FR2987965A1 - Procede et dispositif d'analyse de messages transmis dans un reseau d'interconnexions - Google Patents

Procede et dispositif d'analyse de messages transmis dans un reseau d'interconnexions Download PDF

Info

Publication number
FR2987965A1
FR2987965A1 FR1200688A FR1200688A FR2987965A1 FR 2987965 A1 FR2987965 A1 FR 2987965A1 FR 1200688 A FR1200688 A FR 1200688A FR 1200688 A FR1200688 A FR 1200688A FR 2987965 A1 FR2987965 A1 FR 2987965A1
Authority
FR
France
Prior art keywords
message
scheduling
reference table
occurrence
messages
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1200688A
Other languages
English (en)
Other versions
FR2987965B1 (fr
Inventor
Matthieu Estrade
Raphael Leblanc
Nicolas Normand
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Rohde & Schwarz Cybersecurity Fr
Original Assignee
BEE WARE
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEE WARE filed Critical BEE WARE
Priority to FR1200688A priority Critical patent/FR2987965B1/fr
Publication of FR2987965A1 publication Critical patent/FR2987965A1/fr
Application granted granted Critical
Publication of FR2987965B1 publication Critical patent/FR2987965B1/fr
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Dispositif d'analyse de messages transmis dans un réseau d'interconnexions comprenant des équipements émetteurs (E1 à En) de messages et des équipements destinataires (Ed1 à Eds) de messages, comportant des moyens d'analyse (4) comprenant: - des moyens (7) pour sélectionner un ensemble de séquences de messages émis par un équipement émetteur déterminé ; et - des moyens (9) pour élaborer une table de référence comportant les taux d'occurrence respectifs des différents ordonnancements des messages au sein des séquences dans l'ensemble sélectionné ; et des moyens de contrôle (5) comprenant : - des moyens (10) pour sélectionner une nouvelle séquence de messages émis par l'équipement émetteur déterminé ; et - des moyens (12) pour élaborer un signal d'alerte si le taux d'occurrence de la table de référence correspondant à l'ordonnancement des messages de la nouvelle séquence est inférieur à un seuil déterminé.

