FR2909502A1 - Surveillance de service de telecommunications dans un reseau - Google Patents

Surveillance de service de telecommunications dans un reseau Download PDF

Info

Publication number
FR2909502A1
FR2909502A1 FR0655301A FR0655301A FR2909502A1 FR 2909502 A1 FR2909502 A1 FR 2909502A1 FR 0655301 A FR0655301 A FR 0655301A FR 0655301 A FR0655301 A FR 0655301A FR 2909502 A1 FR2909502 A1 FR 2909502A1
Authority
FR
France
Prior art keywords
traffic
value
decision
entropy
reference traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR0655301A
Other languages
English (en)
Inventor
Hamza Dahmouni
Sandrine Vaton
David Rosse
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Priority to FR0655301A priority Critical patent/FR2909502A1/fr
Publication of FR2909502A1 publication Critical patent/FR2909502A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Un trafic de paquets de données est surveillé dans un réseau, chaque paquet de données comprenant un champ d'en-tête indiquant un numéro de port. Ce réseau offre des services de télécommunications et comprend une base de données dans laquelle sont stockés des modèles de trafic de référence associée respectivement aux services sur la base d'une modélisation déterminée. On collecte (21) des paquets de données transmis. Puis, on ordonne (22) ces paquets sur la base des numéros de port (35). On obtient un modèle de trafic collecté (23) en appliquant la modélisation. On détermine (24) une première valeur d'entropie relative au modèle de trafic collecté et on compare (25) la première valeur d'entropie avec une seconde valeur d'entropie de référence relative à l'un des modèles de trafic de référence,

