FR2903831A1 - Procede de detection de points d'acces simules dans un reseau sans fil - Google Patents
Procede de detection de points d'acces simules dans un reseau sans fil Download PDFInfo
- Publication number
- FR2903831A1 FR2903831A1 FR0652930A FR0652930A FR2903831A1 FR 2903831 A1 FR2903831 A1 FR 2903831A1 FR 0652930 A FR0652930 A FR 0652930A FR 0652930 A FR0652930 A FR 0652930A FR 2903831 A1 FR2903831 A1 FR 2903831A1
- Authority
- FR
- France
- Prior art keywords
- frames
- access point
- wireless network
- reception
- frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
L'invention concerne un procédé de détection de points d'accès simulés dans un réseau sans fil, caractérisé en ce qu'il comprend les étapes de :- obtention (10, 11 ) de trames caractéristiques dudit réseau sans fil,- mesure (12) des instants de réception desdites trames et identification des trames comprenant une même adresse de dispositif d'émission,- analyse (15) des instants d'émission effectifs estimés desdites trames, déduits des instants de réception desdites trames, et- détection (16) d'un point d'accès simulé lorsque l'analyse des instants d'émission effectifs estimés desdites trames révèle une violation des contraintes temporelles d'un système temps-réel.
Description
1 Procédé de détection de points d'accès simulés dans un réseau sans fil
La présente invention concerne la détection de points d'accès simulés, ou faux points d'accès, dans un réseau sans fil. Elle s'applique notamment aux technologies de type IEEE 802.11 normalisées par l'Institute of Electronical and Electronics Engineers (IEEE). Plus particulièrement, elle a trait à la détection de points d'accès créés artificiellement par logiciel, ou points d'accès simulés ou émulés, ou faux points d'accès ("fake access point" en anglais).
Les faux points d'accès, ou points d'accès simulés, font croire aux clients et logiciels d'écoute d'un réseau sans fil, par exemple à des logiciels de détection d'intrusion "WiFi" (de l'anglais Wireless Fidelity), que de nombreux points d'accès sont présents dans la zone géographique où se situent les clients et logiciels d'écoute. Un utilisateur malintentionné, pour créer des points d'accès simulés va généralement utiliser un terminal, par exemple un "PC" ("Personal Computer" en anglais), équipé d'un système d'exploitation Linux et d'une carte réseau WiFi : carte réseau à la norme 802.11 permettant au terminal de se connecter à un réseau sans fil ; l'utilisateur malintentionné va configurer sa carte réseau WiFi pour simuler/émuler de faux points d'accès, c'est-à-dire envoyer des trames conformes au standard 802.11, et cohérentes avec des trames émises par un point d'accès authentique. Ainsi, si l'utilisateur est capable de créer une centaine de points d'accès simulés alors le système de détection d'intrusion verra cette centaine de points d'accès en plus de ceux qu'il voit classiquement. Il sera capable de dire que ces points d'accès sont illégitimes car leurs adresses "MAC" ("Medium Access Control" en anglais) seront vraisemblablement différentes des adresses MAC des points d'accès autorisés dans le réseau sans fil. Cependant, le logiciel de détection d'intrusion présentera des données relatives à tous ces points d'accès à un administrateur en charge de la supervision du réseau, via une interface utilisateur ("GUI" pour "Graphical User Interface" en anglais), et stockera lesdites données dans une base de données pour archivage. Ainsi, le logiciel de détection d'intrusion 2903831 2 présentera et gèrera des données inutiles et inintéressantes pour l'administrateur du réseau sans fil. Il en résultera une quantité très importante de données à analyser. La création de nombreux points d'accès simulés se rapproche d'une attaque par inondation au cours de laquelle un système ou un 5 service est inondé de faux messages qui sont traités et qui finissent par saturer le système ou le service. Ici, la création de points d'accès simulés rend complètement inefficace un logiciel de détection d'intrusion. On connaît, d'après la demande de brevet publiée sous le n WO2006035140, un procédé de détection d'usurpation de point d'accès basé 10 sur l'analyse d'informations temporelles contenues dans des trames. Une écoute de la voie radio permet de récupérer des trames échangées. Des trames spécifiques identifiant des points d'accès sont stockées. Lorsque deux trames provenant d'un même point d'accès sont mémorisées, des informations temporelles présentes dans les trames sont comparées. Si la différence entre 15 les informations temporelles ne correspond pas à une valeur attendue, alors il y a détection d'une usurpation d'adresse et éventuellement déclenchement d'une alarme signalant l'usurpation d'adresse de point d'accès. Dans le cas où un point d'accès simulé aurait la même adresse MAC qu'un point d'accès légitime et serait agencé pour émettre des données avec 20 les mêmes caractéristiques que celles émises par un point d'accès légitime, le procédé tel que décrit ci-dessus s'avèrerait inefficace car les trames émises par le point d'accès légitime et le point d'accès simulé seraient telles que la différence entre les informations temporelles des trames émises par le point d'accès simulé et des trames émises par le point d'accès authentique 25 correspondrait à la valeur attendue puisque le point d'accès simulé serait agencé pour émettre de telles trames. Ainsi, il n'est pas possible de transposer directement la détection d'usurpation d'adresse à la détection de points d'accès simulés, dans le cas où les points d'accès simulés auraient des adresses MAC identiques à celles de 30 points d'accès authentiques. En effet même si le point d'accès simulé émettait des trames ayant des caractéristiques proches de celles émises par le point 2903831 3 d'accès authentique, l'analyse préconisée dans la demande ci-dessus ne serait pas assez fine. En outre, dans le cas où les adresses MAC des points d'accès simulés sont différentes de celles de points d'accès authentiques, la méthode décrite 5 s'avère complètement inefficace. Il existe donc un besoin pour un procédé de détection de points d'accès simulés. A cette fin, l'invention concerne un procédé de détection de points d'accès simulés dans un réseau sans fil, caractérisé en ce qu'il comprend les 10 étapes de : - obtention de trames caractéristiques dudit réseau sans fil, - mesure des instants de réception desdites trames et identification des trames comprenant une même adresse de dispositif d'émission, - analyse des instants d'émission effectifs estimés desdites trames, 15 déduits des instants de réception desdites trames, et - détection d'un point d'accès simulé lorsque l'analyse