FR2987965A1 - Procede et dispositif d'analyse de messages transmis dans un reseau d'interconnexions - Google Patents
Procede et dispositif d'analyse de messages transmis dans un reseau d'interconnexions Download PDFInfo
- Publication number
- FR2987965A1 FR2987965A1 FR1200688A FR1200688A FR2987965A1 FR 2987965 A1 FR2987965 A1 FR 2987965A1 FR 1200688 A FR1200688 A FR 1200688A FR 1200688 A FR1200688 A FR 1200688A FR 2987965 A1 FR2987965 A1 FR 2987965A1
- Authority
- FR
- France
- Prior art keywords
- message
- scheduling
- reference table
- occurrence
- messages
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000004458 analytical method Methods 0.000 claims description 45
- 230000011664 signaling Effects 0.000 claims description 26
- 238000004364 calculation method Methods 0.000 claims description 15
- 238000004891 communication Methods 0.000 claims description 7
- 238000004519 manufacturing process Methods 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 description 7
- 230000014509 gene expression Effects 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000003321 amplification Effects 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 238000003199 nucleic acid amplification method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
Claims (15)
- REVENDICATIONS1. Procédé d'analyse de messages transmis dans un réseau d'interconnexions comprenant des équipements émetteurs (El à En) de messages et des équipements destinataires (Edl à Eds) de messages, caractérisé en ce qu'il comprend une étape d'analyse (S11) comportant : une sélection (S111) d'un ensemble de séquences de messages émis par un équipement émetteur déterminé ; une détermination (S112), pour chaque séquence sélectionnée, de l'ordonnancement des messages au sein de la séquence sélectionnée ; et une élaboration (S113) d'une table de référence comportant les taux d'occurrence respectifs des différents ordonnancements déterminés dans l'ensemble sélectionné ; et en ce qu'il comprend une étape de contrôle (S12) comportant : une sélection (S121) d'une nouvelle séquence de messages émis par l'équipement émetteur déterminé ; et une élaboration (S123) d'un signal d'alerte si le taux d'occurrence de la table de référence correspondant à l'ordonnancement des messages de la nouvelle séquence est inférieur à un seuil déterminé.
- 2. Procédé selon la revendication 1, dans lequel chaque message comprend au moins un en-tête d'un protocole de communication déterminé, l'étape d'analyse (S11) comportant en outre : - une détermination (S112) des différents en-têtes des messages de l'ensemble de séquences sélectionné ; et - un ajout (S113) à la table de référence des taux d'occurrence respectifs des différents en-têtes déterminés dans l'ensemble sélectionné ; l'étape de contrôle (S12) comportant en outre :une élaboration (S123) du signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un en-tête des messages de la nouvelle séquence est inférieur à un seuil déterminé.
- 3. Procédé selon la revendication 2, dans lequel l'étape de contrôle (S12) comporte en outre : un calcul (S122), pour chaque en-tête différent au sein de la nouvelle séquence, d'un écart d'occurrence d'en-têtes entre le taux d'occurrence de la table de référence correspondant à l'en-tête et un taux d'occurrence de l'en-tête dans la nouvelle séquence ; et une élaboration (S123) du signal d'alerte si au moins un écart d'occurrence d'en-têtes calculé est supérieur à un seuil déterminé.
- 4. Procédé selon la revendication 2 ou 3, dans lequel l'étape d'analyse (S11) comporte en outre : - une détermination (S112), pour chaque message de l'ensemble sélectionné, de l'ordonnancement des en-têtes au sein du message ; et un ajout (S113) à la table de référence des taux d'occurrence respectifs des différents ordonnancements des en-têtes déterminés dans l'ensemble sélectionné ; l'étape de contrôle (S12) comportant en outre : une élaboration (S123) du signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un ordonnancement des en-têtes d'un message de la nouvelle séquence est inférieur à un seuil déterminé.
