par le serveur d'email ainsi qu'éventuellement dans leur pièces jointes à exception des emails cryptés, et aussi, le filtrage d'application, les coupe-feux matériels, les systèmes de détection d'intrusion (IDS pour Intrusion Detection System en anglais), etc. Ces techniques sont déployées dans des réseaux classiques, notamment filaires ou radio, tels que Internet, GSM, GPRS, ou UMTS car elles nécessitent que le réseau possède une infrastructure définie.
Dans le cas de réseaux ad-hoc, tel que les réseaux Bluetooth ou ZigBee, l'opérateur n'ayant pas connaissance du trafic qui circule, la détection des propagations virales ne peut pas être faite de manière macroscopique. En lo effet, l'opérateur ne peut pas déployer des équipements effectuant de l'analyse et du filtrage de flux.
La présente invention permet de pallier ou, pour le moins, de réduire tout ou partie de ces inconvénients en proposant de transmettre à 15 l'opérateur des informations concernant les flux échangés entre les terminaux afin de permettre l'analyse des flux échangés, notamment la détection de virus dans les fichier échangés dans ces flux, quelque soit le type de réseau de communication utilisé.
20 Un objet de l'invention est un dispositif d'analyse de flux. Ce dispositif d'analyse est apte à communiquer avec au moins un terminal échangeant au moins un flux avec un autre terminal dans un réseau de communication. Ce dispositif d'analyse comporte des moyens d'analyse d'un flux reçu par un terminal, lesdits moyens d'analyse étant aptes à analyser ledit 25 flux en fonction d'au moins une information concernant ledit flux transmis par ledit terminal audit dispositif d'analyse. Ainsi, l'opérateur disposant d'un tel dispositif d'analyse de flux est apte à effectuer une détection macroscopique de propagation de virus quelque soit le type de réseaux: réseaux à infrastructure prédéfinie tels que les réseaux filaires (Internet, Intranet...) ou 30 radio (GSM, UMTS...) mais réseaux sans infrastructure préalablement définie, appelés réseaux ad-hoc (Bluetooth, ZigBee...).
Dans une variante de l'invention, l'irormation concernant ledit ;lux comporte une information réduite dort i x, coite information réduite élan pure réduction dudit flux. Par exemple, n,formation réduite est soit une partie du flux, soit un condensé (hash en anglais) de toute ou partie du flux (notamment du fichier transporté par le flux), soit une compression de tout ou partie du flux. L'information ainsi réduite présente un volume moindre que le flux complet et évite la surcharge du canal montant entre les terminaux et le dispositif d'analyse.
Dans une variante de l'invention, le flux reçu analysé par le dispositif d'analyse est un flux reçu par ledit au moins terminal dans un réseau ad-hoc. Ainsi seuls les flux non analysés par les techniques classiques sont io analysés par le dispositif selon l'invention allégeant à la fois le canal montant entre les terminaux et le dispositif d'analyse et la charge de calcul du dispositif d'analyse.
Dans une variante de l'invention, le dispositif d'analyse de flux ls comporte en outre des moyens de requête auprès d'un terminal permettant au dispositif d'analyse de requérir la récupération de données comportant tout ou une partie prédéterminée dudit flux, ladite au moins une information concernant ledit flux comportant lesdites données récupérées. Ainsi, le dispositif d'analyse a la capacité de récupérer le flux ou le fichier contenu dans 20 ledit flux afin de faire une analyse complète selon les besoins, notamment en fonction du rapport taux d'erreurs d'analyse/charge de calcul du dispositif d'analyse.
Dans une variante de l'invention, le dispositif d'analyse de flux 25 comporte des moyens de commande, lesdits moyens de commande étant aptes à commander au moins un terminal en fonction du résultat fourni par les moyens d'analyse. Notamment, lorsque l'analyse est une détection de virus, si le résultat de l'analyse indique que le flux est vérolé, la commande permet, par exemple, d'effectuer une ou plusieurs des actions suivantes: de supprimer les données du flux stockées dans le terminal, d'interdire l'émission dudit flux par ledit terminal de corriger ledit flux afin de supprimer le virus dans ledit terminal, notamment en rempïaçant tout ou partie dudit flux par des données de remplacement transmises par le dispositif d'analyse audit terminal.
Un autre objet de l'invention est un dispositif de détection de virus dans des flux échangés par au moins un terminal avec au moins un autre terminal dans réseau de communication, ledit dispositif de détection de virus comportant le dispositif d'analyse de flux susmentionné, et lesdits moyens s d'analyse étant aptes à détecter un flux vérolé en fonction d'au moins une information concernant ledit flux transmis par ledit terminal audit dispositif d'analyse.
Un autre objet de l'invention est un serveur dans un réseau de 10 communication comportant au moins un terminal échangeant au moins un flux avec un autre terminal dans un réseau de communication. Le serveur comporte des moyens d'analyse d'un flux reçu par un terminal, lesdits moyens d'analyse étant aptes à analyser ledit flux en fonction d'au moins une information concernant ledit flux transmis par ledit terminal audit serveur. 15 Un autre objet de l'invention est un dispositif de préanalyse de flux apte à communiquer avec au moins un dispositif d'analyse. Le dispositif de pré-analyse comporte: • Des moyens de détection de réception d'un flux par un terminal, ledit 20 terminal échangeant au moins un flux avec un autre terminal dans un réseau de communication; • Des moyens de communication aptes à émettre au moins une information concernant ledit flux reçu audit dispositif d'analyse.
