FR3075421A1 - Dispositif et procede de controle de sondes permettant la detection d'intrusions sur un reseau - Google Patents

Dispositif et procede de controle de sondes permettant la detection d'intrusions sur un reseau Download PDF

Info

Publication number
FR3075421A1
FR3075421A1 FR1762124A FR1762124A FR3075421A1 FR 3075421 A1 FR3075421 A1 FR 3075421A1 FR 1762124 A FR1762124 A FR 1762124A FR 1762124 A FR1762124 A FR 1762124A FR 3075421 A1 FR3075421 A1 FR 3075421A1
Authority
FR
France
Prior art keywords
probes
network
probe
new configuration
monitored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1762124A
Other languages
English (en)
Other versions
FR3075421B1 (fr
Inventor
Alexis Olivereau
Christophe Janneteau
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Commissariat a lEnergie Atomique et aux Energies Alternatives CEA
Original Assignee
Commissariat a lEnergie Atomique CEA
Commissariat a lEnergie Atomique et aux Energies Alternatives CEA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Commissariat a lEnergie Atomique CEA, Commissariat a lEnergie Atomique et aux Energies Alternatives CEA filed Critical Commissariat a lEnergie Atomique CEA
Priority to FR1762124A priority Critical patent/FR3075421B1/fr
Priority to PCT/EP2018/081847 priority patent/WO2019115173A1/fr
Publication of FR3075421A1 publication Critical patent/FR3075421A1/fr
Application granted granted Critical
Publication of FR3075421B1 publication Critical patent/FR3075421B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/38Services specially adapted for particular environments, situations or purposes for collecting sensor information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

L'invention porte sur un procédé et un dispositif pour contrôler la configuration de sondes d'un réseau de surveillance, les sondes étant aptes à détecter des intrusions dans un réseau de communication surveillé par le réseau de surveillance. En particulier, un tel dispositif comprend un contrôleur apte à communiquer avec les sondes, et est configuré pour : - recevoir des informations relatives au statut des sondes et aux menaces détectées par les sondes ; - déterminer à partir des informations reçues, les sondes à reconfigurer ; - calculer une nouvelle configuration pour chaque sonde à reconfigurer ; et - envoyer ladite nouvelle configuration respectivement à chaque sonde à reconfigurer.

