FR3111505A1 - Système et procédé de surveillance d’au moins une tranche d’un réseau de communications utilisant un indice de confiance attribué à la tranche du réseau - Google Patents

Système et procédé de surveillance d’au moins une tranche d’un réseau de communications utilisant un indice de confiance attribué à la tranche du réseau Download PDF

Info

Publication number
FR3111505A1
FR3111505A1 FR2006453A FR2006453A FR3111505A1 FR 3111505 A1 FR3111505 A1 FR 3111505A1 FR 2006453 A FR2006453 A FR 2006453A FR 2006453 A FR2006453 A FR 2006453A FR 3111505 A1 FR3111505 A1 FR 3111505A1
Authority
FR
France
Prior art keywords
network
sid
slice
module
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
FR2006453A
Other languages
English (en)
Inventor
Hichem SEDJELMACI
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Priority to FR2006453A priority Critical patent/FR3111505A1/fr
Priority to PCT/FR2021/051109 priority patent/WO2021255400A1/fr
Priority to US18/002,149 priority patent/US20230232235A1/en
Priority to EP21740600.8A priority patent/EP4169226A1/fr
Publication of FR3111505A1 publication Critical patent/FR3111505A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Système et procédé de surveillance d’au moins une tranche d’un réseau de communications utilisant un indice de confiance attribué à la tranche du réseau Le système de surveillance de surveillance (2) d’au moins une tranche (SL1,…,SL8) d’un réseau de communications (1) utilisant au moins un réseau d’accès, un réseau de périphérie et un réseau cœur, comprend, pour chaque tranche, une pluralité de modules de détection d’intrusions (R-SID, E-SID, C-SID) configurés pour surveiller des éléments associés à ladite tranche et comportant au moins un premier module (R-SID) de détection d’intrusions au niveau du réseau d’accès, un deuxième module (E-SID) de détection d’intrusions au niveau du réseau de périphérie, et au moins un troisième module (C-SID) au niveau du réseau cœur, chacun desdits modules étant configuré pour fournir une information représentative d’un niveau de confiance local attribué à ladite tranche en fonction d’un comportement d’au moins un élément qu’il surveille, un dit troisième module (C-SID*) étant en outre configuré pour évaluer, à partir desdites informations fournies, un niveau de confiance global pour ladite tranche et à déclencher une action de mitigation d’une intrusion pour ladite tranche en fonction d’une valeur de ce niveau de confiance global. Figure 2

Description

Système et procédé de surveillance d’au moins une tranche d’un réseau de communications utilisant un indice de confiance attribué à la tranche du réseau
L’invention se rapporte au domaine général des télécommunications et plus particulièrement à la sécurité des réseaux de communications et la protection de ces derniers contre des attaques informatiques aussi communément appelées cyber-attaques.
Elle a une application privilégiée mais non limitative dans le contexte des réseaux 5G (5èmeGénération), et notamment des réseaux sans fil 5G s’appuyant sur des architectures mettant en œuvre une technique de découpage de réseaux en tranches, plus communément appelée « network slicing » en anglais.
L’architecture des réseaux de télécommunications sans fil actuellement déployés ou en cours de déploiement est définie par le groupe de standardisation connu sous le nom de 3GPP (Third Generation Partnership Project). C’est le cas notamment des réseaux sans fil dits de deuxième génération (« 2G ou GSM»), de troisième génération (« 3G »), et de quatrième génération (« 4G »).
Jusqu’à la quatrième génération, les architectures de réseau définies par le groupe 3GPP reposent le plus souvent sur des équipements spécifiques, dédiés à des fonctionnalités précises, que ce soit au niveau du réseau d’accès ou du cœur de réseau, notamment en ce qui concerne la transmission de paquets depuis ou à destination d’un terminal mobile.
Le manque de flexibilité et d’évolutivité inhérent à ce type d’architecture a conduit le groupe 3GPP à envisager l’adoption d’architectures plus flexibles pour la prochaine génération de réseaux sans fil dite « 5G », afin de pouvoir répondre rapidement à des demandes extrêmement diverses en termes de trafic et/ou de qualité de service envisagées par les réseaux 5G (Internet des Objets (ou IoT pour « Internet Of Things »), accès large bande dans des réseaux denses, etc.). Il est à noter que les réseaux 5G ont vocation à concerner aussi bien les réseaux mobiles que les réseaux fixes.
Parmi les solutions envisagées, une des solutions les plus prometteuses repose sur une technique de découpage par tranches du réseau ou « network slicing ». Cette technique est décrite notamment dans la spécification technique 3GPP TS 23.501 v15.7.0, septembre 2019. Elle permet à l’opérateur d’un réseau de créer des réseaux logiques de bout-en-bout sur mesure et indépendants pour ses clients, à partir d’une même infrastructure de réseau physique (réseau(x) d’accès, réseau cœur, etc.), capables de fournir des solutions optimisées pour des scénarii variés correspondant à des contraintes diverses en termes de fonctionnalités, de performances et de qualités de service.
Plus spécifiquement, le concept de tranches de réseau permet de créer plusieurs instances de réseau aussi appelées « network slices » en anglais. Une tranche de réseau est composée de fonctions réseaux, de ressources matérielles (par exemple de stockage et de calcul, d’accès, etc.) et de configurations permettant de satisfaire les exigences liées aux services, aux clients et/ou terminaux rattachés à cette tranche.
A titre illustratif, lafigure 1représente une vue simplifiée d’une infrastructure de communications INF comprenant huit tranches de réseau SL1, SL2, …,SL8 représentant chacune un réseau sans fil, les tranches de réseau se partageant des infrastructures de réseaux d’accès RAN (pour « Radio Access Network »), des infrastructures de réseaux de périphérie MEC (pour « Multiple-Access Edge Computing »), ainsi que des fonctions réseau virtuelles ou des groupes de fonctions réseau virtuelles mises en œuvre dans le réseau cœur CN. De telles fonctions réseaux virtuelles sont par exemple des fonctions de routage, d’adressage, de contrôle de flux de données, de nommage, etc. Dans l’exemple de la figure 1, les tranches de réseau SL1 à SL8 partagent à titre illustratif des fonctions du réseau cœur CN comprenant notamment des fonctions de gestion de l’accès et de la mobilité AMF (pour « Access and Mobility Management Function »), de gestion de sessions SMF (pour « Session Management Function »), de plan utilisateur UPF (pour « User Plane Function »), et de gestion de politique de flux PCF (pour « Policy Charging Function »).
