FR2907998A1 - Data packet control device for e.g. asymmetric digital subscriber line network, has processing module associating replacement address with extracted packet, where address is allocated to packet equipment so that router routes to address - Google Patents

Data packet control device for e.g. asymmetric digital subscriber line network, has processing module associating replacement address with extracted packet, where address is allocated to packet equipment so that router routes to address Download PDF

Info

Publication number
FR2907998A1
FR2907998A1 FR0654592A FR0654592A FR2907998A1 FR 2907998 A1 FR2907998 A1 FR 2907998A1 FR 0654592 A FR0654592 A FR 0654592A FR 0654592 A FR0654592 A FR 0654592A FR 2907998 A1 FR2907998 A1 FR 2907998A1
Authority
FR
France
Prior art keywords
packet
router
address
destination address
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0654592A
Other languages
French (fr)
Other versions
FR2907998B1 (en
Inventor
Olivier Marce
Francois Taburet
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel Lucent SAS
Original Assignee
Alcatel SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel SA filed Critical Alcatel SA
Priority to FR0654592A priority Critical patent/FR2907998B1/en
Priority to EP07821869A priority patent/EP2087688A2/en
Priority to PCT/EP2007/061506 priority patent/WO2008049908A2/en
Publication of FR2907998A1 publication Critical patent/FR2907998A1/en
Application granted granted Critical
Publication of FR2907998B1 publication Critical patent/FR2907998B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/60Router architectures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The device (D) has a control module (MC) for extracting a data packet containing a header with a non-allocated or inaccessible destination address in case of determination of the address by an analysis module (MA). A processing module (MT) associates a chosen replacement destination address with the packet extracted by the control module, where the replacement address is allocated to a packet analysis equipment e.g. honeypot equipment, such that a router (R1) routes to the associated replacement destination address.

Description

2907998 DISPOSITIF DE CONTRâLE DE PAQUETS, POUR UN ROUTEUR D'UN RÉSEAU DE2907998 PACKET CONTROL DEVICE FOR A ROUTER OF A NETWORK OF

COMMUNICATION, EN VUE DU ROUTAGE DE PAQUETS SUSPECTS VERS DES ÉQUIPEMENTS D'ANALYSE DÉDIÉS L'invention concerne les réseaux de communication capables de transmettre des paquets de données, et plus précisément le routage de paquets au sein de tels réseaux. De nombreux équipements de communication, rattachés à des lo réseaux de communication, sont l'objet, généralement via l'Internet, d'attaques informatiques au moyen de trafics d'attaque (constitués de paquets de données définissant, par exemple, un virus, un vers ou un cheval de Troie) générés par des personnes mal intentionnées. Il est rappelé qu'il existe des dispositifs de balayage d'adresses ls permettant de générer de façon automatisée n'importe quelle adresse de destination (par exemple IP) et donc de transmettre des trafics (paquets) d'attaque vers toutes les adresses de destination (IP) possibles, ou au moins vers un sous-groupe important de l'ensemble des adresses de destination (IP).  The invention relates to communication networks capable of transmitting data packets, and more specifically the routing of packets within such networks. Many communication devices, attached to lo communication networks, are the object, usually via the Internet, of computer attacks by means of attack traffic (consisting of data packets defining, for example, a virus, a worm or Trojan horse) generated by malicious people. It is recalled that there are address scanning devices ls for automatically generating any destination address (for example IP) and therefore transmit traffic (packets) attack to all addresses of destination (IP), or at least to a large subgroup of the set of destination (IP) addresses.

20 Comme le sait l'homme de l'art, il a été proposé d'équiper les réseaux (de communication) d'équipements d'analyse (appelés honeypots ) dédiés à la détection et l'analyse des trafics d'attaque, à la compréhension des attaques définies par ces trafics d'attaque et si possible à la génération de signatures caractéristiques de ces attaques et utiles aux systèmes de 25 détection d'intrusion (ou IDS (pour Intrusion Detection System )). Ces équipements honeypots sont généralement connectés à l'Internet et disposent chacun d'une adresse IP ( Internet Protocol ) qui n'est habituellement pas rendue publique. Par conséquent, toute tentative de connexion à un tel équipement est considérée comme suspecte et comme 30 une attaque potentielle. II est donc important que le plus grand nombre possible de trafics d'attaque parviennent au niveau des équipements de type honeypot afin de 2907998 2 pouvoir contrer le plus vite possible leurs attaques. Plusieurs solutions ont été proposées à cet effet. Une première solution consiste à multiplier le nombre d'équipements de type honeypot dans le plus grand nombre de réseaux possible, de sorte que chacun d'entre eux reçoive automatiquement les trafics d'attaque visant sa propre adresse IP. Mais, une telle solution est coûteuse et difficile à gérer. Une deuxième solution consiste à rendre chaque équipement de type honeypot accessible par plusieurs adresses IP. Cela permet de recevoir de nombreuses attaques, puis de les analyser dans un même équipement et de corréler les attaques. Cependant, de par la conception d'un réseau IP un équipement de type honeypot ne peut recevoir et analyser que les trafics d'attaque qui visent une adresse IP du ou des réseaux pour lesquels il travaille. Afin de pouvoir recevoir et analyser de très nombreux trafics d'attaque il doit donc être rattaché à plusieurs réseaux ( multi-homed ), ce qui nécessite qu'il puisse être joint au moyen de plusieurs adresses réseau différentes. Cette contrainte limite fortement l'aptitude d'un équipement de type honeypot au changement d'échelle, étant donné qu'il est difficile d'obtenir pour un même équipement de multiples accès réseau (cela nécessite plusieurs liaisons, éventuellement virtuelles). En outre, comme le nombre d'adresses IP d'un équipement de type honeypot dépend du nombre de réseaux auxquels il est rattaché, sa détection est facilitée. Or, dès qu'un équipement de type honeypot est détecté, il devient inutile et il compromet la confiance que l'on peut avoir dans ses analyses étant donné qu'il peut faire l'objet d'attaques trompeuses destinées à le surcharger en même temps que les IDSs qu'il alimente en signatures. Une troisième solution consiste à implanter en divers endroits de l'Internet des équipements appelés funnel . Ces équipements sont chargés de recevoir les trafics d'attaque sur leur propre adresse ou sur des plages d'adresse qui leurs sont respectivement allouées, et de transférer ces trafics d'attaque reçus vers un équipement de type honeypot (généralement via un canal de transmission de type tunnel). Cette solution est avantageuse, car lorsqu'un équipement de type funnel est détecté, il ne compromet pas l'ensemble du système de détection d'attaques. En outre, elle ne nécessite de 2907998 3 gérer qu'un nombre restreint d'équipements de type honeypot. Mais, elle nécessite d'installer au moins un équipement de type funnel dans chaque réseau où se trouve implanté un équipement de type honeypot, ce qui est onéreux du fait du nombre d'équipements à déployer et du fait des frais de 5 déploiement et de gestion de l'ensemble desdits équipements. Aucune solution connue n'apportant une entière satisfaction, l'invention a donc pour but d'améliorer la situation. Elle propose à cet effet un dispositif de contrôle destiné à être couplé à, ou à faire partie (au moins partiellement) d'un, routeur de réseau de lo communication comprenant des moyens d'analyse chargés de déterminer dans l'entête d'un paquet de données, qu'il vient de recevoir, l'adresse de destination qu'il contient, en vue du routage de ce paquet vers cette adresse de destination. L'invention s'applique donc à tout réseau à paquet routé sur l'adresse de destination, et s'applique donc particulièrement bien aux réseaux 15 de type IP. Ce dispositif de contrôle se caractérise par le fait qu'il comprend : des moyens de contrôle chargés, lorsque les moyens d'analyse du routeur ont déterminé dans un entête une adresse de destination non attribuée ou inaccessible, d'extraire le paquet contenant cet entête, et 20 des moyens de traitement chargés d'associer à un paquet extrait par les moyens de contrôle une adresse de destination de remplacement choisie, qui a été attribuée à un équipement d'analyse de paquets, par exemple de type honeypot, de sorte que le routeur le route vers cette adresse de destination de remplacement associée.As known to those skilled in the art, it has been proposed to equip communication networks with analysis equipment (called honeypots) dedicated to the detection and analysis of attack traffic. the understanding of the attacks defined by these attack traffic and if possible the generation of signatures characteristic of these attacks and useful intrusion detection systems (or IDS (Intrusion Detection System)). These honeypot devices are typically connected to the Internet and each have an Internet Protocol (IP) address that is not usually made public. Therefore, any attempt to connect to such equipment is considered suspicious and as a potential attack. It is therefore important that the greatest possible number of attack traffic reaches the level of honeypot-type equipment in order to be able to counter their attacks as quickly as possible. Several solutions have been proposed for this purpose. A first solution is to multiply the number of honeypot devices in the largest possible number of networks, so that each of them automatically receives attack traffic targeting its own IP address. But, such a solution is expensive and difficult to manage. A second solution consists in making each honeypot type of equipment accessible by several IP addresses. This allows to receive numerous attacks, then to analyze them in the same equipment and to correlate the attacks. However, by the design of an IP network a honeypot type of equipment can receive and analyze only attack traffic targeting an IP address of the network or networks for which it works. In order to be able to receive and analyze a large number of attack traffic, it must therefore be attached to several networks (multi-homed), which requires that it can be reached by means of several different network addresses. This constraint strongly limits the ability of a honeypot-type device to scale up, since it is difficult to obtain for the same equipment multiple network accesses (this requires several links, possibly virtual). In addition, since the number of IP addresses of a honeypot device depends on the number of networks to which it is attached, its detection is facilitated. However, as soon as a honeypot-type device is detected, it becomes useless and it compromises the confidence that one can have in its analyzes since it can be the object of misleading attacks intended to overload it at the same time. time as the IDSs that it feeds into signatures. A third solution is to implement in various places of the Internet equipment called funnel. These devices are responsible for receiving the attack traffic on their own address or address ranges which are respectively allocated to them, and to transfer these received attack traffic to a honeypot type of equipment (generally via a transmission channel tunnel type). This solution is advantageous because when a funnel-type device is detected, it does not compromise the entire attack detection system. In addition, it requires only a limited number of honeypot-type equipment. However, it requires the installation of at least one funnel-type equipment in each network where honeypot-type equipment is installed, which is expensive because of the number of equipment to be deployed and because of the costs of deployment and deployment. management of all said equipment. Since no known solution is entirely satisfactory, the purpose of the invention is therefore to improve the situation. It proposes for this purpose a control device intended to be coupled to, or to be part of (at least partially) a communication network router comprising analysis means responsible for determining in the header of a packet of data, which it has just received, the destination address it contains, for the purpose of routing this packet to this destination address. The invention therefore applies to any packet network routed to the destination address, and therefore applies particularly well to networks of the IP type. This control device is characterized in that it comprises: loaded control means, when the router analysis means have determined in a header an unassigned or inaccessible destination address, to extract the packet containing this header , and processing means for associating with a packet extracted by the control means a selected alternate destination address, which has been assigned to packet analysis equipment, for example of the honeypot type, so that the router the route to that associated alternate destination address.

