FR2995427A1 - Dispositif de surveillance de trames a l'interconnexion d'un reseau local domestique et de l'internet - Google Patents

Dispositif de surveillance de trames a l'interconnexion d'un reseau local domestique et de l'internet Download PDF

Info

Publication number
FR2995427A1
FR2995427A1 FR1258576A FR1258576A FR2995427A1 FR 2995427 A1 FR2995427 A1 FR 2995427A1 FR 1258576 A FR1258576 A FR 1258576A FR 1258576 A FR1258576 A FR 1258576A FR 2995427 A1 FR2995427 A1 FR 2995427A1
Authority
FR
France
Prior art keywords
monitoring device
frames
signature
internet
inconsistency
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1258576A
Other languages
English (en)
Other versions
FR2995427B1 (fr
Inventor
Tristan Israel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PANOPTIWARE, FR
Original Assignee
TIBSYS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by TIBSYS filed Critical TIBSYS
Priority to FR1258576A priority Critical patent/FR2995427B1/fr
Publication of FR2995427A1 publication Critical patent/FR2995427A1/fr
Application granted granted Critical
Publication of FR2995427B1 publication Critical patent/FR2995427B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2823Reporting information sensed by appliance or service execution status of appliance services in a home automation network
    • H04L12/2827Reporting to a device within the home network; wherein the reception of the information reported automatically triggers the execution of a home appliance functionality
    • H04L12/2829Reporting to a device within the home network; wherein the reception of the information reported automatically triggers the execution of a home appliance functionality involving user profiles according to which the execution of a home appliance functionality is automatically triggered
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Un dispositif de surveillance de trames est placé à l'interconnexion d'un réseau local et de l'Internet, et comporte des moyens de réception de trames de sorte que toute trame de données émise par tout dispositif connecté au réseau local à destination de tout autre dispositif accessible via l'Internet transite par ledit dispositif de surveillance. Dans une phase d'analyse de trames reçues, le dispositif de surveillance de trames : détecte, dans lesdites trames reçues, au moins une signature de logiciels malveillants et/ou au moins un scénario d'attaque envers un dispositif et/ou au moins une incohérence dans au moins un champ d'identification d'origine ou de destinataire desdites trames reçues ; entre dans un état d'alerte, lorsqu'au moins une dite signature et/ou au moins un dit scénario et/ou au moins une dite incohérence est détecté.