Description

Procédé et dispositif d'analyse de messages transmis dans un réseau d'interconnexions Domaine technique de l'invention L'invention concerne l'analyse de messages transmis dans un réseau d'interconnexions. État de la technique Les réseaux d'interconnexions sont des moyens de transmission de messages entre différents équipements émetteurs ou destinataires, tels des 15 ordinateurs, des composants électroniques ou informatiques, des sites du réseau internet, etc. De manière générale, les messages sont transmis par paquets, ou séquences. Lorsque ces messages sont destinés à des équipements sensibles, il est nécessaire d'établir une surveillance du contenu des messages. Par exemple, on peut utiliser un équipement relais 20 ayant des fonctions de rupture des messages, de normalisation, d'amplification et de vérification des messages. On peut citer par exemple les équipements de type pare-feu, ou firewall en langue anglaise. Afin de pouvoir détecter un message inapproprié, c'est-à-dire qui peut porter 25 atteinte au bon fonctionnement de l'équipement destinataire, les procédés de surveillance utilisent des listes de référence de messages interdits, ou de séquences de messages interdites, ou de caractéristiques des messages interdites, ou encore des listes restrictives de messages autorisés, ou de caractéristiques de messages autorisées. Afin de rester efficaces dans le 30 temps, ces procédés de surveillance doivent prendre en compte les évolutions des équipements et des menaces de messages inappropriés en 10 maintenant à jour les listes de référence utilisées. En outre, ces procédés peuvent générer des erreurs lorsqu'ils considèrent un message correct comme un message inapproprié. On dit alors que le procédé porte un risque de faux positif, à savoir le blocage d'un message approprié du fait d'une liste de référence trop restrictive ou simplement inadéquate. A l'inverse, de tels procédés peuvent générer d'autres erreurs, notamment lorsqu'un message approprié peut être anormal ou inédit dans une séquence de messages spécifique.
On peut citer par exemple la demande de brevet américain US 2010/0107259 qui divulgue un procédé de contrôle d'une communication entre un poste client et un serveur HTTP, ou protocole de transfert hypertexte, dans lequel on compare des informations d'un message de type requête émis par le client avec une configuration connue. Lorsque les informations du message correspondent à celles de la configuration connue, le serveur transmet le message au client. Par exemple, la comparaison consiste à déterminer le nombre d'octets de l'en-tête du message, et si celui-ci est supérieur à un nombre de référence, on vérifie si la différence est paire ou impaire. Mais ce procédé nécessite d'effectuer de nombreux calculs et de nombreuses comparaisons pour un seul message. Ainsi, lorsque le flux de séquences de messages est très important le procédé de surveillance du contenu des messages ralenti considérablement la transmission des messages.
On peut également citer la demande de brevet américain US 2004/0073811 qui divulgue un filtre de sécurité traitant des messages au format HTTP. Le filtre utilise des règles de configuration basées sur des expressions régulières afin d'intercepter toute attaque qui présentent des configurations connues. En outre, le blocage des requêtes émises s'effectue par comparaison des expressions contenues dans la requête avec celles des règles de configuration connues. La comparaison est effectuée expression par expression et dans un ordre prédéterminé constant quelle que soit la requête. Mais un tel filtre nécessite une mise à jour des règles de configuration lorsque de nouvelles menaces sont découvertes.
Objet de l'invention L'objet de l'invention consiste à remédier à ces inconvénients, et plus particulièrement à fournir un procédé et un dispositif d'analyse de messages qui s'affranchissent d'une mise à jour régulière. Un autre objet de l'invention est de fournir un moyen simple et efficace pour analyser des messages au sein d'un flux important tout en limitant le nombre de calculs et de comparaisons afin de ne pas ralentir la transmission des messages. Un autre objet de l'invention est de fournir un procédé et un dispositif autonomes qui nécessitent moins d'interventions humaines, telles des opérations de mise à jour ou de paramétrage. 20 Selon un aspect de l'invention, il est proposé un procédé d'analyse de messages transmis dans un réseau d'interconnexions comprenant des équipements émetteurs de messages et des équipements destinataires de messages. 25 Le procédé comprend une étape d'analyse comportant : une sélection d'un ensemble de séquences de messages émis par un équipement émetteur déterminé ; une détermination, pour chaque séquence sélectionnée, de l'ordonnancement des messages au sein de la séquence 30 sélectionnée ; et 15 une élaboration d'une table de référence comportant les taux d'occurrence respectifs des différents ordonnancements déterminés dans l'ensemble sélectionné ; et une étape de contrôle comportant : une sélection d'une nouvelle séquence de messages émis par l'équipement émetteur déterminé ; et une élaboration d'un signal d'alerte si le taux d'occurrence de la table de référence correspondant à l'ordonnancement des messages de la nouvelle séquence est inférieur à un seuil déterminé.
Ainsi, on peut, par une analyse d'un flux de messages, déterminer une probabilité d'occurrence d'un ordonnancement des messages dans les séquences émises par un même équipement émetteur. En connaissant la probabilité d'occurrence de l'ordonnancement des messages, on peut identifier si un message inapproprié a été inséré dans une séquence nouvellement émise par l'équipement émetteur déterminé. Selon un mode de mise en oeuvre, chaque message comprend au moins un en-tête d'un protocole de communication déterminé, et l'étape d'analyse comporte en outre : - une détermination des différents en-têtes des messages de l'ensemble de séquences sélectionné ; et - un ajout à la table de référence des taux d'occurrence respectifs des différents en-têtes déterminés dans l'ensemble sélectionné ; l'étape de contrôle comportant en outre : une élaboration du signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un en-tête des messages de la nouvelle séquence est inférieur à un seuil déterminé.30 L'étape de contrôle peut en outre comporter : - un calcul, pour chaque en-tête différent au sein de la nouvelle séquence, d'un écart d'occurrence d'en-têtes entre le taux d'occurrence de la table de référence correspondant à l'en-tête et un taux d'occurrence de l'en-tête dans la nouvelle séquence ; et - une élaboration du signal d'alerte si au moins un écart d'occurrence d'en-têtes calculé est supérieur à un seuil déterminé. L'étape d'analyse peut comporter en outre : - une détermination, pour chaque message de l'ensemble sélectionné, de l'ordonnancement des en-têtes au sein du message ; et un ajout à la table de référence des taux d'occurrence respectifs des différents ordonnancements des en-têtes déterminés dans l'ensemble sélectionné ; l'étape de contrôle comportant en outre : - une élaboration du signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un ordonnancement des entêtes d'un message de la nouvelle séquence est inférieur à un seuil déterminé.