des instants d'émission effectifs estimés desdites trames révèle une violation des contraintes temporelles d'un système temps-réel. En effet, le procédé selon l'invention utilise le fait que les points d'accès 20 authentiques, qui sont des systèmes dédiés à la fonction de point d'accès, ont des propriétés temps-réel que n'ont pas les systèmes d'exploitation de terminaux sur lesquels sont simulés logiciellement des points d'accès. Un système d'exploitation classique a de nombreuses tâches concurrentes à exécuter ; il n'est donc pas possible en pratique pour des systèmes 25 d'exploitation d'avoir des propriétés temps-réel. Ainsi puisque des trames caractéristiques des points d'accès possèdent des propriétés temporelles relatives à leur instant d'émission, il est possible, en observant le comportement en émission de différents systèmes censés être des points d'accès, de détecter des incohérences au niveau des instants d'émission effectifs des trames. On 30 peut en conclure lorsqu'un système a émis des trames qui se révèlent être incohérentes à cet égard, qu'il s'agit d'un point d'accès simulé. 2903831 4 L'observation prend en compte le trafic réel dans le réseau sans fil ; des sondes réseau ont pour rôle de capter ce trafic. Les trames captées sont datées par les sondes. On peut ainsi estimer, à partir de l'instant de réception des trames par les sondes, l'instant d'émission effectif de ces trames. 5 L'analyse en vue de détecter des incohérences sur les instants d'émission estimés des trames utilise des informations disponibles ou calculables, comme les instants de réception de trames successives qui correspondent aux instants d'émission effectifs estimés, ou la durée qui sépare les instants d'émission effectifs estimés de deux trames successives. Ces 10 informations permettent de définir plusieurs métriques, ce qui présente l'intérêt de pouvoir décliner le procédé de détection selon différents modes de réalisation. Les méthodes de détection étant sujettes aux faux positifs, multiplier les métriques pour les combiner ne peut que limiter la détection de faux positifs. Un autre intérêt de l'invention réside dans le fait que le procédé utilise 15 des informations de trames réellement reçues. Ainsi, la perte de paquets n'a aucune implication sur le procédé de détection et le procédé n'est pas sensible à des sauts de canaux dans la voie radio. Dans une réalisation particulière de l'invention, l'étape d'analyse prend en compte en outre des étiquettes temporelles comprises dans les trames et 20 censées représenter les dates d'envoi desdites trames. Des trames caractéristiques des points d'accès comprennent une information temporelle représentative de l'instant d'émission de la trame par le point d'accès. En outre, parmi ces trames, certaines sont émises à intervalle régulier. 25 Ainsi, de façon avantageuse, l'analyse en vue de détecter des incohérences sur les instants d'émission effectifs estimés des trames utilise également des informations disponibles ou calculables comme les étiquettes temporelles précisées dans le champ TIMESTAMP de la trame et la durée qui sépare les étiquettes temporelles de deux trames successives. 30 L'utilisation de paramètres tels que les étiquettes temporelles permet de définir de nouvelles métriques et d'affiner la détection de points d'accès simulés. 2903831 5 En outre, les informations utilisées par le procédé (instant d'émission estimé, étiquette temporelle) sont cohérentes entre elles puisqu'elles appartiennent à la même trame. Dans une réalisation particulière de l'invention, en vue de ladite étape 5 d'analyse il a été choisi une fonction statistique (f), un nombre (n) de trames sur lequel porte l'analyse, des paramètres propres auxdites trames issues du dispositif d'émission et un seuil (s) prédéfini, ladite fonction statistique (f) étant appliquée auxdits paramètres pendant l'étape d'analyse, et ledit dispositif d'émission étant considéré comme un point d'accès simulé lorsque le résultat 10 de la fonction (f) ne respecte pas le seuil (s) prédéfini. D'une manière générale, les techniques de détection sont sujettes aux faux positifs. Dans notre cas, il est possible qu'un point d'accès classé point d'accès simulé n'en soit pas un. L'utilisation de fonctions statistiques, qui permettent de porter l'analyse sur un nombre de trames qui peut être important, 15 par exemple on peut observer 100 trames successives, permet d'augmenter le niveau de confiance dans le procédé de détection. Dans une réalisation alternative de l'invention, le seuil (s) prédéfini est calibré en fonction d'une observation d'un échantillon de trames de taille prédéterminée. 20 Le seuil peut être fixé de manière arbitraire, en fonction de résultats d'observation précédents. Il peut être fixé lors de la mise en route du système. Il est également possible de calculer le seuil et de le calibrer, par exemple périodiquement, en fonction du trafic observé jusqu'à présent, en fonction d'événements comme la détection d'une nouvelle adresse MAC dans le réseau, 25 ou un événement spécifique qui déclenche le calibrage du seuil. Une fonction de calibrage possible se basera sur les trames observées jusqu'à présent et pourra avoir comme paramètre les paramètres utilisés par le procédé de détection de points d'accès simulés. De façon avantageuse, le réseau sans fil est de type IEEE 802.11 et les 30 trames sont des trames PROBE RESPONSE et BEACON. L'invention concerne aussi un dispositif de détection de point d'accès simulé dans un réseau sans fil, comprenant : 2903831 6 - des moyens de réception de la part d'une sonde de l'adresse de dispositif d'émission et des instants de réception par ladite sonde relatifs à des trames caractéristiques dudit réseau sans fil, - des moyens d'analyse des instants d'émission effectifs estimés desdites 5 trames, déduits des instants de réception desdites trames, et - des moyens de détection d'un point d'accès simulé lorsque l'analyse des instants d'émission effectifs estimés desdites trames révèle une violation des contraintes temporelles d'un système temps-réel. L'invention concerne également un système de détection de point 10 d'accès simulé dans un réseau sans fil, comprenant : - des moyens d'obtention de trames caractéristiques dudit réseau sans fil, - des moyens de mesure des instants de réception desdites trames, et - des moyens d'envoi de l'adresse de dispositif d'émission et des instants 15 de réception à un dispositif de détection. L'invention concerne aussi un programme d'ordinateur sur un support de données et chargeable dans la mémoire interne d'un ordinateur associé à un système de détection de point d'accès simulé dans un réseau sans fil, le programme comprenant des portions de code pour l'exécution des étapes du 20 procédé selon l'invention lorsque le programme est exécuté sur ledit ordinateur. L'invention concerne également un moyen de stockage de données partiellement ou totalement amovible, comportant des instructions de code de programme informatique pour l'exécution des étapes du procédé selon l'invention. 