Description

La présente invention concerne un dispositif de surveillance de trames destiné à être placé à l'interconnexion d'un réseau local domestique et de l'Internet. De nos jours, des passerelles domestiques permettent à des particuliers de créer des réseaux locaux pour leurs domiciles et permettent à des dispositifs connectés à ces réseaux locaux d'accéder à l'Internet. Une telle ouverture sur le monde de l'Internet pose des difficultés en termes de sécurité des machines et des données. Pour pallier ces problèmes de sécurité, il existe des logiciels anti-virus et anti- logiciels espions, à installer sur chaque machine à connecter à ces réseaux locaux. Leur efficacité est réelle mais les dangers d'aujourd'hui et de demain concernent moins les virus que les chevaux de Troie utilisés dans les attaques du type DoS (« Denial of Service » en anglais) ou DDoS (« Distributed DoS » en anglais). Le risque que représentent plusieurs millions d'ordinateurs infectés par un cheval de Troie, qui peut à tout moment être activé pour déclencher une attaque contre une cible donnée, ne doit pas être sous-estimé ou ignoré.
Il est donc souhaitable de fournir une protection contre les chevaux de Troie, qui soit adaptée à l'environnement des particuliers. De plus, les données personnelles des particuliers sont très recherchées par des pirates car elles disposent d'une valeur marchande élevée comparativement aux efforts à fournir pour les dérober.
Il est donc souhaitable de fournir une protection contre les virus, les logiciels espions (« spywares » en anglais) et autres logiciels malveillants (« malwares » en anglais), qui soit adaptée aux particuliers. Dans les deux contextes mentionnés ci-dessus, il est en outre souhaitable de fournir une protection contre les intrusions, qui soit adaptée à l'environnement des particuliers. En effet, les contraintes quant à la gestion des solutions informatiques ne sont pas les mêmes que dans le milieu professionnel, dans lequel un administrateur système effectue une maintenance quasi-quotidienne des solutions informatiques. Il est aussi souhaitable de fournir une solution qui complexifie la tâche des pirates décidés à s'introduire dans les réseaux locaux des particuliers, que ce soit pour dérober des données personnelles de ces particuliers et/ou pour permettre une attaque distribuée à l'encontre d'une machine ou d'un site via l'Internet. L'invention concerne un dispositif de surveillance de trames destiné à être placé à l'interconnexion d'un réseau local domestique et de l'Internet, le dispositif de surveillance de trames comportant des moyens de réception de trames de sorte que toute trame de données émise par tout dispositif connecté au réseau local domestique à destination de tout autre dispositif accessible via l'Internet transite par le dispositif de surveillance de trames. Le dispositif de surveillance de trames est tel qu'il comporte des moyens d'analyse de trames reçues comportant : des premiers moyens de détection, dans lesdites trames reçues, d'au moins une signature de logiciels malveillants et/ou au moins un scénario d'attaque envers un dispositif et/ou au moins une incohérence dans au moins un champ d'identification d'origine ou de destinataire desdites trames reçues ; des moyens d'entrée dans un état d'alerte, lorsqu'au moins une dite signature et/ou au moins un dit scénario et/ou au moins une dite incohérence est détecté par lesdits premiers moyens de détection. Ainsi, grâce à l'analyse des trames transitant depuis le réseau local domestique vers l'Internet, une protection efficace contre l'activation des chevaux de Troie est mise en place, ainsi qu'une protection efficace contre une usurpation d'identité potentielle sur le réseau local domestique et contre la diffusion de logiciels malveillants à partir du réseau local domestique. Selon un mode de réalisation particulier, lesdits moyens de réception de trames sont en outre adaptés de sorte que toute trame de données émise par ledit autre dispositif accessible via l'Internet à destination dudit dispositif connecté au réseau local domestique transite par le dispositif de surveillance de trames.
Ainsi, la protection susmentionnée est aussi mise en place dans l'autre sens. Selon un mode de réalisation particulier, pour détecter au moins un scénario d'attaque, lesdits premiers moyens de détection comportent des moyens d'analyse sémantique des trames reçues, au niveau de la couche application. Ainsi, des attaques complexes peuvent être détectées.
Selon un mode de réalisation particulier, lesdits premiers moyens de détection sont adaptés pour détecter au moins une signature de logiciels malveillants et/ou au moins une incohérence dans au moins un champ d'identification d'origine ou de destinataire, et pour ensuite détecter au moins un scénario d'attaque. Ainsi, l'analyse sémantique, plus coûteuse en termes de ressources de traitement, que d'autres contrôles et analyses est effectuée en dernier, permettant ainsi de détecter une bonne partie des malveillances sans avoir à mettre en oeuvre l'analyse sémantique. Selon un mode de réalisation particulier, pour détecter au moins un scénario d'attaque, lesdits premiers moyens de détection comportent : des seconds moyens de détection d'un profil fonctionnel dans lesdites trames reçues ; des moyens de détermination d'un nombre de répétitions successives dudit profil fonctionnel dans une fenêtre temporelle prédéfinie et d'une dérivée en fonction du temps dudit nombre de répétitions successives. De plus, lesdits moyens d'entrée dans un état d'alerte sont mis en oeuvre lorsque ledit nombre de répétitions dans ladite fenêtre temporelle prédéfinie est supérieur à un premier seuil et/ou lorsque ladite dérivée est supérieure à un second seuil. Ainsi, des attaques de type DoS ou DDoS peuvent être déjouées. Selon un mode de réalisation particulier, pour détecter une incohérence dans au moins un champ d'identification d'origine ou de destinataire desdites trames reçues, lesdits premiers moyens de détection comportent des moyens de détermination d'une signature machine de chaque dispositif connecté au réseau local domestique. Ainsi, des usurpations d'identité peuvent être déjouées. Selon un mode de réalisation particulier, lesdits moyens de détermination d'une signature machine comportent des moyens de détermination, à partir desdites trames reçues et pour chaque dispositif connecté au réseau local domestique, d'un système d'exploitation mis en oeuvre par ledit dispositif Ainsi, des usurpations d'identité peuvent être détectées simplement. Selon un mode de réalisation particulier, lesdits moyens de détermination d'une signature machine comportent des moyens de détermination, à partir desdites trames reçues et pour chaque dispositif connecté au réseau local domestique, d'une valeur de déformation temporelle représentative d'une horloge mise en oeuvre par ledit dispositif. Ainsi, des usurpations d'identité peuvent être efficacement détectées.
Selon un mode de réalisation particulier, le dispositif de surveillance comporte des moyens de génération de trames de test représentatives d'au moins une signature de logiciels malveillants et/ou d'au moins un scénario d'attaque envers un dispositif et/ou d'au moins une incohérence dans au moins un champ d'identification d'origine ou de destinataire desdites trames générées.