Description

DISPOSITIF ET PROCEDE DE CONTROLE DE SONDES PERMETTANT LA DETECTION D’INTRUSIONS SUR UN RESEAU
Domaine de l’invention
L’invention concerne le domaine de la cybersécurité des communications réseaux, et s’intéresse en particulier au contrôle de sondes permettant de détecter des intrusions dans un tel réseau.
Etat de la Technique
Un système de détection d’intrusion ou IDS pour « Intrusion Détection System » en anglais, est généralement un système informatique connecté, constitué d’un ensemble de capteurs appelés sondes IDS pour « Intrusion Détection Sensor » en anglais, permettant de surveiller un réseau et de repérer des activités anormales ou suspectes susceptibles de constituer des intrusions.
La présente invention a trait au problème technique de la configuration des différentes sondes qui constituent un système distribué de détection d’intrusion. Dans le cas de l’utilisation d’un tel système pour assurer la sécurité d’un réseau de très grandes dimensions et/ou très complexe en termes de topologies et/ou de protocoles, la configuration initiale des sondes est une problématique complexe du fait du nombre de sondes qu’il est nécessaire de configurer individuellement et/ou du fait de la difficulté de la programmation des règles de détection. Par ailleurs, dans le cas d’un système mutable, cette complexité se trouve encore accrue par le besoin de reconfigurer les sondes pour faire face aux variations du système à protéger.
Le système connu d’IDS « snort » est une application logicielle fonctionnant avec un ensemble de règles ou signatures d’attaques, qui évoluent avec le temps via des mises à jour qui sont implantables à distance sur une machine tournant l’application IDS. En ce sens, une sonde IDS tournant l’application snort est reconfigurable. Cependant, cette capacité de reconfiguration a vocation à rendre la sonde capable de détecter de nouvelles attaques quand ces dernières ont été préalablement identifiées et quand les signatures d’attaques correspondantes ont été conçues. Il s’agit alors d’un processus relativement long, impliquant une intervention humaine, et qui n’a pas pour objectif de s’adapter à des variations rapides du système surveillé.
Dans le cas d’un déploiement initial d’un système de sondes IDS, un même mécanisme d’accès distant à une sonde IDS peut permettre de pousser rapidement vers chaque sonde une configuration appropriée. Cela permet de ne pas devoir configurer chaque sonde individuellement « à la main » si plusieurs sondes doivent être configurées de manière identique. Cela permet également de restaurer rapidement le système de détection formé par l’ensemble des sondes dans un état fonctionnel, si nécessaire. Cependant, cette approche exige que les règles propres à chaque sonde aient été générées préalablement. Cela ne diminue donc pas la partie de la complexité qui est due à la spécification des règles.
Le système KALIS décrit par D. Midi et al. dans « A System for Knowledge-driven Adaptable Intrusion Détection for the Internet of Things » est un système distribué de détection d’intrusion pour l’internet des objets, dans lequel des noeuds « KALIS » sont capables d’activer ou désactiver des modules de détection pour s’adapter à leur connaissance locale de l’environnement et mieux identifier d’éventuelles menaces. Le système KALIS permet aux nœuds de raffiner la qualité d’une détection en mettant à profit leur connaissance du contexte ou de l’environnement, et de s’échanger des informations relatives à ces contextes et environnements. Le système KALIS étant complètement distribué, l’architecture sur laquelle il s’appuie ne possède pas une vue d’ensemble et globale du réseau de détection formé par les sondes et ne peut donc être en mesure d’orchestrer au mieux la fonction globale de détection. En outre, même si les noeuds KALIS peuvent activer ou désactiver des modules de détection, ils ne sont pas capables d’une reconfiguration, pour s’adapter par exemple à un nouveau réseau à surveiller.
Steven R. Snapp et al. dans “DIDS (Distributed Intrusion Détection System) - Motivation, Architecture, and An Early Prototype” propose un système de détection d’intrusion distribué, constitué d’un ensemble de sondes de détection positionnées sur les équipements du réseau à surveiller, et d’un serveur central en charge de collecter les données issues de ces sondes et de les analyser pour identifier des attaques éventuelles. Les sondes étant préinstallées et préconfigurées sur les équipements, le système proposé est statique et les opérations des sondes ne peuvent pas être adaptées, reconfigurées à l’initiative du serveur central.
Aussi, il existe le besoin d’une solution pour un système de détection d’intrusion dans un réseau de communication, qui offre un contrôle dynamique et individualisé de la configuration des sondes de détection d’intrusion. La présente invention répond à ce besoin.
Résumé de l’invention
Un objet de la présente invention est de proposer un procédé et un dispositif associé permettant de contrôler de manière dynamique et individualisé la configuration d’un ensemble de sondes de détection d’intrusions sur un réseau à surveiller afin d’en assurer la sécurité.
D’un point de vue général, le principe de l’invention consiste à collecter auprès d’un serveur central, différentes informations que les sondes peuvent communiquer, et à reconfigurer individuellement chaque sonde lorsque cela est estimé nécessaire sur la base des informations remontées par les sondes, du statut du réseau et éventuellement d’autres paramètres.
Un autre objet de la présente invention, en adaptant la configuration de la fonction de détection à chaque sonde, est d’offrir un système de détection d’intrusion qui soit le mieux à même de détecter des incidents et d’y réagir au mieux.
Avantageusement, l’invention permet de gérer de manière automatisée un réseau de sondes de détection d’intrusion en s’assurant que la méthode de détection globale obtenue au moyen de l’ensemble de ces sondes soit la plus performante possible et s’adapte tant au contexte perçu qu’aux différents statuts et capacités des sondes.