25 Un autre objet de l'invention concerne un terminal de communication apte à communiquer avec au moins un dispositif d'analyse, ledit terminal étant apte à échanger au moins un flux avec un autre terminal dans un réseau de communication. Le terminal comporte: • Des moyens de détection de réception d'un flux par ledit terminal; 30 • Des moyens de communication aptes à émettre lesdites au moins une information concernant ledit flux reçu audit dispositif d'analyse.
Un a~.utre objet de l`ünverlion concerne un procédé :l'analyse de flux Ë a figés entre au moins un :erminal et un autre terminal dans ,i réseau de ccmmunication, comportant au moins l'étape suivante consistant à analyser un flux reçu par ledit au moins terminal en fonction d'une information concernant ledit flux.
Dans une variante de l'invention, l'analyse dudit flux en fonction desdites au moins une information concernant ledit flux comporte une sous étape de consistant à comparer la fréquence de réception d'au moins une information concernant ledit flux d'un type donné sur une plage de temps prédéterminé par rapport à un seuil prédéterminé dont le résultat constitue une condition prédéterminée pour au moins une étape suivante dudit procédé to d'analyse. Par type d'information est entendu qu'un type d'information regroupe toutes les informations concernant des flux identiques ou similaires en ce qui concerne l'analyse. Les flux sont identiques ou similaires lorsque les résultats d'analyse seraient identiques si l'analyse était effectuée sur le flux complet. Dans le cas d'une analyse permettant la détection de virus, les 15 informations concernant des flux reçus contenant un fichier par le même virus sont regroupées dans un type, éventuellement y compris lorsque le fichier est légèrement modifié lors de sa propagation mais conserve ses propriétés virales.
20 Dans une variante de l'invention, le procédé d'analyse comporte en outre une étape consistant à récupérer des données comportant tout ou une partie prédéterminée d'un flux si une ou plusieurs conditions prédéterminées sont remplies. La récupération des données permet éventuellement de compléter l'analyse faite sur l'information concernant un flux dans des 25 circonstances déterminées. Le fait de limiter la récupération des données à ces circonstances permet de limiter les données sur le canal montant. En effet, par exemple: - soit cette récupération est effectuée lorsqu'une information concernant un flux donné se propageant dans un réseau de communication est 30 analysée pour la première fois par le dispositif d'analyse. Elle permet éventuellement de s'assurer immédiatement de l'exactitude des résultats avant d'agir en conséquence. -Salt cette récupération effectuée se e fréquence aeayse d'informations concerner- 'ec d'éviter 35 remonter systématique du flux lors de a première analyse de l'information concernant le flux et une charge de calcul d'analyse tout en s'octroyant la capacité de traitement des données récupérées lorsqu'une propagation d'un flux est visible.
Un autre objet de l'invention est un programme d'ordinateur d'analyse comprenant des instructions de code de programme pour l'exécution des étapes du procédé d'analyse susmentionné.
Un autre objet de l'invention est un procédé de pré-analyse de flux io échangé entre un terminal et un autre terminal dans un réseau de communication, comportant les étapes suivantes consistant à: • Détecter la réception d'un flux par ledit terminal, • Emettre lesdites au moins une information concernant ledit flux à un dispositif d'analyse de flux. 15 Un autre objet de l'invention est un programme d'ordinateur de pré-analyse comprenant des instructions de code de programme pour l'exécution des étapes du procédé de pré-analyse susmentionné lorsque ledit programme est exécuté sur un ordinateur. 20 Les caractéristiques et avantages de l'invention apparaîtront plus clairement à la lecture de la description, faite à titre d'exemple, et des figures s'y rapportant qui représentent : - Figure 1, une représentation schématique d'un système de 25 communication mettant oeuvre les dispositifs de pré-analyse et d'analyse selon l'invention, - Figures 2a et 2b, une représentation schématique du procédé mis en oeuvre par le système illustrant notamment une première phase d'une variante de l'invention, respectivement du procédé de pré-analyse 30 selon l'invention et du procédé d'analyse selon l'invention, - Figure 3, une représentation schématique du procédé d'analyse illustrant, notamment, une deuxième phase d'une variante de l'invention, - Figure 4, une représentation: schématique d'an mode de éa satan des moyens d'analyse dom, socsit ~d'analyse se.gin: ['invention, - Figure 5, une représentation schématique du procédé d'analyse illustrant, notamment, une troisième phase d'une variante de l'invention.
Dans la suite de la description, l'invention sera plus particulièrement s expliquée dans le cas où l'analyse comporte la détection de virus dans un flux se propageant dans un réseau pour une meilleure compréhension de celle-ci. L'invention peut néanmoins être mise en oeuvre dans tout type d'application pour laquelle une analyse macroscopique des flux se propageant dans un réseau est utile. io Par analyse d'un flux est entendu, analyse des données transportées par ce flux ainsi que, le cas échéant, toutes autres informations transportées par le flux telles que les informations utiles à la lecture de ce flux: par exemple, champ d'identification des terminaux émetteur et ls destinataires(s), type de flux, type des données transportées... Dans une variante de l'invention l'analyse du flux comportera uniquement l'analyse des données transportées par ce flux (par exemple, du fichier ou de la trame).