Les différentes tranches de réseau SL1,…,SL8 peuvent donnent accès à des réseaux de données distincts ou à un même réseau de données. Chaque tranche de réseau peut être apparentée à un réseau sans fil distinct, et est déterminée par les caractéristiques des flux de données transitant par cette tranche de réseau, qui présentent des points communs en termes par exemple de destination, d’acheminement, et de contraintes de sécurité, justifiant une gestion commune au sein d’une même tranche de réseau. Chacune des tranches est ainsi optimisée pour les besoins d’un type de service et/ou d’un type de client et/ou de terminaux. Un même terminal peut être connecté à des tranches de réseau distinctes.
Dans ce contexte de « network slicing », les réseaux sans fil 5G, du fait notamment des techniques de communication avancées mises en œuvre et des capacités nouvelles offertes en matière notamment de débits, de volumes d’information et de connexion, ouvrent des perspectives d’usage inédites qui posent de véritables challenges en termes de cyber sécurité.
Le document de Y. Khettab et al., intitulé « Virtual Security as a Service for 5G Verticals », WCNC 2018, IEEE Wireless Communications and Networking Conference, propose une architecture qui exploite les notions de virtualisation des fonctions réseau et de réseau à définition logicielle (ou SDN pour « Software Defined Networking ») pour sécuriser une tranche de réseau à la demande. Cette architecture s’appuie sur le déploiement dynamique dans chaque tranche de réseau de plusieurs fonctions virtuelles incluant des services de détection d’intrusion (ou IDS pour « Intrusion Detection Service ») et d’inspection des paquets (ou DPI pour « Deep Packet Inspection »), la surveillance de leur performance, et l’adaptation dynamique du nombre de fonctions déployées tenant compte de politiques et de métriques prédéfinies.
L’architecture proposée dans ce document contribue ainsi à satisfaire les contraintes de flexibilité et d’élasticité imposées aux réseaux 5G en assurant une allocation optimale des ressources dédiées à sécuriser la tranche de réseau considérée. Toutefois, en raison notamment de la gestion individuelle de chaque fonction de sécurité IDS/DPI déployée, son efficacité en termes de sécurité en cas d’attaque informatique massive perpétrée contre le réseau peut s’avérer insuffisante (notamment en ce qui concerne le taux de faux négatifs détectés).
Il existe donc un besoin d’une architecture adaptée au découpage en tranches de réseau prôné notamment dans les réseaux 5G et offrant une meilleure sécurisation du réseau face à la menace de cyber-attaques.
L’invention répond notamment à ce besoin en proposant un système de surveillance d’au moins une tranche d’un réseau de communications utilisant au moins un réseau d’accès, un réseau de périphérie et un réseau cœur, ledit système comprenant, pour chaque tranche, une pluralité de modules de détection d’intrusions configurés pour surveiller des éléments associés à ladite tranche et comportant au moins un premier module de détection d’intrusions au niveau du réseau d’accès, un deuxième module de détection d’intrusions au niveau du réseau de périphérie, et au moins un troisième module au niveau du réseau cœur, chacun desdits modules étant configuré pour fournir une information représentative d’un niveau de confiance local attribué à ladite tranche en fonction d’un comportement d’au moins un élément qu’il surveille, un dit troisième module étant en outre configuré pour évaluer, à partir desdites informations fournies, un niveau de confiance global pour ladite tranche et à déclencher une action de mitigation d’une intrusion pour ladite tranche en fonction d’une valeur de ce niveau de confiance global.
Corrélativement, l’invention vise également un procédé de surveillance d’au moins une tranche d’un réseau de communications utilisant au moins un réseau d’accès, un réseau de périphérie et un réseau cœur, ledit procédé comprenant :
- une étape de surveillance de ladite tranche par une pluralité de modules de détection d’intrusions configurés pour surveiller des éléments associés à ladite tranche et comportant au moins un premier module de détection d’intrusions au niveau du réseau d’accès, un deuxième module de détection d’intrusions au niveau du réseau de périphérie, et au moins un troisième module au niveau du réseau cœur ;
- une étape de fourniture, par chacun desdits modules, d’une information représentative d’un niveau de confiance local attribué à ladite tranche en fonction d’un comportement d’au moins un élément surveillé par ledit module ;
- une étape d’évaluation, par un dit troisième module, à partir desdites informations fournies, d’un niveau de confiance global pour ladite tranche ; et
- une étape de déclenchement d’une action de mitigation d’une intrusion pour ladite tranche en fonction d’une valeur de ce niveau de confiance global.
Aucune limitation n’est attachée aux techniques de détection d’intrusions mises en œuvre par les différents modules de détection d’intrusions impliqués dans la mise en œuvre d’invention : il peut s’agir de simples techniques de détection d’anomalies s’appuyant sur des modèles de comportements normaux prédéfinis, de techniques s’appuyant sur des règles prédéfinies et/ou sur des signatures caractérisant divers attaques informatiques connues, de techniques d’apprentissage automatique (ou « Machine Learning »), supervisées ou non, de techniques de détection hybrides utilisant une combinaison des techniques précitées, etc. Aucune limitation n’est attachée non plus à la nature des intrusions susceptibles d’affecter le réseau : il peut s’agir d’intrusion de type déni de service distribué (ou DDoS pour « Distributed Denial of Service »), d’interférences dans les communications (ou « jamming »), etc.
L’invention propose ainsi une architecture s’appuyant sur le déploiement de plusieurs modules de détection d’intrusions à divers niveaux de chaque tranche de réseau (réseau d’accès, réseau de périphérie, réseau cœur), et sur la collaboration de ces modules de détection pour estimer un indice de confiance global pour chaque tranche de réseau, la valeur de cet indice de confiance global étant prise en compte pour déclencher si besoin une action de mitigation d’intrusions au niveau de ladite tranche.
Une telle action est par exemple, si la valeur du niveau de confiance global est inférieure à un seuil donné, une isolation de cette tranche du réseau et/ou une éviction d’au moins un élément du réseau d’accès, du réseau de périphérie et/ou du réseau cœur identifiés comme ciblés par une intrusion. Bien entendu, ces exemples d’actions de mitigation ne sont donnés qu’à titre illustratif et d’autres actions de mitigation peuvent être envisagées, en fonction notamment de la nature de l’intrusion détectée, de la valeur du niveau de confiance, de la gravité de l’intrusion, des informations d’anomalies remontées par les différents modules de détection d’intrusions, du ou des éléments ciblés par l’intrusion, etc.
En agissant ainsi de façon distribuée à différents niveaux de l’infrastructure réseau sur laquelle s’appuie chaque tranche de réseau, et grâce à la collaboration proposée entre les différents modules de détection, l’invention permet de limiter le taux de fausses détections (faux négatifs et/ou faux positifs) de chaque module de détection et d’améliorer la sécurité globale des tranches du réseau par rapport à l’état de la technique. La sécurisation de chaque tranche est en effet assurée de bout en bout du réseau, du terminal utilisateur jusqu’au réseau cœur : l’invention ne se contente pas de sécuriser le réseau d’accès ou le cœur de réseau, mais s’emploie à surveiller chaque partie du réseau pour chaque tranche considérée. Il en résulte une sécurité renforcée des différentes tranches de réseau.