Avantageusement le procédé de l’invention permet à un opérateur de systèmes de détection, un déploiement plus rapide des systèmes de détection, et l’assurance d’un bon niveau de performance alors même que les opérations de maintenance sont minimisées.
Toujours avantageusement, la reconfiguration dynamique des sondes permet également une adaptation plus rapide à un changement de contexte, telle qu’une menace. Le fait que la reconfiguration soit orchestrée par un serveur centralisé garantit qu’un événement local n’affecte pas démesurément la configuration globale du système, mais que les tactiques mises en œuvre pour y faire face s’inscrivent dans une stratégie d’ensemble de gestion de la sécurité préventive pour le système surveillé.
L’invention trouvera des applications avantageuses dans la sécurisation des réseaux de communications, en particulier les réseaux industriels, loT, ou embarqués. Ces réseaux sont utilisés dans de vastes domaines applicatifs tels que l’industrie 4.0, les réseaux électriques intelligents, les réseaux de supervision de processus industriels, la ville intelligente, la maison connectée, ou les transports. L’invention est alors susceptible d’intéresser tous les industriels du domaine de la cybersécurité, fournisseurs de solution de sécurisation des réseaux de télécommunication.
Pour obtenir les résultats recherchés, des procédés tels que revendiqués sont proposés. En particulier, un procédé mis en œuvre par ordinateur pour contrôler la configuration de sondes aptes à détecter des intrusions dans un réseau de communication, comprend les étapes suivantes :
- recevoir des informations relatives au statut des sondes et aux menaces détectées par les sondes ;
- déterminer à partir des informations reçues, les sondes à reconfigurer ;
- calculer une nouvelle configuration pour chaque sonde à reconfigurer ; et
- envoyer ladite nouvelle configuration respectivement à chaque sonde à reconfigurer.
Selon des modes de réalisation :
- l’étape de calcul d’une nouvelle configuration consiste à chercher dans une table de règles prédéfinies, une configuration correspondant aux informations reçues d’une sonde ;
- l’étape de calcul d’une nouvelle configuration consiste à opérer un algorithme d’optimisation sous contraintes prenant en compte les informations reçues ;
- l’étape de calcul d’une nouvelle configuration consiste à opérer un algorithme d’intelligence artificielle prenant en compte les informations reçues ;
- l’étape de calcul d’une nouvelle configuration consiste à mettre en oeuvre une combinaison d’une ou plusieurs des étapes de calcul revendiquées ;
- l’étape de détermination des sondes à reconfigurer consiste de plus à utiliser des informations temporelles et/ou des informations contextuelles sur le réseau surveillé et/ou sur son environnement ;
- l’étape d’envoyer une nouvelle configuration consister à envoyer une mise à jour des parties du réseau qu’une sonde doit surveiller ;
- l’étape d’envoyer une nouvelle configuration consister à envoyer une mise à jour du ou des types d’attaque que la sonde doit détecter ;
- l’étape d’envoyer une nouvelle configuration consister à envoyer une mise à jour du ou des modes d’identification d’attaque à mettre en oeuvre par la sonde ;
- l’étape d’envoyer une nouvelle configuration consister à désactiver une sonde active ou à activer une sonde désactivée.
L’invention couvre aussi un dispositif pour contrôler la configuration de sondes d’un réseau de surveillance, les sondes étant aptes à détecter des intrusions dans un réseau de communication surveillé par le réseau de surveillance. En particulier, le dispositif comprend un contrôleur apte à communiquer avec les sondes, ledit contrôleur étant configuré pour :
- recevoir des informations relatives au statut des sondes et aux menaces détectées par les sondes ;
- déterminer à partir des informations reçues, les sondes à reconfigurer ;
- calculer une nouvelle configuration pour chaque sonde à reconfigurer ; et
- envoyer ladite nouvelle configuration respectivement à chaque sonde à reconfigurer.
Selon des modes de réalisation :
- les sondes sont aptes à surveiller différentes parties du réseau surveillé, à détecter différents types d’attaques, et à mettre en oeuvre différents modes d’identification d’attaques ;
- le réseau de communication surveillé est basé sur une architecture réseau dite Software Defined Network, constituée d’au moins un contrôleur SDN et d’un ou plusieurs équipements SDN surveillés par lesdites sondes ;
- le dispositif revendiqué comprend des moyens pour mettre en oeuvre les étapes du procédé revendiqué.
L’invention porte aussi sur un programme d'ordinateur qui comporte des instructions de code pour l'exécution du procédé pour contrôler la configuration de sondes aptes à détecter des intrusions dans un réseau de communication, tel que revendiqué.
L’invention peut être disponible sur un support d'enregistrement lisible par un processeur sur lequel est enregistré un programme comportant des instructions pour l'exécution du procédé pour contrôler la configuration de sondes aptes à détecter des intrusions dans un réseau de communication, tel que revendiqué, lorsque le programme est exécuté par le processeur.
Description des figures
Différents aspects et avantages de l’invention vont apparaître en appui de la description des modes préférés d’implémentation de l’invention mais non limitatifs, avec référence aux figures ci-dessous :
• La figure 1 est un schéma bloc d’un exemple de réseau de télécommunication surveillé par un système de détection d’intrusion selon des modes de réalisation de l’invention ;
• La figure 2 illustre un enchaînement d’étapes du procédé de détermination de la reconfiguration de sondes selon un mode de réalisation de l’invention ;
• La figure 3 illustre un enchaînement d’étapes du procédé de communication d’une sonde avec un serveur de contrôle de reconfiguration selon un mode de réalisation de l’invention;
• La figure 4 est un schéma bloc d’un exemple d’implémentation du dispositif de l’invention selon une architecture SDN.
Description détaillée de l’invention