- 5. Procédé selon la revendication 4, dans lequel l'étape de contrôle (S12) comporte en outre : - un calcul (S122), pour chaque ordonnancement des en-têtes différent au sein de la nouvelle séquence, d'un écart d'ordonnancement d'en-têtes entre le taux d'occurrence de la table de référence correspondant à l'ordonnancement des en-têtes et un taux d'occurrence de l'ordonnancement des en-têtes dans la nouvelle séquence ; et une élaboration (S123) du signal d'alerte si au moins un écart d'ordonnancement d'en-têtes calculé est supérieur à un seuil déterminé.
- 6. Procédé selon l'une des revendications 1 à 5, dans lequel chaque message comprend des données numériques utiles comportant des mots- clés pour une application logicielle déterminée, l'étape d'analyse (S11) comportant en outre : - une détermination (S112) des différents mots-clés des messages de l'ensemble de séquences sélectionné ; et - un ajout (S113) à la table de référence, des taux d'occurrence respectifs des différents mots-clés déterminés dans l'ensemble sélectionné ; l'étape de contrôle (S12) comportant en outre : une élaboration (S123) du signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un mot-clé des messages de la nouvelle séquence est inférieur à un seuil déterminé.
- 7. Procédé selon la revendication 6, dans lequel l'étape de contrôle (S12) comporte en outre : un calcul (S122), pour chaque mot-clé différent au sein de la nouvelle séquence, d'un écart d'occurrence de mots-clés entre le taux d'occurrence de la table de référence correspondant au mot-clé et un taux d'occurrence du mot-clé dans la nouvelle séquence ; et une élaboration (S123) du signal d'alerte si au moins un écart d'occurrence de mots-clés calculé est supérieur à un seuil déterminé.
- 8. Procédé selon la revendication 6 ou 7, dans lequel l'étape d'analyse (S11) comporte en outre : une détermination (S112), pour chaque message de l'ensemble sélectionné, de l'ordonnancement des mots-clés au sein du message ; et un ajout (S113) à la table de référence des taux d'occurrence respectifs des différents ordonnancements des mots-clés déterminés dans l'ensemble sélectionné ; l'étape de contrôle (S12) comportant en outre : une élaboration (S123) du signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un ordonnancement des mots-clés d'un message de la nouvelle séquence est inférieur à un seuil déterminé.
- 9. Procédé selon la revendication 8, dans lequel l'étape de contrôle (S12) comporte en outre : un calcul (S122), pour chaque ordonnancement des mots-clés différent au sein de la nouvelle séquence, d'un écart d'ordonnancement de mots-clés entre le taux d'occurrence de la table de référence correspondant à l'ordonnancement des mots-clés et un taux d'occurrence de l'ordonnancement des mots-clés dans la nouvelle séquence ; et une élaboration (S123) du signal d'alerte si au moins un écart d'ordonnancement de mots-clés calculé est supérieur à un seuil déterminé.
- 10. Dispositif d'analyse de messages transmis dans un réseau d'interconnexions comprenant des équipements émetteurs (El à En) de messages et des équipements destinataires (Edi à Eds) de messages, caractérisé en ce qu'il comporte des moyens d'analyse (4) comprenant :- des moyens (7) pour sélectionner un ensemble de séquences de messages émis par un équipement émetteur déterminé ; des moyens de détermination (8) pour déterminer, pour chaque séquence sélectionnée, l'ordonnancement des messages au sein de la séquence sélectionnée ; et - des moyens d'élaboration (9) pour élaborer une table de référence comportant les taux d'occurrence respectifs des différents ordonnancements déterminés dans l'ensemble sélectionné ; et des moyens de contrôle (5) comprenant : - des moyens (10) pour sélectionner une nouvelle séquence de messages émis par l'équipement émetteur déterminé ; et - des moyens de signalisation (12) configurés pour élaborer un signal d'alerte si le taux d'occurrence de la table de référence correspondant à l'ordonnancement des messages de la nouvelle séquence est inférieur à un seuil déterminé.
- 11. Dispositif selon la revendication 10, dans lequel chaque message comprend au moins un en-tête d'un protocole de communication déterminé, les moyens de détermination (8) déterminent les différents en-têtes des messages de l'ensemble de séquences sélectionné ; les moyens d'élaboration (9) ajoutent à la table de référence, les taux d'occurrence respectifs des différents en-têtes déterminés dans l'ensemble sélectionné ; et les moyens de signalisation (12) élaborent le signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un en-tête des messages de la nouvelle séquence est inférieur à un seuil déterminé.