En outre, l’évaluation d’un indice de confiance global pour la tranche permet de déterminer comment la tranche est affectée par la ou les intrusions détectées le cas échéant, et de déclencher une réponse adaptée. Cet indice de confiance global est avantageusement évalué dans la partie la plus sécurisée du réseau, à savoir dans le cœur du réseau, à partir d’informations collectées de façon distribuée dans le réseau sur différents segments du réseau. Il en résulte l’obtention d’un indice de confiance robuste et fiable.
Les modules de détection peuvent en outre être configurés avantageusement pour échanger entre eux des informations sur les intrusions qu’ils détectent dans la tranche de réseau, permettant les uns et les autres de bénéficier des détections réalisées par les autres modules de détection mais également de mettre à jour leurs connaissances sur ces intrusions. Cette collaboration « horizontale », au sein d’une même tranche, dans le sens montant (du réseau d’accès vers le réseau cœur) et/ou descendant (du réseau cœur vers le réseau d’accès) permet d’améliorer la précision et la rapidité d’exécution des détections réalisées par les modules de détection.
Dans un mode particulier de réalisation, la pluralité de modules de détection associée à ladite tranche comprend une pluralité de troisièmes modules associés respectivement à des fonctions réseau actives distinctes du réseau cœur.
Dans ce mode de réalisation, on déploie avantageusement un module de détection au niveau d’une pluralité de fonctions réseau assurées par le cœur de réseau et activées pour la tranche considérée (par exemple un module de détection par fonction réseau active). En effet, à un instant donné et pour un service donné, toutes les fonctions réseau présentes au niveau du cœur de réseau ne sont pas nécessairement activées. Ce mode de réalisation permet de protéger efficacement lesdites fonctions réseau actives et notamment les fonctions les plus critiques pour une tranche donnée, comme par exemple dans le contexte d’un réseau 5G, les fonctions AMF, UPF, et PCF évoquées précédemment.
En variante, on peut envisager qu’un même module de détection d’intrusions soit configuré pour surveiller simultanément plusieurs fonctions réseau actives.
Concernant les premier(s) et deuxième(s) modules, on peut par exemple envisager un module de détection d’intrusions déployé au niveau du réseau d’accès (et apte à surveiller les différentes entités de ce réseau d’accès ou connectées au réseau d’accès), et un module de détection d’intrusions déployé au niveau du réseau de périphérie (et apte à surveiller les différentes entités de ce réseau de périphérie). Bien entendu, une configuration avec davantage de premiers et deuxièmes modules peut être envisagée.
En outre, il convient de noter qu’un même module de détection, quelle que soit la partie du réseau au niveau de laquelle il est déployé, peut être utilisé pour surveiller plusieurs tranches de réseau simultanément.
Dans le mode de réalisation dans lequel une pluralité de troisièmes modules est déployés au niveau de diverses fonctions réseau actives du réseau cœur pour ladite tranche, le troisième module configuré pour évaluer le niveau de confiance global d’une tranche peut être sélectionné parmi ces troisièmes modules par exemple en fonction de sa proximité au(x) réseau(x) de périphérie et au(x) réseau(x) d’accès exploités par ladite tranche.
De cette sorte, on limite les risques d’attaques lors du transfert des informations entre les modules se trouvant au niveau du (ou des) réseau(x) d’accès et du (ou des) réseau(x) de périphérie et ce troisième module. Un tel module dans l’exemple d’un réseau 5G est par exemple un module de détection d’intrusions embarqué dans une fonction AMF ou PCF du réseau cœur.
Conformément à l’invention, l’indice global évalué pour une tranche est calculé à partir des indices locaux remontés par les premier(s), deuxième(s) et troisième(s) modules de détection. Dans un mode particulier de réalisation, le niveau de confiance global pour une tranche est par exemple une moyenne des niveaux de confiance locaux fournis par ladite pluralité de modules de détection.
Les niveaux de confiance locaux sont appréciés par les modules de détection distribués dans le réseau sur chaque tranche considérée, en fonction des anomalies qu’ils observent. On peut envisager différentes façons d’évaluer un tel niveau de confiance local.
Par exemple, dans un mode particulier de réalisation, au moins un niveau de confiance local est évalué par un dit module de détection pour une dite tranche comme un ratio entre une soustraction d’un nombre de comportements normaux dudit au moins un élément surveillé par ce module de détection et d’un nombre d’intrusions affectant ledit au moins un élément surveillé par ce module de détection détectées sur une période de temps donnée, par une somme desdits nombres.
Un tel niveau de confiance local est facile à évaluer par le module de détection en question, à partir de la surveillance qu’il opère au niveau où il est déployé. Toutefois, on peut envisager d’autres façons d’évaluer un niveau de confiance local pour la tranche. Par exemple, l’indice de confiance local peut être calculé à partir d’une somme pondérée des deux nombres précités, ou seulement l’un d’entre eux, etc.
Dans un mode particulier de réalisation, ledit premier module est configuré pour, sur détection d’une intrusion, signaler ladite intrusion détectée audit deuxième module et/ou à un dit premier module associé à une autre tranche utilisant ledit réseau d’accès.
Ce mode de réalisation propose une collaboration entre les modules de détection, sur un plan horizontal comme discuté auparavant, autrement dit, entre modules de détection déployés sur une même tranche de réseau, et/ou sur un plan vertical, c’est-à-dire entre modules de détection déployés au niveau de tranches de réseau différentes mais utilisant le même réseau d’accès. Il s’agit par là-même de faire bénéficier aux autres tranches du réseau utilisant la même infrastructure physique, des informations sur les intrusions détectées au niveau de cette infrastructure, par exemple les caractéristiques de ces intrusions (aussi appelées « features » en anglais) et les signatures de ces dernières (ou « patterns » en anglais), pour enrichir les connaissances des modules de détection associées à ces autres tranches. De cette sorte, on améliore la précision de détection et la réactivité des modules de détection face à une attaque déployée au niveau du réseau d’accès, et le cas échéant, l’efficacité des actions de mitigation mise en place en réponse à cette attaque.
La sécurité du réseau en est améliorée, et cela bénéficie aux différentes tranches du réseau utilisant le réseau d’accès considéré.
Dans un mode particulier de réalisation, le deuxième module est configuré pour, sur détection d’une intrusion, signaler ladite intrusion détectée audit au moins un troisième module et/ou déclencher une action de mitigation au niveau du réseau d’accès et/ou du réseau de périphérie.