La figure 1 montre un exemple de réseau de télécommunication (104) surveillé par un système de détection d’intrusion (102) permettant d’implémenter le dispositif de l’invention. Pour des raisons de clarté de la description, l’exemple est illustré de manière simplifiée afin de ne montrer que les éléments intervenants dans la mise en oeuvre du dispositif de l’invention. Ainsi le réseau à surveiller est représenté comme un ensemble de un ou plusieurs sous-réseaux (104: 104-1, ..., 104-n) à surveiller par un même réseau de surveillance (102). Le réseau à surveiller peut être de très grandes dimensions, très complexe en termes de topologies et/ou de protocoles. Chaque réseau à surveiller peut être composé d’une pluralité d’éléments pour lesquels le trafic réseau est surveillé. De tels éléments (non montrés) peuvent être sans limitation des ordinateurs, des serveurs, des contrôleurs ou toute autre ressource ou équipement pour lesquels le système de surveillance assure une fonction de surveillance des paquets circulant sur des liens réseau en vue de la détection d’éventuelles intrusions.
Le réseau de surveillance (102) est représenté de manière simplifiée comme comprenant un ensemble de sondes IDS (106 : 106-1, ..., 106-m) aptes à surveiller du trafic réseau. Les sondes sont dites reconfigurables en ce qu’elles sont aptes à :
surveiller différentes parties du réseau (104), par exemple du fait de leur position géographique et/ou du fait du canal radio sur lequel elles écoutent le trafic. Selon des modes de réalisation, une sonde peut surveiller une ou plusieurs parties d’un réseau, plusieurs sondes peuvent surveiller une même partie d’un réseau.
détecter différents types d’attaques, par exemple en consultant des bases de données de signatures dans le cas d’une détection par signature. Selon des modes de réalisation, une ou plusieurs sondes peuvent détecter le même type d’attaques sur une ou plusieurs ressources, plusieurs sondes peuvent détecter différents types d’attaques sur une ou plusieurs ressources.
mettre en oeuvre différents modes d’identification d’attaques, par exemple un mode de détection par signatures ou un mode de détection par machine learning (pour ne citer que deux exemples). Selon des modes de réalisation, une même sonde peut mettre en oeuvre plusieurs modes d’identification d’attaques pour une ou plusieurs ressources.
L’homme du métier peut se référer à la nombreuse littérature disponible concernant les différentes architectures et implémentations de systèmes de détection d’intrusion et de sondes IDS associées.
Le réseau de surveillance (102) comprend de plus un contrôleur de la fonction de détection (108) ou serveur de contrôle IDS apte à communiquer avec les sondes IDS. La communication du serveur (108) avec les sondes (106) peut s’opérer via le réseau surveillé (104) ou via une infrastructure de communication indépendante tel qu’illustré sur la figure 1. Le serveur de contrôle de la fonction de détection (108) maintient l’état ou statut de chaque sonde. L’état d’une sonde inclut au moins les différents paramètres reconfigurables pré-listés mais ne s’y limite pas. Ainsi, outre la ou les parties du réseau observée(s), les types d’attaques qu’une sonde est capable de détecter, et le ou les mode(s) d’identification d’attaque mis en oeuvre, l’état de chaque sonde peut aussi inclure les ressources système (mémoire, CPU, bande passante) qui sont utilisées par la sonde pour exercer la fonction de détection ainsi que le niveau de batterie de la sonde.
Le serveur IDS (108) reçoit des sondes IDS des informations relatives à leurs états respectifs. Il reçoit également de chaque sonde des informations relatives aux menaces que la sonde a détectées. Dans un mode de réalisation, le serveur de contrôle de la fonction de détection (108) peut être initialement configuré sur les criticités des différentes parties ou entités du réseau surveillé par chaque sonde.
Selon le principe de l’invention, le serveur IDS (108) est apte à communiquer à chaque sonde une nouvelle configuration après avoir déterminer que la sonde doit être reconfigurée.
La figure 2 illustre un enchaînement d’étapes du procédé (200) de détermination de la reconfiguration des sondes selon un mode de réalisation de l’invention. Le procédé débute par la réception (202) par le serveur IDS (108) d’informations des sondes relatives à leur statut et aux menaces détectées. Dans une étape suivante (208), le procédé permet de déterminer pour chaque sonde sur la base de sa configuration initiale si elle doit être reconfigurée. L’étape de détermination prend en compte par exemple, le niveau de criticité de différentes parties ou entités du réseau surveillé, et les informations reçues périodiquement de la sonde. Dans un mode de réalisation, le procédé prend en compte d’autres paramètres tels que par exemple des informations temporelles (date / heure, temps écoulé depuis la dernière attaque ou depuis la dernière fois que le sousréseau considéré a été surveillé ou depuis la dernière reconfiguration globale de l’ensemble des sondes) et/ou des informations contextuelles concernant le réseau surveillé (204) et/ou des informations contextuelles concernant l’environnement physique du réseau surveillé (206).
Les informations contextuelles (204) sur le réseau surveillé peuvent par exemple concerner l’apparition d’un trafic requérant un niveau de sécurité plus élevé pour le réseau dans son ensemble ou pour une partie du réseau (comme la zone où le flux transite). Une telle information peut par exemple faire évoluer le niveau de criticité d’une ou plusieurs parties du réseau.
Les informations contextuelles (206) sur l’environnement du réseau surveillé peuvent par exemple concerner la détection, à partir de capteurs, de caméras, ou d’autres dispositifs, d’une intrusion physique dans les locaux où est déployé le réseau sous surveillance.
Ainsi une nouvelle configuration peut consister à mettre à jour par exemple la ou les parties du réseau que la sonde doit observer, le ou les types d’attaque que la sonde doit être capable de détecter, le ou les modes d’identification d’attaque à mettre en œuvre par la sonde. Une nouvelle configuration peut aussi consister à désactiver une sonde active ou à activer une sonde désactivée.