Ainsi, la fiabilité du dispositif de surveillance peut être mise à l'épreuve. Selon un mode de réalisation particulier, le dispositif de surveillance comporte : des moyens de mise en oeuvre du réseau local domestique de manière sans-fil ; des moyens d'initialisation d'une interface dudit dispositif de surveillance avec le réseau local domestique à une puissance d'émission maximale ; des moyens d'obtention d'une mesure de puissance de signal reçu par chaque dispositif connecté au réseau local domestique ; des moyens d'ajustement de ladite puissance d'émission, en fonction de chaque mesure de puissance obtenue. Ainsi, les risques d'intrusion d'un dispositif externe dans le réseau local domestique sont limités. Selon un mode de réalisation particulier, lesdits moyens d'analyse de trames reçues sont non débrayables. Ainsi, il n'est pas possible qu'un pirate déchiffre un mot de passe ou perce tout autre mécanisme de configuration du dispositif de surveillance pour désactiver des fonctionnalités liées à la surveillance de trames. Selon un mode de réalisation particulier, ledit dispositif de surveillance est inclus dans une passerelle domestique ou destiné à être connecté à une passerelle domestique. L'invention concerne également un procédé de surveillance par un dispositif de surveillance de trames placé à l'interconnexion d'un réseau local et de l'Internet, ledit dispositif de surveillance comportant des moyens de réception de trames de sorte que toute trame de données émise par tout dispositif connecté au réseau local domestique à destination de tout autre dispositif accessible via l'Internet transite par ledit dispositif de surveillance. Le procédé est tel qu'il comporte une phase d'analyse de trames reçues comportant les étapes suivantes : détection, dans lesdites trames reçues, d'au moins une signature de logiciels malveillants et/ou au moins un scénario d'attaque envers un dispositif et/ou au moins une incohérence dans au moins un champ d'identification d'origine ou de destinataire desdites trames reçues ; entrée dans un état d'alerte, lorsqu'au moins une dite signature et/ou au moins un dit scénario et/ou au moins une dite incohérence est détecté par ledit dispositif de surveillance. L'invention concerne également un programme d'ordinateur, qui peut être stocké sur un support et/ou téléchargé d'un réseau de communication, afin d'être lu par un processeur. Ce programme d'ordinateur comprend des instructions pour implémenter le procédé mentionné ci-dessus, lorsque ledit programme est exécuté par le processeur. L'invention concerne également des moyens de stockage comprenant un tel programme d'ordinateur. Les caractéristiques de l'invention mentionnées ci-dessus, ainsi que d'autres, apparaîtront plus clairement à la lecture de la description suivante d'un exemple de réalisation, ladite description étant faite en relation avec les dessins joints, parmi lesquels : - la Fig. 1 illustre schématiquement un système dans lequel la présente invention peut être mise en oeuvre ; - la Fig. 2 illustre schématiquement un premier exemple d'architecture d'un dispositif de surveillance du système de la Fig. 1; - la Fig. 3 illustre schématiquement un second exemple d'architecture du dispositif de surveillance ; - la Fig. 4 illustre schématiquement un algorithme de surveillance de trames mis en oeuvre par le dispositif de surveillance ; - la Fig. 5 illustre schématiquement un algorithme de comptage de requêtes mis en oeuvre par le dispositif de surveillance ; - la Fig. 6 illustre schématiquement un algorithme de paramétrage de réseau local domestique sans-fil mis en oeuvre par le dispositif de surveillance.
Afin de permettre d'éviter la diffusion de logiciels malveillants, et notamment l'activation de chevaux de Troie, ainsi que l'usurpation d'identité potentielle sur un réseau local domestique, il est proposé de placer un dispositif de surveillance de trames à l'interconnexion du réseau local domestique et de l'Internet, qui effectue une analyse au moins des trames transitant du réseau local domestique vers l'Internet. Le dispositif de surveillance de trames cherche à détecter dans ces trames au moins une signature de logiciels malveillants et/ou au moins un scénario d'attaque envers un dispositif et/ou au moins une incohérence dans au moins un champ d'identification d'origine ou de destinataire de ces trames. Lorsqu'au moins une telle signature et/ou au moins un tel scénario et/ou au moins une telle incohérence est détecté, le dispositif de surveillance de trames entre dans un état d'alerte. Cela peut consister à fournir une indication d'alerte à un utilisateur via une interface homme-machine et/ou à empêcher la propagation des trames. Toute machine accessible via l'Internet peut alors être protégée contre une attaque venant du réseau local domestique. La protection est alors proactive. Lorsque le dispositif de surveillance effectue aussi une analyse des trames transitant de l'Internet vers le réseau local domestique, une protection est aussi offerte pour toute machine connectée au réseau local domestique. La Fig. 1 illustre schématiquement un système dans lequel la présente invention peut être mise en oeuvre. Le système comporte une passerelle domestique 101 destinée à interconnecter un réseau local domestique LAN 120 (« Local Area Network » en anglais) et l'Internet 110. La passerelle domestique 101 est donc destinée à permettre à des dispositifs 121, 122 connectés au LAN 120 de communiquer avec des dispositifs 111, 112 accessibles via l'Internet 110. Le système est tel qu'un dispositif de surveillance 102 est intercalé entre la passerelle domestique 101 et le LAN 120. La passerelle domestique 101 est connectée au dispositif de surveillance 102 par un lien 130, de sorte que toutes les trames émises depuis le LAN 120 vers l'Internet 110 passent, d'une part par la passerelle domestique 101 pour des besoins de routage de trafic, et d'autre part, par le dispositif de surveillance 102 pour des besoins de surveillance et d'analyse de trafic.
Préférentiellement, toutes les trames émises depuis l'Internet 110 vers le LAN 120 passent aussi par la passerelle domestique 101 et par le dispositif de surveillance 102. Dans un mode de réalisation particulier, le dispositif de surveillance 102 est inclus dans la passerelle domestique 101. La Fig. 2 illustre schématiquement un premier exemple d'architecture du dispositif de surveillance 102. Le dispositif de surveillance 102 comporte alors une interface de communication 210 avec l'Internet 110 via la passerelle domestique 101 ; une interface de communication 211 avec le LAN 120 ; une interface de test 212 ; et une interface homme-machine 220. L'interface de communication 210 est adaptée pour permettre une connexion avec la passerelle domestique 101 via le lien 130, et ainsi émettre ou propager des trames vers l'Internet 110 et recevoir des trames depuis l'Internet 110. L'interface de communication 211 permet la création du LAN 120 et est adaptée pour permettre une connexion physique de type filaire et/ou sans-fil avec les dispositifs 121, 122. L'interface de communication 211 est par exemple de type Wi-Fi (marque déposée), telle que définie par les standards IEEE 802.11. L'interface de test 212, optionnelle, est de même type que l'interface de communication 211, et permet à une unité de test 203 d'être connectée au LAN 120 comme le serait un dispositif externe au dispositif de surveillance 102. L'interface homme-machine 220 permet d'interagir avec un utilisateur, de manière à recevoir des commandes et d'afficher des rapports de surveillance, comme par exemple des messages d'alerte. Le dispositif de surveillance 102 comporte en outre une unité d'analyse de trames 201, dont le comportement est décrit ci-après en relation avec les Figs. 4 à 6. Le dispositif de surveillance 102 comporte aussi l'unité de test 203 et une unité de gestion 202 de l'interface homme-machine 220, qui interagit avec l'unité d'analyse de trames 201 et l'unité de test 203, afin de router les commandes reçues de l'utilisateur et collecter les rapports de surveillance pour affichage. L'unité de test 203 est adaptée pour lancer successivement des attaques dont le résultat doit toujours se solder par un échec, afin de vérifier l'intégrité du dispositif de surveillance 102. Dans le cas contraire, un rapport de surveillance représentatif d'une alerte est établi. L'unité de test 203 génère des trames de test représentatives d'au moins une signature de logiciels malveillants et/ou d'au moins un scénario d'attaque envers un dispositif et/ou d'au moins une incohérence dans au moins un champ d'identification d'origine ou de destinataire desdites trames générées. L'unité de test 203 est connectée à l'interface de test 212 et à l'interface de communication 210 avec l'Internet 110, afin de pouvoir simuler des attaques provenant respectivement, du point de vue de l'unité d'analyse de trames 201, du LAN 120 et de l'Internet 110. De telles attaques sont du type usurpation d'identité, attaques DoS ou DDoS, transmission de logiciels malveillants, c'est-à-dire des attaques contre lesquelles l'unité d'analyse de trames 201 doit lutter. Dans un mode de réalisation particulier, l'unité d'analyse de trames 201 et/ou l'unité de test 203, ainsi que leurs fonctionnalités associées, sont adaptées pour être non débrayables. Ainsi, l'unité d'analyse de trames 201 et/ou l'unité de test 203, ainsi que leurs fonctionnalités associées, sont adaptées pour être non configurables par l'utilisateur. Le dispositif de surveillance 102 n'implémente alors aucun serveur web, ni aucun service à base de mot de passe, permettant de modifier la configuration de l'unité d'analyse de trames 201 et/ou l'unité de test 203. Chaque interaction avec l'utilisateur s'effectue alors par le biais de l'interface homme-machine 220.