Les informations sur les intrusions détectées sont ainsi remontées au réseau cœur, ce qui permet au réseau cœur d’avoir une visibilité globale sur les intrusions ciblant les éléments de la tranche de réseau.
En outre une action de mitigation peut être déclenchée rapidement au plus près des éléments ciblés par l’intrusion (i.e. au niveau du réseau d’accès et/ou du réseau de périphérie), et de lutter plus efficacement contre l’intrusion.
Chaque module de détection, quel que soit le segment du réseau au niveau duquel il est déployé, peut être configuré pour exécuter un certain nombre d’actions prédéterminées, à savoir la surveillance du segment du réseau sur lequel il est déployé bien entendu, mais également l’analyse en profondeur du trafic lorsqu’une intrusion est suspectée, la notification des autres modules de détection pour leur signaler la détection d’une intrusion, le déclenchement d’actions de mitigation, etc. Ces actions « logiques » sont configurables et peuvent varier en fonction du segment sur lequel est déployé le module en question (selon s’il s’agit d’un premier, deuxième ou troisième module au sens de l’invention), mais également en fonction d’autres facteurs, comme par exemple, la tranche de réseau sur lequel il est déployé et sa sensibilité en termes de sécurité, etc.
Par exemple, dans un mode particulier de réalisation, au moins un dit module de détection est configuré pour exécuter au moins une action parmi une action d’analyse en profondeur du trafic, une action de notification, et/ou une action de mitigation lorsqu’il détecte qu’une probabilité d’exécuter cette action est supérieure à un seuil déterminé.
Ce seuil peut être déterminé par des experts, être statique, varier en fonction des actions, etc.
En variante, il peut être déterminé dynamiquement pour et par ledit module de détection en fonction par exemple d’un nombre de fausses détections réalisées par celui-ci et au moyen par exemple d’un algorithme d’apprentissage automatique.
On note que la notion de fausse détection est appréciée ici par rapport à une validation des intrusions détectées réalisée au niveau du réseau cœur (par exemple par un troisième module au sens de l’invention).
Une telle adaptation dynamique du seuil permet de tenir compte avantageusement de l’environnement changeant des attaques informatiques, dans lequel les caractéristiques peuvent évoluer rapidement ou de nouvelles attaques apparaître, ainsi que les performances du module de détection. Bien entendu, l’adaptation du seuil peut être faite en fonction d’autres critères.
Selon un autre aspect, l’invention vise également un réseau de communications, configuré pour mettre en œuvre un découpage en tranches, ledit réseau de communications comprenant un système de surveillance selon l’invention pour surveiller au moins une tranche dudit réseau.
Le réseau bénéficie des mêmes avantages cités précédemment que le système de surveillance selon l’invention.
On peut également envisager, dans d'autres modes de réalisation, que le procédé de surveillance, le système de surveillance et le réseau selon l'invention présentent en combinaison tout ou partie des caractéristiques précitées.
D’autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures :
la figure 1, déjà décrite, représente, un réseau mettant en œuvre une technique de découpage en tranches de réseau ;
la figure 2 représente dans son environnement, un réseau selon l’invention dans un mode particulier de réalisation ;
les figures 3A et 3B représentent schématiquement les architectures fonctionnelles de deux modules de détection d’intrusions SID et C-SID* utilisés pour protéger différents segments du réseau de la figure 2 ;
la figure 4 illustre, sous forme d’ordinogramme, les principales étapes d’un procédé de surveillance selon l’invention, dans un mode particulier de réalisation dans lequel il est mis en œuvre par des modules de détection d’intrusions du réseau de la figure 2.
Description de l’invention
Lafigure 2représente un réseau de communications 1 conforme à l’invention, dans un mode particulier de réalisation.
Le réseau de communications 1 est par exemple ici un réseau 5G utilisant une technique de découpage en tranches ou « network slicing ».
De façon connue en soi, plusieurs réseaux d’accès distincts peuvent être utilisés pour accéder au cœur d’un réseau 5G. Aucune limitation n’est attachée ici au nombre ni à la ou aux technologies utilisées par ces réseaux d’accès (GSM, UMTS, LTE, WLAN, etc.).
Par ailleurs, on suppose ici que le réseau 1 utilise une approche dite d’informatique en périphérie, plus communément connue sous l’appellation anglaise de « edge computing ». Cette technologie, basée ici sur la norme MEC (pour « Multi-access Edge Computing »), consiste à déporter l’analyse, le traitement et le stockage de certaines données et/ou applications à la périphérie du réseau (dans un réseau dit de périphérie) plutôt que d’effectuer ces tâches dans des centres de données ou dans un cloud, parfois situés à plusieurs milliers de kilomètres des sources de ces données et/ou applications. Ce traitement décentralisé au plus près des sources des données et/ou applications permet avantageusement d’optimiser les besoins en bande passante, de limiter la transmission de nombreuses données et/ou applications vers les centres de données ou vers le « cloud » (et incidemment les fuites et/ou les problèmes de sécurité pouvant résulter de cette transmission), et de garantir une certaine fluidité et une rapidité de réaction. On limite ainsi la latence et les délais associés au traitement des données et/ou applications, et offre une performance en temps réel notamment aux applications large bande. Il en résulte une meilleure expérience utilisateur.
On comprend bien dès lors que le recours à un tel réseau de périphérie a un intérêt privilégié dans le contexte des réseaux de communication 4G et 5G, et de l’Internet des Objets (ou IoT pour « Internet of Things), dans lequel on assiste à une croissance exponentielle du trafic et à une explosion du nombre d’objets connectés au réseau.
Dans l’exemple illustré sur la figure 2, on considère huit tranches de réseau (ou « slices » en anglais) SL1, SL2, …,SL8 représentant chacune un réseau sans fil, et s’appuyant sur l’infrastructure du réseau de communications 1. Plus particulièrement, les tranches de réseau se partagent des infrastructures de réseaux d’accès (référencées RAN sur la figure), des infrastructures de réseaux de périphérie (référencées MEC sur la figure), ainsi que des fonctions réseau virtuelles ou des groupes de fonctions réseau virtuelles du réseau cœur (CN pour « Core Network » ou cœur de réseau) du réseau de communications 1. De telles fonctions réseaux virtuelles sont par exemple des fonctions de routage, d’adressage, de contrôle de flux de données, de nommage, etc. Dans l’exemple de la figure 2, on considère plus particulièrement les fonctions réseau virtuelles AMF, SMF, UPF et PCF déjà évoquées précédemment.