Dans une étape suivante (210), le procédé permet de calculer pour chaque sonde sa nouvelle configuration. Dans un mode de réalisation, une nouvelle configuration peut être obtenue en cherchant dans une table de règles accessible par le serveur IDS, indiquant de manière prédéfinie les (re-)configurations à mettre en place sur chacune des sondes en fonction des informations remontées par celles-ci (informations concernant leur statuts et les menaces détectées, et optionnellement d’autres informations temporelles ou informations contextuelles sur le réseau ou son environnement).
Dans un autre mode de réalisation, une nouvelle configuration peut être calculée au moyen d’un algorithme d’optimisation sous contraintes ou algorithme génétique, à partir des informations remontées par les sondes (informations concernant leur statuts et les menaces détectées, et optionnellement d’autres informations temporelles ou informations contextuelles sur le réseau ou son environnement).
Dans un autre mode de réalisation, une nouvelle configuration peut être calculée au moyen d’un algorithme d’intelligence artificielle, à partir des informations remontées par les sondes (informations concernant leur statuts et les menaces détectées, et optionnellement d’autres informations temporelles ou informations contextuelles sur le réseau ou son environnement). Dans une variante de réalisation, l’algorithme d’intelligence artificielle peut également être doté de capacités d’apprentissage lui permettant de s’adapter de manière autonome sur la base des informations remontées par les sondes ou des autres informations contextuelles.
Dans un autre mode de réalisation, une nouvelle configuration peut être calculée au moyen d’une combinaison des trois mécanismes cidessus.
Dans une implémentation particulière, une partie de la détection des menaces et des intrusions qui est faite par les sondes peut être déportée depuis certaines sondes vers le serveur de contrôle IDS. Cela peut particulièrement concerner des sondes à faibles ressources qui n’ont pas la capacité à opérer un réseau neuronal par exemple. Dans ce cas les sondes concernées remontent au serveur des informations supplémentaires concernant l’état du réseau surveillé au niveau du point du réseau auquel la sonde est connectée. Le serveur de contrôle s’appuie sur ces informations pour déterminer l’apparition éventuelle d’une menace ou attaque au niveau des parties du réseau surveillées par ces sondes. Les informations supplémentaires relatives à l’état du réseau qui sont remontées par les sondes peuvent par exemple être des statistiques collectées à intervalles réguliers concernant la nature du trafic qui transite sur le réseau. Ces statistiques peuvent couvrir par exemple un nombre de connexions, quels sont les protocoles concernés, les tailles des paquets, les débits minimum / moyen / maximum, les intervalles temporels inter-paquets, etc.... Sur la base de ces informations, le serveur de contrôle IDS, peut opérer un algorithme d’intelligence artificielle ou de machine learning (comme un réseau de neurone) pour détecter les éventuelles menaces, puis exploiter cette information complémentaire en entrée de son algorithme de décision (208) concernant la détermination pour chaque sonde d’une nouvelle configuration.
De manière optionnelle, le serveur de contrôle IDS peut également, au-delà de la mise en oeuvre du procédé de reconfiguration des sondes, déclencher des reconfigurations des mécanismes de détection des menaces qu’il réalise lui-même, par exemple en activant / désactivant un réseau de neurone particulier.
Dans une autre variante de l’invention, le serveur de contrôle IDS peut également réagir en cas de menace ou attaque qui est détectée, en levant une alerte auprès de l’opérateur du réseau surveillé ou en déclenchant de manière autonome des reconfigurations au niveau des équipements (routeurs, passerelle, firewall, etc...) du réseau surveillé, dans l’optique de limiter l’impact de ces attaques, voire de les bloquer. Ces contremesures peuvent par exemple consister à reconfigurer le matériel cryptographique (des clés, des protocoles...) utilisé dans le réseau, à mettre en place des règles de filtrage des flux, à désactiver certains liens de communications ou équipements, etc.
Comme il a été décrit plus haut, le procédé de l’invention permet la détermination par le serveur IDS de la configuration optimale de chaque sonde au moyen d’une table de règles préconfigurées ou d’un algorithme d’optimisation sous contraintes (algorithme génétique) ou d’un algorithme d’intelligence artificielle ou d’une combinaison de ces trois mécanismes.
Dans un mode de réalisation préféré, le serveur de contrôle IDS s’appuie sur un algorithme génétique pour déterminer la configuration optimale de chaque sonde. Avantageusement, les différentes contraintes qu’un tel algorithme génétique vise à satisfaire sont alors les suivantes :
la couverture : l’algorithme doit permettre de maximiser la couverture globale du réseau surveillé, typiquement en assignant les sondes disponibles à des cellules ou des canaux radio du réseau surveillé qui sont distincts ;
la qualité : l’algorithme doit permettre de maximiser la qualité de la détection opérée par chaque sonde ;
l’efficacité : l’algorithme doit permettre de minimiser la quantité de ressources consommées au niveau de chaque sonde (par exemple la puissance de calcul, la mémoire, la bande passante - considérées dans leur ensemble ou séparément) et doit adapter la quantité de ressources consommées au statut de chaque sonde (par exemple, sélectionner la méthode de détection la moins coûteuse pour une sonde qui est occupée par ailleurs, ou pour une sonde opérant sur batterie et dont l’énergie doit être économisée);
la réponse aux menaces : l’algorithme doit permettre d’affecter plus de moyens de détection aux parties les plus critiques du réseau (par exemple, affecter plus de sondes et/ou affecter des sondes mettant en œuvre des mécanismes de détection plus performants), la criticité d’une partie du réseau étant une métrique représentative de la probabilité actuelle que cette partie du réseau soit en train d’être attaquée. Cette probabilité peut être déduite de détections actuelles concourantes, ou d’attaques récentes ;