25 De nombreux détails et avantages de l'invention seront mieux compris à la lecture de la description d'un mode particulier de réalisation en référence aux schémas annexés donnés à titre non limitatif et dans lesquels : La figure 1 est un schéma synoptique d'un réseau sans fil dans lequel 30 l'invention est mise en oeuvre. La figure 2 présente les étapes du procédé de détection de points d'accès simulés selon l'invention. 2903831 7 La figure 3 est un exemple de système de détection selon un mode de réalisation de l'invention. La figure 4 est une première courbe de mesures qui illustre la mise en oeuvre du procédé selon l'invention. 5 La figure 5 est une seconde courbe qui illustre la mise en oeuvre du procédé selon l'invention ; une comparaison entre des mesures issues d'un point d'accès légitime et d'un point d'accès émulé est montrée. Par le terme trame , on désigne ici un ensemble de données formant 10 un bloc transmis dans un réseau et renfermant des données utiles et des informations de service, généralement situées dans une zone d'en-tête du bloc. Selon le contexte, une trame peut être qualifiée de paquet de données, de datagramme, de bloc de données, ou autre expression de ce type. Par extension, le terme trame désigne également les signaux physiques 15 correspondant à un tel ensemble de données, c'est-à-dire aussi bien un signal électromagnétique qu'un signal analogique obtenu en captant ce signal électromagnétique, ou qu'un signal numérique obtenu en numérisant ce signal analogique, ou autre. Tout d'abord, il convient de détailler certains types de trames 20 caractéristiques de points d'accès. Ces trames sont émises lors d'échanges avec un ou des clients, notamment lors d'une association d'un client à un point d'accès; l'association correspondant à la connexion d'un client au réseau par liaison radio. Ces trames sont conformes au procédé d'association d'un client à un point d'accès selon le standard 802.11. 25 Dans un premier déroulement classique d'association d'un client à un point d'accès, une première phase d'identification du point d'accès est réalisée de manière passive par le client qui cherche à s'associer à un point d'accès. Le client écoute un ou plusieurs canaux radio, de manière successive ou simultanée, pour rechercher des trames spécifiques, dites trames de balise. Les 30 trames de balise sont appelées trames "BEACON" dans le standard 802.11. Les trames BEACON sont envoyées régulièrement par le point d'accès et contiennent différentes informations parmi lesquelles : un identifiant du réseau 2903831 8 ("SSID", ou Service Set Identifier en anglais), l'adresse MAC du point d'accès, et des paramètres de communication utilisables par le point d'accès. Le client dispose ainsi des informations lui permettant d'entamer une communication avec le point d'accès et éventuellement de choisir le point d'accès le plus 5 approprié si plusieurs points d'accès sont détectés. Dans un second déroulement classique d'une association d'un client à un point d'accès, la phase d'identification est réalisée de manière active par le client, c'est notamment le cas lorsque les points d'accès fonctionnent en mode "caché". Le client envoie une trame de recherche de points d'accès, nommée 10 trame "PROBE REQUEST" dans le standard 802.11. Les trames PROBE REQUEST contiennent, entre autres, l'identifiant du réseau (SSID) recherché et l'adresse MAC du client. Un point d'accès correspondant au réseau demandé qui reçoit une trame PROBE REQUEST répond par l'envoi d'une trame PROBE RESPONSE qui comporte des informations parmi lesquelles : l'identifiant du 15 réseau (SSID), l'adresse MAC du point d'accès, l'adresse MAC du client, et des paramètres de communication utilisables par le point d'accès. Les trames BEACON et PROBE RESPONSE comprennent un paramètre, appelé "TIMESTAMP" dans la norme 802.11, qui est une étiquette temporelle. L'étiquette temporelle d'une trame comprend une information 20 temporelle relative à l'émission de cette trame, constituée ici de la valeur d'une horloge du point d'accès ayant émis la trame à l'instant d'émission de cette trame. L'horloge est généralement mise à zéro lors du démarrage du point d'accès. L'étiquette temporelle est générée par le programme pilote de la carte radio 802.11 à l'instant d'émission de la trame. Il est ainsi possible, par 25 exemple, de connaître depuis combien de temps le point d'accès a été démarré. Cette étiquette temporelle est obligatoire pour les trames de types BEACON et PROBE RESPONSE. Elle est codée sur 64 bits. Elle est exprimée en microsecondes, ce qui permet de représenter 264 microsecondes, soit environ 585000 années. Les trames BEACON sont envoyées régulièrement. Le 30 temps séparant deux trames BEACON correspond à un intervalle de temps fixe qui est indiqué par une information d'intervalle, appelée "BEACON INTERVAL" dans le standard 802.11, présente dans la trame. 2903831 9 Comme on va le voir, l'invention met en oeuvre l'analyse des instants d'émission estimés des trames émises par les points d'accès. Des sondes placées dans le réseau sans fil sont à l'écoute de la voie radio. Elles captent les trames qui circulent sur la voie radio et sont agencées pour mesurer les instants 5 de réception de ces trames. A partir des instants de réception des trames mesurés par les sondes, il est estimé les instants d'émission effectifs de ces trames. En effet, la différence entre l'instant d'émission et l'instant de réception d'une même trame correspond au temps de propagation sur la voie radio. Ce temps est généralement petit, voire négligeable, ou bien il est facilement 10 calculable à partir de la distance qui sépare un point d'accès d'une sonde; il est en tous cas constant lorsqu'on considère une sonde et un point d'accès immobiles. Ainsi l'instant d'émission estimé d'une trame est déduit de l'instant de réception de la trame par la sonde. Grâce à ces informations, il est alors possible d'identifier avec précision 15 qu'une trame a été émise par un point d'accès simulé, ou par un point d'accès authentique. L'invention repose sur une propriété importante des points d'accès authentiques : les points d'accès authentiques, dédiés à la fonction de point d'accès, ont des propriétés temps-réel que les systèmes d'exploitation, par exemple Linux, ne peuvent