La Fig. 3 illustre schématiquement un second exemple d'architecture du dispositif de surveillance 102, qui comporte alors, reliés par un bus de communication 310 : un processeur ou CPU (« Central Processing Unit » en anglais) 300; une mémoire vive RAM (« Random Access Memory » en anglais) 301 ; une mémoire morte ROM (« Read Only Memory » en anglais) 302; une unité de stockage ou un lecteur de support de stockage, tel qu'un disque dur HDD (« Hard Disk Drive » en anglais) 303 ; l'interface de communication 210 avec l'Internet 110 via la passerelle domestique 101 ; l'interface de communication 211 avec le LAN 120 ; l'interface de test 212; et l'interface homme-machine 220.
Le processeur 300 est capable d'exécuter des instructions chargées dans la RAM 301 à partir de la ROM 302, d'une mémoire externe (non représentée), d'un support de stockage, tel que le disque dur HDD 303, ou d'un réseau de communication. Lorsque le dispositif de surveillance 102 est mis sous tension, le processeur 300 est capable de lire de la RAM 301 des instructions et de les exécuter. Ces instructions forment un programme d'ordinateur causant la mise en oeuvre, par le processeur 300, de tout ou partie des algorithmes décrits ci-après en relation avec les Figs. 4 à 6. Tout ou partie des algorithmes décrits ci-après en relation avec les Figs. 4 à 6 peut être implémenté sous forme logicielle, par exécution d'un ensemble d'instructions par une machine programmable, tel qu'un DSP (« Digital Signal Processor » en anglais) ou un microcontrôleur, comme montré ci-dessus en relation avec la Fig. 3. Tout ou partie des algorithmes décrits ci-après en relation avec les Figs. 4 à 6 peut aussi être implémenté sous forme matérielle par une machine ou un composant dédié, tel qu'un FPGA (« Field-Programmable Gate Array » en anglais) ou un ASIC (« Application-Specific Integrated Circuit » en anglais), comme montré ci- dessus en relation avec la Fig. 2. La Fig. 4 illustre schématiquement un algorithme de surveillance de trames mis en oeuvre par le dispositif de surveillance 102. Dans une étape 401, le dispositif de surveillance 102 reçoit des trames, en provenance de l'Internet 110 et/ou du LAN 120, entre dans une phase d'analyse de ces trames reçues. Dans une étape 402 suivante, le dispositif de surveillance 102 contrôle les adresses MAC (« Medium Access Control » en anglais) d'origine et de destination des trames reçues, afin d'effectuer une vérification de cohérence de ces adresses. Les trames reçues sont considérées comme représentatives d'une attaque si elles ne répondent pas aux critères suivants : l'adresse MAC d'origine et l'adresse MAC de destination doivent être contenues dans une liste blanche maintenue par le dispositif de surveillance 102 ; si l'adresse MAC d'origine ou de destination du paquet est celle de la passerelle domestique 101, l'adresse IP (« Internet Protocol » en anglais) associée dans la trame considérée doit être une adresse de routage en dehors du LAN 120; si les adresses MAC d'origine et de destination sont connues pour identifier des dispositifs sur le LAN 120, les adresses IP associées dans la trame considérée doivent être des adresses de routage sur le LAN 120.
Il convient de noter que, préférentiellement, le dispositif de surveillance 102 rejette les requêtes adressées à la passerelle domestique 101 autre que des requêtes selon les protocoles ARP (« Address Resolution Protocol » tel que défini dans le document normatif RFC 826) et DHCP (« Dynamic Host Configuration Protocol » en anglais, tel que défini dans le document normatif RFC 2131 pour IPv4 et RFC 3315 pour IPv6). Etant donné que, sur le LAN 120, la passerelle domestique 101 joue le rôle de serveur DHCP, les adresses MAC et IP de la passerelle domestique 101, ainsi que des dispositifs connectés au LAN 120 peuvent être connus du dispositif de surveillance 102 par analyse de trames DHCP. La construction de la liste blanche peut se faire de la manière suivante : lorsqu'une machine inconnue est connectée au LAN 120 via un lien filaire Ethernet, cette machine est ajoutée par le dispositif de surveillance 102 à la liste blanche. Lorsqu'une machine est connectée au LAN 120 via un lien sans-fil, cette machine est ajoutée par le dispositif de surveillance 102 à la liste blanche après fourniture d'un mot de passe d'authentification par ladite machine à la connexion au LAN 120, comme c'est le cas dans la phase d'association pour les réseaux Wi-Fi (marque déposée). Si une machine est connectée au LAN 120, que ce soit par un lien filaire ou sans-fil, et que cette machine utilise un pont avec une autre machine connectée au LAN 120, cette machine n'est pas mise par le dispositif de surveillance 102 en liste blanche, mais pourrait être mise en liste noire. Toute autre machine n'est pas mise en liste blanche, mais pourrait être mise en liste noire. Si une adresse correspondant à une machine en liste noire est détectée, les trames reçues sont considérées comme représentatives d'une attaque.
Dans une étape 403 suivante, le dispositif de surveillance 102 vérifie si le résultat du contrôle des adresses MAC permet de conclure que les trames reçues sont représentatives d'une attaque. Si tel est le cas, une étape 415 est effectuée ; sinon, une étape 404 est effectuée. Dans l'étape 404, le dispositif de surveillance 102 contrôle l'ensemble des trames constitutives d'un même message et effectue une analyse comparative des données du message avec des signatures connues de logiciels malveillants, e.g. virus ou logiciels espions. Une signature de logiciel malveillant est une suite d'éléments binaires commune à chacune des copies du logiciel malveillant considéré, donc utilisable pour détecter leur présence. Le dispositif de surveillance 102 compare ensuite des caractéristiques de l'échange auquel appartient ledit message avec des exploits connus, e.g. une faille NetBIOS. Le terme exploit réfère, dans le domaine de la sécurité informatique, à un élément de programme permettant à un individu ou un logiciel malveillant d'exploiter une faille de sécurité informatique dans un système d'exploitation ou dans un logiciel, afin de prendre le contrôle d'une machine, de permettre une augmentation de privilège d'un logiciel ou d'un utilisateur, ou d'effectuer une attaque de type DoS ou DDoS. Les signatures connues de logiciels malveillants et les exploits connus peuvent être contenus dans des bases de données respectives maintenues par le dispositif de surveillance 102 et mises à jour par téléchargement via l'Internet 110. Les trames reçues sont considérées comme représentatives d'une attaque si le message ou l'échange correspond à une signature ou un exploit connu. Dans une étape 405 suivante, le dispositif de surveillance 102 vérifie si le résultat du contrôle du message ou de l'échange permet de conclure que les trames reçues sont représentatives d'une attaque. Si tel est le cas, l'étape 415 est effectuée ; sinon, une étape 406 est effectuée. Dans l'étape 406, le dispositif de surveillance 102 contrôle les adresses IP des émetteurs et récepteurs contenues dans les trames reçues en les comparant avec des adresses IP contenues d'une liste noire d'adresses IP internationales maintenue par le dispositif de surveillance 102 et mise à jour par téléchargement via l'Internet 110. Dans une étape 407 suivante, le dispositif de surveillance 102 vérifie si le résultat du contrôle des adresses IP permet de conclure que les trames reçues sont représentatives d'une attaque. Si tel est le cas, l'étape 415 est effectuée ; sinon, une étape 408 est effectuée.
Dans l'étape 408, le dispositif de surveillance 102 effectue un comptage de requêtes à partir des trames reçues, afin de détecter la mise en oeuvre d'un scénario d'attaque. Un tel scénario est par exemple représentatif d'une attaque de type DoS ou DDoS et le dispositif de surveillance 102 vise à empêcher qu'un grand nombre de requêtes mettent hors service une machine, e.g. un serveur, qu'elle soit sur le LAN 120 ou accessible via l'Internet 110. Si le dispositif 121 est infesté par un cheval de Troie, le dispositif 121 se comporte comme un zombie pour mettre hors service une machine ciblée en la submergeant de requêtes, généralement de synchronisation TCP SYN (tel que défini dans le document normatif RFC 793). Ces requêtes déclenchent par la machine ciblée une allocation de ressources qui ne sont libérées que lorsque la connexion est interrompue ou après expiration d'un délai prédéfini. Si un grand nombre de machines zombies sont convoquées pour faire de même, la machine ciblée peut manquer de ressources ou être mise hors service. Un exemple de mise en oeuvre d'un tel comptage est détaillé ci-après en relation avec la Fig. 5.