25 Le dispositif selon l'invention peut comporter d'autres caractéristiques qui peuvent être prises séparément ou en combinaison, et notamment : ses moyens de traitement peuvent être chargés d'associer à un paquet reçu, émis par un équipement d'analyse de paquets, par exemple de type honeypot, en réponse à un précédent paquet extrait par les moyens de 30 contrôle, l'adresse source (d'origine) du dit précédent paquet extrait par les moyens de contrôle, de sorte que le routeur route le dit paquet reçu vers cette adresse source (d'origine) qui lui a été associée par les moyens de traitement ; 2907998 4 - ses moyens de traitement peuvent être chargés de placer un paquet extrait par ses moyens de contrôle dans un nouveau paquet muni d'un entête contenant l'adresse de destination de remplacement choisie, puis de fournir au routeur le nouveau paquet contenant le paquet extrait ; s en variante, ses moyens de traitement peuvent être chargés de remplacer par une adresse de destination de remplacement choisie l'adresse de destination qui est contenue dans un paquet qui a été extrait par les moyens de contrôle, puis de fournir au routeur le paquet extrait avec sa nouvelle adresse de destination de remplacement ; lo ses moyens de contrôle peuvent par exemple être implantés dans un plan dit de données (ou data plane ) du routeur ; ses moyens de traitement peuvent par exemple être implantés dans un plan dit de contrôle (ou control plane ) du routeur ; ses moyens de traitement peuvent être chargés, lorsque les moyens 15 d'analyse du routeur ont déterminé dans un entête une adresse de destination non attribuée ou inaccessible, d'interdire au routeur d'adresser un message d'erreur à l'équipement (source) qui a émis le paquet contenant cet entête et qui est désigné dans ce dernier ; il peut comprendre des moyens de gestion chargés de configurer les 20 moyens de contrôle afin qu'ils n'extraient un paquet contenant une adresse de destination non attribuée ou inaccessible qu'à condition qu'il satisfasse à au moins un critère choisi et/ou de configurer les moyens de traitement afin qu'ils puissent procéder aux associations d'adresse de destination de remplacement en fonction d'au moins un critère choisi ; 25 > chaque critère est par exemple choisi parmi au moins un critère d'appartenance de l'adresse de destination à un ensemble d'adresses choisies, un critère d'appartenance de l'adresse source à un ensemble d'adresses choisies, un critère d'appartenance du type de contenu du paquet à un ensemble de types de contenu choisis, un critère relatif à 30 l'heure locale du routeur, un critère de taux d'occupation d'au moins une mémoire tampon choisie du routeur, et un critère relatif à la valeur d'un compteur choisi ses moyens de gestion peuvent être chargés de configurer les moyens 2907998 5 de contrôle et/ou les moyens de traitement en leur transmettant des règles définissant certains au moins des critères à appliquer et/ou des tables de correspondance entre des critères à appliquer et des adresses de destination de remplacement; 5 > ses moyens de gestion peuvent être chargés de configurer la ou les adresses des équipements d'analyse de paquets vers lesquels les paquets suspects seront envoyés ; > ses moyens de gestion peuvent être chargés de configurer des moyens de contrôle et/ou des moyens de traitement localisés dans au moins lo deux routeurs de son réseau ; - ses moyens de gestion peuvent par exemple être implantés dans le plan de contrôle du routeur. L'invention propose également un routeur (de réseau de communication) comprenant des moyens d'analyse du type précité et un 15 dispositif de contrôle du type de celui présenté ci-avant et couplé auxdits moyens d'analyse. L'invention est particulièrement bien adaptée, bien que de façon non exclusive, aux réseaux de communication à protocole Internet (ou IP). D'autres caractéristiques et avantages de l'invention apparaîtront à 20 l'examen de la description détaillée ci-après, et des dessins annexés, sur lesquels : la figure 1 illustre de façon très schématique deux réseaux de communication connectés à l'Internet et comprenant des équipements d'analyse ainsi que des routeurs équipés chacun d'un dispositif de contrôle 25 selon l'invention, et - la figure 2 illustre de façon schématique et fonctionnelle un routeur équipé d'un exemple de réalisation d'un dispositif de contrôle selon l'invention. Les dessins annexés pourront non seulement servir à compléter l'invention, mais aussi contribuer à sa définition, le cas échéant.The device according to the invention can comprise other characteristics that can be taken separately or in combination, and in particular: its processing means can be responsible for associating with a received packet transmitted by packet analysis equipment, for example of the honeypot type, in response to a previous packet retrieved by the control means, the (original) source address of said preceding packet retrieved by the control means, so that the router routes said received packet to this source (original) address that has been associated with it by the processing means; Its processing means may be responsible for placing a packet extracted by its control means in a new packet provided with a header containing the chosen alternative destination address, and then providing the router with the new packet containing the packet. extract; Alternatively, its processing means may be responsible for replacing with a chosen alternate destination address the destination address that is contained in a packet that has been retrieved by the control means, and then for providing the router with the extracted packet. with his new alternate destination address; lo its control means may for example be located in a so-called data plane (or data plane) of the router; its processing means may for example be located in a control plane (or control plane) of the router; its processing means can be loaded, when the means of analyzing the router have determined in a header an unassigned or inaccessible destination address, to prevent the router from sending an error message to the equipment (source ) who issued the packet containing that heading and which is designated in the latter; it may comprise management means responsible for configuring the control means to extract a packet containing an unassigned or inaccessible destination address only if it satisfies at least one selected criterion and / or configuring the processing means so that they can proceed to the alternative destination address associations according to at least one selected criterion; 25> each criterion is for example chosen from at least one criterion of belonging of the destination address to a set of chosen addresses, a criterion of belonging of the source address to a set of chosen addresses, a criterion the membership of the content type of the packet to a set of selected content types, a criterion relating to the local time of the router, a criterion of the occupancy rate of at least one selected buffer of the router, and a criterion relating to the value of a counter chosen its management means may be responsible for configuring the control means and / or the processing means by transmitting them rules defining at least some criteria to be applied and / or tables correspondence between criteria to be applied and alternative destination addresses; Its management means may be responsible for configuring the address or addresses of the packet analysis equipment to which the suspect packets will be sent; its management means may be responsible for configuring control means and / or localized processing means in at least two routers of its network; its management means can for example be implemented in the control plane of the router. The invention also proposes a router (communication network) comprising analysis means of the aforementioned type and a control device of the type of that presented above and coupled to said analysis means. The invention is particularly well suited, although not exclusively, to Internet Protocol (IP) communication networks. Other characteristics and advantages of the invention will become apparent upon examination of the following detailed description and the accompanying drawings, in which: FIG. 1 very schematically illustrates two communication networks connected to the Internet and comprising analysis equipment as well as routers each equipped with a control device 25 according to the invention, and - Figure 2 schematically and functionally illustrates a router equipped with an embodiment of a control device. according to the invention. The attached drawings may not only serve to complete the invention, but also contribute to its definition, if any.