avoir du fait qu'ils ne sont pas dédiés à une fonction 20 particulière. Un système temps-réel se distingue d'un autre système informatique par la prise en compte de contraintes temporelles dont le respect est aussi important que la bonne exécution des tâches qui lui sont confiées, autrement dit le système temps-réel ne doit pas simplement exécuter ces tâches, il doit en outre les délivrer dans des délais imposés. Un point d'accès 25 authentique est dédié à sa fonction de point d'accès et possède intrinsèquement des propriétés temps-réel. Ainsi, la gestion des trames, émission et réception, est traitée en temps réel. Au contraire, un terminal, par exemple un "PC" (de l'anglais "Personal Computer") qui simule un point d'accès à l'aide d'une carte réseau paramétrée pour fonctionner comme un point 30 d'accès, émule le point d'accès à un niveau applicatif. L'application n'est pas maîtresse du moment où le système d'exploitation exécutera les commandes de l'application, par exemple l'émission de trames compatibles avec le standard 2903831 10 802.11. En pratique, un PC ne peut fonctionner en temps-réel car le système d'exploitation, par exemple Linux, qui le commande, doit gérer l'exécution d'un ensemble de tâches concurrentes. 5 L'invention est décrite ci-après dans son application particulière à la détection de points d'accès simulés dans un réseau sans fil de type 802.11. Le réseau 802.11 schématisé sur la figure 1 comporte un certain nombre de points d'accès authentiques 1 répartis sur la zone de couverture d'un réseau. Dans l'exemple représenté sur la figure 1, ces points d'accès 10 authentiques sont reliés à un réseau de type IP 2, qui peut être l'Internet ou un Intranet. Pour la mise en oeuvre de l'invention, plusieurs sondes WiFi 4, 4' sont déployées de façon à être à portée radio des points d'accès 1 et un dispositif 3 de détection de points d'accès simulés, ou superviseur 3 est relié soit directement, soit par l'intermédiaire du réseau IP 2 auxdites sondes WiFi 4, 4'. 15 Les sondes sont agencées pour capter les trames qui circulent sur la voie radio et transmettre des informations sur les trames captées au superviseur 3. Le superviseur 3 est agencé pour collecter, traiter les informations reçues des sondes 4, 4' et issues des trames BEACON et PROBE RESPONSE, et procèder à l'analyse de ces informations. Un client 6 est susceptible de 20 s'associer à un point d'accès par échanges de trames 802.11. Est également représenté sur la figure 1 un point d'accès simulé 5; le point d'accès simulé 5 est simulé logiciellement sur un PC non représenté, à l'aide d'une carte réseau 802.11, paramétrée pour fonctionner comme un point d'accès. Il émet des trames conformes au standard 802.11. 25 Dans un mode de réalisation préféré du procédé selon l'invention, les trames BEACON et PROBE RESPONSE sont analysées. Il est possible de traiter séparément les deux types de trames. Une mode de réalisation du procédé selon l'invention pour distinguer les 30 points d'accès simulés de points d'accès authentiques est illustrée par le schéma de la figure 2. 2903831 11 Dans une étape initiale 10, il est procédé à une écoute de la voie radio de manière passive. L'écoute peut se faire sur tous les canaux de la bande de fréquence utilisée selon le standard 802.11, ou sur un seul canal à la fois en effectuant des sauts de canal de façon régulière. Dans le cas de sauts de 5 canal, de nombreuses trames seront perdues. Cependant, comme les trames BEACON sont émises de manière répétitive, on recevra de toute façon des trames BEACON qui permettront de faire l'analyse. Dans une étape de test 11, consécutive à la réception d'une trame sur la voie radio, il est testé si la trame reçue est de type BEACON ou PROBE ~o RESPONSE. Si le résultat du test est positif, dans une étape 12 consécutive à la réception de la trame de type BEACON ou PROBE RESPONSE, il est procédé à l'identification des trames comprenant une même adresse de dispositif d'émission et à l'extraction d'informations comprises dans la trame reçue : 15 - adresse MAC du point d'accès émetteur ; - instant de réception de la trame. Cet instant, ou date, est mesuré par la sonde qui réalise la capture radio ; - étiquette temporelle en microsecondes, qui est contenue dans le champ TIMESTAMP de la trame reçue. La valeur de ce champ est positionnée 20 par le point d'accès lors de l'émission de la trame. Elle représente la date d'envoi de la trame. Si le résultat du test effectué à l'étape 11 est négatif, alors on se place dans l'étape initiale 10 d'écoute de la voie radio. Dans une étape 13, consécutive à l'extraction des informations de la 25 trame BEACON ou PROBE RESPONSE effectuée à l'étape 12, il est procédé au stockage de ces informations. Pour stocker les informations, on associe par exemple un tableau à une adresse MAC, ce tableau comprend N-lignes, et pour chaque ligne associée à une trame Li, 0 < i N, des cases pour stocker les éléments suivants : 30 "ArrivalTime" : instant de réception de la trame, en microsecondes, telle que fournie par la sonde qui réalise la capture radio. Cet instant est assimilé au temps d'émission effectif estimé de la trame. 2903831 12 "BSSTimestamp" : étiquette temporelle, en microsecondes, qui figure dans le champ TIMESTAMP de la trame reçue. "DeltaTime" : valeur calculée et correspondant à : Instant de réception de la trame courante Li û Instant de réception de la trame précédente Li-1, avec 5 i > 1. Soit, ArrivalTime Li ûArrivalTime Li-1. "DeltaBSS" : valeur calculée et correspondant à : étiquette temporelle de la trame Li û étiquette temporelle de la trame Li-1, avec i > 1. Soit BSSTimestamp_Li û BSSTimestamp Li-1. Dans le cas où le procédé est mis en oeuvre par un programme 10 d'instructions exécutables, les informations sont stockées dans une structure de données d'une mémoire non représentée. Dans une réalisation avantageuse de l'invention, et pour des raisons de performance, les valeurs DeltaTime_n et DeltaBSS_n seront hachées grâce à un algorithme de hachage connu. Suite aux étapes 10 à 13 correspondant à une phase A d'écoute de la 15 voie radio, de collecte, et de construction de la base d'informations à analyser, une phase d'analyse B desdites informations permet de détecter des points d'accès simulés. Dans une étape 14 de test il est vérifié si une analyse des informations stockées à l'étape 13 doit être effectuée. Le test peut porter par exemple, sur la 20 taille d'un échantillon de trames captées, sur la date à laquelle une précédente phase d'analyse a eu lieu, sur une commande d'un administrateur en charge de mettre en oeuvre le procédé selon l'invention. Si le résultat du test est négatif, alors on