- 12. Dispositif selon la revendication 11, dans lequel les moyens de contrôle (5) comportant en outre :des moyens de calcul (11) pour calculer, pour chaque en-tête différent au sein de la nouvelle séquence, un écart d'occurrence d'en-têtes entre le taux d'occurrence de la table de référence correspondant à l'en-tête et un taux d'occurrence de l'en-tête dans la nouvelle séquence ; et les moyens de signalisation (12) élaborent le signal d'alerte si au moins un écart d'occurrence d'en-têtes calculé est supérieur à un seuil déterminé.
- 13. Dispositif selon la revendication 11 ou 12, dans lequel : les moyens de détermination (8) déterminent, pour chaque message de l'ensemble sélectionné, l'ordonnancement des en-têtes au sein du message ; les moyens d'élaboration (9) ajoutent à la table de référence les taux d'occurrence respectifs des différents ordonnancements des en-têtes déterminés dans l'ensemble sélectionné ; et les moyens de signalisation (12) élaborent le signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un ordonnancement des en-têtes d'un message de la nouvelle séquence est inférieur à un seuil déterminé.
- 14. Dispositif selon l'une des revendications 10 à 13, dans lequel chaque message comprend des données numériques utiles comportant des mots-clés pour une application logicielle déterminée, les moyens de détermination (8) déterminent les différents mots-clés des messages de l'ensemble de séquences sélectionné ; les moyens d'élaboration (9) ajoutent à la table de référence, les taux d'occurrence respectifs des différents mots-clés déterminés dans l'ensemble sélectionné ; et les moyens de signalisation (12) élaborent le signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant àun mot-clé des messages de la nouvelle séquence est inférieur à un seuil déterminé.
- 15. Dispositif selon la revendication 14, dans lequel : les moyens de détermination (8) déterminent, pour chaque message de l'ensemble sélectionné, l'ordonnancement des mots-clés au sein du message ; les moyens d'élaboration (9) ajoutent à la table de référence les taux d'occurrence respectifs des différents ordonnancements des mots- clés déterminés dans l'ensemble sélectionné ; et les moyens de signalisation (12) élaborent le signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un ordonnancement des mots-clés d'un message de la nouvelle séquence est inférieur à un seuil déterminé.15
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR1200688A FR2987965B1 (fr) | 2012-03-07 | 2012-03-07 | Procede et dispositif d'analyse de messages transmis dans un reseau d'interconnexions |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR1200688A FR2987965B1 (fr) | 2012-03-07 | 2012-03-07 | Procede et dispositif d'analyse de messages transmis dans un reseau d'interconnexions |
Publications (2)
Publication Number | Publication Date |
---|---|
FR2987965A1 true FR2987965A1 (fr) | 2013-09-13 |
FR2987965B1 FR2987965B1 (fr) | 2014-03-21 |
Family
ID=46598595
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR1200688A Expired - Fee Related FR2987965B1 (fr) | 2012-03-07 | 2012-03-07 | Procede et dispositif d'analyse de messages transmis dans un reseau d'interconnexions |
Country Status (1)
Country | Link |
---|---|
FR (1) | FR2987965B1 (fr) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6370648B1 (en) * | 1998-12-08 | 2002-04-09 | Visa International Service Association | Computer network intrusion detection |
US20080262990A1 (en) * | 2000-09-25 | 2008-10-23 | Harsh Kapoor | Systems and methods for processing data flows |
US20100107259A1 (en) * | 2004-02-05 | 2010-04-29 | Bryan Sullivan | Authentication of HTTP Applications |
-
2012
- 2012-03-07 FR FR1200688A patent/FR2987965B1/fr not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6370648B1 (en) * | 1998-12-08 | 2002-04-09 | Visa International Service Association | Computer network intrusion detection |