Pour sécuriser le réseau 1, et plus particulièrement chaque tranche de réseau SL1,…,SL8 du réseau 1, ce dernier comprend, conformément à l’invention, un système de surveillance 2 comprenant une pluralité de modules de détection d’intrusions déployés au niveau de chaque tranche de réseau, et configurés pour surveiller des éléments dits « cibles » associés à cette tranche. Dans le mode de réalisation décrit ici, chaque module de détection d’intrusions (ou d’attaques informatiques) est un module logiciel, référencé de manière générale par SID (pour « Software Intrusion Detection »). Aucune limitation n’est attachée à la nature des techniques mises en œuvre par les modules de détection d’intrusions SID pour surveiller les éléments cibles qui leur sont rattachés. Par intrusions, on entend ici des attaques informatiques ou « cyber-attaques » susceptibles d’affecter diverses ressources du réseau 1 (ex. ressources de calcul, serveurs, ressources mémoire, etc.), ces attaques pouvant provenir d’attaquants internes ou externes au réseau 1. On note que les attaques en question peuvent cibler directement les ressources du réseau 1, ou celles-ci peuvent être des victimes indirectes des attaques.
La détection de telles attaques peut s’appuyer indifféremment sur la détection d’anomalies au regard d’un comportement normal préalablement défini au moyen d’un modèle (ou « pattern »), ou sur la considération de règles et/ou de signatures définissant, pour des attaques connues, un certain nombre de caractéristiques du réseau symptomatiques de ces attaques, ou sur des algorithmes d’apprentissage supervisé ou non supervisé, ou sur des techniques hybrides, etc.
Dans le mode de réalisation décrit ici, on considère, comme représenté sur lafigure 3A, que chaque module SID comprend :
- un sous-module de collecte de données 3, configuré pour collecter différentes caractéristiques déterminées du trafic transitant par les éléments surveillés par le module SID ;
- un sous-module de détection d’anomalies 4, configuré pour, à partir des données collectées par le sous-module de collecte 3, détecter une anomalie dans le comportement des éléments surveillés, par exemple en comparant à un modèle de comportement normal de ces éléments (c’est-à-dire en l’absence d’intrusions). Une anomalie consiste par exemple en un nombre anormal de paquets perdus, l’inondation du réseau 1 avec des données non désirées et répétées, des données sensibles altérées, une communication interrompue, un non-respect d’une latence imposée au niveau d’un segment du réseau, etc. ; et
- un sous-module d’analyse en profondeur 5, configuré pour analyser, par exemple au moyen d’un algorithme d’apprentissage automatique (ou « Machine Learning » en anglais), ou d’un algorithme de détection basé sur des signatures d’intrusions connues (reflétant des caractéristiques de trafic symptomatiques de ces intrusions par exemple), ou encore d’un algorithme hybride, une anomalie détectée par le sous-module de détection d’anomalies 4 et déterminer si cette anomalie est liée ou non à la présence d’une intrusion.
Pour chaque tranche de réseau SLi, i=1,…,N utilisant l’infrastructure du réseau 1, N désignant un nombre entier (égal à 8 dans l’exemple représenté sur la figure 2), l’invention propose de déployer une pluralité SID(SLi) de modules de détection d’intrusions de façon distribuée au sein de cette infrastructure. Les modules de détection associés à la tranche SLi (c’est-à-dire déployés pour assurer la sécurité de la tranche SLi) sont notés dans la suite de la description SIDj(SLi) avec j=1,…,K(SLi), K(SLi) désignant un nombre entier pouvant varier d’une tranche de réseau SLi à une autre. Par souci de simplification ici, on considère un même nombre K de modules de détection déployés pour chaque tranche, autrement dit K(SLi)=K pour tout i=1,…,N.
Les modules de détection SIDj(SLi) avec j=1,…,K associés à chaque tranche SLi sont déployés ici à trois niveaux de l’infrastructure du réseau 1 pour surveiller des éléments appartenant à différents segments du réseau 1, à savoir :
- au niveau du ou des réseaux d’accès RAN (par exemple au niveau de stations de base du ou des réseaux d’accès) utilisés par la tranche SLi : les modules sont alors référencés de manière générale par R-SID sur la figure 2 pour « Radio-SID » (ou R-SIDj(SLi) pour une tranche SLi), et en charge de la surveillance des différents éléments impliqués dans les communications radio ;
- au niveau du réseau de périphérie MEC utilisé par la tranche SLi : les modules sont alors référencés de manière générale par E-SID sur la figure 2 pour « Edge-SID » (ou E-SIDj(SLi) pour une tranche SLi), et en charge ici de protéger les serveurs de périphérie des attaques ; et
- au niveau du réseau cœur CN du réseau 1 : les modules sont alors référencés par C-SID sur la figure 2 pour « Core-SID » 2 (ou C-SIDj(SLi) pour une tranche SLi), et chargés de protéger ici les principaux composants du réseau cœur CN et notamment les fonctions réseau virtuelles AMF, SMF, PCF et UPF.
On note qu’aucune limitation n’est attachée à la nature des éléments surveillés sur chacun des segments de réseau précités (réseau d’accès, réseau périphérique, cœur de réseau) par les modules de détection SID : il peut s’agir de n’importe quelle ressource ou ensemble de ressources appartenant à ou déployées sur ces segments de réseau (ex. équipement utilisateurs, serveurs, fonctions réseau, cellules, ressources mémoire, réseau ou de calcul, données, etc.).
Par ailleurs, aucune limitation n’est attachée à la nature des équipements sur lesquels sont déployés les modules de détection SID (serveur, centre de données, station de base, etc.). Ces équipements ont l’architecture matérielle d’un ordinateur et comprennent notamment un processeur, une mémoire vive, une mémoire morte, une mémoire non volatile et des moyens de communications qui leur permettent de soutenir une communication entre modules de détection SID notamment. La mémoire morte d’un tel équipement sur lequel est déployé un module de détection SID est un support d’information sur lequel est enregistré un programme d’ordinateur lisible par le processeur et comportant des instructions pour l’exécution des différentes fonctions remplies par ce module de détection SID.
Dans le mode de réalisation décrit ici, une collaboration horizontale, ascendante et descendante, au sein de chaque tranche de réseau SLi, est mise en œuvre entre les modules SID déployés sur les trois niveaux précités. Plus particulièrement, dans chaque tranche de réseau SLi, les modules R-SID(SLi) font remonter des informations aux modules E-SID(SLi), qui à leur tour, remontent des informations aux modules C-SID(SLi) (collaboration horizontale ascendante ou montante). De telles informations sont relatives notamment aux intrusions (attaques) et/ou aux anomalies détectées par les modules SID, l’emplacement des cibles de ces intrusions ou des éléments affectés par celles-ci, les instants de détection de ces intrusions, les caractéristiques (ou attributs) de ces intrusions, etc.