La figure 1 illustre un système de communication dans lequel une 20 variante de l'invention est implémentée. Le système de communication comporte plusieurs terminaux de communication 1 o, 11, 12, 13, 14, ... 1M (M entier > 0) et un opérateur, représenté dans le cadre de cet exemple par un serveur 2. L'opérateur, par le biais du serveur 2, est connecté dans un premier réseau de communication INFRA à un ensemble de ces terminaux 10, 12, 13, 25 14, etc. de communications du système de communication via une interface de communication. L'interface de communication 122 du terminal 12 avec le serveur 2 est représentée sur la figure. Ce premier réseau INFRA est un réseau à infrastructure préalablement défini, par conséquent l'interface 122 du terminal 12 est, par exemple, une interface de type GSM, GPRS, UMTS, IP. 3o Les interfaces 12e, 123, 124 des autres terminaux Io, 13, 14 avec ce serveur 2 ne sont pas représentés mais doivent être considérées comme ayant des fonctions identiques ou eçu vaientes à l'interface 122.
Dans une variante de l'invention, un ensemble des terminaux 1 o, 1 i, 12, 14, ... 1M du système de communication a la capacité de s'associer à un deuxième réseau A-H. Ce deuxième réseau A-H est soit un autre réseau à structure préalablement défini, soit un réseau ad-hoc tel que représenté sur la s figure 1. Ces terminaux sont alors dotés d'une interface (non représentée sur la figure 1) de communication avec le réseau A-H, par exemple une interface Bluetooth.
Au moins une fraction des terminaux 10, 13, 14 en liaison avec le io serveur 2 de l'opérateur comporte un dispositif de pré-analyse 112 (illustré sur la figure 1 uniquement pour le terminal 12, ce qui ne signifie pas que les autres terminaux n'en comportent pas). Ce dispositif d'analyse comporte dans une variante de l'invention, un agent embarqué par le terminal 12. Cet agent comporte, par exemple, un programme d'ordinateur apte à remonter des is informations i à l'opérateur 2.
Lorsqu'un terminal 1 o transmet un flux f au terminal 12 dans le réseau A-H, le serveur 2 n'a pas connaissance de l'échange et, par conséquent est dans l'incapacité de fournir une analyse du flux f. C'est 20 pourquoi, le dispositif de pré-analyse 112 du terminal 12 comporte des moyens de détection 1112. Ces moyens de détection 1112 détectent la réception d'un flux f par le terminal 12. Lorsqu'un flux f reçu a été détecté, les moyens de communication du dispositif de pré-analyse transmettent au serveur 2 une information i concernant le flux f via l'interface 122 du terminal. 25 Dans une variante non illustrée de l'invention, le dispositif de pré-analyse 112 est externe au terminal. Dans ce cas, le terminal 12 et le dispositif de pré-analyse 112 sont connectés pour permettre aux moyens de détection 1112 de détecter la réception d'un flux f par le terminal 12. Le dispositif 30 d'analyse 112 transmet alors l'information i au serveur 2 soit directement via ses moyens de communications (non représentés), soit via l'interface de communication dans le premier réseau INFRA d'un terminal connecté à ce dispositif de é-analyse. Ainsi, un utilisateur ayant une famille d'obtetsIternrraL{x communicants, certains connectés au serveur 2 et d'autçes 35 non, dispose dL dispositif d'analyse de flux n s à disposition par son opérateur (soit gratuitement, soit par abonnement) pour analyser non seulement les flux de ses objets connectés au serveur 2 mais aussi pour les autres. En outre, l'utilisation d'un dispositif de pré-analyse hors terminaux permet à l'utilisateur d'utiliser un seul dispositif de pré-analyse pour l'ensemble de ses objets communicants.
Dans une variante de l'invention, afin d'éviter une surcharge du premier réseau INFRA, le dispositif de pré-analyse comporte des moyens de réduction 1122 du flux f reçu. L'information réduite ainsi obtenue est transmise lo au serveur 2 comme information i concernant ce flux. Cette information réduite peut être une réduction du flux f complet ou seulement d'un ou plusieurs parties de ce flux f, par exemple d'un ou plusieurs fichiers transportés par le flux f. La réduction est obtenue, notamment, par compression ou condensé. Par exemple, l'information i transmise au serveur 2 est un condensé d'un is fichier transporté par le flux f. Les moyens de réduction 1122 calculent le condensé (hash en anglais), par exemple, à l'aide d'un algorithme de hashage tel que SHA-1, SHA-256.
Le serveur 2 de l'opérateur comporte un dispositif d'analyse 21. Ce 20 dispositif d'analyse 21 comporte des moyens d'analyse 211 de flux. Ces moyens d'analyse 211 analyse un flux f en fonction d'au moins l'information i concernant ce flux transmise par un terminal 12.
Dans une variante de l'invention, ce dispositif d'analyse 21 25 comporte des moyens de commande 213. Ces moyens de commande 213 commandent au moins un terminal 12 ayant reçu le flux f en fonction du résultat r fourni par les moyens d'analyse 211.
Dans une variante de l'invention, le dispositif d'analyse 21 associé à l'opérateur est externe au serveur 2 et communique avec les terminaux 1 0, 13, 14 soit directement, soit via le serveur 2, pour recevoir l'information i, et notamment transmettre au moins une commande c qui est exécutée par des moyens de traitement 1142.