Préférentiellement, afin de ne pas confondre une connexion VPN (« Virtual Private Network » en anglais) ou MMOG (« Massively Multiplayer Online Game » en anglais) avec une attaque de type DoS ou DDoS, le dispositif de surveillance 102 n'effectue l'étape 408 que pour les requêtes TCP. Les ports TCP peuvent en outre être pris en compte, notamment pour détecter des communications VPN selon les protocoles PPTP (« Point-to-Point Tunneling Protocol » en anglais, tel que défini dans le document normatif RFC 2637), L2TP (« Layer 2 Tunneling Protocol » en anglais, tel que défini dans les documents normatifs RFC 2661 et RFC 3931) ou IPSec (« Internet Protocol Security » en anglais, tel que défini dans le document normatif RFC 4301). Le dispositif de surveillance 102 peut toutefois considérer que les trames reçues sont représentatives d'une attaque, se placer en état d'alerte, mais ne pas jeter les trames dans l'étape 415 ultérieure. Préférentiellement, le dispositif de surveillance 102 dispose d'une liste de services et/ou serveurs connus pour mettre en oeuvre des connexions VPN ou MMOG, tels que iCloud (marque déposée), des serveurs de Word of Warcraft (marque déposée), comme n'étant pas concernés par un risque d'attaques visé à l'étape 408. Une telle liste est maintenue par téléchargement via l'Internet 110. Le dispositif de surveillance 102 peut aussi disposer d'une liste de noms de domaines de services à protéger, tels que des services gouvernementaux ou bancaires. Toute requête adressée à une machine de cette liste est alors analysée dans l'étape 408. Une telle liste est maintenue par téléchargement via l'Internet 110. Dans une étape 409 suivante, le dispositif de surveillance 102 vérifie si le résultat du comptage permet de conclure que les trames reçues sont représentatives d'une attaque. Si tel est le cas, l'étape 415 est effectuée ; sinon, une étape 410 est effectuée.
Dans l'étape 410, le dispositif de surveillance 102 contrôle une signature machine du dispositif du LAN 120 émetteur ou destinataire des trames reçues, afin de détecter une incohérence dans les adresses d'origine ou de destination des trames reçues. Une signature machine est une valeur calculée à partir d'une analyse de différentes caractéristiques de la machine, présente sur le LAN 120 et identifiée dans la liste blanche. Ces caractéristiques peuvent être le nom NetBIOS de la machine, son nom AFP (« Apple Filing Protocol » en anglais), le nom de l'utilisateur, etc. La signature ne peut pas être basée sur l'adresse MAC. Lors de chaque échange de trames avec une machine du LAN 120, une signature machine est calculée pour cette machine et est comparée avec une signature préétablie par le dispositif de surveillance 102 pour cette machine. Si la signature machine calculée ne correspond à aucune signature préétablie, une usurpation d'adresse MAC ou une usurpation ARP (« ARP spoofing » en anglais, où ARP signifie « Address Resolution Protocol » en anglais) est suspectée. Le pré-établissement de signatures machines peut s'effectuer par apprentissage lors d'une phase d'initialisation déclenchée par l'utilisateur grâce à l'interface homme- machine 220. Selon un premier mode de réalisation, la signature machine est représentative d'un système d'exploitation mis en oeuvre par la machine considérée. Lorsqu'une nouvelle adresse MAC est détectée sur le LAN 120, le dispositif de surveillance 102 lui envoie des requêtes TCP, UDP (« User Datagram Protocol » en anglais, tel que défini dans le document normatif RFC 768) et ICMP (« Internet Control Message Protocol » en anglais, tel que défini dans le document normatif RFC 792), et en analyse les réponses. Si la machine répond sur le port 548, le dispositif de surveillance 102 considère qu'elle met en oeuvre un système d'exploitation Apple (marque déposée). Si la machine répond à une requête ICMP Echo en remettant à 0 le champ Code, le dispositif de surveillance 102 considère qu'elle met en oeuvre un système d'exploitation Mac OS X (marque déposée) ou Unix/Linux, sinon un système d'exploitation Windows (marque déposée). Si la machine répond en remettant à 128 le champ TTL, le dispositif de surveillance 102 considère qu'elle met en oeuvre un système d'exploitation Windows (marque déposée). D'autres règles peuvent être définies en analysant les champs ID et Flag du protocole IP, et les champs ID et Seq du protocole ICMP, ou en détectant l'absence de réponse à des requêtes UDP. Selon un second mode de réalisation, la signature machine est représentative d'une horloge mise en oeuvre par la machine considérée. Le dispositif de surveillance 102 transmet une requête ICMP Timestamp et analyse la réponse transmise par ladite machine pour déterminer une valeur de déformation temporelle représentative de cette horloge. En effet, chaque horloge a une cadence et une sensibilité qui lui sont propres, ce qui implique que chaque horloge possède un coefficient de déformation du temps qui fait que, plus le temps passe, plus l'horloge s'éloigne du temps atomique. En déterminant cet éloignement par rapport à une droite représentant le temps parfait, il est possible d'établir une signature machine sur la base de cette horloge. On pourra se référer aux travaux de T. Kohno, A. Broido, et K. Claffy présentés dans le document « Remote physical device fingerprinting », IEEE Transactions on Dependable and Secure Computing, vol. 2, no. 2, pp. 93-108, Mai 2005. Dans une étape 411 suivante, le dispositif de surveillance 102 vérifie si le résultat du contrôle de signature machine permet de conclure que les trames reçues sont représentatives d'une attaque. Si tel est le cas, l'étape 415 est effectuée ; sinon, une étape 412 est effectuée.
Dans l'étape 412, le dispositif de surveillance 102 effectue une analyse sémantique des trames reçues. Cette analyse s'opère au niveau de la couche application, couche 7, du modèle OSI (« Open Systems Interconnection » en anglais), afin de détecter des scénarii connus d'attaques, par exemple basées sur des failles de services FTP (« File Transfer Protocol » en anglais, tel que défini dans le document normatif RFC 959), HTTP (« Hypertext Transfer Protocol » en anglais, tel que défini dans le document normatif RFC 2616) ou SSH (« Secure SHell » en anglais, tel que défini dans le document normatif RFC 4251). Pour déterminer si une attaque de type débordement de pile est intentée, le dispositif de surveillance 102 contrôle par exemple que les données transmises dans une requête SQL (« Structured Query Language » en anglais, tel que défini dans le document normatif ISO/IEC 9075-1:2008) ou HTTP ne sont pas trop longues pour être exécutées par le serveur auquel elle est adressée. Lorsque le serveur reçoit une telle requête, un débordement de pile survient si le serveur n'a pas prévu assez de ressources mémoire pour effectuer le traitement de la requête, ce qui entraîne un dysfonctionnement du serveur qui se traduit généralement par une montée en pouvoir de l'émetteur de la requête. Cet émetteur se trouve alors en position d'exécuter du code machine envoyé avec la requête et éventuellement de prendre le contrôle de tout ou partie du serveur. Le dispositif de surveillance 102 peut comparer les trames reçues avec des exploits connus pour utiliser une faille dans un protocole informatique, comme par une faiblesse d'implémentation du protocole SMB (« Server Message Block » en anglais) sur certaines versions du système d'exploitation Windows (marque déposée). Pour déterminer si une attaque de type DDoS est intentée, le dispositif de surveillance 102 contrôle par exemple les trames correspondant à des échanges de messagerie instantanée (« chat » en anglais) selon les protocoles ICQ (homophone de la phrase «I Seek You » en anglais) ou IRC (« Internet Relay Chat » en anglais, tel que défini dans le document normatif RFC 1459). Dans une étape 413 suivante, le dispositif de surveillance 102 vérifie si le résultat de l'analyse sémantique permet de conclure que les trames reçues sont représentatives d'une attaque. Si tel est le cas, l'étape 415 est effectuée ; sinon, une