Description

La présente invention se rapporte à la surveillance des réseaux IP (pour
`Internet Protocol') fixes ou mobiles de manière automatique. Il peut être pertinent de mettre en oeuvre différents types de surveillance pour de tels réseaux de communications. Ainsi, on peut notamment prévoir une surveillance pour contrôler et gérer la qualité de service, ou encore pour dimensionner et paramétrer ces réseaux de communications, ou bien pour déterminer le type de services de télécommunications utilisés, ainsi que pour détecter les intrusions et les utilisations malveillantes qui peuvent éventuellement être faites dans ces réseaux.
A cet effet, il peut alors être intéressant de modéliser les trafics de paquets de données échangés dans le réseau de télécommunications à surveiller. Le document `Stochastic Protocol Modeling for Anomaly Based Network Intrusion Detection' de Juan M. Estevez-Tapiado, Pedro Garcia-Teodoro, et Jesus E. Diaz-Verdejo, Proceedings of International Workshop on Information Assurance 0-7695-1886-9 (2003) IEEE, décrit ainsi une modélisation de trafic de paquets de données sur la base de laquelle il est prévu de détecter une intrusion malveillante dans le réseau de communications surveillé. Une telle modélisation de trafic est réalisée sous la forme d'une chaîne de Markov. Puis, la détection d'une variation brusque du comportement du trafic surveillé et modélisé dans le réseau de télécommunications permet de détecter une intrusion malveillante ou frauduleuse. La présente invention vise à améliorer la surveillance d'un réseau de télécommunications.
Un premier aspect de la présente invention propose un procédé de surveillance de trafic de paquets de données dans un réseau de transmission par paquets, chaque paquet de données comprenant un champ d'en-tête indiquant au moins un numéro de port, 1 2909502 2 ledit réseau offrant des services de télécommunications et comprenant une base de données dans laquelle sont stockées des modèles de trafic de référence associée respectivement aux services de télécommunications sur la base d'une modélisation déterminée ; 5 ledit procédé comprenant les étapes suivantes : /a/ collecter des paquets de données transmis dans ledit réseau ; /b/ ordonner les paquets de données collectés au moins sur la base du numéro de port inclus dans les champs d'en-tête respectifs; /c/ obtenir un modèle de trafic collecté en appliquant ladite 10 modélisation déterminée aux paquets ordonnés; /d/ déterminer une première valeur d'entropie relative au modèle de trafic collecté; et /e/ comparer ladite première valeur d'entropie et une seconde valeur d'entropie de référence relative à l'un au moins des modèles de 15 trafic de référence. Une base de données est utilisée pour stocker des modèles de trafic de référence relatifs aux différents services de télécommunications qui sont offerts dans le réseau de télécommunications à surveiller. Ces modèles de trafic de référence peuvent être avantageusement obtenus par application 20 d'une modélisation selon une chaîne de Markov. Dans ces conditions, en modélisant le trafic de paquets à observer par l'application d'une même modélisation que celle qui a permis d'obtenir les modèles de trafic de référence stockés, on est en mesure de procéder à une comparaison de modèles de trafic et de ce fait on peut décider si le trafic 25 observé dans le réseau de télécommunications surveillé est issu de l'utilisation de l'un des services de télécommunications offerts dans ce réseau. A cet effet, on effectue une comparaison du modèle de trafic obtenu de manière empirique sur la base des paquets collectés dans le réseau avec un modèle de trafic de référence en se basant sur un calcul de valeur d'entropie.
30 Dans le présent contexte, la notion d'entropie est relative à la théorie d'information fondée par Claude Shannon, ou Entropie de Shannon. Une valeur d'entropie correspond à une quantité d'information moyenne donnée par un état, ou alternativement, correspond à une incertitude moyenne relative à la réalisation d'un état. En effet, d'après Shannon, si X est une variable 2909502 3 aléatoire à valeur dans un ensemble d'états discret {xi, alors la quantité d'information associée à la réalisation de l'état x; est égale à log(1/p(x;)) où p est la loi de probabilité associée à la variable X. L'étape de comparaison /e/ peut consister à déterminer la valeur de 5 convergence de la différence entre la première valeur d'entropie calculée empiriquement et la valeur d'entropie d'un modèle de trafic de référence. Ainsi, lorsque la valeur de convergence est sensiblement égale à 0, il peut alors être décidé que les paquets ordonnés correspondent au service de télécommunications associé au modèle de trafic de référence considéré à 10 l'étape /e/. Par conséquent, de manière simple et efficace, il est possible de déterminer si les paquets de données qui sont transmis dans le réseau de télécommunications sous surveillance, sont issus de l'utilisation d'un des services de télécommunications offerts dans ce réseau. Dans le cas par 15 exemple où les paquets de données ordonnés ne correspondent à aucun de ces services de télécommunications, on peut en déduire qu'ils correspondent à une utilisation frauduleuse ou suspecte du réseau de télécommunications surveillé. Un tel procédé permet avantageusement de déterminer le service de 20 télécommunications auquel correspondent les paquets ordonnés, de manière simple et pertinente. En effet, grâce à ces dispositions, il n'est pas requis notamment de procéder à une analyse syntaxique des informations contenues dans les paquets de données observés, transitant dans le réseau de télécommunications, ce qui est lourd à mettre en place, ce qui simplifie la mise 25 en oeuvre d'une surveillance. En outre, une telle surveillance de réseau de télécommunications peut être mise en oeuvre même sur des paquets de données cryptés. On peut prévoir que ce procédé comprenne en outre, sur la base de l'étape /e/, une étape consistant à décider si les paquets ordonnés 30 correspondent au service de télécommunications associé au modèle de trafic de référence considéré à l'étape /e/. Dans un mode de réalisation de la présente invention, la base de données stocke également une pluralité de valeurs d'entropie de référence relative respectivement à la pluralité de services de télécommunications, 2909502 4 l'étape /e/ étant déterminée sur la base des dites valeurs d'entropie de référence stockées. Dans ce mode de réalisation, l'étape /e/ peut être facilitée puisqu'une valeur d'entropie relative à chacun des modèles de trafic de référence est 5 préalablement disponible dans la base de données. La base de données peut stocker en outre une valeur de distance de référence entre deux modèles de trafic de référence pour chaque couple de modèles de trafic de référence stockés dans la base de données, et ainsi, à l'étape /e/, si les paquets ordonnés ne correspondent pas au service de 10 télécommunications associé au modèle de trafic de référence considéré, les étapes suivantes sont réalisées : - déterminer un écart entre les première et seconde valeurs d'entropie ; - identifier un couple de modèles de trafic comprenant ledit modèle 15 de trafic de référence relatif à la seconde valeur d'entropie et un autre modèle de trafic de référence, et présentant une valeur de distance de référence correspondant audit écart ; et - décider que les paquets ordonnés correspondent au service de télécommunications associé audit autre modèle de trafic de référence 20 du couple identifié. En