Les figures 2a et 2b illustrent respectivement le procédé de pré-analyse et le procédé d'analyse selon l'invention.
Un terminal 10 envoie un flux f aux terminaux 12, 14, ...1M environnants, dans notre exemple, dans le deuxième réseau A-H. Une fraction de ces terminaux dont le terminal 12 embarque un agent mettant en oeuvre un procédé de pré-analyse. Le procédé de pré-analyse comporte une étape consistant à détecter la réception de flux par le terminal 12. Dans le cas de notre exemple, seuls les flux reçus dans un réseau spécifié: le deuxième Io réseau, sont détectés, notamment, des réseaux sans infrastructure préalablement définie tels que les réseaux ad-hoc. L'agent ayant constaté la réception du flux f lors de cette étape de détection transmet une information i concernant ce flux à un dispositif d'analyse.
15 Cette information i comporte soit tout ou au moins une partie du flux f reçu, soit une réduction de tout ou partie du flux f reçu. Dans le cas où i ne comporte pas tout le flux f reçu, une variante de l'invention prévoit que le procédé de pré-analyse comporte une étape de calcul de l'information i(f) concernant le flux déclenché lors de la détection de la réception d'un flux f. Ce 20 calcul est soit l'extraction d'au moins une partie du flux f, soit une réduction du flux f par exemple par hashage.
L'information i est analysée dans un procédé d'analyse. Dans une variante de l'invention suivant le résultat r1, r2 de cette analyse des 25 commandes c sont transmises à au moins un terminal ayant reçu le flux f.
Dans le cas où l'analyse comporte la détection de virus dans le flux complet ou dans un ou plusieurs fichiers transportés par le flux: le mobile "attaquant" (terminal 10) est infecté, et essaye d'envoyer des fichiers dans un flux f aux mobiles environnant (terminaux 12, 14, ...1 M). ll envoie avec succès le flux f comportant un fichier à l'utilisateur 12 via son interface ad-hoc (non représentée), et envoie un fichier infecté par le même virus ux utilisateurs 14 et 1 m de la même manière.
Les terminaux 12 et 14 embarquent l'agent mettant ainsi en oeuvre le procédé de pré-analyse décrit plus haut. Cet agent constate la réception du flux f comportant le fichier, et calcule un condensé de ce fichier, par exemple à l'aide d'un algorithme de hashage (ex : SHA-1, SHA-256) pour fournir une information i comportant ce condensé. II envoie alors l'information i comportant ce condensé au serveur 2, i.e. l'équipement de l'opérateur mettant en oeuvre le procédé d'analyse chargé de l'analyse de ces remontées d'information.
10 Dans une variante de l'invention, si le résultat de l'analyse est que le fichier est vérolé, le serveur 2 envoie une commande c en réponse à l'agent, l'informant directement que le fichier correspondant est un virus. Cette commande c comporte : soit une commande d'action par rapport au virus, auquel cas le 15 terminal, voire l'agent, dispose d'au moins un traitement exécutable à la réception de cette commande d'action (par exemple supprimer le fichier, présentation à l'utilisateur de l'information de la réception d'un fichier vérolé, etc.) ; soit le traitement à exécuter par le terminal, voire l'agent embarqué sur 20 le terminal, tels que : o Informer l'utilisateur de la réception d'un virus o Procéder directement à la suppression du fichier, o Interdire la transmission du fichier à un autre terminal, o Assainir le fichier. 25 Dans une variante de l'invention, à la première phase correspondante à la mise en oeuvre des procédés de pré-analyse et d'analyse décrit plus haut est ajoutée une deuxième phase dans laquelle la fréquence d'apparition d'information i concernant un type de flux sur une plage de temps 40 prédéterminée est calculée pour avoir une vision macroscopique de la propagation lente d'un flux f. Un type de flux regroupe soit un seul et même flux reçu par un ou plusieurs terminaux, soit un flux reçu par un ou plusieurs terminaux éventuellement légèrement modifié. Par égèrement moditié est entendu que la modification du flux n'entraîne pas 'altération de ses { propriétés au regard d'une analyse du flux complet (par exemple, lorsque l'analyse est la détection de virus dans un fichier, le fichier légèrement modifié est toujours porteur du même virus, i.e. d'un virus ayant les mêmes effets).
Le procédé d'analyse met alors à jour la fréquence Freq correspondant au type de flux concerné par l'information i, comme le montre la figure 3. Puis le procédé d'analyse compare cette fréquence Freq avec un seuil prédéterminé S.
Dans une variante de l'invention, l'envoi de commandes à au moins un terminal 12 ayant reçu le flux f est conditionné au fait que le flux f se propage dans le réseau A-H à une fréquence Freq supérieure à un seuil S. Dans une variante de l'invention, l'identité Id Term du terminal 12 sur lequel la réception du flux f a déclenché la transmission de l'information i(f) est transmise avec l'information i au serveur 2. Une mise à jour de la liste des 1s terminaux List Id ayant reçu un type de flux correspondant au flux f est alors mise à jour en y ajoutant l'identité du terminal 12.
La figure 4 montre un mode de réalisation de ce procédé. Les moyens d'analyse 211 comportent : 20 des moyens de calcul et de mise à jour 2111, permettant de calculer la fréquence Freq d'apparition du flux f concerné par l'information i ou au moins d'un flux du même type que le flux f concerné par l'information i, et des moyens de comparaison 2113 de cette fréquence Freq à un seuil 25 prédéterminé S.