étape 414 est effectuée. Dans l'étape 414, le dispositif de surveillance 102 propage les trames reçues, a destination de l'Internet 110 si les trames proviennent du LAN 120 ou à destination du LAN 120 si les trames proviennent de l'Internet 110. Dans l'étape 415, le dispositif de surveillance 102 se place dans un état d'alerte. Selon un premier mode de réalisation, le dispositif de surveillance 102 jette les trames reçues, qui ne sont donc pas transmises vers leur destinataire. Selon un second mode de réalisation, le dispositif de surveillance 102 propage les trames reçues et génère un rapport de surveillance représentatif d'une attaque potentielle. Cela peut dépendre d'un niveau de confiance dans le contrôle ou l'analyse qui a mené à l'état d'alerte. Par exemple, le dispositif de surveillance peut décider de ne pas jeter les trames reçues lorsque l'état d'alerte est issu du contrôle de signature machine. En effet, le dispositif de surveillance 102 ne peut pas distinguer une usurpation effective d'adresse MAC d'un changement matériel ou logiciel opéré par l'utilisateur sur cette machine. Le dispositif de surveillance 102 peut toutefois alerter l'utilisateur que la machine, identifiée par son adresse MAC, possède des caractéristiques différentes de celles précédemment connues du dispositif de surveillance 102. Dans le cas où il s'agit de la conséquence d'une action de l'utilisateur, l'utilisateur peut en informer le dispositif de surveillance 102 afin d'effectuer une mise à jour de signature machine, afin que les changements intervenus sur la machine concernée soient pris en compte. Les étapes de contrôle et d'analyse décrites ci-dessus pourraient être effectuées dans un ordre différent. Cependant, dans un mode de réalisation particulier, l'analyse sémantique étant a priori l'étape de l'algorithme de la Fig. 4 la plus coûteuse en ressources de traitement, l'analyse sémantique est celle qui est préférentiellement effectuée en dernier, de sorte que des trames pouvant être considérées comme représentatives d'une attaque selon au moins un autre contrôle ou analyse soient détectées sans avoir à effectivement réaliser l'analyse sémantique.
Il convient de noter qu'une partie seulement des contrôles et analyses peut être réalisée, bien que l'ensemble permet de substantiellement renforcer la sécurité des dispositifs 121, 122 et de limiter les attaques intentées à partir des dispositifs 121, 122. La combinaison des opérations de comptage et d'analyse sémantique offre une excellente protection contre les attaques DoS ou DDoS ; la combinaison des opérations de contrôle des signatures et de contrôle de cohérence des adresses des émetteurs et récepteurs offre une forte protection contre les intrusions sur le LAN 120. La Fig. 5 illustre schématiquement un algorithme de comptage de requêtes mis en oeuvre par le dispositif de surveillance 102.
Dans une étape 501, le dispositif de surveillance 102 reçoit des trames, en provenance de l'Internet 110 et/ou du LAN 120, dans un échange de messages considéré. Dans une étape 502 suivante, le dispositif de surveillance 102 cherche à reconnaître un profil fonctionnel, i.e. une mise en oeuvre d'une fonction donnée, dans les trames reçues. L'objectif est de déterminer si ce profil fonctionnel est répété un certain nombre de fois pendant une fenêtre temporelle prédéfinie. Le dispositif de surveillance 102 maintient une liste de profils fonctionnels connus, mise à jour par téléchargement via l'Internet 110. Selon un exemple, un profil fonctionnel TCP SYN LAN WAN est détecté si les trames reçues présentent au moins une 20 requête TCP SYN, ce qui peut être représentatif d'une attaque de type DoS ou DDoS. Dans une étape 503 suivante, le dispositif de surveillance 102 initialise des paramètres a, T et N, où a est représentatif de la différence temporelle entre deux répétitions successives du profil détecté pour l'échange de messages considéré, T est représentatif de l'instant auquel le profil a été détecté pour la dernière fois dans 25 l'échange de messages considéré, et N est un nombre de répétitions successives du profil pendant ladite fenêtre temporelle. Les paramètres N et a sont initialisés à 0 et le paramètre T est initialisé avec l'instant auquel le profil a été détecté. Dans une étape 504 suivante, le dispositif de surveillance 102 reçoit de nouvelles trames, pour l'échange de messages considéré. Si le dispositif de 30 surveillance 102 détecte à nouveau le profil, une étape 505 est effectuée ; sinon l'étape 504 est réitérée. Dans l'étape 505, le dispositif de surveillance 102 met à jour le paramètre a avec la différence entre l'instant auquel le profil est à nouveau détecté et la valeur de T, puis met à jour T avec l'instant auquel le profil est à nouveau détecté.
Dans une étape 506 suivante, le dispositif de surveillance 102 vérifie si les paramètres a et T doivent être réinitialisés, c'est-à-dire si la valeur de a est supérieure à un premier seuil prédéfini, par exemple de 200 ms. Si tel est le cas, l'étape 503 est réitérée ; sinon, une étape 507 est effectuée.
Dans l'étape 507, le dispositif de surveillance 102 met à jour le nombre N avec le nombre de répétitions du profil détecté pendant ladite fenêtre temporelle jusqu'à l'instant T. Le dispositif de surveillance 102 détermine aussi la dérivée du nombre N en fonction du temps. Dans une étape 508 suivante, le dispositif de surveillance 102 vérifie si le nombre N est supérieur à un second seuil prédéfini et/ou si la dérivée du nombre N en fonction du temps est supérieure à un troisième seuil prédéfini. Si tel est le cas, une étape 509 est effectuée, dans laquelle le dispositif de surveillance 102 entre dans l'état d'alerte ; sinon l'étape 504 est réitérée. La Fig. 6 illustre schématiquement un algorithme de paramétrage de réseau local sans-fil mis en oeuvre par le dispositif de surveillance 102. Le mécanisme introduit par cet algorithme vient en complément des analyses de trames déjà décrites en relation avec la Fig. 4, et potentiellement de l'unité de test 203 dont le comportement a déjà été décrit en relation avec la Fig. 2. L'algorithme permet de limiter l'étendue du LAN 120, lorsque le LAN 120 est de type sans-fil, e.g. Wi-Fi (marque déposée), au minimum nécessaire pour permettre les communications avec les dispositifs 121, 122, et ainsi limiter le risque que des dispositifs pirates profitent d'une étendue élevée du LAN 120 pour s'y connecter. Dans une étape 601, le dispositif de surveillance 102 initialise l'interface de communication 211 pour transmettre à la puissance maximum. Une phase de détection des dispositifs 121, 122 s'enclenche alors. Dans une étape 602 suivante, le dispositif de surveillance 102 reçoit des trames en provenance du LAN 120. Dans une étape 603 suivante, le dispositif de surveillance 102 obtient des mesures de puissance de signal et détermine une puissance utile pour permettre les communications avec les dispositifs 121, 122. Le dispositif de surveillance 102 peut 30 introduire une marge, par exemple de 10 %, par rapport aux mesures obtenues. Par exemple, le dispositif de surveillance 102 peut utiliser les champs relatifs à la force du signal et du bruit (champs « dB antenna signal » et « dB antenna noise » en anglais) du standard de facto RadioTap utilisé dans des implémentations typiques des standards IEEE802.11. Ces champs sont alors utilisés par les dispositifs 121, 122 pour retourner une indication de la qualité de réception de signaux transmis par le dispositif de surveillance 102 pour la mise en oeuvre du LAN 120. Grâce à ces informations, le dispositif de surveillance 102 peut alors ajuster la puissance utile, de manière à assurer que chacun des dispositifs 121, 122 perçoivent un rapport signal à bruit au dessus d'un seuil donné. Dans une étape 604 suivante, le dispositif de surveillance 102 ajuste la configuration de l'interface de communication 211 pour transmettre à la puissance utile déterminée. Dans une étape 605 suivante, le dispositif de surveillance 102 détermine si une réinitialisation de la configuration de l'interface de communication 211 doit être effectuée. Une telle réinitialisation est utile lorsque l'utilisateur souhaite connecter un nouveau dispositif au LAN 120. L'utilisateur indique alors au dispositif de surveillance 102, via l'interface homme-machine 220, qu'un nouveau dispositif est à associer au dispositif de surveillance 102 pour le LAN 120. L'étape 601 est alors réitérée. Sinon, l'étape 602 est réitérée.