30 L'invention a pour objet de permettre à un grand nombre de trafics suspects (transmis sous forme de paquets via un ou plusieurs réseaux de communication à paquet routé sur l'adresse de destination, ainsi 2907998 6 qu'éventuellement via l'Internet) d'atteindre des équipements d'analyse de trafics suspects, par exemple de type honeypot. Dans ce qui suit, on considère à titre d'exemple non limitatif que les réseaux de communication sont des réseaux IP filaires de type xDSL (par 5 exemple ADSL), connectés à l'Internet. Mais, l'invention n'est pas limitée à ce type de réseau de communication. Elle concerne en effet tout type de réseau de communication à paquet routé sur l'adresse de destination, qu'il soit de type filaire ou radio (ou hertzien, et plus généralement par voie d'ondes) et de type terrestre et/ou satellitaire.The object of the invention is to enable a large number of suspect traffics (transmitted as packets via one or more packetized communication networks routed to the destination address, as well as possibly via the Internet). to reach equipment for analyzing suspicious traffic, for example of the honeypot type. In what follows, it is considered as a non-limiting example that the communication networks are wired IP networks of xDSL type (for example ADSL), connected to the Internet. However, the invention is not limited to this type of communication network. It concerns indeed any type of packet communication network routed on the destination address, whether wired or radio (or wireless, and more generally by wave) and terrestrial and / or satellite type .

10 On a schématiquement illustré sur la figure 1 un exemple d'installation de communication mettant en oeuvre l'invention. Cette installation comprend ici, à titre d'exemple purement illustratif et non limitatif, deux réseaux de communication NI et N2 capables de transmettre des paquets de données, par exemple de type IP (Internet protocol), et connectés 15 tous les deux à l'Internet. Afin de simplifier la description, on appelle ci-après réseau les réseaux de communication NI et N2, et paquet IP un paquet de données transmis par un réseau NI ou N2. Dans l'exemple illustré, le premier réseau N1 comprend, notamment, un ensemble de routeurs Ri (RI à R4, i = 1 à 4), chacun équipés d'un 20 dispositif de contrôle D selon l'invention. Le nombre de routeurs représentés est ici égal à quatre, mais il peut prendre n'importe quelle valeur supérieure ou égale à un. On notera qu'il est préférable, pour des raisons d'efficacité, que chaque routeur du premier réseau NI soit équipé d'un, ou couplé à un, dispositif de contrôle D. On peut en effet envisager que seul l'un, ou quelques 25 uns, des routeurs du premier réseau N1 soi(en)t équipé(s) d'un, ou couplé(s) à un, dispositif de contrôle D. Comme illustré, des équipements de communication (EA1, EA2, ES1), disposant chacun d'une adresse de communication (comme par exemple une adresse IP), sont connectés au premier réseau N1. Plus 30 précisément, dans l'exemple non limitatif illustré, un premier équipement d'analyse de trafics (paquets) suspects EA1, un second équipement d'analyse de trafics (paquets) suspects EA2 et un terminal de communication ES1 sont connectés au premier réseau NI .FIG. 1 schematically illustrates an example of a communication installation embodying the invention. This installation comprises here, by way of purely illustrative and nonlimiting example, two communication networks NI and N2 capable of transmitting data packets, for example of the IP (Internet protocol) type, and both connected to the Internet. In order to simplify the description, hereinafter called network communication networks NI and N2, and IP packet a data packet transmitted by an NI or N2 network. In the illustrated example, the first network N1 comprises, in particular, a set of routers Ri (R1 to R4, i = 1 to 4), each equipped with a control device D according to the invention. The number of routers represented here is equal to four, but it can take any value greater than or equal to one. Note that it is preferable, for reasons of efficiency, that each router of the first network NI is equipped with one, or coupled to a control device D. It can indeed be envisaged that only one, or some 25 routers of the first network N1 are equipped with, or coupled to, a control device D. As illustrated, communication equipment (EA1, EA2, ES1) , each having a communication address (such as an IP address), are connected to the first network N1. More precisely, in the nonlimiting example illustrated, a first device for analyzing suspicious traffic (packets) EA1, a second equipment for analyzing suspicious traffic (packets) EA2 and a communication terminal ES1 are connected to the first network. NI.

2907998 7 Par ailleurs, dans l'exemple illustré, le second réseau N2 comprend, notamment, un ensemble de routeurs R'j (R'1 à R'3, j = 1 à 3), chacun équipés d'un dispositif de contrôle D selon l'invention. Le nombre de routeurs représentés est ici égal à trois, mais il peut prendre n'importe quelle valeur 5 supérieure ou égale à un. Comme illustré, des équipements de communication (EA3, EA4, ES2), disposant chacun d'une adresse de communication (comme par exemple une adresse IP), sont connectés au second réseau N2. Plus précisément, dans l'exemple non limitatif illustré, un troisième équipement lo d'analyse de trafics (paquets) suspects EA3, un quatrième équipement d'analyse de trafics (paquets) suspects EA4 et un terminal de communication ES2 sont connectés au second réseau N2. On considère ci-après que les premier EA1, deuxième EA2, troisième EA3 et quatrième EA4 équipements d'analyse de trafics (paquets) suspects 15 sont des équipements de type honeypot . Par ailleurs, on considère ci-après que les terminaux de communication ES1 et ES2 sont des équipements appartenant à des personnes mal intentionnées désirant attaquer, au moyen de trafics d'attaque (constitués de paquets définissant, par exemple, un vers, un virus ou un cheval de Troie), d'autres équipements de communication (de 20 tout type) connectés au premier NI ou second N2 réseau ou à tout autre réseau accessible via le premier NI ou second N2 réseau. Un tel terminal (de communication) ES1 ou ES2 est pourvu d'un système de balayage d'adresses lui permettant de générer de façon automatisée n'importe quelle adresse IP et donc de transmettre des trafics (paquets) d'attaque vers toutes 25 les adresses IP possibles, ou au moins vers un sous-groupe important de l'ensemble des adresses IP. Comme cela est illustré schématiquement et fonctionnellement sur la figure 2, chaque routeur Ri ou R'j est chargé de router chaque paquet (ici de type IP) qu'il reçoit vers l'adresse (IP) de destination qui est contenue dans 30 l'entête (IP) de ce paquet (IP). ll est rappelé que l'entête IP d'un paquet IP comprend entre autre l'adresse source de l'équipement source qui a émis ledit paquet IP et l'adresse de destination de l'équipement qui est le destinataire dudit paquet IP.Furthermore, in the example illustrated, the second network N2 comprises, in particular, a set of routers R'j (R'1 to R'3, j = 1 to 3), each equipped with a control device. D according to the invention. The number of routers represented here is equal to three, but it can take any value greater than or equal to one. As illustrated, communication equipment (EA3, EA4, ES2), each having a communication address (such as an IP address), are connected to the second network N2. More precisely, in the nonlimiting example illustrated, a third equipment EA for analyzing suspicious traffics (packets) EA3, a fourth equipment for analyzing suspicious traffics (packets) EA4 and an communication terminal ES2 are connected to the second network. N2. It is considered hereinafter that the first EA1, second EA2, third EA3 and fourth EA4 suspected traffic analysis equipment (packages) are honeypot type equipment. Furthermore, it is considered below that the communication terminals ES1 and ES2 are equipment belonging to malicious people wishing to attack, by means of attack traffic (consisting of packets defining, for example, a worm, a virus or a Trojan), other communication equipment (of any type) connected to the first N1 or second N2 network or to any other network accessible via the first N1 or second network N2. Such an (communication) terminal ES1 or ES2 is provided with an address scanning system enabling it to generate automatically any IP address and thus transmit traffic (packets) of attack to all 25 possible IP addresses, or at least to an important subgroup of all IP addresses. As schematically and functionally illustrated in FIG. 2, each router Ri or R'j is responsible for routing each packet (here of the IP type) that it receives to the destination address (IP) that is contained in 30 l. header (IP) of this packet (IP). It is recalled that the IP header of an IP packet includes, among other things, the source address of the source equipment that sent the IP packet and the destination address of the equipment that is the recipient of the IP packet.