procédant ainsi, sur la base d'une seule comparaison des première et seconde valeurs d'entropie, on peut avantageusement décider si les paquets ordonnés correspondent soit au service de télécommunications associé au modèle de trafic, lorsque l'écart, ou la différence, entre les 25 première et seconde valeurs d'entropie converge vers la valeur 0, soit encore à un service de télécommunications associé à un autre modèle de référence, lorsque la différence entre les première et seconde valeurs d'entropie converge vers une valeur de distance de référence associée à un des couples de modèles de référence qui comprennent le modèle de trafic de référence 30 relatif à la seconde valeur d'entropie. On peut donc optimiser l'étape de comparaison /e/ puisqu'il est possible par une comparaison à une seule valeur d'entropie du modèle de trafic déterminé de décider si les paquets ordonnés correspondent au trafic de 2909502 5 référence relatif à la seconde valeur d'entropie ou à un autre trafic de référence. Dans un mode de réalisation de la présente invention, lorsque, à l'issue de l'étape /e/, on décide que les paquets ordonnés correspondent à au moins 5 un premier et un second type de service de télécommunications, le procédé comprend une étape d'application d'un test de décision maximisant une probabilité de décision correcte tout en maintenant une probabilité de décision erronée inférieure à une valeur seuil de décision. Cette étape d'application du test de décision peut comprendre les 10 étapes suivantes : /1/ déterminer pour les paquets ordonnés une valeur de rapport de vraisemblance logarithmique relatives aux premier et second modèles de trafic de référence ; et /2/ décider, sur la base de ladite valeur de rapport de vraisemblance 15 logarithmique et de la valeur seuil de décision, si les paquets ordonnés correspondent au premier ou au second modèle de trafic de référence. En utilisant un test de décision entre deux hypothèses probables, par exemple, un test de décision du type de Neyman-Pearson, on peut avantageusement sélectionner le modèle de trafic de référence qui est le plus 20 probable parmi deux modèles de trafic de référence auxquels semblent correspondre les paquets ordonnés. Une base de données peut en outre stocker pour chaque couple de modèles de trafic de référence les informations suivantes obtenues par application du test de décision au couple de modèles de trafic de référence : 25 - un nombre de paquets de données ordonnés; - une valeur de probabilité de décision erronée ; - une valeur de probabilité de décision correcte ; et - un seuil de décision. Ainsi, on applique un test de décision probabiliste pour choisir, entre 30 deux hypothèses qui semblent probables, celle qui est la plus probable. A cet effet, un test de décision du type du test de Neyman-Pearson est adapté à une telle étape de procédé. Un deuxième aspect de la présente invention propose un système de surveillance de trafic dans un réseau de télécommunications adapté pour 2909502 6 mettre en oeuvre un procédé de surveillance de trafic selon le premier aspect de la présente invention. Un troisième aspect de la présente invention propose une entité de comparaison dans un système de surveillance de trafic selon le deuxième 5 aspect de la présente invention. Un quatrième aspect de la présente invention propose un programme d'ordinateur destiné à être installé dans une entité de comparaison selon le troisième aspect, comprenant des instructions aptes à mettre en oeuvre le procédé selon le premier aspect de la présente invention, lors d'une exécution 10 du programme par des moyens de traitement de l'entité de comparaison. Un cinquième aspect de la présente invention propose un support d'enregistrement lisible par un ordinateur sur lequel est enregistré le programme d'ordinateur selon le quatrième aspect de la présente invention. L'invention sera également mieux comprise à l'aide des dessins, sur 15 lesquels : - la figure 1 illustre un réseau de télécommunications selon un mode de réalisation de la présente invention ; - la figure 2 illustre les principales étapes d'un procédé selon un mode de réalisation de la présente invention ; 20 - la figure 3 illustre un ordonnancement des paquets de données selon un mode de réalisation de la présente invention ; - la figure 4 illustre les principales étapes d'un procédé selon un mode de réalisation de la présente invention appliquant un test de décision ; 25 - la figure 5 illustre un système de surveillance selon un mode de réalisation de la présente invention. La présente invention est décrite ci-après dans son application aux réseaux de télécommunications de type IP. Dans ce type de réseau de télécommunications, des données sont transmises d'une entité à une autre en 30 mode paquet, c'est-à-dire que les données à transmettre sont découpées en paquets de données de tailles variables, à chacun de ces paquets de données est associé un champ d'entête contenant une adresse source et une adresses destination, un port source et un port destination, ainsi que d'autres informations de contrôle le cas échéant.
2909502 7 Les services de télécommunications qui sont fournis sur ce type de réseau de télécommunications peuvent reposer sur l'utilisation du protocole UDP (pour `User Datagram Protocol') ou TCP (pour `Transmission Control Protocol') selon les contraintes propres des services de télécommunications 5 considérés. On peut noter à ce propos que le protocole TCP de manière générale assure une plus grande fiabilité de transmission que le protocole UDP mais présente un temps de transmission relativement long par rapport au protocole UDP. Afin d'améliorer la fiabilité d'une transmission selon le protocole UDP, 10 plusieurs protocoles ont été mis en place comme par exemple le protocole RTP/RTCP (pour `Real Time Transport Protocol / Real Time Transport Control Protocol'), ou encore le protocole SIP (pour `Session Initiation Protocol'). Ces protocoles de transmission peuvent être utilisés pour différents services de télécommunications fournis sur un réseau de télécommunications 15 de type IP, comme un service de navigation WEB, ou encore un service de transfert de fichiers par FTP (pour `File Transfer Protocol'), ou un service d'envoi de courrier électronique. Aucune limitation n'est attachée à la présente invention au regard du type de protocole de transmission utilisé dans le réseau à surveiller. De même, 20 aucune limitation n'est attachée à la présente invention en ce qui concerne le nombre de protocoles de transmission différents qui peuvent être utilisés dans le réseau de télécommunications à surveiller. La figure 1 illustre un réseau de télécommunications 11 selon un mode de réalisation de la présente invention dans lequel, sont offerts un premier et 25 un second service de télécommunications différents fournis respectivement par un premier serveur 111 et un second serveur 112. Ce réseau de télécommunications comprend une entité de collecte 12 adaptée pour collecter des paquets de données transmis dans ce réseau de télécommunications 11, ainsi qu'une base de données 100 qui stocke un premier et un second modèle 30 de trafic de référence correspondant respectivement aux premier et second services de télécommunications. Dans un mode de réalisation de la présente invention, ces modèles de trafic de référence sont obtenus par l'application d'une modélisation selon une chaîne de Markov.