Claims (14)

  1. REVENDICATIONS1) Dispositif de surveillance (102) de trames destiné à être placé à l'interconnexion d'un réseau local domestique (120) et de l'Internet (110), le dispositif de surveillance de trames comportant des moyens de réception (211) de trames de sorte que toute trame de données émise par tout dispositif (121 ; 122) connecté au réseau local domestique à destination de tout autre dispositif (111; 112) accessible via l'Internet transite par le dispositif de surveillance de trames, caractérisé en ce qu'il comporte des moyens d'analyse (201) de trames reçues comportant : - des premiers moyens de détection, dans lesdites trames reçues, d'au moins une signature de logiciels malveillants et/ou au moins un scénario d'attaque envers un dispositif et/ou au moins une incohérence dans au moins un champ d'identification d'origine ou de destinataire desdites trames reçues ; - des moyens d'entrée dans un état d'alerte, lorsqu'au moins une dite signature et/ou au moins un dit scénario et/ou au moins une dite incohérence est détecté par lesdits premiers moyens de détection.
  2. 2) Dispositif de surveillance selon la revendication 1, caractérisé en ce que lesdits moyens de réception (211, 210) de trames sont en outre adaptés de sorte que toute trame de données émise par un dispositif accessible via l'Internet à destination de tout dispositif connecté au réseau local domestique transite par le dispositif de surveillance de trames.
  3. 3) Dispositif de surveillance selon l'une quelconque des revendications 1 et 2, caractérisé en ce que, pour détecter au moins un scénario d'attaque, lesdits premiers moyens de détection comportent des moyens d'analyse sémantique (201, 412) des trames reçues, au niveau de la couche application.
  4. 4) Dispositif de surveillance selon la revendication 3, caractérisé en ce que lesdits premiers moyens de détection sont adaptés pour détecter au moins une signature de logiciels malveillants et/ou au moins une incohérence dans au moins un champ d'identification d'origine ou de destinataire, et pour ensuite détecter au moins un scénario d'attaque.
  5. 5) Dispositif de surveillance selon l'une quelconque des revendications 1 à 4, caractérisé en ce que, pour détecter au moins un scénario d'attaque, lesdits premiers moyens de détection comportent : - des seconds moyens de détection (201, 502) d'un profil fonctionnel dans lesdites trames reçues ; - des moyens de détermination (201, 507) d'un nombre de répétitions successives dudit profil fonctionnel dans une fenêtre temporelle prédéfinie et d'une dérivée en fonction du temps dudit nombre de répétitions successives ; et en ce que lesdits moyens d'entrée (201, 509) dans un état d'alerte sont mis en oeuvre lorsque ledit nombre de répétitions dans ladite fenêtre temporelle prédéfinie est supérieur à un premier seuil et/ou lorsque ladite dérivée est supérieure à un second seuil.
  6. 6) Dispositif de surveillance selon l'une quelconque des revendications 1 à 5, caractérisé en ce que, pour détecter une incohérence dans au moins un champ d'identification d'origine ou de destinataire desdites trames reçues, lesdits premiers moyens de détection comportent des moyens de détermination (201, 410) d'une signature machine de chaque dispositif connecté au réseau local domestique.
  7. 7) Dispositif de surveillance selon la revendication 6, caractérisé en ce que lesdits moyens de détermination d'une signature machine comportent des moyens de détermination, à partir desdites trames reçues et pour chaque dispositif connecté au réseau local domestique, d'un système d'exploitation mis en oeuvre par ledit dispositif
  8. 8) Dispositif de surveillance selon l'une quelconque des revendications 6 et 7, caractérisé en ce que lesdits moyens de détermination d'une signature machine comportent des moyens de détermination, à partir desdites trames reçues et pour chaque dispositif connecté au réseau local domestique, d'une valeur de déformation temporelle représentative d'une horloge mise en oeuvre par ledit dispositif
  9. 9) Dispositif de surveillance selon l'une quelconque des revendications 1 à 8, caractérisé en ce qu'il comporte des moyens (203, 212) de génération de trames de test représentatives d'au moins une signature de logiciels malveillants et/ou d'au moins un scénario d'attaque envers un dispositif et/ou d'au moins une incohérencedans au moins un champ d'identification d'origine ou de destinataire desdites trames générées.
  10. 10) Dispositif de surveillance selon l'une quelconque des revendications 1 à 9, caractérisé en ce qu'il comporte : - des moyens de mise en oeuvre du réseau local domestique de manière sans-fil ; - des moyens d'initialisation (201, 601) d'une interface dudit dispositif de surveillance avec le réseau local domestique à une puissance d'émission maximale ; - des moyens d'obtention (201, 603) d'une mesure de puissance de signal reçu par chaque dispositif connecté au réseau local domestique ; - des moyens d'ajustement (201, 604) de ladite puissance d'émission, en fonction de chaque mesure de puissance obtenue.
  11. 11) Dispositif de surveillance selon l'une quelconque des revendications 1 à 10, caractérisé en ce que lesdits moyens d'analyse de trames reçues sont non débrayables.
  12. 12) Dispositif de surveillance selon l'une quelconque des revendications 1 à 11, caractérisé en ce que ledit dispositif de surveillance est inclus dans une passerelle domestique (101) ou destiné à être connecté à une passerelle domestique (101).
  13. 13) Procédé de surveillance par un dispositif (102) de surveillance de trames placé à l'interconnexion d'un réseau local (120) et de l'Internet (110), ledit dispositif de surveillance comportant des moyens de réception (211) de trames de sorte que toute trame de données émise par tout dispositif (121 ; 122) connecté au réseau local domestique à destination de tout autre dispositif (111 ; 112) accessible via l'Internet transite par ledit dispositif de surveillance, caractérisé en ce qu'il comporte une phase d'analyse de trames reçues comportant les étapes suivantes : - détection (402; 404; 408 ; 410; 412), dans lesdites trames reçues, d'au moins une signature de logiciels malveillants et/ou au moins un scénario d'attaque envers un dispositif et/ou au moins une incohérence dans au moins un champ d'identification d'origine ou de destinataire desdites trames reçues ;- entrée (415) dans un état d'alerte, lorsqu'au moins une dite signature et/ou au moins un dit scénario et/ou au moins une dite incohérence est détecté par ledit dispositif de surveillance.
  14. 14) Produit programme d'ordinateur, caractérisé en ce qu'il comprend des instructions pour mettre en oeuvre, par un dispositif de surveillance de trames (102), le procédé selon la revendication 13, lorsque ledit programme est exécuté par un processeur (300) du dispositif de surveillance de trames.
FR1258576A 2012-09-12 2012-09-12 Dispositif de surveillance de trames a l'interconnexion d'un reseau local domestique et de l'internet Active FR2995427B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1258576A FR2995427B1 (fr) 2012-09-12 2012-09-12 Dispositif de surveillance de trames a l'interconnexion d'un reseau local domestique et de l'internet