Du fait de cette collaboration horizontale, les modules R-SID, E-SID et C-SID sont en outre configurés pour surveiller les informations qui leur sont remontées, et pour exploiter avantageusement ces informations dans les détections qu’ils opèrent. Typiquement, un module C-SID peut par exemple analyser les caractéristiques des attaques détectées par les modules E-SID qui lui sont remontées, pour vérifier si des attaques sont en cours contre ces derniers. La visibilité du module C-SID sur plusieurs modules E-SID peut lui permettre de détecter précisément si certains d’entre eux sont malveillants et/ou la cible d’attaques.
Cette collaboration horizontale « ascendante » (du réseau d’accès vers le cœur de réseau) peut s’accompagner d’une collaboration horizontale « descendante », au cours de laquelle un module C-SID informé d’une intrusion détectée par un module E-SID ou R-SID confirme ou infirme la présence de cette intrusion (autrement dit, valide soit positivement soit négativement la détection opérée par le module E-SID ou R-SID), et fait part de sa décision au module E-SID ou R-SID pour lui permettre d’améliorer ses détections, et comme détaillé plus davantage ultérieurement, adapter certains paramètres de fonctionnement. On note qu’un module C-SID peut, dans un mode particulier de réalisation, solliciter une autorité de confiance telle un centre d’opérations de sécurité (ou SOC pour « Security Operation Center », non représenté sur la figure 2), pour valider ses propres détections et transmettre les décisions du SOC aux modules E-SID et R-SID qui lui rapportent.
Aucune limitation n’est attachée au nombre de modules SID déployés sur chaque segment de chaque tranche de réseau (réseau d’accès, réseau de périphérie, et réseau cœur). Dans la suite de la description, on suppose par exemple par souci de simplification, que, pour une tranche de réseau donnée, un unique module R-SID est déployé au niveau de chaque réseau d’accès, un unique module E-SID est déployé au niveau de chaque réseau de périphérie, et que plusieurs C-SID sont déployés au niveau du réseau cœur pour surveiller une ou plusieurs fonctions réseau actives distinctes du réseau cœur.
On note qu’un même module SID peut surveiller et/ou protéger une ou plusieurs tranches de réseau simultanément, et/ou un ou plusieurs éléments. Ainsi dans l’exemple illustré à la figure 2 :
- un module R-SID est déployé au niveau de chaque station de base (eNodeB) des quatre réseaux d’accès utilisés respectivement par les tranches de réseau SL1-SL2, SL3-SL4, SL5-SL6 et SL7-SL8, et chaque module R-SID ainsi déployé est configuré pour surveiller une unique tranche de réseau. Par exemple le module R-SID surveille la station de base sur laquelle il est déployé ; il peut également être configuré pour surveiller en plus de la station de base eNode B, les différents équipements utilisateurs rattachés à cette station de base et/ou les nœuds du réseau 1 communiquant avec elle ;
- un module E-SID est déployé au niveau de chacun des deux réseaux de périphérie utilisés respectivement par les tranches SL1 à SL4 et SL5 à SL8 pour surveiller simultanément quatre tranches de réseau. Par exemple, le module E-SID est configuré pour surveiller les différents nœuds (ex. serveurs, espaces de stockage, etc.) du réseau de périphérie au niveau duquel il est déployé ; et
- un module C-SID est déployé au niveau de la fonction AMF du réseau cœur et utilisé pour surveiller simultanément les huit tranches de réseau SL1-SL8, tandis que d’autres modules C-SID sont configurés pour surveiller respectivement deux ou trois tranches de réseau et plusieurs fonctions réseau simultanément (i.e. les fonctions SMF, PCF et UPF dans l’exemple de la figure 2).
Dans le mode de réalisation décrit ici, chaque module de détection SID est configuré pour exécuter une ou plusieurs actions lors de la surveillance qu’il opère. Ainsi, outre l’action de surveillance des données collectées par le sous le module de collecte 3 et l’action d’analyse en profondeur par le sous-module 5 des anomalies détectées lors de cette surveillance et l’action de notification (ou de transmission d’alertes visant à signaler les intrusions détectées) qui sont communes à chacun des modules de détection SID, ces actions peuvent comprendre par exemple une action d’agrégation et/ou de corrélation des informations reçues le cas échéant d’un autre module de détection SID, une action de mitigation d’intrusion (ou de réaction à une intrusion), etc. Cette liste n’est donnée qu’à titre indicatif et n’est en aucun cas limitative ni exhaustive.
Ces actions sont des actions « logiques » mises en œuvre de façon logicielle, dans le mode de réalisation décrit ici. Elles peuvent être configurées et instanciées au niveau de chaque module de détection SID par un expert en cyber-sécurité, afin d’être exécutées de façon automatique par ledit module de détection SID. Le choix de la ou des actions mises en œuvre au niveau de chaque module SID peut dépendre de différents facteurs, comme par exemple du segment de réseau sur lequel est déployé le module SID, de paramètres à optimiser, etc.
Dans le mode de réalisation décrit ici, les actions choisies pour chaque module SID diffèrent en fonction du segment de réseau sur lequel il est déployé. Plus particulièrement, les modules de détection de type R-SID sont configurés pour exécuter des actions de surveillance et de détection d’anomalies, d’analyse en profondeur des anomalies détectées et de notification d’intrusions détectées le cas échéant à d’autres modules de détection SID ; les modules de détection de type E-SID et C-SID sont configurés pour exécuter outre les actions précitées, des actions d’agrégation et/ou de corrélation des informations sur les intrusions qui leur sont notifiées le cas échéant avant de les transmettre vers un autre module de détection, et de mitigation d’intrusion.