2909502 8 Selon une telle modélisation, un modèle de trafic est obtenu en partant des hypothèses suivantes : - le trafic peut être représenté par un ensemble E de s états, noté par la suite, E={E1, E2, ..., Es}, s étant un nombre entier positif ; 5 - le trafic transite d'un état à un autre état dans cet ensemble d'états E en suivant une loi probabiliste selon laquelle l'état à l'instant t ne dépend que de l'état à l'instant t-1. Dans ces conditions, un trafic de paquets de données peut être représenté selon une chaîne de Markov déterminée par : 10 - une matrice de transition P=P;,j , pour i et j compris entre 1 et s ; et - une distribution de probabilité initiale p=p;, pour i compris entre 1 et s, où p; est un nombre positif et où le résultat de la somme des nombre p; pour i allant de 1 à s est égal à 1. La matrice de transition P d'une telle chaîne de Markov est déterminée 15 par la probabilité de transition entre les différents états. Plus précisément, un élément de la matrice de transition P;,j représente la probabilité de passer d'un état E; à un instant t à un état Ej à un instant t+1. La distribution de probabilité p est obtenue à partir de la résolution de l'équation suivante : 20 pP=p Afin de modéliser les trafics de paquets de données relatifs au premier et au second service de télécommunications, pour stocker ces modèles de trafic dans la base de données, une phase d'apprentissage préalable peut être mise en oeuvre au cours de laquelle on construit la distribution de probabilité initiale 25 p;(1) et la matrice de transition P;,j(1) attachée au modèle de trafic du premier service de télécommunications et la distribution de probabilité initiale p;(2) et la matrice de transition P;,j(2) attachée au modèle de trafic du second service de télécommunications. Les premier et second modèles de trafic de référence selon Markov, qui 30 modélisent les trafics de paquets de données transitant dans le réseau de télécommunication selon les premier et second services de télécommunications respectifs sont respectivement notés : MC1 = {p(1), P(1)} ; et MC2 = {p(2), P(2)} 2909502 9 Dans le contexte de la présente invention, les valeurs d'entropie H(MC1) et H(MC2) relatives aux modèles de trafic de référence MC1 et MC2 vérifient respectivement les équations suivantes : H (MC1) _ ùE p. (1)P (1)1og(P i (1)) 5 H(MC2) _ ùp .(2)13i 1 (2)1og(P 1 (2)) I, ] Une fois que la base de données mémorise les modèles de trafic de référence respectivement pour les services de télécommunications offerts dans le réseau de télécommunications à surveiller, on peut procéder aux étapes de surveillance du trafic de paquets de données transitant dans le 10 réseau de télécommunications considéré. Les principales étapes de surveillance, selon un mode de réalisation de la présente invention, du trafic transitant dans le réseau sont illustrées à la figure 2. A une étape 21, des paquets de données transmis dans le réseau sont 15 collectés. Les paquets de données collectés comprennent un champ d'en-tête indiquant des informations sur la base desquelles un ordonnancement desdits paquets peut être mis en oeuvre. Dans le cas par exemple du protocole de transmission TCP/IP, un champ d'en-tête des paquets de données indique que le protocole TCP est utilisé, et 20 fournit les adresses IP source et destination, ainsi que les numéros de port. Le type de chaque paquet de données peut ainsi être déterminé à partir des informations contenues dans ce champ en-tête, que le protocole de transmission utilisé soit TCP, RTP, RTCP ou encore SIP notamment. Les informations qui peuvent être comprises dans les paquets collectés 25 dépendent du type de trafic à étudier. Aucune limitation n'est attachée à la présente invention au regard des informations utilisées pour cette étape d'ordonnancement des paquets. A une étape 22, les paquets de données collectés sont alors ordonnés. A cette étape, en fonction du type des paquets collectés et en fonction des 30 informations sur la base desquelles est basé le tri et l'ordonnancement des paquets de données collectés, il est possible d'obtenir une pluralité de trafics collectés.
2909502 10 Selon un mode de réalisation de la présente invention, on prévoit d'ordonner les paquets collectés selon le numéro de port IP indiqué dans le champ d'en-tête du paquet. Dans ce cas, l'étape 22 d'ordonnancement de paquets de données permet de fournir un flux de paquets de données 5 correspondant à l'utilisation d'un service de télécommunications par plusieurs utilisateurs. On peut également prévoir d'ordonner les paquets collectés selon le numéro de port IP ainsi que l'adresse source et/ou l'adresse destination. Dans ces conditions, on peut alors obtenir un trafic ordonné qui correspond à un 10 seul utilisateur. En effet, par exemple, si les paquets de données collectés transitent depuis un client vers un serveur et que l'étape d'ordonnancement est réalisée en tenant compte de l'adresse source du champ d'en-tête des paquets collectés, alors on obtient des paquets de données ordonnés correspondant à ce client. Dans un autre cas, lorsque les paquets de données 15 collectés transitent depuis le serveur vers un client, et que l'étape d'ordonnancement est fonction de l'adresse destination du champ d'en-tête des paquets collectés, alors là aussi les paquets de données ordonnés correspondent au client et donc à un utilisateur du service de télécommunications utilisé.
20 Puis, à chacun de ces paquets ordonnés est attribué un état parmi l'ensemble des états de la modélisation selon Markov considérée ici. Lorsqu'un des deux services de télécommunications offerts dans le réseau considéré ici, repose sur le protocole TCP, les différents paquets de données de contrôle qui peuvent être collectés relativement à ce service de 25 télécommunications portent les drapeaux suivants : - URG : pour un paquet signalant la présence de données urgentes ; - ACK : pour un paquet accusant réception (pour `ACKnowledgement') ; - PSH : pour un paquet de données à envoyer immédiatement ; - RST : pour un paquet de données relatif à une rupture anormale de la 30 connexion (pour `ReSeT') ; - SYN : pour un paquet de données relatif à une demande de SYNchronisation ou établissement de connexion ; 2909502 11 - FIN : pour un paquet de données relatif à une demande de fin de connexion. Dans un tel paquet de données, chaque drapeau peut prendre la valeur 0 ou 1.
5 Il est alors possible de définir l'ensemble des états E; à prendre en considération pour une modélisation selon Markov suivant l'équation suivante : E; = SYN+2.ACK+4.PSH+8.RST+16.URG+32.FIN Puis, le trafic de paquets de données collecté, ou le cas échéant la pluralité de trafics de paquets de données collectés, ainsi obtenu sont stockés 10 dans des mémoires tampons. La figure 3 illustre un ordonnancement des paquets de données selon un mode de réalisation de la présente invention dans le contexte de l'utilisation du protocole TCP. Au niveau de l'entité de collecte 12, un ensemble de paquets de données 15 30 est collecté. Ils appartiennent à différents flots de paquets de données. Après l'étape d'ordonnancement selon un mode de réalisation de la présente invention, les paquets de données 31-34 sont extraits de l'ensemble de paquets de données collectés. Puis, ils sont classifiés par ordre d'arrivée pour fournir des paquets ordonnés 35.
20 Afin de réaliser dans ce contexte l'ordonnancement des paquets de données collectés, on se base en outre sur l'instant d'arrivée de ces paquets, en supposant que l'ordre d'arrivée des paquets de données d'un même flot de paquets de données correspond à l'ordre d'émission des paquets de données de ce trafic de paquets de données.