se place dans l'étape initiale 10 d'écoute de la voie radio. Si le résultat du test effectué à l'étape 14 est positif alors il est procédé, 25 dans une étape 15, à une analyse des informations stockées à l'étape 13 en vue de détecter des points d'accès simulés. L'analyse repose sur le principe de cohérence des instants d'émission effectifs estimés des trames. Les instants d'émission effectifs estimés sont assimilés aux instants de réception des trames au niveau des sondes WiFi. 30 L'analyse peut être faite de différentes façons : analyse des instants d'émission effectifs estimés de trames successives. Cette analyse est pertinente pour les trames BEACON 2903831 13 puisqu'elles sont émises à intervalles réguliers. Ainsi, elles seront également reçues à intervalles réguliers. Une observation qui révèlerait des écarts entre des émissions successives de trame par rapport à l'intervalle qui sépare l'envoi de deux trames successives serait suspicieuse. La valeur de cet intervalle est 5 précisée dans le paramètre INTERVAL BEACON des trames BEACON. - analyse de la différence entre l'instant d'émission effectif estimé d'une trame et l'étiquette temporelle de la même trame tel qu'elle figure dans le paramètre TIMESTAMP de ladite trame. Cette différence doit être proche de zéro. En effet, elle doit être égale au temps de propagation radio puisque le 10 paramètre TIMESTAMP représente la date d'envoi de la trame tel que précisé par le point d'accès. - analyse de la différence entre la durée qui sépare l'arrivée de deux trames successives, et la durée qui sépare la date d'envoi de ces deux trames. La durée qui sépare la date d'envoi de deux trames est calculée à partir du 15 paramètre TIMESTAMP des trames. La différence entre les durées doit être nulle, puisque le temps de propagation est le même pour les deux trames successives. Ainsi, la cohérence peut être mesurée par observation des instants d'émission effectifs estimés des trames captées par les sondes sur le réseau 20 sans fil. Pour mener à bien l'étape 15, il est nécessaire de choisir au préalable une fonctionstatistique f et une taille n de l'échantillon sur lequel appliquer la fonction. Le choix de la fonction f et de la taille n de l'échantillon permettent d'obtenir une analyse fine issue de l'observation réelle du trafic et de réduire le 25 taux de faux positifs. Il est également nécessaire de choisir parmi les informations disponibles dans la base d'informations construite à l'étape 13 deux paramètres notés X et Y à comparer parmi les éléments stockés. Ainsi, les paramètres X et Y peuvent prendre les valeurs ArrivalTime, BSSTimestamp, DeltaTime, ou DeItaBSS. On notera X _k et Y_k les paramètres relatifs à la 30 trame k. Pour être comparables, les paramètres doivent porter sur le même type d'information. Ainsi, si le premier paramètre correspond à une durée, DeltaTime ou DeItaBSS, alors le second paramètre portera également sur une 2903831 14 durée. Si le premier paramètre correspond à un instant, ArrivalTime ou BSSTimeStamp, alors le second paramètre portera également sur un instant. Si les paramètres X et Y sont les mêmes, alors ils porteront sur deux trames successives. S'ils sont différents, ils porteront sur les mêmes trames. On note 5 k1 et k2 les positions des trames dans le tableau ; k1 et k2 peuvent valoir k pour la trame courante, ou k-1 pour la trame précédente. Enfin, il est nécessaire de choisir un seuil s de déclenchement. Ainsi une propriété à vérifier pour évaluer la cohérence entre les dates et est représentée par la formule suivante : f(X k1 û X k2 û C) < s, où C est une constante. 10 Pratiquement, le seuil s est relativement petit, de l'ordre de 50 millisecondes et toujours inférieur au dixième de seconde. Cependant, pour des raisons évidentes d'adaptation à un environnement particulier, où des points d'accès peuvent avoir, selon leur type, des caractéristiques différentes, en termes de performance par exemple, il est possible pour l'administrateur 15 d'affiner le seuil s. Dans une étape 16 de vérification de la propriété, il est vérifié si le seuil s est dépassé pour l'échantillon, la fonction, et les paramètres X et Y choisis à l'étape 15. Si le seuil s est dépassé et donc, que la propriété n'est pas vérifiée, alors un fonctionnement anormal a été observé pour une adresse MAC. Plus 20 précisément, une incohérence sur les instants d'émission effectifs estimés des trames émises par le point d'accès qui a cette adresse MAC, a été observée. On suppose que les horloges des points d'accès et des sondes en écoute sur la voie radio fonctionnent de la même manière, même si elles ne sont pas synchronisées sur la même date. Dans une réalisation alternative de l'invention, 25 les horloges des sondes et des points d'accès sont synchronisés avec un service de temps connu de type "NTP" (de l'anglais "Network Time Protocol"). Si le seuil s est dépassé dans l'étape de vérification 16, alors il est déclenché une alarme dans une étape 17. Un autre avantage du procédé selon l'invention est qu'il peut également 30 être utilisé pour détecter des attaques par usurpation d'adresses MAC. En effet, si l'adresse d'un premier point d'accès authentique et légitime est usurpée par un second point d'accès authentique et illégitime, les trames issues des premier 2903831 15 et second points d'accès authentiques seront stockées dans un tableau qui concerne la même adresse MAC et seront analysées comme si elles émanaient du même point d'accès. De nombreuses incohérences seront révélées par l'analyse car par définition, les trames successives émanant de deux points 5 d'accès différents n'ont a priori aucune raison d'être cohérentes. Des exemples de fonction, de taille d'échantillon et de choix de paramètres permettront d'illustrer l'étape 15. Un exemple de fonction statistique est la valeur absolue. La taille n de 10 l'échantillon est 2, et des instanciations possibles de la formule présentée ci-avant sont les suivantes : f=valeur absolue, X=DeltaTime, Y=DeItaBSS, k1=k2=k, n=2 ; la propriété à vérifier est : valeur absolue (DeltaTime_k û DeItaBSS_k) < s; la constante C est nulle. 