Ces différentes actions se définissent de la façon suivante :
- les actions de surveillance et de détection d’anomalies consistent à collecter (au moyen du sous-module 3 de la figure 3A) différentes données prédéfinies concernant le trafic transitant par les éléments surveillés et à déterminer (au moyen du sous-module 4 de la figure 3A) si les données collectées par le sous-module de collecte 3 laissent suspecter ou non une anomalie ;
- l’action d’analyse en profondeur consiste en l’application (au moyen du sous-module 5 précédemment de la figure 3A) d’un algorithme d’apprentissage automatique (ou « Machine learning ») pour analyser en profondeur les données représentatives d’une anomalie et déterminer si cette anomalie est due ou non à une intrusion. Comme mentionné précédemment, aucune limitation n’est attachée à la technique appliquée ; il peut s’agir par exemple d’un algorithme d’apprentissage supervisé ou non, d’un réseau de neurones, d’une machine à vecteurs de support, etc. ;
- l’action de notification consiste en l’envoi d’alerte(s) lorsqu’une intrusion a été détectée par le module SID, typiquement à un autre module SID. La notification peut se faire de façon horizontale, comme discuté précédemment, c’est-à-dire au sein d’une même tranche de réseau (par exemple, un module R-SID notifie un module E-SID associé à la même tranche ou un module E-SID notifie un module C-SID associé à la même tranche, ou encore un module C-SID notifie les modules R-SID et E-SID associés à la même tranche), ou de façon verticale, par exemple entre des modules R-SID associés à des tranches de réseau différentes utilisant le même réseau d’accès. Cette alerte peut contenir diverses informations sur l’intrusion détectée, comme par exemple le nombre de cibles et les cibles suspectées de cette intrusion (ex. leur localisation), l’instant de détection de l’intrusion, les caractéristiques de cette intrusion (c’est-à-dire les attributs considérés ayant mené à la détection de l’intrusion), etc. Le but principal de cette action est de permettre aux différents modules SID de partager leurs informations sur les intrusions détectées et ainsi de faire en sorte notamment que les modules E-SID et C-SID aient une connaissance des intrusions détectées sur la tranche de réseau. Cela permet d’améliorer la précision de détection de ces modules de façon dynamique ;
- l’action d’agrégation et/ou de corrélation consiste à collecter et à agréger les alertes notifiées et, en corrélant entre elles ces alertes, à supprimer les informations redondantes. Lors de cette opération, le module de détection SID compresse en quelque sorte l’information à transmettre vers les autres modules de détection SID. De cette sorte, on limite la quantité d’informations remontées jusqu’aux modules C-SID (et donc la signalisation (ou overhead) associée), et on accélère le processus de détection d’intrusions et de mitigation des intrusions détectées le cas échéant ;
- l’action de mitigation d’intrusion consiste à déclencher une ou plusieurs réactions visant à traiter ou à faire disparaître l’intrusion détectée, ou tout du moins à la rendre inopérante sur le réseau 1. Ces réactions peuvent dépendre du segment de réseau sur lequel l’action de mitigation est appliquée. Ainsi par exemple, au niveau d’un module E-SID, on peut envisager d’isoler ou d’exclure du réseau 1 les éléments ciblés par l’intrusion se trouvant au niveau du réseau d’accès ou du réseau de périphérie (ex. équipements utilisateurs ou serveurs MEC), de sorte que ceux-ci ne puissent plus être impliqués dans une communication ou un service offert par le réseau de communication 1. Au niveau d’un module C-SID, l’action de mitigation peut consister en une isolation (i.e. suppression ou désactivation) de la tranche de réseau ciblée par l’intrusion, et de la constitution d’une liste noire référençant les éléments ciblés par l’intrusion se trouvant au niveau du (ou des) réseau(x) d’accès, du (ou des) réseaux de périphérie et/ou du réseau cœur utilisés par la tranche infectée. L’isolation d’une tranche de réseau peut être décidée notamment en tenant compte d’un indice de confiance global estimé pour cette tranche, comme détaillé davantage ultérieurement.
Bien entendu, d’autres actions peuvent être envisagées au niveau de chaque module de détection SID.
Dans le mode de réalisation décrit ici, l’activation (i.e. l’exécution) au niveau d’un module de détection SID de tout ou partie des actions qu’il est en mesure d’exécuter se fait de manière automatique, lorsque le module de détection SID en question détecte, via un sous-module d’activation 6 (cf. figure 3A), qu’une probabilité d’exécuter ces actions est supérieure à un seuil déterminé (i.e. donné). Ce mécanisme offre la possibilité de paramétrer le système et permet de préserver les ressources du module de détection tout en assurant efficacement la sécurité du segment de réseau qu’il surveille. On note que dans le mode de réalisation décrit ici, chaque module de détection SID considéré est configuré pour exécuter en continu des actions de surveillance et de détection d’anomalies telles que décrites ci-avant.
Un seuil différent selon la nature de l’action et/ou le module de détection SID et/ou le type de module de détection SID (R-SID, E-SID ou C-SID) considéré(e) peut être envisagé. Par exemple si pdeep(x), pagregco(x), pnotif(x), pmitig(x) désignent respectivement les probabilités d’exécuter une action d’analyse en profondeur, une action d’agrégation et/ou de corrélation, une action de notification et une action de mitigation au niveau d’un module de détection SID référencé par x (x désignant un module R-SID, E-SID, ou C-SID), ces actions sont déclenchées exécutées respectivement par le module de détection SID respectivement si :
pdeep(x) > THdeep(x)
pagregco(x) > THagregco(x)
pnotif(x) > THnotif(x)
pmitig(x) > THmitig(x)
où THdeep(x), THagregco(x), THnotif(x) et THmitig(x) désignent respectivement les seuils fixés pour chacune des actions d’analyse en profondeur, d’agrégation et/ou de corrélation, de notification et de mitigation.
On note qu’on peut envisager que pour un même segment de réseau, des seuils différents s’appliquent aux différents modules de détection déployés pour surveiller ce segment de réseau. Par ailleurs, des seuils différents peuvent être définis pour chaque tranche de réseau considérée.
Dans le mode de réalisation décrit ici, les probabilités pdeep(x), pagregco(x), pnotif(x), pmitig(x) sont calculées périodiquement par le sous-module d’activation 6 du module de détection SID considéré de la façon suivante. En variante, elles peuvent être calculées sur détection d’événements particuliers (ex. une intrusion détectée par un module de détection d’une autre tranche du réseau, une information reçue du centre d’opérations de sécurité, etc.).
Au niveau de n’importe quel module de détection SID (R-SID, E-SID, C-SID), la probabilité pdeep(x) est évaluée comme le ratio du nombre d’intrusions ND détectées par le module de détection SID sur le nombre total NA d’intrusions détectées dans la tranche de réseau considérée. Le nombre total d’intrusions détectées dans la tranche de réseau correspond aux intrusions confirmées par le réseau cœur (i.e. par un module C-SID) pour les modules R-SID et E-SID, ou par le SOC pour les modules C-SID. On note que le réseau cœur et le SOC ayant une visibilité plus importante sur le réseau 1 et donc sur chaque tranche de réseau, et bénéficiant des informations remontées par les différentes modules de détection SID déployés sur les différents segments du réseau, ont une meilleure précision de détection, de sorte qu’il peut être fait l’hypothèse que NA≥ND.
Au niveau d’un module E-SID, respectivement d’un module C-SID, la probabilité pagregco(x) est évaluée comme le ratio du nombre d’intrusions détectées au niveau du réseau d’accès pour la tranche de réseau considérée par le ou les modules R-SID et notifiées au module E-SID, respectivement au niveau du ou des réseaux de périphérie par le ou les modules E-SID et notifiées au module C-SID, et du nombre total d’intrusions détectées au niveau du réseau de périphérie pour la tranche de réseau considérée par le module E-SID, respectivement au niveau du réseau cœur par le module C-SID. On note là encore que l’hypothèse est faite que le module E-SID, respectivement C-SID, dispose d’une meilleure précision de détection que le module R-SID, respectivement E-SID, de sorte que les ratios ainsi calculés sont bien inférieurs ou égaux à un 1.