25 Puis, à une étape 23, sur la base des paquets de données ordonnés 35, une modélisation de ce trafic est alors fournie de manière empirique. Plus précisément, en premier lieu, une modélisation est appliquée à chacun des trafics de paquets collectés qui ont pu être obtenus à l'étape précédente. On applique à cet effet la même modélisation que celle qui a été appliquée au 30 préalable pour obtenir les modèles de référence MC1 et MC2 qui sont stockés dans la base de données 100. Une matrice de transition P est déterminée pour 2909502 12 chacun de ces trafics de paquets de données collectés qui sont obtenus à l'étape d'ordonnancement. Chaque élément P;,i de la matrice de transition P est estimé de manière empirique selon l'équation suivante : N(Xr=Ei;X,+ 1 =E;) P~ _ N(Ei ) où Xtest l'état à l'instant t parmi les états de l'ensemble E ; où Xt+1 est l'état à l'instant t+1 parmi les états de l'ensemble E ; et où N(Xt=E; ; Xt+1=Ei) représente le nombre de paires observées pour lesquelles l'état E; pris à l'instant t passe à l'état Ei à l'instant t+1; et où N(E;) représente le nombre d'occurrences pour lesquelles l'état E; est observé dans le trafic collecté. La distribution des probabilités P comprend les probabilités pi pour i compris entre 1 et s vérifiant l'équation suivante : N(Ei ) 15 où Ntota, représente le nombre total d'états observés. Dans un mode de réalisation de la présente invention, lorsqu'une valeur de probabilité est égale à 0, elle est remplacée par une valeur de seuil minimum E. Cette valeur de seuil minimum peut par exemple être fixée à la valeur 0,0001.
20 Dans l'exemple décrit ici, l'étape d'ordonnancement 22 vise à fournir un flot de paquets par utilisateur. Ainsi, les informations stockées dans le champ d'en-tête servant de base pour l'étape d'ordonnancement des paquets collectés sont le type de protocole, l'adresse IP source, l'adresse IP destination, le numéro de port source et le numéro de port destination.
25 Puis, à une étape 24, une valeur d'entropie attachée aux paquets ordonnés 35 est calculée de manière empirique selon l'équation suivante : 5 10 p~ Ntotal f(T)=Tlogp(Y~,...,YT)=T T logpyl +11og',-y, i=2 2909502 13 où (yi, ...,yT) est la séquence des états des paquets de données ordonnés 35, pour i compris entre 1 et T, où T est le nombre de paquets ordonnés 35 considérés ici. Enfin, à une étape 25, on compare la valeur d'entropie empirique 5 obtenue par l'équation ci-dessus et la valeur d'entropie correspondante pour le premier modèle de trafic stocké dans la base de données. Puis, il est alors possible de décider si les paquets ordonnés correspondent au modèle de trafic de référence associé au premier service de télécommunications. Cette étape de comparaison 25 peut être effectuée sur la base d'un 10 calcul d'une différence entre valeurs de vraisemblance logarithmique, ce qui correspond à un calcul de différence de valeurs d'entropie, selon l'équation suivante : T1ogP(Yi,...,YT)ûT1ogp(Yi,...,YT/MC1)=T T log Py' + 1 1og Py, (1) i=2 P,-,y, (1) 1 où T log(y1, ..., yT) correspond à la valeur de vraisemblance 15 logarithmique associée aux paquets de données ordonnés 35 ; et 1 où T log(y1, ..., yT/MC1) correspond à la valeur de vraisemblance logarithmique calculée relativement au premier modèle de trafic de référence MC1. Lorsque la différence des valeurs de vraisemblance logarithmique tend 20 vers la valeur zéro, on en déduit que les paquets ordonnés 35 correspondent au premier modèle de trafic de référence. De ce fait, les paquets ordonnés peuvent être identifiés comme correspondant au premier service de télécommunications offert dans le réseau de télécommunications surveillé. Si tel n'est pas le cas, on peut réaliser les étapes qui ont été décrites ci- 25 avant par rapport au premier modèle de trafic, cette fois par rapport au second modèle de trafic de référence stocké dans la base de données. Ainsi, lorsque la différence entre la valeur de vraisemblance logarithmique relative aux paquets ordonnés et celle relative au second modèle de trafic de référence tend vers zéro, on en déduit aisément que les paquets ordonnés 2909502 14 correspondent au second service de télécommunications offert dans ce réseau de télécommunications. Afin d'éviter une réitération de l'étape de comparaison basée sur un calcul de différence de valeurs de vraisemblance logarithmique, dans une 5 variante, on prévoit de stocker dans la base de données, une valeur de distance de référence correspondant à la distance entre deux modèles de trafic de référence pour chaque couple de modèles de trafic de référence stocké dans la base de données 100. Ainsi, à cet effet, on peut appliquer une équation relative à la distance 10 selon Küllback-Leibler (ou encore entropie relative) bien connue de l'homme du métier, qui vérifie : D(MC2 / MC1) =1 pi (2)P. (2)log i,j où D(MC2/MC1)représente la distance selon Küllback-Leibler entre les premier et second modèles de trafic de référence MC1 et MC2.
15 Ainsi, dans ces conditions, sur la base d'une différence de valeurs de vraisemblance logarithmique telle que décrite ci-avant relativement au premier modèle de trafic, on est non seulement en mesure de décider si les paquets ordonnés 35 correspondent au premier service de télécommunications, mais on est également en mesure de décider si les paquets ordonnés 35 20 correspondent au second service de télécommunications. En effet, en appliquant le théorème d'équipartition asymptotique (AEP) donné dans le livre "Elements of Informations Theory", Thomas M. Cover, Joy A. Thomas, Wiley & Sons, 2006, l'homme du métier sait que f(T) définie précédemment, lorsque les paquets de données du trafic collecté 35 sont 25 issus de l'utilisation du second service de télécommunications, converge en probabilité vers l'opposé de la somme de la valeur d'entropie du premier modèle de trafic de référence et de la distance de Küllback-Leibler entre les premier et second modèles de trafic de référence. Ainsi, dans le cas où la différence de valeurs de vraisemblance 30 logarithmique calculée à l'étape 25, ne converge pas vers zéro pour le premier modèle de trafic de référence, alors on contrôle si cette différence converge vers la distance de Küllback-Leibler séparant le second modèle de trafic de 2909502 15 référence du premier modèle de trafic de référence, telle que stockée dans la base de données 100. Si tel est le cas, on en déduit alors que les paquets ordonnés correspondent à l'utilisation du second service de télécommunications auquel est associé le second modèle de trafic de 5 référence. Dans le cas où les paquets ordonnés correspondent à la fois au premier modèle de trafic et au second modèle de trafic, il peut être difficile de se décider. Dans un tel cas, on peut avantageusement mettre en oeuvre un test de 10 décision entre deux hypothèses, tel que le test de Neyman-Pearson. Selon ce dernier, on est en mesure de trancher entre les deux hypothèses suivantes : - Hypothèse 1 : les paquets ordonnés (yi,...,yT) sont issus de l'utilisation du premier service de télécommunications et correspondent donc au modèle de trafic de référence MC1 ; 15 - Hypothèse 2 : les paquets ordonnés (yi,...,yT) sont issus de l'utilisation du premier service de télécommunications et correspondent donc au modèle de trafic de référence MC2. Soit a la probabilité selon laquelle la décision qui consiste à sélectionner l'Hypothèse 1 est incorrecte, puisque c'est l'hypothèse 2 qui est correcte, et 13 20 la probabilité selon laquelle la décision qui consiste à sélectionner l'Hypothèse 1 est correcte. Le test de Neyman-Pearson permet de sélectionner une hypothèse parmi les deux hypothèses, en maximisant la valeur de R tout en conservant la valeur de a au-dessous d'un certain seuil ao.