15 Cette valeur doit être égale à zéro puisque DeltaTime_k représente la durée qui sépare les instants d'arrivée de deux trames successives, et DeItaBSS_k la durée qui sépare les dates d'envoi de ces deux trames. Dans le cas d'un point d'accès authentique, ces durées sont identiques. f=valeur absolue, X=ArrivalTime, Y=BSSTimestamp, k1=k2=k, n=2 ; la 20 propriété à vérifier est donc : valeur absolue (ArrivalTime_k û BSSTimestamp_k) < s; la constante C est nulle. Cette valeur représente la différence entre l'instant d'émission estimé effectif d'une trame mesurée par la sonde, et la date d'envoi de cette trame 25 précisée par le point d'accès. La différence doit correspondre au temps de propagation radio. Elle doit donc être proche de zéro, voire égale à zéro. L'exemple suivant s'applique aux trames BEACON uniquement : f=valeur absolue, X=ArrivalTime, Y=ArrivalTime, k1=k-1, k2=k, n=2 ; la propriété à vérifier est donc : 30 valeur absolue (ArrivalTime_k-1 û ArrivalTime_k ûBEACON INTERVAL) < s; Les trames BEACON étant émises à intervalle régulier, la différence entre les instants d'émission estimés de deux trames successives doit être 2903831 16 égale à la valeur de cet intervalle. La valeur de l'intervalle est BEACON INTERVAL. On connaît de la demande publiée sous le n WO2006035140 un procédé de détection d'usurpation d'adresse MAC basé sur la différence entre les 5 étiquettes temporelles de trames BEACON émises par un dispositif identifié par une adresse MAC. Selon le procédé décrit dans la demande, cette différence, pour deux trames non forcément successives, doit être égale à un multiple de BEACON INTERVAL. Cependant ce procédé est sujet aux faux positifs. En effet, il peut se produire un léger glissement dans le temps lors de l'envoi des 10 trames ; la valeur précisée dans le paramètre TIMESTAMP des trames tient compte de ce léger glissement dans le temps. Ainsi, la mesure préconisée par le procédé de la demande entre deux trames non successives pourra ne pas être strictement égal à un multiple de BEACON INTERVAL. Disposant des informations relatives aux instants d'émission, il est possible d'améliorer le taux 15 de faux positifs en appliquant le procédé selon l'invention aux instants d'émission. Ainsi, en prenant par exemple la fonction statistique f valeur absolue, X=BSSTimestamp, Y=BSSTimestamp, kl=k-1, k2=k, n=2, la propriété à vérifier est: valeur absolue (BSSTimestamp_k-1 û BSSTimestamp_k û BEACON 20 INTERVAL) < s; Un autre exemple de fonction statistique est la variance. La taille n de l'échantillon est par exemple 50 et une instanciation possible de la formule présentée ci-avant est la suivante : 25 f=variance, X=DeltaTime, Y=DeltaBSS, k1=k2=k, n=50 ; la propriété à vérifier est donc : variance (50 trames)(DeltaTime_k û DeltaBSS_k) < s. D'autres exemples de fonctions statistiques et de taille d'échantillons sont possibles : 30 Une fonction statistique de type écart-type avec une taille d'échantillon, par exemple de 30 ; une fonction statistique de type moyenne avec une taille d'échantillon, par exemple de 10 ; une fonction statistique de type médiane 2903831 17 avec une taille d'échantillon par exemple de 20 ; une fonction statistique de type moyenne des 5 maxima sur les n trames précédentes, n étant la taille de l'échantillon, par exemple 50. L'invention n'est bien sûr pas limitée aux exemples ci-dessus. 5 Lorsque l'analyse ne porte que sur les trames BEACON du tableau, il est possible, pour des raisons de performances, d'appliquer un masque sur la base d'informations afin de ne présenter que les trames BEACON. Dans ce cas, les valeurs DeltaTime et DeItaBSS sont calculées pour les trames BEACON uniquement. 10 Dans une réalisation alternative de l'invention, la phase d'analyse B se déroule en parallèle de la phase d'écoute A de la voie radio et de construction de la base d'informations, lorsque par exemple un échantillon suffisamment important d'informations aura été collecté. La taille de l'échantillon correspond au nombre de trames pour lesquelles toutes les informations stockées à l'étape 15 4 ont pu être renseignées. La taille de l'échantillon sera paramétrée par l'administrateur, et dépendra d'un taux de réussite souhaité. La taille minimale de l'échantillon est de 2 et la taille maximale importante, par exemple 1000, ou plus. On estime qu'avec un échantillon d'informations de 50, on parvient à un taux de réussite très satisfaisant. Il est à noter que la première trame reçue ne 20 permet pas de renseigner les éléments DeltaTime et DeItaBSS, car la trame précédente n'existe pas. Les techniques de détection, comme celle décrite à la figure 2, sont sujettes aux faux positifs. C'est inhérent à toute technique de détection. Cependant certaines techniques étant plus fiables que d'autres, il est possible 25 d'attribuer à chacune un poids différent. Une corrélation consiste donc à réaliser une fonction de détection globale qui dépende à la fois du résultat de chacune des techniques de détection pondéré par le poids de ces dernières. Il est alors possible de réaliser une corrélation en sortie de l'analyseur en fonction des poids, afin d'augmenter la confiance dans l'alerte qui sera levée, car elle sera 30 corrélée à d'autres. Dans cette réalisation de l'invention le seuil est une valeur prédéfinie. Dans une réalisation alternative de l'invention, le seuil est calculé grâce à une 2903831 18 fonction dite de calibrage. Ainsi, la valeur du seuil est calibrée, c'est-à-dire qu'elle s'adapte à, par exemple, un trafic réel observé sur la voie radio. Le seuil est ainsi affiné et calculé au mieux en fonction du trafic. Des fonctions de calibrage de seuil sont par exemple définies par les formules suivantes : 5 seuil=2*moyenne(ArrivalTime), calculé à partir des 50 premières trames reçues; seuil=3*médiane(DeltaBSS), calculé à partir des 10 premières trames reçues. Ainsi le seuil est fonction de l'observation d'un échantillon de taille 10 prédéterminée. Le seuil peut se calibrer lors de la mise en route du système, ou périodiquement, ou pour toute nouvelle adresse MAC détectée, ou en fonction d'un événement déclencheur de ce calibrage. 15 La figure 3 illustre une architecture d'un système de détection de points d'accès simulés selon un mode de réalisation de l'invention. Comme représenté sur la figure 3, chaque sonde 4, 4' comprend un dispositif d'écoute passive de la voie radio. Elle comporte des moyens de transmission, par exemple des circuits 40 et 40', pour l'interface avec la partie 20 filaire du réseau, et des circuits 41, 41' pour appliquer des traitements de réception aux signaux captés par l'antenne 42, 42' de la sonde. Les sondes 4, 4' comprennent également des processeurs 43, 43' qui exécutent des programmes mettant en oeuvre la partie réception des protocoles 802.11, notamment du protocole MAC. 25 Chaque sonde 4, 4' envoie des événements El, El', E2, E2' vers le superviseur 3, chaque événement correspondant à une trame captée par la sonde. Dans cet exemple, chaque sonde 4, 4' envoie un événement pour chaque trame captée. Chaque événement comprend l'instant auquel la trame a été captée par la sonde, l'adresse MAC de la source qui a émis la trame, le 30 paramètre TIMESTAMP, ou étiquette temporelle, de la trame