2907998 8 Pour assurer ce routage, chaque routeur Ri ou R'j comprend, notamment, un module d'analyse MA et un module (ou une matrice) de routage MR. Le module d'analyse MA est chargé d'analyser le contenu de chaque entête IP afin de déterminer l'adresse de destination qu'il contient, s puis de déterminer comment router le paquet contenant cet entête IP en fonction d'informations de routage (généralement stockées dans une table de routage). Le module de routage MR est chargé d'aiguiller (router) un paquet reçu vers l'équipement de communication qui est désigné par l'adresse IP de lo destination déterminée par le module d'analyse MA dans son entête IP, en fonction des instructions de routage fournies par le module d'analyse MA. Le module d'analyse MA fait généralement partie de ce que l'homme de l'art appelle le plan de données (ou data plane ) PD du routeur Ri ou R'j. Mais, il pourrait en être autrement.In order to ensure this routing, each router Ri or R'j comprises, in particular, an analysis module MA and an routing module (or matrix) MR. The analysis module MA is responsible for analyzing the contents of each IP header in order to determine the destination address it contains, and then determining how to route the packet containing this IP header according to routing information ( usually stored in a routing table). The routing module MR is responsible for routing (routing) a received packet to the communication equipment which is designated by the IP address of the destination determined by the analysis module MA in its IP header, according to the instructions. routing provided by the MA analysis module. The analysis module MA is generally part of what the person skilled in the art calls the data plane (or data plane) PD of the router Ri or R'j. But, it could be otherwise.

15 Le module de routage MR est généralement réparti entre le plan de données PD et ce que l'homme de l'art appelle le plan de contrôle (ou control plane ) PC du routeur Ri ou R'j. Mais, il pourrait en être autrement. Comme cela est illustré schématiquement et fonctionnellement sur la figure 2, chaque dispositif de contrôle D, selon l'invention, comprend au moins 20 un module de contrôle MC et un module de traitement MT couplés l'un à l'autre. Le module de contrôle MC est couplé au module d'analyse MA. Lorsqu'il est implanté dans un routeur Ri ou R'j, il fait de préférence partie de son plan de données PD. Ce module de contrôle MC est chargé d'observer le 25 résultat de l'analyse effectuée par le module d'analyse MA sur chaque entête IP d'un paquet IP reçu. Lorsque le module d'analyse MA a déterminé dans l'entête d'un paquet IP à router une adresse de destination non attribuée ou inaccessible, le module de contrôle MC extrait le paquet correspondant et le transmet au module de traitement MT.The routing module MR is generally distributed between the PD data plane and what the person skilled in the art calls the control plane (or control plane) PC of the router Ri or R'j. But, it could be otherwise. As schematically and functionally illustrated in FIG. 2, each control device D according to the invention comprises at least one control module MC and a processing module MT coupled to each other. The control module MC is coupled to the analysis module MA. When it is located in a router Ri or R'j, it is preferably part of its PD data plane. This control module MC is responsible for observing the result of the analysis performed by the analysis module MA on each IP header of a received IP packet. When the analysis module MA has determined in the header of an IP packet to route an unassigned or inaccessible destination address, the control module MC extracts the corresponding packet and transmits it to the processing module MT.

30 II est important de noter que l'extraction peut éventuellement se faire en fonction d'au moins un critère choisi. L'application de certains de ces critères peut éventuellement nécessiter l'analyse de l'entête IP et/ou du contenu (données utiles (ou payload )) du paquet. De nombreux critères 2907998 9 peuvent être utilisés, et notamment : - un critère d'appartenance de l'adresse de destination (contenue dans l'entête du paquet reçu) à un ensemble d'adresses choisies. En effet, le module de contrôle MC peut être configuré de manière à transmettre un 5 paquet IP au module de traitement MT à condition que son entête IP comporte une adresse de destination faisant partie d'un ensemble d'adresses choisies, un critère d'appartenance de l'adresse source (contenue dans l'entête du paquet reçu) à un ensemble d'adresses choisies. En effet, le module de 10 contrôle MC peut être configuré de manière à transmettre un paquet IP au module de traitement MT à condition que son entête IP comporte une adresse source faisant partie d'un ensemble d'adresses choisies, un critère d'appartenance du type du contenu du paquet à un ensemble de types de contenu choisis. En effet, le module de contrôle MC peut être 15 configuré de manière à transmettre un paquet IP au module de traitement MT à condition que son contenu corresponde à un type faisant partie d'un ensemble de types choisis. Plusieurs de ces critères peuvent être éventuellement appliqués à un même paquet IP extrait.It is important to note that the extraction can possibly be done according to at least one selected criterion. The application of some of these criteria may possibly require the analysis of the IP header and / or the content (payload) of the packet. Many criteria 2907998 9 can be used, and in particular: - a criterion of membership of the destination address (contained in the header of the packet received) to a set of chosen addresses. Indeed, the control module MC may be configured to transmit an IP packet to the processing module MT provided that its IP header includes a destination address belonging to a set of chosen addresses, a criterion of membership of the source address (contained in the header of the received packet) to a set of chosen addresses. Indeed, the control module MC may be configured to transmit an IP packet to the processing module MT provided that its IP header includes a source address belonging to a set of chosen addresses, a membership criterion from the content type of the packet to a set of selected content types. Indeed, the control module MC may be configured to transmit an IP packet to the processing module MT provided that its content corresponds to a type belonging to a set of selected types. Several of these criteria may possibly be applied to the same extracted IP packet.