25 On utilise le rapport de vraisemblance logarithmique des deux hypothèses suivant : log A(y, ,..., yT) = log(Pr{yl ,..., yT / Hypothèse2}/ Pr {y1 ,..., yT / Hypothèsel} où Pr{yi,...,y-- /Hypothèse i} représente la probabilité que les paquets ordonnés représentés par la séquence des états correspondent à 30 l'hypothèse i, pour i égale 1 ou 2. On peut encore écrire : T log YT) =log py(2) +1log Pr-yr (2) pyz (1) t=2 P r-,yr (1) ) 2909502 16 Le test de Neyman-Pearson peut être défini comme suit : - on décide de sélectionner l'Hypothèse 1 si le rapport de vraisemblance logarithmique défini ci-dessus est inférieur à un seuil M(a) et on décide de sélectionner l'Hypothèse 2 si ce rapport de vraisemblance est 5 supérieur au seuil M(a). Le M(a) est choisi de telle façon que Pr{ (log yT) > 2(a)) / hypothèsel} = a Dans ce mode de réalisation de la présente invention, afin de pouvoir appliquer un tel test de décision pour trancher entre deux modèles de trafic, dans le cas où une étape de comparaison 24 de valeurs d'entropie ne 10 permettrait pas de choisir un modèle de trafic plutôt qu'un autre, on stocke de préférence pour chaque couple de modèles de trafic de référence, dans une base de données 101 distincte de la base de données 100 ou encore dans la base de données 100, les informations suivantes,: - un nombre de paquets à observer, c'est-à-dire à prendre en 15 considération, soit encore le nombre des paquets ordonnés ; - une valeur de probabilité a de décision erronée ; -une valeur de probabilité R de décision correcte ; et - une valeur de seuil de décision M(a). De préférence, lorsqu'une pluralité de modèles de trafic de référence est 20 stockée respectivement pour une pluralité de services de télécommunications, le nombre des paquets de données ordonnés est égal au nombre de paquets à observer stocké maximum de sorte qu'il soit possible de traiter les paquets ordonnés par le test de décision par rapport à tous les services de télécommunications offerts dans le réseau de télécommunications surveillé.
25 Il est alors prévu de calculer une valeur du rapport loge de vraisemblance logarithmique entre les deux modèles de trafic pour un nombre T de paquets ordonnés 35, selon l'équation suivante : logA=log(Pr(Y1,...,YT/MC2) =1og(pa(Yi))+Ilog(P,(Yk/Yk-i)) Pr(yi,...,YT/MC2) PI(Y1) k=2 P1(Yk'Yk-i) Puis, en se basant sur le test de décision selon Neyman-Pearson, on 30 compare le résultat de ce rapport de vraisemblance logarithmique cidessus avec le seuil de décision M(a), ce qui permet de décider si les paquets 2909502 17 ordonnés sont issus de l'utilisation du premier service de télécommunications ou encore du second service de télécommunications. La figure 4 illustre les principales étapes d'un procédé de surveillance à mettre en oeuvre dans de telles conditions selon un mode de réalisation de la 5 présente invention. Ainsi, à l'issue de l'étape 24 de comparaison de valeurs d'entropie, il est possible qu'un seul modèle de trafic de référence soit identifié 402 (flèche 41), comme cela a été présenté ci-avant, en se basant sur les informations contenues dans la base de données 100. Il est possible aussi que les paquets ordonnés 35 correspondent à deux 10 modèles de trafic de référence (flèche 42), et dans ce cas il convient d'appliquer un test décision 401 comme présenté ci-avant, en se basant sur les informations contenues dans la base de données 101. Lorsqu'aucun modèle de trafic de référence ne semble correspondre aux paquets ordonnés 35, il est possible d'en déduire qu'une utilisation 15 potentiellement frauduleuse du réseau de télécommunications a été détectée. Puis, la dernière étape du processus consiste à classer le trafic observé et à enregistrer les adresses IP et les numéros de port afin de classer de la même façon le reste de paquets de données correspondant au même flot de paquets de données, dans l'exemple considéré ici.
20 La figure 5 illustre un système de surveillance de trafic 50 adapté pour mettre en oeuvre une surveillance du trafic dans le réseau de télécommunications 11 selon un mode de réalisation de la présente invention. Un tel système de surveillance de trafic dans un réseau de télécommunications de type IP (pour `Internet Protocol') 11 de transmission 25 par paquet, comprend la base de données 100 dans laquelle est stockée une pluralité de modèles de trafic de référence tels que MC1 et MC2 associée respectivement à la pluralité de types de service de télécommunications sur la base d'une modélisation déterminée, telle qu'une modélisation selon Markov. Ce système comprend en outre l'entité de collecte 12 adaptée pour 30 collecter des paquets transmis dans le réseau de télécommunications, ainsi qu'une entité d'ordonnancement 52 adaptée pour ordonner les paquets collectés au moins sur la base du numéro de port inclus dans les champs d'en-tête respectifs. Ce système comprend en outre une entité de modélisation 2909502 18 53 adaptée pour fournir un modèle de trafic collecté selon la modélisation déterminée. Il comprend aussi une entité de comparaison 54 adaptée pour déterminer une première valeur d'entropie relative au modèle de trafic collecté, et pour 5 comparer la première valeur d'entropie et une seconde valeur d'entropie de référence relative à l'un des modèle de trafic de référence. Puis, cette entité de comparaison peut décider alors si les paquets ordonnés correspondent au service de télécommunications associé à ce modèle de trafic de référence. La base de données 100 peut en outre stocker une pluralité de valeurs 10 d'entropie de référence relative respectivement à la pluralité de services de télécommunications ; et l'entité de comparaison 54 peut alors se baser sur les valeurs d'entropie de référence stockées dans la base de données 100. La base de données 100 peut stocker en outre une valeur de distance de référence entre deux modèles de trafic de référence pour chaque couple de 15 modèles de trafic de référence stockés dans la base de données. Ainsi l'entité de comparaison 54 peut être adaptée pour déterminer un écart entre les première et seconde valeurs d'entropie ; pour identifier un couple de modèles de trafic comprenant le modèle de trafic de référence relatif à la seconde valeur d'entropie et un autre modèle de trafic de référence, et présentant une 20 valeur de distance de référence correspondant audit écart ; et pour décider que les paquets ordonnés correspondent au service de télécommunications associé à l'autre modèle de trafic de référence du couple identifié. L'entité de comparaison 54 est en outre adaptée pour mettre en oeuvre une étape d'application d'un test de décision maximisant la probabilité d'une 25 décision correcte tout en maintenant la probabilité d'une décision erronée inférieure à un seuil de décision, dans le cas où les paquets ordonnés correspondent à un premier et un second modèle de trafic de référence. A cet effet, l'entité de comparaison peut être adaptée pour déterminer pour les paquets ordonnés 35 une valeur de rapport de 30 vraisemblance logarithmique relativement aux premier et second modèles de trafic de référence ; et pour décider si les paquets ordonnés correspondent au premier ou au second modèle de trafic de référence sur la base de la valeur de rapport de vraisemblance logarithmique et de la valeur de seuil de décision.