L'étape de contrôle peut également comporter : un calcul, pour chaque ordonnancement des en-têtes différent au sein de la nouvelle séquence, d'un écart d'ordonnancement d'en-têtes entre le taux d'occurrence de la table de référence correspondant à l'ordonnancement des en-têtes et un taux d'occurrence de l'ordonnancement des en-têtes dans la nouvelle séquence ; et une élaboration du signal d'alerte si au moins un écart d'ordonnancement d'en-têtes calculé est supérieur à un seuil déterminé.30 Chaque message peut comprendre des données numériques utiles comportant des mots-clés pour une application logicielle déterminée, l'étape d'analyse comportant en outre : - une détermination des différents mots-clés des messages de l'ensemble de séquences sélectionné ; et - un ajout à la table de référence, des taux d'occurrence respectifs des différents mots-clés déterminés dans l'ensemble sélectionné ; l'étape de contrôle comportant en outre : - une élaboration du signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un mot-clé des messages de la nouvelle séquence est inférieur à un seuil déterminé. L'étape de contrôle peut comporter en outre : un calcul, pour chaque mot-clé différent au sein de la nouvelle séquence, d'un écart d'occurrence de mots-clés entre le taux d'occurrence de la table de référence correspondant au mot-clé et un taux d'occurrence du mot-clé dans la nouvelle séquence ; et une élaboration du signal d'alerte si au moins un écart d'occurrence de mots-clés calculé est supérieur à un seuil déterminé.
L'étape d'analyse peut comporter en outre : - une détermination, pour chaque message de l'ensemble sélectionné, de l'ordonnancement des mots-clés au sein du message ; et - un ajout à la table de référence des taux d'occurrence respectifs des différents ordonnancements des mots-clés déterminés dans l'ensemble sélectionné ; l'étape de contrôle comportant en outre : - une élaboration du signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un ordonnancement des mots- clés d'un message de la nouvelle séquence est inférieur à un seuil déterminé.
L'étape de contrôle peut comporter en outre : un calcul, pour chaque ordonnancement des mots-clés différent au sein de la nouvelle séquence, d'un écart d'ordonnancement de mots- clés entre le taux d'occurrence de la table de référence correspondant à l'ordonnancement des mots-clés et un taux d'occurrence de l'ordonnancement des mots-clés dans la nouvelle séquence ; et une élaboration du signal d'alerte si au moins un écart d'ordonnancement de mots-clés calculé est supérieur à un seuil déterminé. Selon un autre aspect de l'invention, il est proposé un dispositif d'analyse de messages transmis dans un réseau d'interconnexions comprenant des équipements émetteurs de messages et des équipements destinataires de messages. Le dispositif comporte des moyens d'analyse comprenant : des moyens pour sélectionner un ensemble de séquences de messages émis par un équipement émetteur déterminé ; des moyens de détermination pour déterminer, pour chaque séquence sélectionnée, l'ordonnancement des messages au sein de la séquence sélectionnée ; et des moyens d'élaboration pour élaborer une table de référence comportant les taux d'occurrence respectifs des différents ordonnancements déterminés dans l'ensemble sélectionné ; et des moyens de contrôle comprenant : des moyens pour sélectionner une nouvelle séquence de messages émis par l'équipement émetteur déterminé ; et des moyens de signalisation configurés pour élaborer un signal d'alerte si le taux d'occurrence de la table de référence correspondant à l'ordonnancement des messages de la nouvelle séquence est inférieur à un seuil déterminé. Chaque message peut comprendre au moins un en-tête d'un protocole de communication déterminé, et les moyens de détermination déterminent les différents en-têtes des messages de l'ensemble de séquences sélectionné ; les moyens d'élaboration ajoutent à la table de référence, les taux d'occurrence respectifs des différents en-têtes déterminés dans l'ensemble sélectionné ; et les moyens de signalisation élaborent le signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un en-tête des messages de la nouvelle séquence est inférieur à un seuil déterminé.
Les moyens de contrôle peuvent comporter en outre : des moyens de calcul pour calculer, pour chaque en-tête différent au sein de la nouvelle séquence, un écart d'occurrence d'en-têtes entre le taux d'occurrence de la table de référence correspondant à l'en- tête et un taux d'occurrence de l'en-tête dans la nouvelle séquence ; et les moyens de signalisation élaborent le signal d'alerte si au moins un écart d'occurrence d'en-têtes calculé est supérieur à un seuil déterminé.
Les moyens de détermination peuvent déterminer, pour chaque message de l'ensemble sélectionné, l'ordonnancement des en-têtes au sein du message ; les moyens d'élaboration ajoutent à la table de référence les taux d'occurrence respectifs des différents ordonnancements des en-têtes déterminés dans l'ensemble sélectionné ; et les moyens de signalisation élaborent le signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un ordonnancement des en-têtes d'un message de la nouvelle séquence est inférieur à un seuil déterminé. Chaque message peuvent comprendre des données numériques utiles comportant des mots-clés pour une application logicielle déterminée, et les moyens de détermination déterminent les différents mots-clés des messages de l'ensemble de séquences sélectionné ; les moyens d'élaboration ajoutent à la table de référence, les taux d'occurrence respectifs des différents mots-clés déterminés dans l'ensemble sélectionné ; et les moyens de signalisation élaborent le signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un mot-clé des messages de la nouvelle séquence est inférieur à un seuil déterminé.
Les moyens de détermination peuvent également déterminer, pour chaque message de l'ensemble sélectionné, l'ordonnancement des mots-clés au sein du message ; les moyens d'élaboration ajoutent à la table de référence les taux d'occurrence respectifs des différents ordonnancements des mots- clés déterminés dans l'ensemble sélectionné ; et les moyens de signalisation élaborent le signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un ordonnancement des mots-clés d'un message de la nouvelle séquence est inférieur à un seuil déterminé.