la priorisation : l’algorithme doit permettre d’affecter plus de moyens de détection aux parties les plus sensibles du réseau (par exemple, en affectant plus de sondes et/ou en affectant des sondes mettant en oeuvre des mécanismes de détection plus performants), la sensibilité d’une partie du réseau étant une métrique représentative de l’importance des actifs en danger dans le cas d’une attaque réussie dans la partie considérée du réseau ;
le conservatisme : l’algorithme doit permettre de minimiser la distance par rapport à l’état précédent ;
la surveillance : l’algorithme doit permettre de minimiser le temps pendant lequel une partie du réseau n’est pas surveillée.
Dans un mode de réalisation où une sonde met en oeuvre une détection d’intrusion s’appuyant sur une technique d’intelligence artificielle requérant un apprentissage (par exemple avec un réseau de neurones non supervisé), des contraintes supplémentaires sont également à gérer par l’algorithme génétique :
la qualité de l’apprentissage : l’algorithme doit permettre de maximiser la probabilité pour une sonde de demeurer affectée à la même partie du réseau tant que son apprentissage n’est pas terminé ;
l’apprentissage ne doit pas être corrompu : l’algorithme doit permettre de minimiser la probabilité qu’une phase d’apprentissage soit initiée dans une partie réseau dont la métrique de criticité traduit qu’elle pourrait faire l’objet d’une attaque ;
la rentabilité de l’apprentissage : l’algorithme doit permettre de maximiser la probabilité qu’une sonde disposant d’un modèle du trafic normal dans une partie du réseau soit affectée à la surveillance de cette partie du réseau.
Dans ce mode de réalisation où une sonde met en oeuvre une détection d’intrusion s’appuyant sur une technique d’intelligence artificielle requérant un apprentissage, la sonde est en mesure de baser la détection d’intrusions sur des mécanismes « par signatures >> et par détection d’anomalies, en s’appuyant dans ce cas sur des réseaux de neurones. Ces mécanismes introduisent alors des granularités dans la configuration, qui sont susceptibles d’être reconfigurées selon le principe de l’invention. Ces reconfigurations peuvent concerner la quantité de signatures dans le cas de détection par signatures, ou des hyperparamètres du réseau de neurones comme un nombre de noeuds ou de couches.
A noter que, si ses ressources le lui permettent, une même sonde peut être dynamiquement configurée de manière à faire fonctionner simultanément des systèmes de détection par signature et de détection par réseau de neurones.
Revenant à la figure 2, après l’étape (210) de calcul des nouvelles configurations, le procédé permet dans une étape suivante (212), d’envoyer à chaque sonde sa nouvelle configuration, puis de revenir au début à l’étape de réception (202) de nouvelles informations des sondes.
Selon des modes de réalisation, le procédé (200) permettant le calcul de reconfiguration de sondes IDS peut s’effectuer soit périodiquement, soit ponctuellement en étant déclenché par un événement prédéfini, comme par exemple celui de la détection d’une menace par une sonde.
La figure 3 illustre un enchaînement d’étapes du procédé (300) de communication d’une sonde avec un serveur de contrôle de reconfiguration. Selon des modes de réalisation de l’invention, le procédé opère dans un environnement de surveillance de réseau tel qu’illustré sur la figure 1. Dans une variante d’implémentation particulière, l’environnement réseau est un environnement SDN pour « Software Defined Networking >> en anglais, tel qu’illustré de manière schématique sur la figure 4. Ainsi, l’invention peut s’implémenter pour la surveillance d’un ou plusieurs réseaux SDN (404). L’architecture réseau SDN (402) est constituée d’au moins un contrôleur SDN (408) et d’un ou plusieurs équipements SDN (414). Le système de surveillance est composé au moins d’une ou plusieurs sondes IDS (416) assignées aux équipements SDN et d’un serveur (ou service) de contrôle IDS (406) apte à communiquer avec les sondes IDS via des interfaces et liens SDN « Northbound » (410) et « Southbound » (412). L’homme du métier pourra se reporter à la littérature disponible décrivant plus en détails l’architecture SDN, car seuls les éléments utiles à la compréhension de la mise en oeuvre de l’invention sont représentés et partiellement décrits. Les sondes IDS (416) sont aptes à envoyer (étape 302) vers le serveur de contrôle IDS (406), des informations relatives à leur statut et aux menaces détectées. Le serveur de contrôle IDS (406) est apte à envoyer aux sondes IDS (416) des consignes de reconfiguration obtenues selon le procédé décrit en référence à la figure 2. Dans cette variante d’implémentation, la détermination de la configuration optimale de chaque sonde est de préférence obtenue par le serveur IDS (406) par la mise en oeuvre d’un algorithme génétique. Ce dernier a pour objectif l’optimisation sous contrainte de la fonction de détection de menaces au niveau global du réseau surveillé. Les sondes peuvent mettre en œuvre des techniques de détection d’attaques par signature ou par réseau de neurone.
Revenant à ia figure 3, le procédé permet que chaque sonde détermine si elle reçoit une consigne de reconfiguration (étape 304). Si oui, la sonde se reconfigure automatiquement en accord avec la nouvelle configuration reçue (étape 306), et peut envoyer de nouvelles informations au serveur de contrôle IDS selon son nouveau statut (étape 302). Tant qu’une nouvelle configuration n’est pas reçue, la sonde envoie périodiquement les informations relatives à son statut et aux menaces détectées au serveur de contrôle IDS.
Ainsi, la présente description illustre une implémentation préférentielle de l’invention, mais n’est pas limitative. Des exemples sont 5 choisis pour permettre une bonne compréhension des principes de l’invention et une application concrète, mais ne sont en rien exhaustifs et doivent permettre à l’homme du métier d’apporter des modifications et des variantes d’implémentation en conservant les mêmes principes.
L’invention peut s’implémenter à partir d’éléments matériel et/ou logiciel. Elle peut être disponible en tant que produit programme d’ordinateur exécuté par un processeur dédié ou par un contrôleur mémoire d’un système de stockage, et qui comprend des instructions pour exécuter les étapes des procédés dans leurs différents modes de réalisation.