20 On notera que lorsque plusieurs équipements de type honeypot sont connectés à un réseau, le module de contrôle MC peut être éventuellement configuré de manière à sélectionner l'équipement de type honeypot vers lequel un paquet extrait doit être routé. Pour ce faire, il peut éventuellement appliquer au moins un critère choisi). De nombreux critères peuvent être 25 utilisés à cet effet, et notamment : - un critère relatif à l'heure locale du routeur Ri ou R'j. En effet, le module de contrôle MC peut être configuré de manière à choisir l'équipement de type honeypot vers lequel un paquet extrait doit être routé en fonction de l'heure locale. Cela peut notamment permettre de faire de la répartition de trafic 30 (ou load balancing ). Par exemple, il peut ordonner la transmission d'un paquet extrait vers le premier équipement de type honeypot EA1 pendant les secondes (ou minutes) paires, et vers le deuxième équipement de type honeypot EA2 pendant les secondes (ou minutes) impaires ; 2907998 lo un critère de taux d'occupation d'au moins une mémoire tampon choisie du routeur Ri ou R'j. En effet, on peut prévoir des mémoires tampon (par exemple de type FIFO) associées à chacun des équipements de type honeypot, afin d'y placer les paquets extraits en attente de routage en 5 fonction de l'équipement de type honeypot destinataire. Dans ce cas, on peut envisager qu'un paquet extrait initialement destiné à un premier équipement de type honeypot EA1 soit placé dans la mémoire tampon associée au deuxième équipement de type honeypot EA2 lorsque le taux d'occupation de la mémoire tampon associée au premier équipement de lo type honeypot EA1 dépasse un seuil choisi. Cela peut également permettre de faire de la répartition de trafic ; un critère relatif à la valeur d'un compteur choisi. En effet, on peut prévoir des compteurs associés à chacun des équipements de type honeypot. Dans ce cas, chaque fois que le module de contrôle MC ordonne le 15 routage d'un paquet IP extrait vers un équipement de type honeypot, il incrémente d'une unité la valeur du compteur qui est associé à ce dernier. Ainsi, lorsque la valeur d'un compteur associé à un premier équipement de type honeypot EA1 dépasse un seuil, le module de contrôle MC ordonne le routage vers le deuxième équipement de type honeypot EA2 du paquet IP 20 extrait suivant qui devait être normalement routé vers le premier équipement de type honeypot EA1. Cela peut également permettre de faire de la répartition de trafic. Plusieurs de ces critères peuvent être éventuellement appliqués à un même paquet I P extrait.It should be noted that when several honeypot devices are connected to a network, the control module MC may possibly be configured to select the honeypot-type equipment to which an extracted packet is to be routed. To do this, it can optionally apply at least one selected criterion). Numerous criteria can be used for this purpose, and in particular: a criterion relating to the local time of the router Ri or R'j. Indeed, the control module MC can be configured to choose the honeypot type equipment to which an extracted packet must be routed according to the local time. This can in particular allow the distribution of traffic 30 (or load balancing). For example, it can order the transmission of an extracted packet to the first EA1 honeypot equipment during the even seconds (or minutes), and to the second EA2 honeypot equipment during the odd seconds (or minutes); 2907998 lo a criterion of occupancy rate of at least one selected buffer of the router Ri or R'j. Indeed, it is possible to provide buffers (for example of the FIFO type) associated with each of the honeypot type equipment, in order to place the extracted packets awaiting routing according to the equipment of the honeypot type addressed. In this case, it can be envisaged that an initially extracted packet intended for a first honeypot EA1 type equipment item is placed in the buffer memory associated with the second honeypot equipment item EA2 when the occupancy rate of the buffer memory associated with the first equipment item the honeypot EA1 type exceeds a chosen threshold. It can also be used to make the distribution of traffic; a criterion relating to the value of a chosen counter. Indeed, counters associated with each of the honeypot type equipment may be provided. In this case, each time the control module MC orders the routing of an extracted IP packet to a honeypot-type device, it increments by one the value of the counter which is associated with the latter. Thus, when the value of a counter associated with a first honeypot device EA1 exceeds a threshold, the control module MC orders the routing to the second honeypot equipment EA2 of the following extracted IP packet which should normally be routed to the first honeypot equipment EA1. This can also be used to make the distribution of traffic. Several of these criteria may possibly be applied to the same packet I P extracted.

25 Le module de contrôle MC transmet donc au module de traitement MT chaque paquet iP qu'il a extrait et éventuellement sélectionné en fonction d'au moins un critère, accompagné d'une éventuelle instruction désignant l'équipement de type honeypot vers lequel ce paquet IP doit être routé. Chaque fois que le module de traitement MT reçoit un paquet extrait 30 par le module de contrôle MC, il lui associe une adresse de destination de remplacement choisie (attribuée à un équipement de type honeypot), afin que le routeur Ri ou R'j le route vers cette adresse de destination de remplacement associée.The control module MC therefore transmits to the processing module MT each IP packet that it has extracted and optionally selected according to at least one criterion, accompanied by a possible instruction designating the honeypot-type equipment to which this packet IP must be routed. Whenever the processing module MT receives a packet extracted by the control module MC, it associates it with a chosen alternative destination address (assigned to a honeypot-type device), so that the router Ri or R'j the route to this associated alternate destination address.

2907998 11 Cette association d'adresse de remplacement peut se faire d'au moins deux façons différentes. Une première façon consiste à remplacer par une adresse de destination de remplacement choisie l'adresse de destination qui est 5 contenue dans le paquet IP extrait. Dans ce cas, le module de traitement MT fournit ensuite au routeur Ri ou R'j, et plus précisément à son plan de données PD, le paquet IP extrait qui comprend désormais une nouvelle adresse de destination de remplacement. Une seconde façon, actuellement préférée, consiste à placer le 10 paquet IP extrait dans un nouveau paquet muni d'un entête qui contient l'adresse de destination de remplacement choisie. Dans ce cas, le module de traitement MT fournit ensuite au routeur Ri ou R'j, et plus précisément à son plan de données PD, le nouveau paquet IP qui contient le paquet 1P extrait. Comme indiqué précédemment, l'adresse de destination de 15 remplacement, qui est associée à un paquet IP extrait, peut être désignée (choisie) par le module de contrôle MC consécutivement à l'application d'un ou plusieurs critères choisis. Dans ce cas, cette adresse (ou sa désignation) est par exemple communiquée au module de traitement MT en même temps que le paquet IP extrait concerné.This alternative address association can be done in at least two different ways. One way is to replace with a replacement destination address the destination address that is contained in the extracted IP packet. In this case, the processing module MT then supplies to the router Ri or R'j, and more specifically to its data plane PD, the extracted IP packet which now comprises a new replacement destination address. A second, currently preferred, way is to place the extracted IP packet into a new packet with a header that contains the chosen alternate destination address. In this case, the processing module MT then supplies the router Ri or R'j, and more precisely to its data plane PD, the new IP packet that contains the packet 1P extracted. As previously indicated, the replacement destination address, which is associated with an extracted IP packet, may be designated (selected) by the control module MC subsequent to the application of one or more selected criteria. In this case, this address (or its designation) is for example communicated to the processing module MT at the same time as the extracted IP packet concerned.