Description sommaire des dessins D'autres avantages et caractéristiques ressortiront plus clairement de la description qui va suivre de modes particuliers de réalisation et de mise en oeuvre de l'invention donnés à titre d'exemples non limitatifs et représentés aux dessins annexés, dans lesquels : la figure 1, illustre schématiquement un dispositif d'analyse de messages selon l'invention ; la figure 2, illustre schématiquement des séquences de messages sélectionnées et une table de référence ; la figure 3, illustre schématiquement une nouvelle séquence sélectionnée et une table de taux d'occurrence calculés ; et la figure 4 illustre schématiquement les principales étapes d'un procédé d'analyse de messages selon l'invention.
Description détaillée Sur la figure 1, on a représenté schématiquement un dispositif d'analyse 1 de messages. Le dispositif d'analyse peut être un microprocesseur, ou un ensemble de microprocesseurs, ou encore être réalisé sous forme logicielle.
Le dispositif d'analyse 1 est situé au sein d'un réseau d'interconnexions 2 comprenant des équipements émetteurs El à En de messages et des équipements destinataires Edl à Eds de messages. Par exemple, les messages émis par les équipements émetteurs El à En transitent via un réseau internet 3, et les équipements destinataires Edl à Eds peuvent être reliés à un équipement de type pare-feu Ep. De préférence, le dispositif d'analyse 1 est situé entre le réseau internet 3 et l'équipement de type pare-feu Ep. Le dispositif d'analyse 1 est configuré pour recevoir tous les messages à destination des équipements destinataires Edl à Eds.
De manière générale, un message est associé à une fonctionnalité simple destinée à une application d'un équipement destinataire. Par exemple, une fonction simple peut être une requête de lecture des données stockées dans une mémoire de l'équipement destinataire, ou une requête d'écriture, ou encore une requête de lecture en combinaison avec une requête d'envoi des données par l'équipement destinataire. Par ailleurs, une séquence de messages est associée à une fonctionnalité plus complexe spécifique de l'équipement destinataire Edl à Eds. Les fonctionnalités complexes comprennent un ensemble de fonctionnalités simples, et peuvent correspondre, par exemple, à un ordre de paiement, une requête d'affichage d'une page au format HTML, ou langage de balisage hypertexte, etc... En outre, chaque séquence de messages peut comporter un message spécifique indiquant la nature de l'équipement émetteur de la séquence qui permet d'identifier l'équipement émetteur qui émet la séquence. Par ailleurs, chaque message comporte plusieurs parties, au moins une partie en-tête, et de façon optionnelle une partie données utiles. La partie en-tête comporte des paramètres de requête pour spécifier la fonctionnalité du message, et des en-têtes correspondant à un protocole de communication déterminé, par exemple un protocole HTTP. La partie données utiles comporte des données numériques utiles, telles des cookies, des images numériques, etc. Les données numériques utiles peuvent comprendre des mots-clés pour une application logicielle déterminée, par exemple des balises au format XML, ou langage de balisage extensible. Selon le type de message, celui-ci peut comprendre différents éléments spécifiques qui le caractérisent. Par élément spécifique, on entend un paramètre de requête, un en-tête, ou encore un mot-clé.
De manière générale, un même équipement émetteur El à En est configuré pour ordonnancer les messages au sein d'une séquence. En particulier, un équipement émetteur El à En utilise une application logicielle pour élaborer et transmettre les messages dans un ordre déterminé en fonction de ses paramètres de configuration internes. Par conséquent, l'ordre déterminé ne varie pas, ou très peu pour un même équipement émetteur. En d'autres termes, lorsqu'un équipement émetteur souhaite émettre un ordre de paiement, il émet une séquence spécifique de messages dans laquelle les messages sont ordonnés selon un ordre déterminé en fonction de l'application utilisée par l'équipement émetteur. Puis, à chaque fois que l'équipement émetteur émet un ordre de paiement, l'application utilisée ordonne les messages dans une nouvelle séquence généralement selon le même ordre déterminé. Toutefois, l'application utilisée peut, le cas échéant, ajouter certains messages supplémentaires, ou en supprimer d'autres, voire modifier l'ordre des messages dans la séquence, mais ces variations sont peu fréquentes. En particulier, les en-têtes des messages peuvent également être ordonnancés par l'application utilisée, et les mots-clés des données numériques utiles peuvent aussi être ordonnancés. L'équipement émetteur El à En dispose alors au sein d'un message, les en-têtes destinés au protocole de communication utilisé par le réseau, ainsi que les mots-clés utiles, selon un ordre prédictible par le dispositif d'analyse 1. Le dispositif d'analyse 1 comporte des moyens d'analyse 4, des moyens de contrôle 5 et un distributeur de messages 6. Les moyens d'analyse 4, les moyens de contrôle 5 et le distributeur de messages 6 peuvent être réalisés de façon logicielle, ou également sous la forme de circuits logiques, et peuvent être embarqués dans un ordinateur ou dans un microprocesseur. Le dispositif d'analyse 1 est configuré pour identifier les variations de structure et d'ordonnancement des messages émis par un équipement émetteur déterminé.
Dans un premier temps, noté mode d'analyse, ou mode d'apprentissage, le distributeur de messages 6 est couplé aux moyens d'analyse 4. Les moyens d'analyse 4 reçoivent les séquences de messages en provenance des équipements émetteurs El à En, et permettent de déterminer une configuration des séquences de messages émises par un équipement émetteur donné. Les moyens d'analyse 4 permettent de déterminer l'ordre dans lequel les messages apparaissent dans une séquence sélectionnée, les différents éléments spécifiques des messages, et l'ordre dans lequel les éléments spécifiques sont organisés au sein des messages, afin de déterminer des probabilités d'occurrence des différents éléments spécifiques, et des différents ordonnancements déterminés. En d'autres termes, les moyens d'analyse 4 déterminent le pourcentage d'ordonnancement des messages, le pourcentage d'ordonnancement des en-têtes, ou encore le pourcentage d'ordonnancement des mots-clés, dans un échantillon de séquences de messages émis par un même équipement émetteur El à En.