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1258576A FR2995427B1 (fr) 2012-09-12 2012-09-12 Dispositif de surveillance de trames a l'interconnexion d'un reseau local domestique et de l'internet

Publications (2)

Publication Number Publication Date
FR2995427A1 true FR2995427A1 (fr) 2014-03-14
FR2995427B1 FR2995427B1 (fr) 2015-07-17

Family

ID=47137924

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1258576A Active FR2995427B1 (fr) 2012-09-12 2012-09-12 Dispositif de surveillance de trames a l'interconnexion d'un reseau local domestique et de l'internet

Country Status (1)

Country Link
FR (1) FR2995427B1 (fr)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050193429A1 (en) * 2004-01-23 2005-09-01 The Barrier Group Integrated data traffic monitoring system
US20070237080A1 (en) * 2006-03-29 2007-10-11 Uday Savagaonkar Platform-based method and apparatus for containing worms using multi-timescale heuristics
US20080219162A1 (en) * 2007-03-07 2008-09-11 Bora Akyol Method and system for controlling network access on a per-flow basis
FR2969452A1 (fr) * 2010-12-17 2012-06-22 France Telecom Procede et systeme de communication a puissance de transmission ajustable
US20120216265A1 (en) * 2011-02-17 2012-08-23 Ebay Inc. Using clock drift, clock slew, and network latency to enhance machine identification

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050193429A1 (en) * 2004-01-23 2005-09-01 The Barrier Group Integrated data traffic monitoring system
US20070237080A1 (en) * 2006-03-29 2007-10-11 Uday Savagaonkar Platform-based method and apparatus for containing worms using multi-timescale heuristics
US20080219162A1 (en) * 2007-03-07 2008-09-11 Bora Akyol Method and system for controlling network access on a per-flow basis
FR2969452A1 (fr) * 2010-12-17 2012-06-22 France Telecom Procede et systeme de communication a puissance de transmission ajustable
US20120216265A1 (en) * 2011-02-17 2012-08-23 Ebay Inc. Using clock drift, clock slew, and network latency to enhance machine identification

Also Published As

Publication number Publication date
FR2995427B1 (fr) 2015-07-17

Similar Documents

Publication Publication Date Title
US11924170B2 (en) Methods and systems for API deception environment and API traffic control and security
Vishwakarma et al. A survey of DDoS attacking techniques and defence mechanisms in the IoT network
US11271907B2 (en) Smart proxy for a large scale high-interaction honeypot farm
Nawrocki et al. A survey on honeypot software and data analysis
US20220141253A1 (en) Large scale high-interactive honeypot farm
US10193911B2 (en) Techniques for automatically mitigating denial of service attacks via attack pattern matching
Ndatinya et al. Network forensics analysis using Wireshark
US10157280B2 (en) System and method for identifying security breach attempts of a website
US10547636B2 (en) Method and system for detecting and mitigating denial-of-service attacks
CN107733581B (zh) 基于全网环境下的快速互联网资产特征探测方法及装置
CA3159619C (fr) Procede de traitement de message, dispositif et appareil ainsi que support de stockage lisible par ordinateur
US11223635B2 (en) Inception of suspicious network traffic for enhanced network security
US20220263846A1 (en) METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF
RU2679219C1 (ru) СПОСОБ ЗАЩИТЫ СЕРВЕРА УСЛУГ ОТ DDoS АТАК
FR2852754A1 (fr) Systeme et methode de protection d'un reseau de transmission ip contre les attaques de deni de service
Pour et al. Sanitizing the IoT cyber security posture: An operational CTI feed backed up by Internet measurements
WO2011000297A1 (fr) Procédé et dispositif destinés à détecter des réseaux de zombies
US10721148B2 (en) System and method for botnet identification
Basicevic et al. Evaluation of entropy‐based detection of outbound denial‐of‐service attacks in edge networks
Djalaliev et al. Sentinel: hardware-accelerated mitigation of bot-based DDoS attacks
FR2995427A1 (fr) Dispositif de surveillance de trames a l'interconnexion d'un reseau local domestique et de l'internet
Jin et al. A Client Based Anomaly Traffic Detection and Blocking Mechanism by Monitoring DNS Name Resolution with User Alerting Feature
FR3060164B1 (fr) Gestion d'un reseau de communication local par classification d'objets communicants en categories de confiance, en fonction d'un score de malveillance.
FR3105486A1 (fr) Procédé de détection d’un comportement malveillant dans un réseau de communication, dispositif, équipement d’accès audit réseau, procédé de détection d’une attaque distribuée dans ledit réseau, dispositif, équipement nœud et programmes d’ordinateur correspondants
Fuzi et al. Performance Analysis of Open-Source Network Monitoring Software in Wireless Network

Legal Events

Date Code Title Description
TP Transmission of property

Owner name: PANOPTIWARE, FR

Effective date: 20150818

PLFP Fee payment

Year of fee payment: 4

PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 6