20 Lorsque le plan de données PD reçoit du module de traitement MT le paquet IP qui a fait l'objet de l'association d'une adresse de destination de remplacement, il le traite comme s'il s'agissait d'un paquet IP nouvellement arrivé. Par conséquent, il est de nouveau analysé par le module d'analyse MA, puis routé vers l'adresse de destination de remplacement qu'il contient, 25 puisque celle-ci est désormais connue et accessible. Lorsque le dispositif de contrôle D est implanté dans un routeur Ri ou R'j, son module de traitement MT fait de préférence partie de ce que l'homme de l'art appelle le plan de contrôle (ou control plane ) PC du routeur. On notera que dans une variante de fonctionnement, on peut 30 envisager que les critères qui concernent l'entête IP ou le type de contenu d'un paquet IP soient appliqués par le module de contrôle MC, tandis que les autres critères qui concernent la sélection de l'équipement de type honeypot sont appliqués par le module de traitement MT. Dans ce cas, lorsque le 2907998 12 module de traitement MT reçoit un paquet IP extrait, devant faire l'objet d'une association d'adresse de destination de remplacement, il lui applique un ou plusieurs critères afin de déterminer l'équipement de type honeypot vers lequel il doit être aiguillé, puis il lui associe l'adresse de destination de ce s dernier. Dans une autre variante de fonctionnement, on peut envisager que les critères qui concernent l'entête (IP) et/ou le type de contenu d'un paquet (IP) soient appliqués par le module de traitement MT. D'une manière générale, les critères qui concernent l'entête (IP) et/ou le type de contenu d'un 10 paquet (IP) peuvent être appliqués par le module de contrôle MC et/ou le module de traitement MT. Comme le sait l'homme de l'art, dans un réseau IP, lorsqu'un routeur Ri ou R'j détecte une adresse de destination non attribuée ou inaccessible, il adresse automatiquement à l'équipement source ES1 (ou ES2), qui a émis le 15 paquet IP correspondant et qui est désigné dans l'entête IP, un message d'erreur (généralement de type ICMP) précisant la raison pour laquelle il n'a pas pu router ce paquet IP (équipement injoignable car l'adresse de destination n'existe pas ( host unreachable - notamment en cas de non existence d'une entrée de type ARP Address Resolution Protocol (RFC 20 826)), ou réseau injoignable car on ne peut pas trouver de route pour accéder à l'adresse de destination ( network unreachable )). Afin d'éviter que le routeur Ri ou R'j ne transmette un tel message d'erreur à destination d'un équipement source ES1 ou ES2, ce qui pourrait attirer son attention, le module de traitement MT peut par exemple être chargé 25 d'interdire à son module d'analyse MA de générer ce type de message d'erreur lorsqu'il détecte une adresse de destination non attribuée ou inaccessible. Par ailleurs, certains équipements d'analyse de paquets suspects EA1-EA4 peuvent être agencés de manière à répondre aux messages 30 d'attaque qu'ils reçoivent. Etant donné qu'ils reçoivent désormais un message d'attaque d'un routeur qui est équipé d'un dispositif de contrôle D selon l'invention, ils transmettent à ce même routeur la réponse au dit message d'attaque, alors que celle-ci est destinée à un équipement source ES1 ou 2907998 ES2. Pour qu'une réponse puisse parvenir à un équipement source ES1 ou ES2 sans qu'il s'en aperçoive, le module de traitement MT d'un dispositif de contrôle D peut être chargé d'associer à un paquet reçu, émis par un 5 équipement d'analyse de paquets EA1 en réponse à un précédent paquet suspect extrait par son module de contrôle MC, l'adresse source (d'origine) de ce précédent paquet. A cet effet, chaque fois qu'un module de contrôle MC extrait un paquet suspect, il stocke son adresse source dans une mémoire de son dispositif D ou de son routeur Ri ou R'j. Et, lorsqu'un module de contrôle lo MC constate que le module d'analyse MA de son routeur Ri ou R'j a détecté un paquet émis par un équipement d'analyse de paquets EA1 en réponse à un paquet qu'il avait précédemment extrait, il détermine dans la mémoire l'adresse source qui correspond à ce paquet reçu et la transmet à son moyen de traitement MT afin qu'il l'associe au paquet reçu. Le module de routage 15 MR du routeur Ri ou R'j peut alors router le paquet reçu vers l'adresse source qui lui a été associée par le module de traitement MT. En variante, c'est le module de traitement MT qui peut déterminer dans la mémoire l'adresse source qu'il doit associer à un paquet reçu devant être routé vers un équipement source ES1 ou ES2.When the data plane PD receives from the processing module MT the IP packet which has been associated with a replacement destination address, it processes it as if it were an IP packet. newly arrived. Therefore, it is again analyzed by the analysis module MA, and then routed to the replacement destination address it contains, since this is now known and accessible. When the control device D is implanted in a router Ri or R'j, its processing module MT is preferably part of what the person skilled in the art calls the control plane (or control plane) PC of the router. It should be noted that in a variant of operation, it can be envisaged that the criteria relating to the IP header or the content type of an IP packet are applied by the control module MC, while the other criteria relating to the selection honeypot type equipment is applied by the processing module MT. In this case, when the processing module MT receives an extracted IP packet, to be the subject of a replacement destination address association, it applies one or more criteria to it to determine the type of equipment. honeypot to which it should be directed, then it associates with it the address of destination of this last s. In another variant of operation, it can be envisaged that the criteria concerning the header (IP) and / or the content type of a packet (IP) are applied by the processing module MT. In general, the criteria relating to the header (IP) and / or the content type of a packet (IP) may be applied by the control module MC and / or the processing module MT. As known to those skilled in the art, in an IP network, when a router Ri or R'j detects an unassigned or inaccessible destination address, it automatically addresses the source equipment ES1 (or ES2), which has issued the corresponding IP packet and which is designated in the IP header, an error message (usually ICMP type) specifying the reason why it was unable to route this IP packet (equipment unreachable because the address destination does not exist (host unreachable - especially if there is no ARP Address Resolution Protocol entry (RFC 20 826)), or network unreachable because you can not find a route to access the address destination (network unreachable)). In order to prevent the router Ri or R'j from transmitting such an error message to an ES1 or ES2 source equipment, which could attract its attention, the processing module MT may, for example, be loaded with power. prohibit its analysis module MA from generating this type of error message when it detects an unassigned or inaccessible destination address. On the other hand, some suspect packet analysis equipment EA1-EA4 may be arranged to respond to the attack messages they receive. Since they now receive a message of attack from a router which is equipped with a control device D according to the invention, they transmit to the same router the response to said attack message, while that This is for ES1 source equipment or 2907998 ES2. In order for a response to arrive at an ES1 or ES2 source equipment without its noticing it, the processing module MT of a control device D may be responsible for associating with a received packet transmitted by a user. EA1 packet analysis equipment in response to a previous suspect packet extracted by its MC control module, the source address (original) of this previous packet. For this purpose, each time a control module MC extracts a suspicious packet, it stores its source address in a memory of its device D or its router Ri or R'j. And, when a control module lo MC finds that the analysis module MA of its router Ri or R'j has detected a packet transmitted by a packet analysis equipment EA1 in response to a packet it had previously extracted, it determines in the memory the source address that corresponds to this received packet and transmits it to its processing means MT so that it associates it with the received packet. The routing module 15 MR of the router Ri or R'j can then route the received packet to the source address that has been associated with it by the processing module MT. As a variant, it is the processing module MT that can determine in the memory the source address that it must associate with a received packet to be routed to a source equipment ES1 or ES2.

20 Comme cela est illustré sur la figure 2, le dispositif de contrôle D peut également et éventuellement comprendre un module de gestion MG chargé deconfigurer le module de contrôle MC et/ou le module de traitement MT, notamment pour qu'il(s) applique(nt) aux paquets IP extraits un ou plusieurs critères choisis.As illustrated in FIG. 2, the control device D can also and possibly also include a management module MG responsible for configuring the control module MC and / or the processing module MT, in particular so that it (s) applies (nt) IP packets extracted one or more selected criteria.

25 Par exemple, le module de gestion MG peut être utilisé pour définir des règles qui définissent certains au moins des critères à appliquer et/ou des tables de correspondance entre des critères à appliquer et des adresses de destination de remplacement, puis (ou bien seulement) pour transmettre certaines de ces règles et/ou certaines de ces tables de correspondance au 30 module de contrôle MC et/ou au module de traitement MT, en fonction d'instructions reçues du gestionnaire du réseau auquel appartient le routeur Ri ou R'j dont il fait partie (ou auquel il est couplé). Le module de gestion MG peut être également chargé d'activer ou 13 2907998 14 désactiver le dispositif de contrôle D à des instants choisis en fonction d'instructions reçues ou d'une éventuelle programmation. Le module de gestion MG peut être également chargé de configurer la ou les adresses des équipements d'analyse de paquets EA1 et EA2 vers s lesquels seront envoyés les paquets suspects. Le module de gestion MG peut être également chargé de configurer des modules de contrôle MC et/ou des modules de traitement MT qui sont implantés dans (ou couplés à) plusieurs (au moins deux) routeurs. En d'autres termes, un module de gestion MG peut être utilisé pour configurer les lo modules de contrôle MC et/ou les modules de traitement MT de tous les routeurs de son réseau ou bien d'une partie seulement d'entre eux. Dans ce cas, il peut être soit implanté dans l'un des dispositifs de contrôle D ou bien dans un équipement de réseau d'un autre type. Lorsque le dispositif de contrôle D est implanté dans un routeur Ri ou 15 R'j, son module de gestion MG fait de préférence partie du plan de contrôle PC de ce routeur. Le dispositif de contrôle D selon l'invention, et notamment ses module de contrôle MC et module de traitement MT, ainsi que son éventuel module de gestion MG, peuvent être réalisés sous la forme de circuits électroniques, 20 de modules logiciels (ou informatiques), ou d'une combinaison de circuits et de logiciels. L'invention ne se limite pas aux modes de réalisation de dispositif de contrôle et de routeur décrits ci-avant, seulement à titre d'exemple, mais elle englobe toutes les variantes que pourra envisager l'homme de l'art dans le 25 cadre des revendications ci-après.For example, the MG may be used to define rules that define at least some of the criteria to be applied and / or correspondence tables between criteria to be applied and alternate destination addresses, and then (or only ) to transmit some of these rules and / or some of these correspondence tables to the control module MC and / or the processing module MT, according to instructions received from the network manager to which the router Ri or R'j belongs. which it is part of (or to which it is coupled). The management module MG may also be responsible for activating or deactivating the control device D at times chosen according to received instructions or any programming. The management module MG may also be responsible for configuring the address or addresses of the EA1 and EA2 packet analysis equipment to which the suspect packets will be sent. The management module MG may also be responsible for configuring control modules MC and / or processing modules MT which are located in (or coupled to) several (at least two) routers. In other words, a management module MG can be used to configure the lo control modules MC and / or the processing modules MT of all the routers of its network or only a part of them. In this case, it can be either implanted in one of the control devices D or in a network equipment of another type. When the control device D is implanted in a router Ri or R'j, its management module MG is preferably part of the control plane PC of this router. The control device D according to the invention, and in particular its control module MC and processing module MT, as well as its possible management module MG, can be implemented in the form of electronic circuits, software modules (or computer modules) , or a combination of circuitry and software. The invention is not limited to the control device and router embodiments described above, by way of example only, but encompasses all the variants that the person skilled in the art can envisage in the context of the invention. of the claims below.