Dans une variante de l'invention, les moyens d'analyse 211 comportent une table 2112 pour la mise à jour. Dans l'exemple illustré par la figure 4, l'information i est le hash du fichier transporté par le flux f reçu (un type de flux dans cet exemple regroupe un seul et même flux reçu par un ou plusieurs terminaux sans modification) et la Freq est le nombre d'occurrences, i.e. le nombre de fois où l'information i a été remontée au serveur 2 , Cette table comporte en outre, dans une variante non illustrée, pour au moins un type de flux a liste des de:-tifiants List Id d'au moins une partie des terminaux 30 ayant reçu ce flux f et ayant directement ou grâce à un dispositif de pré-analyse distinct fait remonté l'information i au serveur 2.
La mise à jour de la fréquence est effectuée d'une des manières suivantes :
Une première méthode comporte le stockage dans une file d'attente associée à un type, des éléments e contenant les estampilles temporelles te de réception des informations i. On ne conserve dans la file que les Io estampilles qui appartiennent à une fenêtre temporelle déterminée de longueur TF (période d'étude). La fenêtre temporelle pour laquelle on conserve les estampilles temporelles peut être définie soit à partir de l'heure courante t, soit à partir de l'estampille temporelle de l'élément le plus récent introduit dans la file d'attente. 15 Dans le premier cas, on ne conserve que les éléments e de la file d'attente dont les estampilles temporelles vérifient t ù te < TF Dans le deuxième cas, on ne conserve que les éléments e de la file 20 d'attente dont les estampilles temporelles vérifient ti+n ù te < TF
Le décompte du nombre d'éléments dans chaque file d'attente donne donc une mesure, pour un type donné, du nombre de fichiers 25 transférés dans une fenêtre de temps TF.
Une deuxième méthode comporte l'utilisation d'une moyenne glissante telle que la moyenne EWMA, moyenne glissante pondérée exponentielle (Exponentiel Weighted Moving Average en anglais). L'intérêt de l'invention étant de déceler les envois répétés d'un flux f ou d'au moins une partie d'un contenu d'un flux f (un fichier notamment) sur une longue durée, la période d'étude sera typiquement de plusieurs jours.
Dans le cas de la détection de virus, lorsque la valeur du nombre d'occurrences (la valeur de la fréquence Freq) dépasse un seuil S, le dispositif d'analyse conclut que le flux f correspondant à cette information i est suspicieux, et soit agit directement en envoyant une commande c, soit entame une troisième phase cette information i.
L'intérêt de ne mettre à jour que les fréquences Freq d'apparition d'une information i est que : les données stockées sont réduites (d'autant plus si l'information i est lo une i informations réduite), ces fréquences mettent en évidence des phénomènes de propagation lente de flux, et ne nécessite pas le stockage de données individuelles ni même du contenu du flux (en particulier dans le cas d'information réduite obtenue Is par une fonction non réversible telle que les fonctions de hashage), évitant ainsi des problèmes de violation de règles de droits de vie privé et des libertés individuelles ou publiques telles que les règles de la CNIL (Commission Nationale de l'Informatique et des Libertés) en France. 20 Le calcul des fréquences d'apparition d'une information i ne permet pas de détecter la propagation lente de fichiers légèrement modifiés, carl'information i résultant serait différente. Toutefois, en pratique, tous les virus développés jusqu'à présent sur téléphone mobile consistent en la propagation 25 de la même pièce jointe, et par conséquent sont détectables par notre mécanisme.
Néanmoins, afin de détecter la propagation lente de fichiers légèrement modifiées, une variante de l'invention propose de mettre à jour 30 non pas la fréquence de l'information i mais la fréquence d'un type Freq(type(f)) de flux concerné par l'information i. En effet, un flux f concerné par une information i, peut être de même type qu'un flux f concerné par une information i- , car le flux f est le flux f légèrement mo ifié. Dans ce cas, il et in servent à a mise à jour de la même fréquence F-ec; correspondant à un type 35 de flux type(f).
Dans une variante de l'invention, l'invention propose, outre la première phase précitée ou les deux phases précitées, une troisième phase dans laquelle le procédé d'analyse comporte la récupération du flux en tout ou partie, notamment des fichiers contenus dans ledit flux, concernés par les informations décelées dans la phase précédente, et l'analyse de ces fichiers comme le montre la figure 5.
Ainsi, pour une information io(f) concernant un flux f, lorsque le io résultat r de l'analyse de la phase 1 est un résultat donné r1 et/ou lorsque la fréquence Freq mise à jour est supérieure au seuil prédéterminé S, si les moyens d'analyse 211 représentés sur la figure 1 (notamment la table 2112 de la figure 4) ne disposent pas de l'identifiant du terminal 12 ayant reçu le flux f, 15 o Lorsqu'un dispositif de pré-analyse 11 n remonte une information in concernant un flux f reçu, vérifier si cette information in correspond à une information identique dans l'ensemble des informations {ij} préalablement reçue. o Si ce n'est pas le cas, continuer le traitement comme dans la 20 première phase. o Si c'est le cas, initier une demande Req (f,IdTerm) de récupération de données comportant tout ou une partie du flux f' auprès du client Id Term ayant transmis l'information in. Cette étape peut ou non faire intervenir l'utilisateur (i.e., par exemple, 25 lui demander son autorisation). o Répéter l'étape précédente jusqu'à récupération d'un de ces flux. o Analyser alors les données récupées, par exemple des tests par un antivirus, ou une analyse manuelle plus précise par des personnes (reverse engineering...). 