et le type de la trame. Les sondes 4, 4' captant une trame donnée sensiblement au même 2903831 19 moment, on peut associer un seul instant de capture à chaque ensemble d'événements (El, El') et (E2, E2'). Le superviseur 3 comprend des moyens de réception 30 qui reçoivent, via des liaisons 6, 6' reliant les sondes 4, 4' au superviseur 3, les ensembles 5 d'événements (El, El') et (E2, E2') envoyés par les sondes 4, 4'. Après réception, les événements sont transmis à des moyens de gestion 31 pour stockage. Les informations pertinentes associées aux événements reçus sont temporairement stockées dans une structure de données non représentée 10 associée par exemple à chaque adresse MAC. La structure de donnée est par exemple un tableau. Les informations pertinentes comprennent l'instant d'arrivée de la trame, l'étiquette temporelle contenue dans le paramètre TIMESTAMP de la trame. Des informations sont calculées à partir des informations pertinentes et stockées également dans ladite structure de 15 données. Ces informations calculées comprennent la différence entre les instants d'arrivée de deux trames successives, la différence entre les étiquettes temporelles de deux trames successives. Les moyens de gestion 31 peuvent incorporer des moyens de sélection pour choisir les types de trame sur lesquels une analyse sera effectuée. Les 20 moyens de sélection peuvent par exemple comprendre un masque à appliquer sur le tableau de données afin de ne présenter, en vue de l'analyse, que les trames de type BEACON. Dans ce cas, les informations issues des informations pertinentes sont calculées après application du masque; elles ne porteront dans ce cas que sur les trames BEACON. 25 Le
superviseur 3 comprend également des moyens d'analyse 32 agencés pour choisir et appliquer une ou plusieurs métriques définies par le procédé selon l'invention sur les données stockées dans le tableau fourni par les moyens de gestion 31. Le superviseur 3 comprend en outre des moyens de détection 33, 30 agencés pour lever une alarme lorsqu'il est détecté des incohérences dans les données stockées dans le tableau par les moyens d'analyse 32.
2903831 20 Dans une réalisation alternative de l'invention non représentée, les moyens de gestion et d'analyse sont situés dans les sondes 4, 4'. Celles-ci remontent au superviseur 3 des alarmes levées par les sondes suite à la détection d'événements suspicieux. Le superviseur gère la réception des 5 alarmes levées par les sondes. Il associe notamment une seule alarme à des alarmes levées et reçues par des sondes différentes, qui correspondent à la détection des mêmes événements suspicieux. La figure 4 illustre la mise en oeuvre du procédé selon l'invention dans un 10 environnement 802.11 réel. Le procédé est implémenté au niveau d'une sonde 802.11. La figure 4 illustre la représentation de la base d'informations, plus précisément de la formule DeltaTime_k û DeItaBSS_k pour une adresse MAC pendant une période d'observation. L'abscisse représente les échantillons collectés et l'ordonnée représente la formule (en millisecondes).
15 On constate de nombreuses oscillations avec un pic jusqu'à 70 millisecondes. Ces oscillations résultent du caractère non temps-réel d'un système d'exploitation d'un PC depuis lequel sont envoyées les trames 802.11. Il s'avère que le point d'accès observé est bien un point d'accès simulé.
20 La figure 5 illustre un deuxième exemple de mise en oeuvre du procédé selon l'invention. La courbe illustre ici la même formule que précédemment appliquée en observant les trames émises par un point d'accès authentique (courbe MAC1) et un point d'accès simulé (courbe MAC2). On constate que la courbe MAC1 est plate et tend vers O. Cette courbe correspond à ce que l'on 25 attend de la part d'un point d'accès authentique possédant des capacités temps-réel intrinsèques. Cette courbe est bien celle associée au point d'accès authentique. La courbe MAC2 présente de nombreuses oscillations. Il s'agit de la courbe associée au point d'accès simulé.
30 On constate sur la figure 5 un léger décalage, d'à peu près 2 millisecondes entre les deux courbes MAC1 et MAC2. Ce décalage témoigne d'un retard à l'émission de la trame par le point d'accès simulé.
Claims (9)
1. Procédé de détection de points d'accès simulés dans un réseau sans fil, caractérisé en ce qu'il comprend les étapes de : - obtention (10, 11) de trames caractéristiques dudit réseau sans fil, - mesure (12) des instants de réception desdites trames et identification des trames comprenant une même adresse de dispositif d'émission, - analyse (15) des instants d'émission effectifs estimés desdites trames, déduits des instants de réception desdites trames, et - détection (16) d'un point d'accès simulé lorsque l'analyse des instants d'émission effectifs estimés desdites trames révèle une violation des contraintes temporelles d'un système temps-réel.
2. Procédé selon la revendication 1, dans lequel l'étape d'analyse (15) 15 prend en compte en outre des étiquettes temporelles comprises dans les trames et censées représenter les dates d'envoi desdites trames.
3. Procédé selon la revendication 1 ou la revendication 2, dans lequel, en vue de ladite étape d'analyse (15) il a été choisi une fonction statistique (f), un 20 nombre (n) de trames sur lequel porte l'analyse, des paramètres propres auxdites trames issues du dispositif d'émission et un seuil (s) prédéfini, ladite fonction statistique (f) étant appliquée auxdits paramètres pendant l'étape d'analyse (15), et ledit dispositif d'émission étant considéré comme un point d'accès simulé lorsque le résultat de la fonction (f) ne respecte pas le seuil (s) 25 prédéfini.
4. Procédé selon l'une des revendications précédentes, dans lequel le seuil (s) prédéfini est calibré en fonction d'une observation d'un échantillon de trames de taille prédéterminée. 30 2903831 22
5. Procédé selon l'une des revendications précédentes, dans lequel le réseau sans fil est de type IEEE 802.11 et les trames sont des trames PROBE RESPONSE et BEACON. 5
6. Dispositif de détection (3) de point d'accès simulé dans un réseau sans fil, comprenant : - des moyens (30) de réception de la part d'une sonde (4) de l'adresse de dispositif d'émission et des instants de réception par ladite sonde (4) relatifs à des trames caractéristiques dudit réseau sans fil, 10 - des moyens (32) d'analyse des instants d'émission effectifs estimés desdites trames, déduits des instants de réception desdites trames, et - des moyens (33) de détection d'un point d'accès simulé lorsque l'analyse des instants d'émission effectifs estimés desdites trames révèle une violation des contraintes temporelles d'un système temps-réel.