Les moyens d'analyse 4 déterminent également le pourcentage d'occurrence des éléments spécifiques des messages dans l'échantillon de séquences. Les pourcentages déterminés sont ensuite enregistrés dans une table de référence. Les moyens d'analyse 4 comprennent : des moyens 7 pour sélectionner un ensemble de séquences de messages émises par un équipement émetteur déterminé ; des moyens de détermination 8 pour déterminer, pour chaque séquence sélectionnée, l'ordonnancement des messages au sein de la séquence sélectionnée ; et des moyens d'élaboration 9 pour élaborer une table de référence comportant les taux d'occurrence respectifs des différents ordonnancements déterminés dans l'ensemble sélectionné. En outre, les moyens de détermination 8 sont configurés pour déterminer les différents éléments spécifiques des messages, tels les différents en-têtes et les différents mots-clés, ainsi que les différents ordonnancements de ces éléments spécifiques au sein des messages de l'ensemble sélectionné. Pour chaque ordonnancement ou élément spécifique déterminé, les moyens d'élaboration 9 ajoutent dans la table de référence les taux d'occurrence respectifs des différents ordonnancements et des différents éléments spécifiques dans l'ensemble sélectionné. Les moyens 7, les moyens de détermination 8 et les moyens d'élaboration 9 peuvent être réalisés de façon logicielle, ou également sous la forme de circuits logiques, et peuvent être embarqués dans un ordinateur ou dans un microprocesseur.
Sur la figure 2, on a représenté de façon schématique un exemple d'élaboration d'une table de référence Tref à partir de deux séquences sélectionnées Seql , Seq2. La première séquence Seql comprend trois messages M11 à M13 et la deuxième séquence comprend deux messages M21, M22. Chaque message comprend une partie en-tête comprenant au moins un paramètre de requête, parmi les paramètres P1 à P3 ayant des valeurs VaIP1 à VaIP3, ValP11, et au moins un en-tête destiné au protocole HTTP parmi les en-têtes El à E3 ayant des valeurs ValE1 à ValE3 ; ValEll à ValE33 et ValE111 à Va1E222. Par exemple, le message M11 comprend un paramètre de requête Pl, dont la valeur est VaIP1, et comprend deux entêtes E1, E2, dont les valeurs respectives sont ValE1, ValE2. En outre, chaque message comporte une partie données utiles comprenant au moins un mot-clé parmi les mots-clés MC1 à MC4 ayant des valeurs VaIMC1 à ValMC4 ; ValMC11 à VaIMC33 et ValMC111 à VaIMC444. Par exemple, le message M12 comporte trois mots-clés MC1 à MC3 ayant respectivement les valeurs ValMC11 à VaIMC33. Les moyens d'élaboration 9 permettent de calculer le nombre de fois qu'un ordonnancement spécifique de messages est reçu, ainsi que et le nombre de fois qu'un élément spécifique, ou qu'un ordonnancement d'éléments spécifiques, apparaît dans l'ensemble de séquences sélectionné. En d'autres termes, les moyens d'élaboration 9 calculent les taux d'occurrence respectifs des différents ordonnancements et des différents éléments spécifiques déterminés dans l'ensemble des séquences sélectionné. Dans l'exemple illustré à la figure 2, la première séquence Seql comprend un premier ordonnancement de messages M11, M12, M13 et la deuxième séquence comporte un deuxième ordonnancement, différent du premier, M21, M22. Par ailleurs, les moyens de détermination 8 sont également configurés pour déterminer : les différents en-têtes E1, E2, E3, des messages M11 à M22 de l'ensemble des séquences ; les différents ordonnancements d'en-têtes E1, E2 et E1, E2, E3 ; - les différents mots-clés MC1 à MC4 ; - les différents ordonnancements des mots-clés MC1 à MC4 ; MC1 à MC3 ; et MC1, MC2. Les moyens d'élaboration 9 calculent les taux d'occurrence des éléments spécifiques cités ci-avant dans l'ensemble des séquences sélectionné. Sur la figure 2 l'ensemble de séquences comporte cinq messages M11 à M22. Puis les moyens d'élaboration 9 enregistrent chaque taux d'occurrence dans la table de référence Tref. Par exemple, l'ordonnancement des en-têtes E1, E2, E3 apparaît des les trois messages M12, M21 et M22, et le taux d'occurrence correspondant est égal à 3/5. Ou encore, l'ordonnancement des messages M21 à M22 apparaît une fois sur deux séquences, et le taux d'occurrence correspondant est égal à 50%. Ou encore, le mot-clé MC3 apparaît dans les quatre messages M11, M12, M21 et M22, et le taux d'occurrence correspondant est égal à 4/5=80%.
Dans un deuxième temps, après l'enregistrement des taux d'occurrence, le distributeur de messages 6 est couplé aux moyens de contrôle 5 afin d'identifier si les messages émis ultérieurement par l'équipement émetteur déterminé sont des messages appropriés ou non. Le dispositif d'analyse 1 quitte son mode d'apprentissage pour être en mode de contrôle, ou mode de surveillance, des messages. En mode de surveillance, les moyens de contrôle 5 reçoivent les séquences de messages en provenance des équipements émetteurs El à En, et sélectionnent une séquence de messages émis par l'équipement émetteur pour lequel on a analysé la configuration des messages lors du mode d'apprentissage.
Selon un mode de réalisation préféré, les moyens de contrôle 5 comprennent des moyens 10 pour sélectionner une nouvelle séquence de messages émis par l'équipement émetteur déterminé ; des moyens de signalisation 12 configurés pour élaborer un signal d'alerte SA si le taux d'occurrence de la table de référence correspondant à l'ordonnancement des messages de la nouvelle séquence est inférieur à un seuil déterminé. Les moyens 10, et les moyens de signalisation 12 peuvent être réalisés de façon logicielle, ou également sous la forme de circuits logiques, et peuvent être embarqués dans un ordinateur ou dans un microprocesseur. De manière générale, lorsque le dispositif d'analyse 4 est dans le mode de surveillance, il permet d'identifier si une séquence de messages possède une faible probabilité d'ordonnancement des messages ou non. Si la probabilité est forte, le dispositif d'analyse 1 transmet la séquence de message vers l'équipement pare-feu Ep, par l'intermédiaire d'une connexion référencée 13. Dans le cas contraire, il transmet le signal d'alerte SA vers l'équipement pare-feu Ep ou vers les équipements destinataires Ed1 à Eds, afin de prévenir les équipements destinataires qu'un message a été identifié comme inapproprié. Par ailleurs, les moyens de signalisation 12 sont également configurés pour identifier si un élément spécifique, ou un ordonnancement d'éléments spécifiques, possède une faible probabilité d'occurrence dans la nouvelle séquence sélectionnée. Le dispositif d'analyse 1 joue le rôle d'un filtre pour identifier les messages inappropriés à partir d'une première analyse de la configuration d'une séquence de messages. En outre, une deuxième analyse des valeurs attribuées aux éléments des messages de la séquence, tels les en-têtes et les mots-clés, peut être effectuée par un équipement pare-feu situé en aval du dispositif d'analyse 1, afin d'affiner l'analyse des messages.