30 La figure 1 montre un mode de réalisation de la récupération de données. Le dispositif d'analyse 21 comporte des moyens de requête 212 rés c' rr terminal permettais. au dispositif d'analyse 21 de requérir req la n cupera~ o . de données comportant tout ou une partie prédéte. née du flux Le terminal 12 comporte des moyens de réponse 1132 à la requête en récupération. Ces moyens de réponse 1132 sont soit dans le dispositif de pré-analyse 112, soit externe à celui-ci. Ils reçoivent du dispositif d'analyse 21 une demande req de récupération de données comportant tout ou partie du flux f en fonction du résultat r fourni par les moyens d'analyse 211 et transmettent aux moyens de requête 212 les données, dans notre exemple le flux f.
lo Ce point met en évidence un autre intérêt de l'invention. L'analyse directement en fonction du flux complet ou le fichier n'est alors effectuée que lorsqu'il y a intérêt à l'analyse soit par ce que ce type de flux se propage pour la première fois, soit parce que sa propagation commence à être importante voire, soit parce que sa propagation est suspecte (dans le cas d'une détection 15 de virus), soit parce que le résultat r de l'analyse du flux en fonction de l'information i est égal à un résultat donné r1 montrant qu'il y a un intérêt à une analyse plus poussée du flux. Cela limite donc les calculs du dispositif d'analyse.
20 Dans une variante de l'invention, si le résultat r de l'analyse des données récupérées sur le flux f' est égale à un résultat donné r1 (indiquant dans le cas d'une détection de virus que le fichier est vérolé), une réaction est initiée par une commande c correspondant à une ou plusieurs des réactions suivantes données à titre d'exemples: 25 o Informer tout ou partie des terminaux (notamment des agents) du résultat r1 de l'analyse (i.e. de la détection d'un virus dans notre exemple d'application) pour le flux f et, éventuellement, ses versions légèrement modifiées f. Ces agents pourront alors avertir l'utilisateur lors de la réception du fichier correspondant, ou directement procéder à 30 sa suppression, comme décrit précédemment. o Fournir à tout ou partie des terminaux (notamment des agents) les moyens d'agir sur le flux f et, éventuellement, ses versions légèrement modifiées f: par exemple, dans =e cas d'une détection de virus, des eyers d'assainir soi,. en foti. r ssant le remède à exécuter par les terminaux soit des données de remplacement pour remplacer les parties vérolées du flux.
La partie des terminaux informés ou recevant les moyens d'agir est s déterminée soit par localisation physiques ou réseaux des terminaux par rapport au(x) terminal (ux) ayant reçu le flux f, soit en fonction de la station de base de connexion (ceux connectés à la même station sont informés).
io o Mettre à jour, dans le dispositif d'analyse, des données de résultats d'analyse concernant ce type de flux permettant ainsi, lorsqu'un nouveau flux de même type est reçu postérieurement par un terminal, de ne pas nécessiter une nouvelle analyse poussée mais d'obtenir ces informations des l'analyse de la première phase. 15 Si, par contre, les moyens d'analyse 211 représentés surla figure 1 disposent de l'identifiant du terminal 12 ayant reçu le flux f soit parce que transmis avec l'information i et, éventuellement, conservé dans une mémoire tampon des moyens d'analyse 211, soit stocké notamment dans la table 2112 20 de la figure 4: o Demander à ce terminal 12 ou à l'un des terminaux de la liste List Id de la table 2112 l'envoi des données comportant tout ou une partie du flux f, jusqu'à-ce que l'un d'entre eux l'envoie. o Analyser alors les données récupérées comme décrit ci-dessus. 25 Dans une variante de l'invention, si le résultat r de l'analyse des données récupérées sur le flux f est égal à un résultat donné r1 (indiquant dans le cas d'une détection de virus que le fichier est vérolé), une réaction est initiée par une commande c correspondant à une ou plusieurs des réactions 30 mentionnées ci-dessus données à titre d'exemples (les terminaux sont notamment ceux contenus dans la liste List Id).
Un mode de :eaiisation du procédé d'analyse est un programme d'ordinateur mis en couvre, par exemple, par le serveur 2 qui lorsq : est exécuté effectue toutes ou parties des étapes décrites précédemment suivant la variante implémentée.
L'invention permet ainsi de détection et, éventuellement, de réagir s le cas échéant aux propagations virales dans des réseaux sans infrastructure préalablement définie tels que les réseaux ad-hoc.
Dans une variante d'application, le premier et le deuxième réseau sont deux réseaux à infrastructure distincts. Cela permet éventuellement une lo personne ayant plusieurs objets communicants dont une partie est supervisée par un premier opérateur et une autre partie par un deuxième opérateur de bénéficier de l'analyse d'un seul opérateur pour tous ses objets.
Dans une autre variante d'application, le premier et le deuxième ls réseau sont un seul et même réseau à infrastructure. Ainsi, lorsque l'opérateur n'a pas déployé les équipements de l'art antérieur pour l'analyse des flux ou pour les parties de son réseau pour lesquelles ces équipements n'ont pas été déployés, l'utilisateur bénéficie toujours de l'analyse grâce à l'invention.