7. Système de détection de point d'accès simulé dans un réseau sans fil, comprenant : - des moyens (42, 42') d'obtention de trames caractéristiques dudit réseau sans fil, - des moyens (41, 41') de mesure des instants de réception desdites trames, et - des moyens (40, 40') d'envoi de l'adresse de dispositif d'émission et des instants de réception à un dispositif de détection (3).
8. Programme d'ordinateur sur un support de données et chargeable dans la mémoire interne d'un ordinateur associé à un système de détection de point d'accès simulé dans un réseau sans fil, le programme comprenant des portions de code pour l'exécution des étapes du procédé selon l'une quelconque des revendications 1 à 5 lorsque le programme est exécuté sur ledit ordinateur. 2903831 23
9. Moyen de stockage de données partiellement ou totalement amovible, comportant des instructions de code de programme informatique pour l'exécution des étapes d'un procédé selon l'une quelconque des revendications 1 à5. 5
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0652930A FR2903831A1 (fr) | 2006-07-12 | 2006-07-12 | Procede de detection de points d'acces simules dans un reseau sans fil |
| PCT/FR2007/051465 WO2008006997A1 (fr) | 2006-07-12 | 2007-06-19 | Procédé de détection de points d'accès simulés dans un réseau sans fil |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0652930A FR2903831A1 (fr) | 2006-07-12 | 2006-07-12 | Procede de detection de points d'acces simules dans un reseau sans fil |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| FR2903831A1 true FR2903831A1 (fr) | 2008-01-18 |
Family
ID=37421047
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR0652930A Withdrawn FR2903831A1 (fr) | 2006-07-12 | 2006-07-12 | Procede de detection de points d'acces simules dans un reseau sans fil |
Country Status (2)
| Country | Link |
|---|---|
| FR (1) | FR2903831A1 (fr) |
| WO (1) | WO2008006997A1 (fr) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109446801B (zh) * | 2018-10-22 | 2021-05-28 | 武汉极意网络科技有限公司 | 检测模拟器访问的方法、装置、服务器及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005018162A1 (fr) * | 2003-07-28 | 2005-02-24 | Cisco Technology, Inc. | Procede, appareil et produit logiciel pour detecter des points d'acces non autorises dans un reseau sans fil |
| WO2006035140A1 (fr) * | 2004-09-30 | 2006-04-06 | France Telecom | Procede, dispositif et programme de detection d'usurpation de point d'acces. |
-
2006
- 2006-07-12 FR FR0652930A patent/FR2903831A1/fr not_active Withdrawn
-
2007
- 2007-06-19 WO PCT/FR2007/051465 patent/WO2008006997A1/fr active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005018162A1 (fr) * | 2003-07-28 | 2005-02-24 | Cisco Technology, Inc. | Procede, appareil et produit logiciel pour detecter des points d'acces non autorises dans un reseau sans fil |
| WO2006035140A1 (fr) * | 2004-09-30 | 2006-04-06 | France Telecom | Procede, dispositif et programme de detection d'usurpation de point d'acces. |
Non-Patent Citations (1)
| Title |
|---|
| KOHNO T ET AL: "Remote Physical Device Fingerprinting", SECURITY AND PRIVACY, 2005 IEEE SYMPOSIUM ON OAKLAND, CA, USA 08-11 MAY 2005, PISCATAWAY, NJ, USA,IEEE, 8 May 2005 (2005-05-08), pages 211 - 225, XP010798374, ISBN: 0-7695-2339-0 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2008006997A1 (fr) | 2008-01-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2583484B1 (fr) | Procédé de sécurisation d'une communication sans fil, dispositif récepteur et système de communication mettant en oeuvre ce procédé | |
| US9462449B2 (en) | Method and device for fingerprinting of wireless communication devices | |
| EP1794934A1 (fr) | Procede, dispositif et programme de detection d'usurpation de point d'acces. | |
| EP1842389A1 (fr) | Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil | |
| CN110650067A (zh) | 一种宽带网络性能测试评估方法和系统 | |
| FR2683326A1 (fr) | Procede d'interrogation d'un repondeur radar et repondeur pour la mise en óoeuvre du procede. | |
| US20150249589A1 (en) | Method and apparatus for determining automatic scanning action | |
| FR3107413A1 (fr) | Méthode d’allocation de ressources pour système de communication à étalement de spectre | |
| EP1849261A1 (fr) | Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil | |
| EP3357261B1 (fr) | Dispositif pour l'association d'un identifiant de téléphonie mobile et d'un identifiant de réseau informatique | |
| US20080046549A1 (en) | Methods and systems for passive information discovery using lomb periodogram processing | |
| FR2903831A1 (fr) | Procede de detection de points d'acces simules dans un reseau sans fil | |
| FR3072796A1 (fr) | Procede de geolocalisation d'objets connectes, objet connecte, terminal et systeme associes. | |
| EP3335438B1 (fr) | Procédés d'analyse de ressources fréquentielles et de sélection de fréquence d'émission dans un système de communication sans fil | |
| EP2359535B1 (fr) | Procédé de mesure des performances d'un réseau ip et système associé | |
| WO2021069580A1 (fr) | Procede de generation d'une preuve numerique de l'emission d'un message par une etiquette radio uwb, systeme associe | |
| WO2014001708A1 (fr) | Procede d'authentification de paquets de donnees recus par une station d'un systeme de telecommunications numerique | |
| WO2021122291A1 (fr) | Procede et dispositif de detection d'equipement intrus | |
| WO2021191537A1 (fr) | Procédé de detection d'un drone embarquant un équipement utilisateur, équipements et programmes d'ordinateurs correspondants | |
| WO2021123374A1 (fr) | Procede et systeme d'auto-localisation a partir d'ondes radioelectriques, programme et support de programme correspondants | |
| JP7521706B2 (ja) | 生産性を測定するための方法、装置及びプログラム | |
| EP1881435A1 (fr) | Procédé et dispositif de detection d'attaques de réseau par déterminer des correlations temporelles de données | |
| Lackner et al. | Ieee 802.11 chipset fingerprinting by the measurement of timing characteristics | |
| FR3061392A1 (fr) | Procede de controle de presence et systeme de surveillance | |
| EP2728909A1 (fr) | Procédé d' obtention d'échantillons numerises de signaux radio, procédé de traitement d' une requête de recherche d'échantillons, procédé de traitement de signaux radio, dispositifs et équipements associés |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| ST | Notification of lapse |
Effective date: 20080331 |