Claims (15)

REVENDICATIONS 1. Dispositif de contrôle (D) pour un routeur (R1) d'un réseau de communication, ledit routeur (R1) comprenant des moyens d'analyse (MA) agencés pour déterminer dans l'entête d'un paquet de données, reçu et à router, l'adresse de destination qu'il contient, en vue du routage dudit paquet reçu vers cette adresse de destination, caractérisé en ce qu'il comprend i) des moyens de contrôle (MC) agencés, en cas de détermination par lesdits moyens d'analyse (MA) d'un entête comprenant une adresse de destination lo non attribuée ou inaccessible, pour extraire le paquet contenant cet entête, et ii) des moyens de traitement (MT) agencés pour associer à un paquet extrait par lesdits moyens de contrôle (MC) une adresse de destination de remplacement choisie, attribuée à un équipement d'analyse de paquets (EA1), de sorte que ledit routeur (RI) le route vers ladite adresse de 15 destination de remplacement associée.  1. Control device (D) for a router (R1) of a communication network, said router (R1) comprising analysis means (AM) arranged to determine in the header of a data packet, received and to route, the destination address it contains, for routing said received packet to this destination address, characterized in that it comprises i) control means (MC) arranged, in case of determination by said means for analyzing (MA) a header comprising an unassigned or inaccessible destination address lo, for extracting the packet containing this header, and ii) processing means (MT) arranged to associate with a packet extracted by said control means (MC) a chosen alternative destination address, assigned to a packet analysis equipment (EA1), so that said router (RI) routes it to said associated alternate destination address. 2. Dispositif selon la revendication 1, caractérisé en ce que lesdits moyens de traitement (MT) sont agencés pour associer à un paquet reçu, émis par un équipement d'analyse de paquets (EAI) en réponse à un précédent paquet contenant une adresse source et extrait par lesdits moyens 20 de contrôle (MC), ladite adresse source dudit précédent paquet, de sorte que ledit routeur (RI) route ledit paquet reçu vers cette adresse source associée par lesdits moyens de traitement (MT).  2. Device according to claim 1, characterized in that said processing means (MT) are arranged to associate with a received packet, sent by a packet analysis equipment (EAI) in response to a previous packet containing a source address and retrieved by said control means (MC), said source address of said previous packet, so that said router (RI) routes said received packet to that source address associated with said processing means (MT). 3. Dispositif selon l'une des revendications 1 et 2, caractérisé en ce que lesdits moyens de traitement (MT) sont agencés pour placer un paquet 25 extrait par lesdits moyens de contrôle (MC) dans un nouveau paquet muni d'un entête contenant ladite adresse de destination de remplacement choisie, puis pour fournir audit routeur (RI) ledit nouveau paquet contenant le paquet extrait.  3. Device according to one of claims 1 and 2, characterized in that said processing means (MT) are arranged to place a packet extracted by said control means (MC) in a new packet provided with a header containing said replacement destination address chosen, then to provide said router (RI) said new packet containing the extracted packet. 4. Dispositif selon l'une des revendications 1 et 2, caractérisé en ce 30 que lesdits moyens de traitement (MT) sont agencés pour remplacer par une adresse de destination de remplacement choisie l'adresse de destination qui est contenue dans un paquet extrait par lesdits moyens de contrôle (MC), puis pour fournir audit routeur (R1) le paquet extrait avec sa nouvelle adresse de 2907998 16 destination de remplacement.  4. Device according to one of claims 1 and 2, characterized in that said processing means (MT) are arranged to replace by a chosen alternative destination address the destination address which is contained in a packet extracted by said control means (MC), then to provide said router (R1) with the extracted packet with its new replacement destination address (2907998). 5. Dispositif selon l'une des revendications 1 à 4, caractérisé en ce que lesdits moyens de contrôle (MC) sont implantés dans un plan dit de données dudit routeur (R1). 5  5. Device according to one of claims 1 to 4, characterized in that said control means (MC) are located in a so-called data plane of said router (R1). 5 6. Dispositif selon l'une des revendications 1 à 5, caractérisé en ce que lesdits moyens de traitement (MT) sont implantés dans un plan dit de contrôle dudit routeur (R1).  6. Device according to one of claims 1 to 5, characterized in that said processing means (MT) are located in a so-called control plane of said router (R1). 7. Dispositif selon l'une des revendications 1 à 6, caractérisé en ce que lesdits moyens de traitement (MT) sont agencés, en cas de détermination par lesdits moyens d'analyse (MA) d'une adresse de destination non attribuée ou inaccessible, pour interdire audit routeur (R1) d'adresser un message d'erreur à l'équipement qui a émis le paquet correspondant et qui est désigné dans son entête.  7. Device according to one of claims 1 to 6, characterized in that said processing means (MT) are arranged, in case of determination by said analysis means (MA) of an unassigned destination address or inaccessible , to prevent said router (R1) from sending an error message to the equipment that sent the corresponding packet and which is designated in its header. 8. Dispositif selon l'une des revendications 1 à 7, caractérisé en ce qu'il comprend des moyens de gestion (MG) agencés pour configurer lesdits moyens de contrôle (MC) de sorte qu'ils n'extraient un paquet contenant une adresse de destination non attribuée ou inaccessible qu'à condition qu'il satisfasse à au moins un critère choisi et/ou pour configurer lesdits moyens de traitement (MT) de sorte qu'ils puissent procéder aux associations d'adresse de destination de remplacement en fonction d'au moins un critère choisi.  8. Device according to one of claims 1 to 7, characterized in that it comprises management means (MG) arranged to configure said control means (MC) so that they do not extract a packet containing an address unassigned or inaccessible destination only if it satisfies at least one selected criterion and / or for configuring said processing means (MT) so that they can proceed to alternative destination address associations based on of at least one selected criterion. 9. Dispositif selon la revendication 8, caractérisé en ce que chaque critère est choisi dans un groupe comprenant au moins un critère d'appartenance d'une adresse de destination à un ensemble d'adresses 25 choisies, un critère d'appartenance d'une adresse source à un ensemble d'adresses choisies, un critère d'appartenance d'un type de contenu de paquet à un ensemble de types de contenu choisis, un critère relatif à l'heure locale du routeur (R1), un critère de taux d'occupation d'au moins une mémoire tampon choisie du routeur (R1), et un critère relatif à la valeur d'un 30 compteur choisi.  9. Device according to claim 8, characterized in that each criterion is chosen from a group comprising at least one criterion of membership of a destination address to a set of selected addresses, a criterion of membership of a source address to a set of chosen addresses, a criterion of membership of a packet content type to a set of selected content types, a criterion relating to the local time of the router (R1), a rate criterion occupying at least one selected buffer of the router (R1), and a criterion relating to the value of a selected counter. 10. Dispositif selon l'une des revendications 8 et 9, caractérisé en ce que lesdits moyens de gestion (MG) sont agencés pour configurer lesdits moyens de contrôle (MC) et/ou lesdits moyens de traitement (MT) en leur 2907998 17 transmettant des règles définissant certains au moins des critères à appliquer et/ou des tables de correspondance entre des critères à appliquer et des adresses de destination de remplacement.  10. Device according to one of claims 8 and 9, characterized in that said management means (MG) are arranged to configure said control means (MC) and / or said processing means (MT) in their transmitters 287998 rules defining at least some of the criteria to be applied and / or correspondence tables between criteria to be applied and alternative destination addresses. 11. Dispositif selon l'une des revendications 8 à 10, caractérisé en ce s que lesdits moyens de gestion (MG) sont agencés pour configurer chaque adresse d'un équipement d'analyse de paquets vers lequel des paquets suspects seront envoyés.  11. Device according to one of claims 8 to 10, characterized in that said management means (MG) are arranged to configure each address of a packet analysis equipment to which suspect packets will be sent. 12. Dispositif selon l'une des revendications 8 à 11, caractérisé en ce que lesdits moyens de gestion (MG) sont agencés pour configurer des lo moyens de contrôle (MC) et/ou des moyens de traitement (MT) localisés dans au moins deux routeurs dudit réseau.  12. Device according to one of claims 8 to 11, characterized in that said management means (MG) are arranged to configure control means (MC) and / or treatment means (MT) located in at least two routers of said network. 13. Dispositif selon l'une des revendications 8 à 12, caractérisé en ce que lesdits moyens de gestion (MG) sont implantés dans un plan dit de contrôle dudit routeur (R1). 15  13. Device according to one of claims 8 to 12, characterized in that said management means (MG) are located in a so-called control plane of said router (R1). 15 14. Routeur (R1) pour un réseau de communication, ledit routeur (R1) comprenant des moyens d'analyse (MA) agencés pour déterminer dans l'entête d'un paquet de données, reçu et à router, l'adresse de destination qu'il contient, en vue du routage dudit paquet reçu vers cette adresse de destination, caractérisé en ce qu'il comprend un dispositif de contrôle (D) 20 selon l'une des revendications précédentes et couplé auxdits moyens d'analyse (MA).  14. Router (R1) for a communication network, said router (R1) comprising analysis means (AM) arranged to determine in the header of a data packet, received and to be routed, the destination address it contains, for routing said received packet to this destination address, characterized in that it comprises a control device (D) 20 according to one of the preceding claims and coupled to said analysis means (MA) . 15. Utilisation du dispositif de contrôle (D) et du routeur (RI) selon l'une des revendications précédentes dans un réseau de communication à protocole Internet (IP).  15. Use of the control device (D) and the router (RI) according to one of the preceding claims in an Internet Protocol (IP) communication network.
FR0654592A 2006-10-27 2006-10-27 PACKET CONTROL DEVICE FOR A ROUTER OF A COMMUNICATION NETWORK FOR SUSPECTED PACKET ROUTING TO DEDICATED ANALYTICAL EQUIPMENT Active FR2907998B1 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
FR0654592A FR2907998B1 (en) 2006-10-27 2006-10-27 PACKET CONTROL DEVICE FOR A ROUTER OF A COMMUNICATION NETWORK FOR SUSPECTED PACKET ROUTING TO DEDICATED ANALYTICAL EQUIPMENT
EP07821869A EP2087688A2 (en) 2006-10-27 2007-10-26 Device for controlling packets, for a router of a communication network with a view to the routing of suspect packets to dedicated analysis equipment
PCT/EP2007/061506 WO2008049908A2 (en) 2006-10-27 2007-10-26 Device for controlling packets, for a router of a communication network with a view to the routing of suspect packets to dedicated analysis equipment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0654592A FR2907998B1 (en) 2006-10-27 2006-10-27 PACKET CONTROL DEVICE FOR A ROUTER OF A COMMUNICATION NETWORK FOR SUSPECTED PACKET ROUTING TO DEDICATED ANALYTICAL EQUIPMENT