US20080262990A1 (en) * | 2000-09-25 | 2008-10-23 | Harsh Kapoor | Systems and methods for processing data flows |
US20100107259A1 (en) * | 2004-02-05 | 2010-04-29 | Bryan Sullivan | Authentication of HTTP Applications |
Also Published As
Publication number | Publication date |
---|---|
FR2987965B1 (fr) | 2014-03-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11115433B2 (en) | System and method for content based anomaly detection in an in-vehicle communication network | |
WO2008139062A2 (fr) | Procede et dispositif de gestion de canaux de communication pour des echanges de donnees a partir d'un aeronef | |
EP1695485A2 (fr) | Procede de classification automatique d un ensemble d a lertes issues de sondes de detection d intrusions d un systeme de securite d information | |
US20240185648A1 (en) | Vehicle data extraction service | |
FR2888071A1 (fr) | Module et systeme de communication pour la mise en oeuvre d'un systeme de gestion a distance d'equipements | |
FR3001849A1 (fr) | Procede pour router des donnees, programme d'ordinateur, controleur de reseau et reseaux associes | |
FR3009396A1 (fr) | Procede et programme d'ordinateur d'aide a la maintenance d'equipements d'un aeronef | |
FR3035534A1 (fr) | Procede et systeme de communication et de partage d'informations pour aeronef | |
US20220046032A1 (en) | Low-latency identification of network-device properties | |
WO2017068261A1 (fr) | Procédé d'aide a la détection d'infection d'un terminal par un logiciel malveillant | |
FR2987965A1 (fr) | Procede et dispositif d'analyse de messages transmis dans un reseau d'interconnexions | |
EP1326374B1 (fr) | Système de gestion de réseaux basé sur l'analyse des tendances | |
FR3048101A1 (fr) | Procede et dispositif d'evaluation de la robustesse d'une anonymisation d'un jeu de donnees | |
WO2010037955A1 (fr) | Procede de caracterisation d'entites a l'origine de variations dans un trafic reseau | |
EP4009584A1 (fr) | Procédé de détermination de classifieurs pour la détection d'attaques dans un réseau de communication, dispositif de détermination associé | |
EP3375143B1 (fr) | Analyse asynchrone d'un flux de données | |
EP3478002A1 (fr) | Dispositif de communication pour véhicule comportant une pluralité de moyens de communication | |
WO2015128327A1 (fr) | Procédé de traitement de données d'accessibilité, dispositif et programme correspondant | |
FR3102269A1 (fr) | Procédé et dispositif de détection d’une intrusion sur un bus de données d’un véhicule | |
EP3598330A1 (fr) | Procédé et dispositif de détection d'anomalie | |
EP3729768A1 (fr) | Procédé de construction automatique de scénarios d'attaques informatiques, produit programme d'ordinateur et système de construction associés | |
EP2830281B1 (fr) | Procédé d'association de sources de données hétérogènes pour la sécurité des réseaux de communication et système associé | |
GB2440359A (en) | Rules for data traffic assembled in single data structure | |
EP3900278A1 (fr) | Procede de surveillance du mode de terminaison d'un message telephonique | |
FR3041845A1 (fr) | Dispositif electronique propre a etre relie a un reseau de vehicule, et procede de transmission de messages mis en oeuvre par un tel dispositif electronique |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PLFP | Fee payment |
Year of fee payment: 5 |
|
PLFP | Fee payment |
Year of fee payment: 6 |
|
TP | Transmission of property |
Owner name: IV2 TECHNOLOGIES, FR Effective date: 20170207 |
|
CD | Change of name or company name |
Owner name: DENY ALL, FR Effective date: 20170731 |
|
PLFP | Fee payment |
Year of fee payment: 7 |
|
PLFP | Fee payment |
Year of fee payment: 9 |
|
PLFP | Fee payment |
Year of fee payment: 10 |
|
CA | Change of address |
Effective date: 20220128 |
|
CD | Change of name or company name |
Owner name: ROHDE & SCHWARZ CYBERSECURITY, FR Effective date: 20220128 |
|
PLFP | Fee payment |
Year of fee payment: 11 |
|
ST | Notification of lapse |
Effective date: 20231105 |