Claims (20)

REVENDICATIONS
1. Procédé de surveillance de trafic de paquets de données dans un réseau de transmission par paquets (11), chaque paquet de données (31-34) comprenant un champ d'en-tête indiquant au moins un numéro de port, ledit réseau offrant des services de télécommunications et comprenant une base de données (100) dans laquelle sont stockées des modèles de trafic de référence (MC1, MC2) associés respectivement auxdits services de télécommunications sur la base d'une modélisation déterminée ; ledit procédé comprenant les étapes suivantes : /a/ collecter (21) des paquets de données transmis dans ledit 10 réseau; /b/ ordonner (22) les paquets de données collectés (35) au moins sur la base du numéro de port inclus dans les champs d'en-tête ; /c/ obtenir (23) un modèle de trafic collecté en appliquant ladite modélisation déterminée aux paquets ordonnés; 15 /d/ déterminer (24) une première valeur d'entropie relative au modèle de trafic collecté ; et /e/ comparer (25) ladite première valeur d'entropie et une seconde valeur d'entropie de référence relative à l'un des modèles de trafic de référence. 20
2. Procédé de surveillance selon la revendication 1, comprenant en outre, sur la base de l'étape /e/, une étape consistant à décider si les paquets ordonnés correspondent au service de télécommunications associé au modèle de trafic de référence considéré à l'étape /e/.
3. Procédé de surveillance selon la revendication 1 ou 2, dans lequel la base de données (100) stocke en outre des valeurs d'entropie de référence relatives respectivement aux services de télécommunications ; l'étape /e/ étant basée sur lesdites valeurs d'entropie de référence stockées.
4. Procédé de surveillance selon l'une quelconque des revendications précédentes, dans lequel la base de données (100) stocke en outre une valeur 25 30 2909502 20 de distance de référence entre deux modèles de trafic de référence pour chaque couple de modèles de trafic de référence stockés dans la base de données, et dans lequel, à l'étape /e/, si le modèle de trafic collecté ne correspond pas au 5 modèle de trafic de référence relatif à la seconde valeur d'entropie, les étapes suivantes sont réalisées : - déterminer un écart entre les première et seconde valeurs d'entropie ; - identifier un couple de modèles de trafic de référence comprenant le modèle de trafic de référence relatif à la seconde valeur d'entropie et un autre modèle de trafic de référence, et présentant une valeur de distance de référence correspondant audit écart ; et -décider que les paquets ordonnés correspondent au service de télécommunications associé audit autre modèle de trafic de référence du couple identifié.
5. Procédé de surveillance selon l'une quelconque des revendications précédentes, comprenant en outre, lorsque, à l'issue de l'étape /e/, on décide que les paquets ordonnés correspondent à au moins un premier et un second type de service de télécommunications, une étape d'application d'un test de décision maximisant une probabilité de décision correcte tout en maintenant une probabilité de décision erronée inférieure à une valeur seuil de décision.
6. Procédé de surveillance selon la revendication 5, dans lequel l'étape d'application du test de décision comprend les étapes suivantes : /1/ déterminer pour les paquets ordonnés (35) une valeur de rapport de vraisemblance logarithmique relativement auxdits premier et second modèles de trafic de référence ; et /2/ décider, sur la base de ladite valeur de rapport de vraisemblance logarithmique et de la valeur seuil de décision, si les paquets ordonnés correspondent au premier ou au second modèle de trafic de référence.
7. Procédé de surveillance selon la revendication 5 ou 6, dans lequel une base de données (101) stocke pour chaque couple de modèles de trafic de 2909502 21 référence (MC1, MC2) les informations suivantes obtenues par application du test de décision : - un nombre de paquets de données ordonnés (35) ; - une valeur de probabilité de décision erronée (a) ; 5 -une valeur de probabilité de décision correcte (R) ; - un seuil de décision À(a).
8. Système de surveillance de trafic de paquets de données dans un réseau de transmission par paquets (11), chaque paquet de données (31-34) 10 comprenant un champ d'en-tête indiquant au moins un numéro de port, ledit réseau offrant des services de télécommunications ledit système de surveillance comprenant : - une base de données (100) dans laquelle sont stockés des modèles de trafic de référence (MC1, MC2) associés respectivement aux services de 15 télécommunications sur la base d'une modélisation déterminée ; - une entité de collecte (51) adaptée pour collecter des paquets de données dans ledit réseau; - une entité d'ordonnancement adaptée pour ordonner (52) les paquets de données collectés au moins sur la base du numéro de port inclus dans les 20 champs d'en-tête respectifs (35) ; - une entité de modélisation (53) adaptée pour fournir un modèle de trafic collecté selon ladite modélisation déterminée à partir des paquets ordonnés ; - une entité de comparaison (54) adaptée pour comparer une première 25 valeur d'entropie relative au modèle de trafic collecté avec une seconde valeur d'entropie de référence relative à l'un des modèles de trafic de référence.
9. Système de surveillance selon la revendication 8, dans lequel, sur la base de la comparaison faite par l'entité de comparaison (54), une étape 30 consistant à décider si les paquets ordonnés correspondent au service de télécommunications associé au modèle de trafic de référence considéré par l'entité de comparaison. 2909502 22
10. Système de surveillance selon la revendication 8 ou 9, dans lequel la base de données (100) stocke en outre des valeurs d'entropie de référence relatives respectivement aux services de télécommunications ; et dans lequel, l'entité de comparaison (54) se base sur lesdites valeurs 5 d'entropie de référence.
11. Système de surveillance selon l'une quelconque des revendications 8 à 10, dans lequel la base de données (100) stocke en outre une valeur de distance de référence entre deux modèles de trafic de référence pour chaque 10 couple de modèles de trafic de référence stockés dans la base de données ; et dans lequel l'entité de comparaison (54) est adaptée pour déterminer un écart entre les première et seconde valeurs d'entropie ; pour identifier un couple de modèles de trafic comprenant le modèle de trafic de référence relatif à la seconde valeur d'entropie et un autre modèle de trafic de référence, et 15 présentant une valeur de distance de référence correspondant audit écart ; et pour décider que les paquets ordonnés correspondent au service de télécommunications associé audit autre modèle de trafic de référence du couple identifié. 20
12. Système de surveillance selon l'une quelconque des revendications 8 à 11, dans lequel l'entité de comparaison (54) est en outre adaptée pour mettre en oeuvre une étape d'application d'un test de décision maximisant une probabilité de décision correcte tout en maintenant une probabilité de décision erronée inférieure à une valeur seuil de décision, dans le cas où les paquets 25 ordonnés correspondent à un premier et à un second modèle de trafic de référence.
13. Système de surveillance selon la revendication 12, dans lequel l'entité de comparaison, pour mettre en oeuvre le test de décision, est adaptée pour : 30 /1/ déterminer pour les paquets ordonnés une valeur de rapport de vraisemblance logarithmique relativement aux premier et second modèles de trafic de référence ; et 2909502 23 /2/ décider, sur la base de ladite valeur de rapport de vraisemblance logarithmique et de la valeur seuil de décision, si les paquets ordonnés correspondent au premier ou au second modèle de trafic de référence. 5
14. Entité de comparaison dans un système de surveillance de trafic selon l'une quelconque des revendications 8 à 13, adaptée pour déterminer une première valeur d'entropie relative au modèle de trafic collecté, et pour comparer ladite première valeur d'entropie et une seconde valeur d'entropie de référence relative à un des modèle de trafic de référence. 10
15. Entité de comparaison selon la revendication 14, adaptée pour coopérer avec une base de données (100) dans laquelle sont stockés des valeurs d'entropie de référence relatives respectivement aux services de télécommunication, et pour se baser sur lesdites valeurs d'entropie de 15 référence.
16. Entité de comparaison (54) selon la revendication 14 ou 15, adaptée pour coopérer avec la base de données (100) dans laquelle est stockée en outre une valeur de distance de référence entre deux modèles de trafic de 20 référence pour chaque couple de modèles de trafic de référence stockés dans la base de données ; et dans lequel l'entité de comparaison (54) est adaptée pour : - déterminer un écart entre les première et seconde valeurs d'entropie , 25 - identifier un couple de modèles de trafic comprenant le modèle de trafic de référence relatif à la seconde valeur d'entropie et un autre modèle de trafic de référence, et présentant une valeur de distance de référence correspondant audit écart ; et - décider que les paquets ordonnés correspondent au service de 30 télécommunications associé audit autre modèle de trafic de référence du couple identifié.
17. Entité de comparaison (54) selon la revendication 16, adaptée pour mettre en oeuvre une étape d'application d'un test de décision maximisant une 2909502 24 probabilité de décision correcte tout en maintenant une probabilité de décision erronée inférieure à une valeur seuil de décision, dans le cas où les paquets ordonnés correspondent à un premier et à un second modèle de trafic de référence. 5
18. Entité de comparaison (54) selon la revendication 17, pour mettre en oeuvre le test de décision, est adaptée pour : /1/ déterminer pour les paquets ordonnés 35 une valeur de rapport de vraisemblance logarithmique relativement aux dits premier et second modèles 10 de trafic de référence ; et /2/ décider, sur la base de ladite valeur de rapport de vraisemblance logarithmique et de la valeur seuil de décision, si les paquets ordonnés correspondent au premier ou au second modèle de trafic de référence. 15
19. Programme d'ordinateur destiné à être installé dans une entité de comparaison (54) selon l'une quelconque des revendications 14 à 18, comprenant des instructions aptes à mettre en oeuvre le procédé selon l'une quelconque des revendications 1 à 5, lors d'une exécution du programme par des moyens de traitement de l'entité de comparaison. 20
20. Support d'enregistrement lisible par un ordinateur sur lequel est enregistré le programme d'ordinateur selon la revendication 19. 25
FR0655301A 2006-12-04 2006-12-04 Surveillance de service de telecommunications dans un reseau Pending FR2909502A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR0655301A FR2909502A1 (fr) 2006-12-04 2006-12-04 Surveillance de service de telecommunications dans un reseau