Selon un autre mode de réalisation, les moyens de signalisation 12 peuvent également élaborer le signal d'alerte SA si un taux d'occurrence enregistré dans la table de référence Tref correspondant à un élément spécifique des messages de la nouvelle séquence, ou encore à un ordonnancement d'éléments spécifiques déterminé, est inférieur à un seuil déterminé. En d'autres termes, les moyens de signalisation 12 déterminent un mot-clé, un en-tête, ou un ordonnancement de mots-clés, ou encore un ordonnancement d'en-têtes, dans la nouvelle séquence. Puis, les moyens de signalisation 12 identifient dans la table de référence Tref, le taux d'occurrence correspondant à l'élément spécifique déterminé ou à l'ordonnancement d'éléments spécifiques. Si au moins un taux d'occurrence de la table de référence Tref est inférieur à un seuil déterminé, par exemple 90%, les moyens de signalisation 12 élaborent le signal d'alerte SA, et les moyens de contrôle 5 transmettent ou non la nouvelle séquence Seqn à l'équipement pare-feu Ep. Les moyens de signalisation 12 peuvent en outre élaborer un signal d'alarme si au moins un taux d'occurrence de la table de référence Tref est inférieur à 70%. Dans ce cas, on considère que la probabilité que la nouvelle séquence Seqn ait été émise par l'équipement déterminé est très faible, et le dispositif d'analyse 1 bloque la nouvelle séquence Seqn sans la transmettre à l'équipement pare-feu Ep. Si les taux d'occurrence sont supérieurs au seuil déterminé, par exemple 90%, les moyens de signalisation 12 n'émettent aucun signal et les moyens de contrôle 12 transmettent la nouvelle séquence Seqn à l'équipement pare-feu Ep. Selon encore un autre mode de réalisation, les moyens de contrôle 5 comprennent en outre des moyens de calcul 11 pour calculer le taux d'occurrence d'un élément spécifique et de l'ordonnancement des éléments spécifiques dans la nouvelle séquence Seqn. En d'autres termes, les moyens de calcul 11 sont configurés pour calculer le nombre de fois qu'un élément spécifique, ou qu'un ordonnancement d'éléments spécifiques, est reçu. Les moyens de calcul 11 peuvent être réalisés de façon logicielle, ou également sous la forme de circuits logiques, et peuvent être embarqués dans un ordinateur ou dans un microprocesseur. Les moyens de calcul 11 peuvent également enregistrer chaque taux d'occurrence calculé dans une table de calcul. Puis les moyens de signalisation 12 comparent les taux d'occurrence de la table de référence Tref avec les taux d'occurrence calculés et élaborent le signal d'alerte SA lorsque les taux d'occurrence sont très différents, c'est-à-dire que les écarts entre les taux d'occurrence sont supérieurs à un seuil déterminé, par exemple un seuil égal à 30%. Ce mode de réalisation permet d'affiner la détection des messages inappropriés. Sur la figure 3, on a représenté de façon schématique un exemple d'une nouvelle séquence Seqn de deux messages Mnl, Mn2 et un exemple d'élaboration de la table de calcul Tcal. Le premier message comporte un paramètre de requête P1 ayant la valeur ValP11, trois en-têtes El à E3 destinés au protocole HTTP ayant respectivement les valeurs ValE1 à ValE3, et quatre mots-clés MC1 à MC4 ayant respectivement les valeurs ValMC111 à VaIMC444. Le deuxième message Mn2 comprend, quant à lui, un paramètre de requête P2 dont la valeur est VaIP2, deux en-têtes E1, E2, dont les valeurs respectives sont ValEll, VaIE22, et un mot-clé MC1 ayant la valeur ValMC111. Par exemple, selon le mode de réalisation préféré décrit ci-avant, les moyens de signalisation 12 déterminent l'ordonnancement Mnl, 15 Mn2, des messages dans la nouvelle séquence. Le taux d'occurrence de la table de référence Tref correspondant est égal à 50%, car l'ordonnancement Mnl, Mn2 est équivalent à l'ordonnancement M21, M22, étant donné que l'ordonnancement des paramètres de requête P1, P2 est équivalent. Comme le taux d'occurrence est inférieur à 70%, les moyens de signalisation 12 20 élaborent un signal d'alarme. Selon un autre mode de réalisation, une table de calcul Tcal comprenant les calculs intermédiaires des taux d'occurrence dans la nouvelle séquence Seqn, est élaborée par les moyens de calcul 11. Par exemple, l'en-tête El 25 apparaît dans les deux messages Mnl et Mn2 et le taux d'occurrence correspondant est égal à 100%. Ou encore, l'ordonnancement des en-têtes E1, E2, E3 apparaît uniquement dans le message Mnl et le taux d'occurrence correspondant est égal à 50%. Puis, les moyens de signalisation 12 comparent les écarts d'occurrence entre les taux de la table 30 de référence Tref et ceux de la table de calcul Tcal avec un seuil déterminé, par exemple un seuil égal à 30%. Par exemple, l'écart d'occurrence de l'en- tête El est égal à 100%-100%=0%, donc inférieur à 30%, et on considère que la probabilité de l'en-tête El dans la nouvelle séquence Seqn correspond à celle déterminée préalablement lors de l'étape d'analyse. Dans ce cas, les moyens de contrôle 5 transmettent la nouvelle séquence à l'équipement pare-feu Ep, ou directement aux équipements destinataires. Dans encore un autre exemple, l'écart d'occurrence du mot-clé MC1 est égal à 100%-50%=50%, donc supérieur à 30%, et on considère que la probabilité du mot-clé dans la nouvelle séquence Seqn ne correspond pas à celle déterminée préalablement lors de l'étape d'analyse. Dans ce cas, les moyens de signalisation 12 élaborent le signal d'alerte SA sans bloquer la nouvelle séquence Seqn, ou encore élaborer un signal d'alarme et bloquer la nouvelle séquence Seqn. Sur la figure 4, on a représenté les principales étapes d'un procédé d'analyse de messages. Le procédé peut être mis en oeuvre par le dispositif d'analyse 1 décrit à la figure 1. Il peut être mis en oeuvre au sein d'un microprocesseur, ou d'un système comportant des circuits logiques, ou mis en oeuvre sous forme logicielle.
Le procédé comprend une première étape d'analyse S11, ou d'apprentissage, dans laquelle on sélectionne S111 un ensemble de séquences de messages émis par un équipement émetteur déterminé, puis on détermine S112, pour chaque séquence sélectionnée, l'ordonnancement des messages au sein de chaque séquence, les différents éléments spécifiques des messages, et les différents ordonnancements des éléments spécifiques au sein de chaque message. On élabore S113 ensuite une table de référence comportant les différents taux d'occurrence respectifs des différents ordonnancements des messages au sein d'une séquence, et des différents éléments spécifiques dans l'ensemble sélectionné. Puis, on effectue une étape de contrôle S12 de la configuration des messages émis comportant : une sélection S121 d'une nouvelle séquence de messages émis par l'équipement émetteur déterminé ; et une élaboration S123 d'un signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à l'ordonnancement des messages au sein de la nouvelle séquence, ou à un élément spécifique, ou encore à un ordonnancement d'éléments spécifiques de la nouvelle séquence est inférieur à un seuil déterminé. Le procédé peut comprendre, en outre, les étapes pour améliorer la précision de l'identification d'un message inapproprié mises en oeuvre par le dispositif d'analyse 1 décrit à la figure 1. Ainsi, le procédé peut en outre comprendre un calcul S122, d'un écart entre un taux d'occurrence de la table de référence et un taux d'occurrence dans la nouvelle séquence ; et on élabore S123 le signal d'alerte si au moins un écart d'occurrence calculé est supérieur à un seuil déterminé.