Claims (8)

REVENDICATIONS
1. Dispositif d'analyse de flux (f), ledit dispositif d'analyse étant apte à communiquer avec au moins un terminal (12) échangeant au moins un flux (f) avec un autre terminal (10) dans un réseau de communication (A-H), caractérisé en ce que ledit dispositif d'analyse comporte des moyens d'analyse (211) d'un flux (f) reçu par un terminal (12), lesdits moyens d'analyse (211) étant aptes à analyser ledit flux (f) en fonction d'au moins une information (i) concernant ledit flux (f) transmise par ledit terminal (12) audit dispositif d'analyse.
2. Dispositif d'analyse de flux (f) selon la revendication précédente, caractérisé en ce que ladite au moins une information (i) concernant ledit flux (f) comporte une information réduite dudit flux (f), ladite information réduite étant une réduction dudit flux (f).
3. Dispositif d'analyse de flux (f) selon l'une quelconque des revendications précédentes, caractérisé en ce que ledit flux (f) reçu est un flux reçu par ledit au moins terminal (12) dans un réseau ad-hoc.
4. Dispositif d'analyse de flux (f) selon l'une quelconque des revendications précédentes, caractérisé en ce que ledit dispositif d'analyse comporte en outre des moyens de requête (212) auprès d'un terminal (12) permettant au dispositif d'analyse de requérir la récupération de données (f') comportant tout ou une partie prédéterminée dudit flux (f), ladite au moins une information (i) concernant ledit flux comportant lesdites données récupérées.
5. Dispositif d'analyse de flux (f) selon l'une quelconque des revendications précédentes, caractérisé en ce que ledit dispositif d'analyse comporte des moyens de commande (213), lesdits moyens de commande (213) étant aptes à commander au moins un terminal (12) ayant reçu ledit flux (f) en fonction du résultat (r) fournis par les moyens d'analyse (211).
6. Dispositif de détection de virus dans des flux (f) échangés par au moins un terminal (12) avec au moins un autre terminal (IO) dans réseau de communication (A-H), ledit dispositif de détection de virus comportant le dispositif d'analyse (21) de flux selon l'une quelconque des revendications précédentes, et lesdits moyens d'analyse (211) étant aptes à détecter un flux (f) vérolé en fonction d'au moins un- ration (i) concernant ledit flux transmis par ledit terminal (12) audit disposi f d'analyse (21).
7. Serveur dans un réseau de communication (A-H) comportant au moins un terminal (12) échangeant au moins un flux (f) avec un autre terminal (10) dans un réseau de communication (A-H), caractérisé en ce qu'il comporte des moyens d'analyse (211) d'un flux (f) reçu par un terminal, lesdits moyens d'analyse (211) étant apte à analyser ledit flux (f) en fonction d'au moins une information (i) concernant ledit flux (f) transmis par ledit terminal (12) audit serveur.
8. Dispositif de pré-analyse de flux, ledit dispositif de pré-analyse étant apte à communiquer avec au moins un dispositif d'analyse (21), caractérisé en la ce que ledit dispositif de pré-analyse comporte: • Des moyens de détection (1112) de réception d'un flux (f) par un terminal (12), ledit terminal (12) échangeant au moins un flux (f) avec un autre terminal (10) dans un réseau de communication (A-H); • Des moyens de communication aptes à émettre au moins une 15 information (i) concernant ledit flux (f) reçu audit dispositif d'analyse (21). 11. Dispositif de pré-analyse de flux (f) selon la revendication précédente, caractérisé en ce que ledit dispositif de pré-analyse comporte en outre des moyens de réduction (1122) dudit flux (f) permettant ainsi de fournir des 20 informations réduites, les informations (i) concernant ledit flux (f) comportant lesdites informations réduites. 12. Terminal de communication apte à communiquer avec au moins un dispositif d'analyse, ledit terminal étant apte à échanger au moins un flux (f) avec un autre terminal (10) dans un réseau de communication (A-H), 25 caractérisé en ce que ledit terminal comporte: • Des moyens de détection (1112) de réception d'un flux (f) par ledit terminal; • Des moyens de communication (122) apte à émettre lesdites au moins une information (i) concernant ledit flux (f) reçu audit dispositif 3 d'analyse (21). 13. Terminal selon la revendication précédente caractérisé en ce que ledit terminal comporte des moyens d'exécution (1142) de commande (c) d'un dispositif d'analyse (21) reçu çar tes moyens de commurications (122) dudit terminal, lesdites commandes (C opérant su12. Procédé d'analyse de flux (f) échangés entre au moins un terminal (12) et un autre terminal (1o) dans un réseau de communication (A-H), caractérisé en ce qu'il comporte au moins l'étape suivante consistant à analyser un flux (f) reçu par ledit au moins terminal en fonction d'une information (i) concernant s ledit flux (f). 13. Procédé d'analyse de flux (f) selon la revendication précédente, caractérisé en ce que la première étape est ladite étape d'analyse de flux (f) reçu, ladite au moins une information (i) concernant ledit flux (f) comportant une information réduite dudit flux (f), ladite information réduite étant une lo réduction dudit flux (f). 14. Procédé d'analyse de flux (f) selon l'une quelconque des revendications 12 ou 13, caractérisé en ce que l'analyse dudit flux (f) en fonction desdites au moins une information (i) concernant ledit flux (f) comporte une sous étape consistant à comparer la fréquence (Freq) de réception d'au moins une Is information (i) concernant ledit flux (f) d'un type donné sur une plage de temps prédéterminé par rapport à un seuil (S) prédéterminé dont le résultat (r) constitue une condition prédéterminée pour au moins une étape suivante dudit procédé d'analyse. 15. Procédé d'analyse de flux (f) selon l'une quelconque des revendications 20 12 à 14, caractérisé en ce que ledit procédé d'analyse comporte en outre une étape consistant à récupérer des données comportant tout ou une partie prédéterminée d'un flux (f) reçu si une ou plusieurs conditions prédéterminées sont remplies. 16. Procédé d'analyse de flux (f) selon la revendication précédente, 25 caractérisé en ce que ledit procédé d'analyse comporte en outre une étape consistant à analyser ledit flux (f) en fonction des données récupérées. 17. Procédé d'analyse de flux (f) selon l'une quelconque des revendications 12 à 16, caractérisé en ce que ledit procédé d'analyse comporte en outre une étape consistant à émettre une commande à au moins un terminal (12) en 30 fonction du résultat (r) d'au moins une des étapes consistant à analyser le flux 18. Programme d'ordinateur d'analyse comprenant des instructions de code de programme pour "exécution uses étapes du procédé selon l'une cueiconqudes revendica ,o' s 12 à 17 ffcrsque ledit progra - nme est exécuté 35 sur un ordinateur19. Procédé de pré-analyse de flux (f) échangé entre un terminal et un autre terminal (10) dans un réseau de communication (A-H), caractérisé en ce qu'il comporte les étapes suivantes consistant à: Détecter la réception d'un flux (f) par ledit terminal, • Emettre lesdites au moins une information (i) concernant ledit flux (f) à un dispositif d'analyse de flux (f). 20. Procédé de pré-analyse de flux (f) selon la revendication précédente, caractérisé en ce que ledit procédé de pré-analyse comporte les étapes suivantes consistant à: • Recevoir dudit dispositif d'analyse (21) une demande de récupération d'un flux (f) reçu par ledit terminal (12) en fonction du résultat (r) d'une analyse dudit flux (f) en fonction de l'information (I) concernant ledit flux (f), • Transmettre audit dispositif d'analyse (21) ledit flux (f). 15 21. Programme d'ordinateur de pré-analyse comprenant des instructions de code de programme pour l'exécution des étapes du procédé selon l'une quelconque des revendications 19 ou 20 lorsque ledit programme est exécuté sur un ordinateur.
FR0652575A 2006-06-21 2006-06-21 Detection et reaction aux propagations virales par reseau ad-hoc Pending FR2902905A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR0652575A FR2902905A1 (fr) 2006-06-21 2006-06-21 Detection et reaction aux propagations virales par reseau ad-hoc
PCT/FR2007/051349 WO2007147993A1 (fr) 2006-06-21 2007-05-29 Detection et reaction aux propagations virales par reseau ad-hoc