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0655301A FR2909502A1 (fr) 2006-12-04 2006-12-04 Surveillance de service de telecommunications dans un reseau

Publications (1)

Publication Number Publication Date
FR2909502A1 true FR2909502A1 (fr) 2008-06-06

Family

ID=38335579

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0655301A Pending FR2909502A1 (fr) 2006-12-04 2006-12-04 Surveillance de service de telecommunications dans un reseau

Country Status (1)

Country Link
FR (1) FR2909502A1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8331234B1 (en) 2004-09-08 2012-12-11 Q1 Labs Inc. Network data flow collection and processing
CN109889481A (zh) * 2018-12-26 2019-06-14 广州海达安控智能科技有限公司 基于多传感器设备数据采集融合方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030088791A1 (en) * 1998-11-09 2003-05-08 Sri International, Inc., A California Corporation Network surveillance

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030088791A1 (en) * 1998-11-09 2003-05-08 Sri International, Inc., A California Corporation Network surveillance
US20030212903A1 (en) * 1998-11-09 2003-11-13 Porras Phillip Andrew Network surveillance

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
ESTEVEZ-TAPIADOR J M ET AL: "Anomaly detection methods in wired networks: a survey and taxonomy", COMPUTER COMMUNICATIONS, ELSEVIER SCIENCE PUBLISHERS BV, AMSTERDAM, NL, vol. 27, no. 16, 15 October 2004 (2004-10-15), pages 1569 - 1584, XP004544096, ISSN: 0140-3664 *
ESTEVEZ-TAPIADOR J M ET AL: "Stochastic protocol modeling for anomaly based network intrusion detection", PROCEEDINGS OF THE IEEE INTERNATIONAL WORKSHOP ON INFORMATION ASSURANCE, 24 March 2003 (2003-03-24), pages 3 - 12, XP002298498 *
JONCKHEERE E ET AL: "Dynamic modeling of internet traffic for intrusion detection", PROCEEDINGS OF THE 2002 AMERICAN CONTROL CONFERENCE. ACC. ANCHORAGE, AL, MAY 8 - 10, 2002, AMERICAN CONTROL CONFERENCE, NEW YORK, NY : IEEE, US, vol. VOL. 1 OF 6, 8 May 2002 (2002-05-08), pages 2436 - 2442, XP010596454, ISBN: 0-7803-7298-0 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8331234B1 (en) 2004-09-08 2012-12-11 Q1 Labs Inc. Network data flow collection and processing
US8848528B1 (en) 2004-09-08 2014-09-30 International Business Machines Corporation Network data flow collection and processing
CN109889481A (zh) * 2018-12-26 2019-06-14 广州海达安控智能科技有限公司 基于多传感器设备数据采集融合方法及装置
CN109889481B (zh) * 2018-12-26 2022-09-20 广州市中海达测绘仪器有限公司 基于多传感器设备数据采集融合方法及装置

Similar Documents

Publication Publication Date Title
CN110115015B (zh) 通过监测其行为检测未知IoT设备的系统和方法
CN108076019B (zh) 基于流量镜像的异常流量检测方法及装置
US20190075049A1 (en) Determining Direction of Network Sessions
US11218382B2 (en) Quality of service monitoring method, device, and system
WO2015097359A1 (fr) Procede de diagnostic de fonctions service dans un reseau ip
KR20110030575A (ko) 패킷 기반형 네트워크를 공격으로부터 보호하는 방법, 보안 경계 노드, 패킷 기반형 네트워크 및 컴퓨터 판독 가능한 저장 매체
CN110417747B (zh) 一种暴力破解行为的检测方法及装置
KR20150090216A (ko) 암호화된 세션 모니터링
WO2006108989A2 (fr) Procede de lutte contre l'envoi d'information vocale non sollicitee
EP2053783A1 (fr) Procédé et système pour l'identification de trafic VoIP dans des réseaux
US20090138959A1 (en) DEVICE, SYSTEM AND METHOD FOR DROPPING ATTACK MULTIMEDIA PACKET IN THE VoIP SERVICE
Mazhar Rathore et al. Exploiting encrypted and tunneled multimedia calls in high-speed big data environment
EP3556130A1 (fr) Procédé et dispositif de surveillance mis en oeuvre par un point d'accès à un réseau de télécommunications
CN112583738A (zh) 一种分析归类网络流量的方法、设备及存储介质
JP4985435B2 (ja) 監視分析装置、方法、及び、プログラム
FR2909502A1 (fr) Surveillance de service de telecommunications dans un reseau
US7761560B2 (en) Method for processing a data flow according to the content thereof
CN115296904A (zh) 域名反射攻击检测方法及装置、电子设备、存储介质
EP3963842A1 (fr) Procedes et dispositifs de mesure de reputation dans un reseau de communication
CN113596037A (zh) 一种基于网络全流量中事件关系有向图的apt攻击检测方法
EP1424832A1 (fr) Dispositif de mesures de bout en bout d'informations de reseau
Yoon et al. Header signature maintenance for Internet traffic identification
CN115190051B (zh) 心跳数据识别方法及电子装置
EP3664377B1 (fr) Procédé et dispositif de mesure d'un paramètre représentatif d'un temps de transmission dans un tunnel de communication chiffré
FR3009407A1 (fr) Procede de detection d'evenements suspects dans un fichier de collecte d'informations relatives a un flux de donnees; support d'enregistrement et systeme associes