Claims (15)

  1. REVENDICATIONS1. Procédé d'analyse de messages transmis dans un réseau d'interconnexions comprenant des équipements émetteurs (El à En) de messages et des équipements destinataires (Edl à Eds) de messages, caractérisé en ce qu'il comprend une étape d'analyse (S11) comportant : une sélection (S111) d'un ensemble de séquences de messages émis par un équipement émetteur déterminé ; une détermination (S112), pour chaque séquence sélectionnée, de l'ordonnancement des messages au sein de la séquence sélectionnée ; et une élaboration (S113) d'une table de référence comportant les taux d'occurrence respectifs des différents ordonnancements déterminés dans l'ensemble sélectionné ; et en ce qu'il comprend une étape de contrôle (S12) comportant : une sélection (S121) d'une nouvelle séquence de messages émis par l'équipement émetteur déterminé ; et une élaboration (S123) d'un signal d'alerte si le taux d'occurrence de la table de référence correspondant à l'ordonnancement des messages de la nouvelle séquence est inférieur à un seuil déterminé.
  2. 2. Procédé selon la revendication 1, dans lequel chaque message comprend au moins un en-tête d'un protocole de communication déterminé, l'étape d'analyse (S11) comportant en outre : - une détermination (S112) des différents en-têtes des messages de l'ensemble de séquences sélectionné ; et - un ajout (S113) à la table de référence des taux d'occurrence respectifs des différents en-têtes déterminés dans l'ensemble sélectionné ; l'étape de contrôle (S12) comportant en outre :une élaboration (S123) du signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un en-tête des messages de la nouvelle séquence est inférieur à un seuil déterminé.
  3. 3. Procédé selon la revendication 2, dans lequel l'étape de contrôle (S12) comporte en outre : un calcul (S122), pour chaque en-tête différent au sein de la nouvelle séquence, d'un écart d'occurrence d'en-têtes entre le taux d'occurrence de la table de référence correspondant à l'en-tête et un taux d'occurrence de l'en-tête dans la nouvelle séquence ; et une élaboration (S123) du signal d'alerte si au moins un écart d'occurrence d'en-têtes calculé est supérieur à un seuil déterminé.
  4. 4. Procédé selon la revendication 2 ou 3, dans lequel l'étape d'analyse (S11) comporte en outre : - une détermination (S112), pour chaque message de l'ensemble sélectionné, de l'ordonnancement des en-têtes au sein du message ; et un ajout (S113) à la table de référence des taux d'occurrence respectifs des différents ordonnancements des en-têtes déterminés dans l'ensemble sélectionné ; l'étape de contrôle (S12) comportant en outre : une élaboration (S123) du signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un ordonnancement des en-têtes d'un message de la nouvelle séquence est inférieur à un seuil déterminé.
  5. 5. Procédé selon la revendication 4, dans lequel l'étape de contrôle (S12) comporte en outre : - un calcul (S122), pour chaque ordonnancement des en-têtes différent au sein de la nouvelle séquence, d'un écart d'ordonnancement d'en-têtes entre le taux d'occurrence de la table de référence correspondant à l'ordonnancement des en-têtes et un taux d'occurrence de l'ordonnancement des en-têtes dans la nouvelle séquence ; et une élaboration (S123) du signal d'alerte si au moins un écart d'ordonnancement d'en-têtes calculé est supérieur à un seuil déterminé.
  6. 6. Procédé selon l'une des revendications 1 à 5, dans lequel chaque message comprend des données numériques utiles comportant des mots- clés pour une application logicielle déterminée, l'étape d'analyse (S11) comportant en outre : - une détermination (S112) des différents mots-clés des messages de l'ensemble de séquences sélectionné ; et - un ajout (S113) à la table de référence, des taux d'occurrence respectifs des différents mots-clés déterminés dans l'ensemble sélectionné ; l'étape de contrôle (S12) comportant en outre : une élaboration (S123) du signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un mot-clé des messages de la nouvelle séquence est inférieur à un seuil déterminé.
  7. 7. Procédé selon la revendication 6, dans lequel l'étape de contrôle (S12) comporte en outre : un calcul (S122), pour chaque mot-clé différent au sein de la nouvelle séquence, d'un écart d'occurrence de mots-clés entre le taux d'occurrence de la table de référence correspondant au mot-clé et un taux d'occurrence du mot-clé dans la nouvelle séquence ; et une élaboration (S123) du signal d'alerte si au moins un écart d'occurrence de mots-clés calculé est supérieur à un seuil déterminé.
  8. 8. Procédé selon la revendication 6 ou 7, dans lequel l'étape d'analyse (S11) comporte en outre : une détermination (S112), pour chaque message de l'ensemble sélectionné, de l'ordonnancement des mots-clés au sein du message ; et un ajout (S113) à la table de référence des taux d'occurrence respectifs des différents ordonnancements des mots-clés déterminés dans l'ensemble sélectionné ; l'étape de contrôle (S12) comportant en outre : une élaboration (S123) du signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un ordonnancement des mots-clés d'un message de la nouvelle séquence est inférieur à un seuil déterminé.
  9. 9. Procédé selon la revendication 8, dans lequel l'étape de contrôle (S12) comporte en outre : un calcul (S122), pour chaque ordonnancement des mots-clés différent au sein de la nouvelle séquence, d'un écart d'ordonnancement de mots-clés entre le taux d'occurrence de la table de référence correspondant à l'ordonnancement des mots-clés et un taux d'occurrence de l'ordonnancement des mots-clés dans la nouvelle séquence ; et une élaboration (S123) du signal d'alerte si au moins un écart d'ordonnancement de mots-clés calculé est supérieur à un seuil déterminé.
  10. 10. Dispositif d'analyse de messages transmis dans un réseau d'interconnexions comprenant des équipements émetteurs (El à En) de messages et des équipements destinataires (Edi à Eds) de messages, caractérisé en ce qu'il comporte des moyens d'analyse (4) comprenant :- des moyens (7) pour sélectionner un ensemble de séquences de messages émis par un équipement émetteur déterminé ; des moyens de détermination (8) pour déterminer, pour chaque séquence sélectionnée, l'ordonnancement des messages au sein de la séquence sélectionnée ; et - des moyens d'élaboration (9) pour élaborer une table de référence comportant les taux d'occurrence respectifs des différents ordonnancements déterminés dans l'ensemble sélectionné ; et des moyens de contrôle (5) comprenant : - des moyens (10) pour sélectionner une nouvelle séquence de messages émis par l'équipement émetteur déterminé ; et - des moyens de signalisation (12) configurés pour élaborer un signal d'alerte si le taux d'occurrence de la table de référence correspondant à l'ordonnancement des messages de la nouvelle séquence est inférieur à un seuil déterminé.
  11. 11. Dispositif selon la revendication 10, dans lequel chaque message comprend au moins un en-tête d'un protocole de communication déterminé, les moyens de détermination (8) déterminent les différents en-têtes des messages de l'ensemble de séquences sélectionné ; les moyens d'élaboration (9) ajoutent à la table de référence, les taux d'occurrence respectifs des différents en-têtes déterminés dans l'ensemble sélectionné ; et les moyens de signalisation (12) élaborent le signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un en-tête des messages de la nouvelle séquence est inférieur à un seuil déterminé.
  12. 12. Dispositif selon la revendication 11, dans lequel les moyens de contrôle (5) comportant en outre :des moyens de calcul (11) pour calculer, pour chaque en-tête différent au sein de la nouvelle séquence, un écart d'occurrence d'en-têtes entre le taux d'occurrence de la table de référence correspondant à l'en-tête et un taux d'occurrence de l'en-tête dans la nouvelle séquence ; et les moyens de signalisation (12) élaborent le signal d'alerte si au moins un écart d'occurrence d'en-têtes calculé est supérieur à un seuil déterminé.
  13. 13. Dispositif selon la revendication 11 ou 12, dans lequel : les moyens de détermination (8) déterminent, pour chaque message de l'ensemble sélectionné, l'ordonnancement des en-têtes au sein du message ; les moyens d'élaboration (9) ajoutent à la table de référence les taux d'occurrence respectifs des différents ordonnancements des en-têtes déterminés dans l'ensemble sélectionné ; et les moyens de signalisation (12) élaborent le signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un ordonnancement des en-têtes d'un message de la nouvelle séquence est inférieur à un seuil déterminé.
  14. 14. Dispositif selon l'une des revendications 10 à 13, dans lequel chaque message comprend des données numériques utiles comportant des mots-clés pour une application logicielle déterminée, les moyens de détermination (8) déterminent les différents mots-clés des messages de l'ensemble de séquences sélectionné ; les moyens d'élaboration (9) ajoutent à la table de référence, les taux d'occurrence respectifs des différents mots-clés déterminés dans l'ensemble sélectionné ; et les moyens de signalisation (12) élaborent le signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant àun mot-clé des messages de la nouvelle séquence est inférieur à un seuil déterminé.
  15. 15. Dispositif selon la revendication 14, dans lequel : les moyens de détermination (8) déterminent, pour chaque message de l'ensemble sélectionné, l'ordonnancement des mots-clés au sein du message ; les moyens d'élaboration (9) ajoutent à la table de référence les taux d'occurrence respectifs des différents ordonnancements des mots- clés déterminés dans l'ensemble sélectionné ; et les moyens de signalisation (12) élaborent le signal d'alerte si au moins un taux d'occurrence de la table de référence correspondant à un ordonnancement des mots-clés d'un message de la nouvelle séquence est inférieur à un seuil déterminé.15
FR1200688A 2012-03-07 2012-03-07 Procede et dispositif d'analyse de messages transmis dans un reseau d'interconnexions Expired - Fee Related FR2987965B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1200688A FR2987965B1 (fr) 2012-03-07 2012-03-07 Procede et dispositif d'analyse de messages transmis dans un reseau d'interconnexions