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0652575A FR2902905A1 (fr) 2006-06-21 2006-06-21 Detection et reaction aux propagations virales par reseau ad-hoc

Publications (1)

Publication Number Publication Date
FR2902905A1 true FR2902905A1 (fr) 2007-12-28

Family

ID=37596279

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0652575A Pending FR2902905A1 (fr) 2006-06-21 2006-06-21 Detection et reaction aux propagations virales par reseau ad-hoc

Country Status (2)

Country Link
FR (1) FR2902905A1 (fr)
WO (1) WO2007147993A1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018109377A1 (fr) * 2016-12-16 2018-06-21 Orange Procédé et dispositif de surveillance mis en œuvre par un point d'accès à un réseau de télécommunications

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002019066A2 (fr) * 2000-08-31 2002-03-07 F-Secure Oyj Protection anti-virus dans un environnement internet
US20030027552A1 (en) * 2001-08-03 2003-02-06 Victor Kouznetsov System and method for providing telephonic content security service in a wireless network environment
US20040209609A1 (en) * 2003-04-17 2004-10-21 Ntt Docomo, Inc. Platform-independent scanning subsystem API for use in a mobile communication framework

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002019066A2 (fr) * 2000-08-31 2002-03-07 F-Secure Oyj Protection anti-virus dans un environnement internet
US20030027552A1 (en) * 2001-08-03 2003-02-06 Victor Kouznetsov System and method for providing telephonic content security service in a wireless network environment
US20040209609A1 (en) * 2003-04-17 2004-10-21 Ntt Docomo, Inc. Platform-independent scanning subsystem API for use in a mobile communication framework

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018109377A1 (fr) * 2016-12-16 2018-06-21 Orange Procédé et dispositif de surveillance mis en œuvre par un point d'accès à un réseau de télécommunications
FR3060931A1 (fr) * 2016-12-16 2018-06-22 Orange Procede et dispositif de surveillance mis en oeuvre par un point d'acces a un reseau de telecommunications
US10834052B2 (en) 2016-12-16 2020-11-10 Orange Monitoring device and method implemented by an access point for a telecommunications network

Also Published As

Publication number Publication date
WO2007147993A1 (fr) 2007-12-27

Similar Documents

Publication Publication Date Title
EP2163114B1 (fr) Interface d&#39;enregistrement d&#39;application utilisée pour un dispositif mobile
US9756061B1 (en) Detecting attacks using passive network monitoring
CN110855699B (zh) 一种流量审计方法、装置、服务器及审计设备
EP3063693B1 (fr) Système de détection d&#39;intrusion dans un dispositif comprenant un premier système d&#39;exploitation et un deuxième système d&#39;exploitation
EP2939450B1 (fr) Transmission d&#39;un message multimédia doublée par émission d&#39;un message textuel
CN114039774B (zh) 一种恶意pe程序的阻断方法、检测方法及装置
WO2010116109A1 (fr) Procédé d&#39;authentification auprès d&#39;un serveur par un utilisateur d&#39;un appareil mobile
RU2481633C2 (ru) Система и способ автоматического расследования инцидентов безопасности
CN106919844B (zh) 一种Android系统应用程序漏洞检测方法
EP3365829B1 (fr) Procédé d&#39;aide a la détection d&#39;infection d&#39;un terminal par un logiciel malveillant
WO2007118422A1 (fr) Procédé et appareil pour empêcher un virus d&#39;envahir un terminal mobile
EP3622688A1 (fr) Singularisation de trames à émettre par un objet connecté et blocage de trames réémises sur un réseau de communication sans-fil basse consommation
FR2902905A1 (fr) Detection et reaction aux propagations virales par reseau ad-hoc
CN114979109B (zh) 行为轨迹检测方法、装置、计算机设备和存储介质
CN111343132B (zh) 文件传输检测方法及装置、存储介质
EP3107023B1 (fr) Procédé, dispositif et programme d&#39;authentification sans fil d&#39;un terminal de payment
CN115801292A (zh) 访问请求的鉴权方法和装置、存储介质及电子设备
US10178188B2 (en) System for a monitored and reconstructible personal rendezvous session
US20190141509A1 (en) System for a Monitored and Reconstructible Personal Rendezvous Session
Rowlands et al. Linking sensor data to a cloud-based storage server using a smartphone bridge
Yan et al. Signal instant messenger forensics
EP4075358B1 (fr) Gestion de la mémoire dans un dispositif de traitement de transactions
FR3141020A1 (fr) Procédé de mise en œuvre d’un service d’une chaîne de services et dispositif électronique associé
EP2667574A1 (fr) Procédé et dispositif de sécurisation d&#39;échange de messages transmis dans un réseau d&#39;interconnexions
WO2009004234A1 (fr) Detection d&#39;anomalie dans le trafic d&#39;entites de service a travers un reseau de paquets