Claims (16)

1. Procédé mis en oeuvre par ordinateur pour contrôler la configuration de sondes aptes à détecter des intrusions dans un réseau de communication, le procédé comprenant les étapes suivantes :
- recevoir des informations relatives au statut des sondes et aux menaces détectées par les sondes ;
- déterminer à partir des informations reçues, les sondes à reconfigurer ;
- calculer une nouvelle configuration pour chaque sonde à reconfigurer ; et
- envoyer ladite nouvelle configuration respectivement à chaque sonde à reconfigurer.
2. Le procédé selon la revendication 1 dans lequel l’étape de calcul d’une nouvelle configuration consiste à chercher dans une table de règles prédéfinies, une configuration correspondant aux informations reçues d’une sonde.
3. Le procédé selon la revendication 1 dans lequel l’étape de calcul d’une nouvelle configuration consiste à opérer un algorithme d’optimisation sous contraintes prenant en compte les informations reçues.
4. Le procédé selon la revendication 1 dans lequel l’étape de calcul d’une nouvelle configuration consiste à opérer un algorithme d’intelligence artificielle prenant en compte les informations reçues.
5. Le procédé selon la revendication 1 dans lequel l’étape de calcul d’une nouvelle configuration consiste à mettre en œuvre une combinaison d’une ou plusieurs des étapes de calcul selon les revendications 2, 3 et 4.
6. Le procédé selon la revendication 5 dans lequel l’étape de détermination des sondes à reconfigurer consiste de plus à utiliser des informations temporelles et/ou des informations contextuelles sur le réseau surveillé et/ou sur son environnement.
7. Le procédé selon l’une quelconque des revendications 1 à 6 dans lequel l’étape d’envoyer une nouvelle configuration consister à envoyer une mise à jour des parties du réseau qu’une sonde doit surveiller.
8. Le procédé selon l’une quelconque des revendications 1 à 7 dans lequel l’étape d’envoyer une nouvelle configuration consister à envoyer une mise à jour du ou des types d’attaque que la sonde doit détecter.
9. Le procédé selon l’une quelconque des revendications 1 à 8 dans lequel l’étape d’envoyer une nouvelle configuration consister à envoyer une mise à jour du ou des modes d’identification d’attaque à mettre en œuvre par la sonde.
10. Le procédé selon l’une quelconque des revendications 1 à 9 dans lequel l’étape d’envoyer une nouvelle configuration consister à désactiver une sonde active ou à activer une sonde désactivée.
11. Un dispositif pour contrôler la configuration de sondes d’un réseau de surveillance, les sondes étant aptes à détecter des intrusions dans un réseau de communication surveillé par le réseau de surveillance, le dispositif comprenant un contrôleur apte à communiquer avec les sondes, ledit contrôleur étant configuré pour :
- recevoir des informations relatives au statut des sondes et aux menaces détectées par les sondes ;
- déterminer à partir des informations reçues, les sondes à reconfigurer ;
- calculer une nouvelle configuration pour chaque sonde à reconfigurer ; et
- envoyer ladite nouvelle configuration respectivement à chaque sonde à reconfigurer.
12. Le dispositif selon la revendication 11 dans lequel les sondes sont aptes à surveiller différentes parties du réseau surveillé, à détecter différents types d’attaques, et à mettre en oeuvre différents modes d’identification d’attaques.
13. Le dispositif selon la revendication 11 ou 12 dans lequel le réseau de communication surveillé est basé sur une architecture réseau dite Software Defined Network, constituée d’au moins un contrôleur SDN et d’un ou plusieurs équipements SDN surveillés par lesdites sondes.
14. Le dispositif selon l’une quelconque des revendications 11 à 13 comprenant des moyens pour mettre en œuvre les étapes du procédé selon l’une quelconque des revendications 2 à 10.
15. Programme d'ordinateur comportant des instructions pour l'exécution du procédé pour contrôler la configuration de sondes aptes à détecter des intrusions dans un réseau de communication selon l’une quelconque des revendications 1 à 10, lorsque le programme est exécuté par un processeur.
16. Support d'enregistrement lisible par un processeur sur lequel est enregistré un programme comportant des instructions pour l'exécution du procédé pour contrôler la configuration de sondes aptes à détecter des intrusions dans un réseau de communication selon l’une quelconque des revendications 1 à 10, lorsque le programme est exécuté par le processeur.
1/4
108
100
Réseau desurveillance
Réseau surveillé
102
104
FIG. 1
2/4
200
206
FIG. 2
3/4
300
FIG. 3
4/4
406
X
Serveur de contrôle IDS
FIG. 4
RÉPUBLIQUE FRANÇAISE
N° d'enregistrement national
FA 848819
FR 1762124 irai — I INSTITUT NATIONAL
DE LA PROPRIÉTÉ
INDUSTRIELLE
RAPPORT DE RECHERCHE PRÉLIMINAIRE établi sur la base des dernières revendications déposées avant le commencement de la recherche
EPO FORM 1503 12.99 (P04C14)
DOCUMENTS CONSIDÉRÉS COMME PERTINENTS Revend ication(s) concernée(s) Classement attribué à l'invention par ΙΊΝΡΙ Catégorie Citation du document avec indication, en cas de besoin, des parties pertinentes X A US 2005/039047 Al (RAIKAR AMIT [US] ET AL) 17 février 2005 (2005-02-17) * abrégé; figures 1,3 * * page 2, alinéa 12 * * page 5, alinéas 51,56 * * page 5, alinéa 60 - page 6 * * page 6, alinéas 65,69 * * revendications 1-27 * W0 2004/023714 A2 (LOCKHEED MARTIN ORINCON CORP [US]) 18 mars 2004 (2004-03-18) * abrégé * * page 2, alinéas 5,6 * * page 6, alinéa 20 * * page 6, alinéa 22 * 1-16 1-16 G06F21/55 H04L29/06 DOMAINES TECHNIQUES RECHERCHÉS (IPC) H04L G06F Date d'achèvement de la recherche 6 juillet 2018 Examinateur Adkhis, Franck CATÉGORIE DES DOCUMENTS CITÉS T : théorie ou principe à la base de l'invention E : document de brevet bénéficiant d'une date antérieure X : particulièrement pertinent à lui seul à la date de dépôt et qui n'a été publié qu'à cette date Y : particulièrement pertinent en combinaison avec un de dépôt ou qu'à une date postérieure. autre document de la même catégorie D ; cité dans la demande A : arrière-plan technologique L : cité pour d'autres raisons O : divulaation non-écrite P : document intercalaire & : membre de la même famille, document correspondant
ANNEXE AU RAPPORT DE RECHERCHE PRÉLIMINAIRE
RELATIF A LA DEMANDE DE BREVET FRANÇAIS NO. FR 1762124 FA 848819
La présente annexe indique les membres de la famille de brevets relatifs aux documents brevets cités dans le rapport de recherche préliminaire visé ci-dessus.
Les dits membres sont contenus au fichier informatique de l'Office européen des brevets à la date duU6-ü/ -ZÜ18
Les renseignements fournis sont donnés à titre indicatif et n'engagent pas la responsabilité de l'Office européen des brevets, ni de l'Administration française
FR1762124A 2017-12-14 2017-12-14 Dispositif et procede de controle de sondes permettant la detection d'intrusions sur un reseau Active FR3075421B1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR1762124A FR3075421B1 (fr) 2017-12-14 2017-12-14 Dispositif et procede de controle de sondes permettant la detection d'intrusions sur un reseau
PCT/EP2018/081847 WO2019115173A1 (fr) 2017-12-14 2018-12-06 Dispositif et procede de controle de sondes permettant la detection d'intrusions sur un reseau