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1200688A FR2987965B1 (fr) 2012-03-07 2012-03-07 Procede et dispositif d'analyse de messages transmis dans un reseau d'interconnexions

Publications (2)

Publication Number Publication Date
FR2987965A1 true FR2987965A1 (fr) 2013-09-13
FR2987965B1 FR2987965B1 (fr) 2014-03-21

Family

ID=46598595

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1200688A Expired - Fee Related FR2987965B1 (fr) 2012-03-07 2012-03-07 Procede et dispositif d'analyse de messages transmis dans un reseau d'interconnexions

Country Status (1)

Country Link
FR (1) FR2987965B1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6370648B1 (en) * 1998-12-08 2002-04-09 Visa International Service Association Computer network intrusion detection
US20080262990A1 (en) * 2000-09-25 2008-10-23 Harsh Kapoor Systems and methods for processing data flows
US20100107259A1 (en) * 2004-02-05 2010-04-29 Bryan Sullivan Authentication of HTTP Applications

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6370648B1 (en) * 1998-12-08 2002-04-09 Visa International Service Association Computer network intrusion detection
US20080262990A1 (en) * 2000-09-25 2008-10-23 Harsh Kapoor Systems and methods for processing data flows
US20100107259A1 (en) * 2004-02-05 2010-04-29 Bryan Sullivan Authentication of HTTP Applications

Also Published As

Publication number Publication date
FR2987965B1 (fr) 2014-03-21

Similar Documents

Publication Publication Date Title
US11115433B2 (en) System and method for content based anomaly detection in an in-vehicle communication network
WO2008139062A2 (fr) Procede et dispositif de gestion de canaux de communication pour des echanges de donnees a partir d'un aeronef
EP1695485A2 (fr) Procede de classification automatique d un ensemble d a lertes issues de sondes de detection d intrusions d un systeme de securite d information
US20240185648A1 (en) Vehicle data extraction service
FR2888071A1 (fr) Module et systeme de communication pour la mise en oeuvre d'un systeme de gestion a distance d'equipements
FR3001849A1 (fr) Procede pour router des donnees, programme d'ordinateur, controleur de reseau et reseaux associes
FR3009396A1 (fr) Procede et programme d'ordinateur d'aide a la maintenance d'equipements d'un aeronef
FR3035534A1 (fr) Procede et systeme de communication et de partage d'informations pour aeronef
US20220046032A1 (en) Low-latency identification of network-device properties
WO2017068261A1 (fr) Procédé d'aide a la détection d'infection d'un terminal par un logiciel malveillant
FR2987965A1 (fr) Procede et dispositif d'analyse de messages transmis dans un reseau d'interconnexions
EP1326374B1 (fr) Système de gestion de réseaux basé sur l'analyse des tendances
FR3048101A1 (fr) Procede et dispositif d'evaluation de la robustesse d'une anonymisation d'un jeu de donnees
WO2010037955A1 (fr) Procede de caracterisation d'entites a l'origine de variations dans un trafic reseau
EP4009584A1 (fr) Procédé de détermination de classifieurs pour la détection d'attaques dans un réseau de communication, dispositif de détermination associé
EP3375143B1 (fr) Analyse asynchrone d'un flux de données
EP3478002A1 (fr) Dispositif de communication pour véhicule comportant une pluralité de moyens de communication
WO2015128327A1 (fr) Procédé de traitement de données d'accessibilité, dispositif et programme correspondant
FR3102269A1 (fr) Procédé et dispositif de détection d’une intrusion sur un bus de données d’un véhicule
EP3598330A1 (fr) Procédé et dispositif de détection d'anomalie
EP3729768A1 (fr) Procédé de construction automatique de scénarios d'attaques informatiques, produit programme d'ordinateur et système de construction associés
EP2830281B1 (fr) Procédé d'association de sources de données hétérogènes pour la sécurité des réseaux de communication et système associé
GB2440359A (en) Rules for data traffic assembled in single data structure
EP3900278A1 (fr) Procede de surveillance du mode de terminaison d'un message telephonique
FR3041845A1 (fr) Dispositif electronique propre a etre relie a un reseau de vehicule, et procede de transmission de messages mis en oeuvre par un tel dispositif electronique

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 6

TP Transmission of property

Owner name: IV2 TECHNOLOGIES, FR

Effective date: 20170207

CD Change of name or company name

Owner name: DENY ALL, FR

Effective date: 20170731

PLFP Fee payment

Year of fee payment: 7

PLFP Fee payment

Year of fee payment: 9

PLFP Fee payment

Year of fee payment: 10

CA Change of address

Effective date: 20220128

CD Change of name or company name

Owner name: ROHDE & SCHWARZ CYBERSECURITY, FR

Effective date: 20220128

PLFP Fee payment

Year of fee payment: 11

ST Notification of lapse

Effective date: 20231105