Publications (2)

Publication Number Publication Date
FR2907998A1 true FR2907998A1 (en) 2008-05-02
FR2907998B1 FR2907998B1 (en) 2009-04-10

Family

ID=38325505

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0654592A Active FR2907998B1 (en) 2006-10-27 2006-10-27 PACKET CONTROL DEVICE FOR A ROUTER OF A COMMUNICATION NETWORK FOR SUSPECTED PACKET ROUTING TO DEDICATED ANALYTICAL EQUIPMENT

Country Status (3)

Country Link
EP (1) EP2087688A2 (en)
FR (1) FR2907998B1 (en)
WO (1) WO2008049908A2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106961414B (en) * 2016-01-12 2020-12-25 阿里巴巴集团控股有限公司 Honeypot-based data processing method, device and system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6775657B1 (en) * 1999-12-22 2004-08-10 Cisco Technology, Inc. Multilayered intrusion detection system and method

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002098100A1 (en) * 2001-05-31 2002-12-05 Preventon Technologies Limited Access control systems
US20040078592A1 (en) * 2002-10-16 2004-04-22 At & T Corp. System and method for deploying honeypot systems in a network

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6775657B1 (en) * 1999-12-22 2004-08-10 Cisco Technology, Inc. Multilayered intrusion detection system and method

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JIANG ET AL: "Collapsar: A VM-based honeyfarm and reverse honeyfarm architecture for network attack capture and detention", JOURNAL OF PARALLEL AND DISTRIBUTED COMPUTING, ELSEVIER, AMSTERDAM, NL, vol. 66, no. 9, September 2006 (2006-09-01), pages 1165 - 1180, XP005597366, ISSN: 0743-7315 *
YELDI S ET AL: "Enhancing network intrusion detection system with honeypot", IEEE TENCON 2003. CONFERENCE ON CONVERGENT TECHNOLOGIES FOR THE ASIA-PACIFIC REGION. BANGALORE, INDIA, OCT. 15 - 17, 2003, IEEE REGION 10 ANNUAL CONFERENCE, NEW YORK, NY : IEEE, US, vol. VOL. 4 OF 4. CONF. 18, 15 October 2003 (2003-10-15), pages 1521 - 1526, XP010686929, ISBN: 0-7803-8162-9 *

Also Published As

Publication number Publication date
WO2008049908A2 (en) 2008-05-02
WO2008049908B1 (en) 2008-07-24
EP2087688A2 (en) 2009-08-12
FR2907998B1 (en) 2009-04-10
WO2008049908A3 (en) 2008-06-12

Similar Documents

Publication Publication Date Title
US11522827B2 (en) Detecting relayed communications
US10805325B2 (en) Techniques for detecting enterprise intrusions utilizing active tokens
US8977747B2 (en) System and method for detection of aberrant network behavior by clients of a network access gateway
US20050060535A1 (en) Methods and apparatus for monitoring local network traffic on local network segments and resolving detected security and network management problems occurring on those segments
US8576881B2 (en) Transparent provisioning of services over a network
US20150200960A1 (en) Techniques for protecting against denial of service attacks near the source
CN113169937B (en) Method, device, network node and medium for processing user data service
EP3556130B1 (en) Method of surveillance of a telecommunications network implemented by an access point
TW200951757A (en) Malware detection system and method
NO318887B1 (en) Sanntidsproxyer
WO2012021906A2 (en) Devices, systems, and methods for enabling and reconfiguring of services supported by a network of devices
CN105743878A (en) Dynamic service handling using a honeypot
US20130287029A1 (en) Preventing illicit communications
FR2860369A1 (en) Communications network digital stream packet access control having detector comparing interface digital packet header/following identification generating network management system destination
EP3533202B1 (en) Dynamic and interactive control of a residential gateway connected to a communication network
FR2907998A1 (en) Data packet control device for e.g. asymmetric digital subscriber line network, has processing module associating replacement address with extracted packet, where address is allocated to packet equipment so that router routes to address
FR3094590A1 (en) Gateway and method for differentiating traffic emitted by the gateway, device and method for managing traffic.
CN102932487A (en) Data processing method and system
EP2579545A1 (en) Method of assigning a public network address to equipment with a private network address
EP1432213B1 (en) Mediation platform and message transport network
WO2024121281A1 (en) Method for managing a set of ip addresses, collaboration method, and devices configured to implement these methods
FR3086821A1 (en) COLLABORATION AND REQUEST FOR COLLABORATION BETWEEN PROTECTION SERVICES ASSOCIATED WITH AT LEAST ONE DOMAIN, CORRESPONDING AGENTS AND COMPUTER PROGRAM.

Legal Events

Date Code Title Description
GC Lien (pledge) constituted

Effective date: 20140717

RG Lien (pledge) cancelled

Effective date: 20141016

PLFP Fee payment

Year of fee payment: 10

PLFP Fee payment

Year of fee payment: 11

PLFP Fee payment

Year of fee payment: 12

PLFP Fee payment

Year of fee payment: 14

PLFP Fee payment

Year of fee payment: 15

PLFP Fee payment

Year of fee payment: 16

PLFP Fee payment

Year of fee payment: 17

PLFP Fee payment

Year of fee payment: 18