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1762124 2017-12-14
FR1762124A FR3075421B1 (fr) 2017-12-14 2017-12-14 Dispositif et procede de controle de sondes permettant la detection d'intrusions sur un reseau

Publications (2)

Publication Number Publication Date
FR3075421A1 true FR3075421A1 (fr) 2019-06-21
FR3075421B1 FR3075421B1 (fr) 2021-09-24

Family

ID=61802093

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1762124A Active FR3075421B1 (fr) 2017-12-14 2017-12-14 Dispositif et procede de controle de sondes permettant la detection d'intrusions sur un reseau

Country Status (2)

Country Link
FR (1) FR3075421B1 (fr)
WO (1) WO2019115173A1 (fr)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021255400A1 (fr) * 2020-06-19 2021-12-23 Orange Surveillance d'au moins une tranche d'un reseau de communications utilisant un indice de confiance attribue a la tranche du reseau
FR3111505A1 (fr) * 2020-06-19 2021-12-17 Orange Système et procédé de surveillance d’au moins une tranche d’un réseau de communications utilisant un indice de confiance attribué à la tranche du réseau

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004023714A2 (fr) * 2002-09-06 2004-03-18 Lockheed Martin Orincon Corporation Systeme de securite de reseau informatique utilisant des agents de detection mobiles dynamiques
US20050039047A1 (en) * 2003-07-24 2005-02-17 Amit Raikar Method for configuring a network intrusion detection system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004023714A2 (fr) * 2002-09-06 2004-03-18 Lockheed Martin Orincon Corporation Systeme de securite de reseau informatique utilisant des agents de detection mobiles dynamiques
US20050039047A1 (en) * 2003-07-24 2005-02-17 Amit Raikar Method for configuring a network intrusion detection system

Also Published As

Publication number Publication date
WO2019115173A1 (fr) 2019-06-20
FR3075421B1 (fr) 2021-09-24

Similar Documents

Publication Publication Date Title
US20240244073A1 (en) Multi-stage anomaly detection for process chains in multi-host environments
US20210273953A1 (en) ENDPOINT AGENT CLIENT SENSORS (cSENSORS) AND ASSOCIATED INFRASTRUCTURES FOR EXTENDING NETWORK VISIBILITY IN AN ARTIFICIAL INTELLIGENCE (AI) THREAT DEFENSE ENVIRONMENT
Hadi et al. Big data analytics for wireless and wired network design: A survey
US10469511B2 (en) User assistance coordination in anomaly detection
US10659333B2 (en) Detection and analysis of seasonal network patterns for anomaly detection
US11063842B1 (en) Forecasting network KPIs
Ridwan et al. Applications of machine learning in networking: a survey of current issues and future challenges
US12058010B2 (en) Adaptive stress testing of SD-WAN tunnels for what-if scenario model training
US20230336581A1 (en) Intelligent prioritization of assessment and remediation of common vulnerabilities and exposures for network nodes
EP3429130B1 (fr) Détection d'événements de démarrage de système d'exploitation, système d'exploitation d'empreintes digitales et dispositif de suivi utilisant des caractéristiques de données améliorée
EP4367840A1 (fr) Priorisation intelligente d'évaluation et de remédiation de vulnérabilités et d'expositions communes pour des noeuds de réseau
US20230039855A1 (en) Classification and Relationship Correlation Learning Engine for the Automated Management of Complex and Distributed Networks
US20180123901A1 (en) Distributed calculation of customer bandwidth utilization models
WO2017131864A1 (fr) Génération de modèle automatique pour surveillance de performances
US11514084B2 (en) Extraction of prototypical trajectories for automatic classification of network KPI predictions
US20210160262A1 (en) Systems and methods for determining network data quality and identifying anomalous network behavior
US10552763B2 (en) Constraint-aware resource synchronization across hyper-distributed learning systems
US20180097845A1 (en) Self-Managed Intelligent Network Devices that Protect and Monitor a Distributed Network
EP3189636B1 (fr) Procédé de surveillance et d'alerte de configuration de routage dans un cluster comprenant des liens de communication statiques et programme d'ordinateur mettant en oeuvre ce procédé
US10628587B2 (en) Identifying and halting unknown ransomware
EP3957045A1 (fr) Procede et dispositif de traitement d'un message d'alerte notifiant une anomalie detectee dans un trafic emis via un reseau
EP4154136A1 (fr) Capteurs clients (capteurs c) d'agents de points d'extrémités et infrastructures associées destinées à étendre la visibilité de réseau dans un environnement de défense contre les menaces à intelligence artificielle (ia)
WO2021152262A1 (fr) Procede de surveillance de donnees echangees sur un reseau et dispositif de detection d'intrusions
FR3075421A1 (fr) Dispositif et procede de controle de sondes permettant la detection d'intrusions sur un reseau
Vidal et al. Framework for anticipatory self-protective 5G environments

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20190621

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4

PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 6

PLFP Fee payment

Year of fee payment: 7