Au niveau d’un module de détection R-SID, la probabilité pnotif(x) est évaluée ici de façon identique à la probabilité pdeep(x), i.e. pnotif(x)=pdeep(x).
Au niveau des modules E-SID et C-SID, les probabilités pnotif(x) et pmitig(x) sont calculées comme le ratio de la probabilité pdesp(x) et de la probabilité pagregco(x).
Bien entendu, d’autres façons ou d’autres règles pour déterminer les probabilités pdeep(x), pagregco(x), pnotif(x), pmitig(x) peuvent être appliquées. Par exemple lorsqu’un module de détection SID voisin (dans le sens où il dispose d’une connectivité avec le module SID en question), appartenant à la même tranche de réseau ou au même réseau d’accès, signale la détection d’une intrusion au module de détection SID, il peut décider de forcer la valeur de la probabilité pdeep(x) à 1. D’autres règles peuvent être considérées en variante.
Chaque seuil auquel est comparée une probabilité de déclencher une action donnée peut être fixé de manière statique, par exemple par des experts en cyber-sécurité. On note qu’un seuil pris égal à 0 revient à ne pas conditionner l’exécution de l’action considérée, i.e. celle-ci est exécutée de manière systématique dès lors qu’elle est pertinente (ex. notification émise dès lors qu’une intrusion est détectée, analyse en profondeur). Ces seuils peuvent être fixés de sorte à optimiser les ressources du réseau 1 (« overhead » pour les notifications, ressources de calcul, charge du réseau, etc.).
En variante, chaque seuil peut être déterminé dynamiquement par et pour le module de détection SID considéré (par exemple par son sous-module d’activation 6) en fonction de divers paramètres, et notamment du nombre de fausses détections réalisées par ce dernier. D’autres paramètres peuvent être considérés comme par exemple le nombre d’intrusions détectées ou de cyber-attaquants, les éléments ou le segment de réseau surveillés par le module de détection SID, le type d’intrusions détectés, etc. Cette mise à jour dynamique des seuils permet de s’adapter à l’environnement changeant des intrusions informatiques et notamment de détecter de nouvelles intrusions.
Pour mettre à jour dynamiquement un seuil, le module de détection SID peut utiliser un algorithme d’apprentissage automatique tel que par exemple un algorithme récursif d’apprentissage par renforcement aussi couramment appelé algorithme Q-learning, connu de l’homme du métier. Bien entendu d’autres algorithmes peuvent être utilisés, comme par exemple un algorithme SVM (Support Vector Machine), etc.
Dans le mode de réalisation décrit ici, on suppose que tous les seuils associés à des actions exécutées par un module de détection SID sont mis à jour dynamiquement et conjointement au moyen de l’algorithme d’apprentissage automatique. Cette mise à jour conjointe exploite l’impact de la collaboration horizontale mise en œuvre par les modules de détection SID sur les détections qu’ils opèrent, et la corrélation entre les différentes actions que les modules de détection SID sont susceptibles d’exécuter.
Par exemple, si de nombreuses anomalies sont détectées par le module E-SID, il doit être en mesure d’analyser toutes ces anomalies, doit agréger de façon efficace les informations qu’il remonte à un module C-SID (typiquement remonter toutes les informations sur les intrusions qu’ils détectent si ces intrusions sont nombreuses, ou au contraire espacer les remontées d’informations si les intrusions sont inexistantes ou rares au niveau du réseau de périphérie), réagir rapidement en déclenchant des actions de mitigation, et notifier rapidement les modules de détection C-SID auquel il rapporte. Autrement dit, les seuils associés aux actions d’analyse en profondeur, de notification, de mitigation et d’agrégation doivent être proches de 0.
Cette mise à jour conjointe des seuils permet ainsi d’obtenir un compromis entre la précision des détections opérées par les modules de détection et la qualité du service assurée par la tranche de réseau sur laquelle ils sont déployées (overhead, latence, etc.).
En variante, une détermination individuelle de chacun des seuils peut être envisagée.
Plus particulièrement, les valeurs initiales des seuils THdeep(x), THagregco(x), THnotif(x) et THmitig(x) peuvent être fixées par des experts en cyber-sécurité ou être prises égales à une valeur quelconque, par exemple 0.5.
Puis le module de détection SID considéré applique l’algorithme Q-learning pour mettre à jour récursivement et conjointement les valeurs de seuil. A cet effet, il s’appuie ici sur une fonction « utilité » notée U évaluée à chaque itération t de l’algorithme et définie par :
[Eq. 1] avec ND(t) le nombre d’intrusions détectées correctement à l’itération t par le module de détection SID, NP(t) le nombre de faux positifs détectés par le module de détection SID à l’itération t (i.e. nombre d’anomalies assimilées à des intrusions par le module de détection SID alors qu’il s’agissait de comportements normaux), NN(t) le nombre de faux négatifs détectés par le module de détection SID à l’itération t (i.e. nombre d’anomalies assimilées à des comportements normaux par le module de détection SID alors qu’il s’agissait d’intrusions) et NA(t) le nombre d’intrusions totales affectant la tranche considérée du réseau 1 à l’itération t. Ce nombre NA(t) peut être estimé par le centre d’opérations de sécurité qui dispose d’une vue globale sur le réseau et fourni par ce dernier au module de détection SID (ex. régulièrement). On note que les nombres de faux positifs et de faux négatifs sont déterminés en prenant comme référence les résultats des validations mentionnées précédemment, opérées sur les détections réalisées par le module de détection SID (ex. validation faite par le module C-SID pour un module R-SID ou E-SID, et par le SOC pour un module C-SID).
A chaque itération t, si les valeurs courantes des seuils ne sont pas toutes nulles, le module SID calcule la valeur d’utilité U(t) pour l’itération t et la compare à la valeur d’utilité calculée à l’itération t-1 précédente.
Il met ensuite à jour, en fonction du résultat de la comparaison, une valeur de récompense notée R(t), initialisée à 0. La valeur de récompense est incrémentée ici de 1 quand U(t) > U(t-1) et décrémentée de 1 sinon.
Puis le réseau de neurones de l’algorithme Q-learning est activé pour calculer conjointement de nouvelles valeurs de seuils THdeep(x), THagregco(x), THnotif(x) et THmitig(x) (ou seulement une partie de ces valeurs selon les actions exécutées par le module SID considéré) en lui fournissant ici comme entrées les valeurs courantes des seuils, le nombre d’intrusions détectées sur le segment surveillé par le module de détection SID, les éléments surveillés par celui-ci, le type d’intrusions détectées, et la valeur de récompense courante R(t) qui vient d’être mise à jour.
Les nouvelles valeurs de seuils ainsi calculées sont fournies et utilisées par le module 5 d’analyse en profondeur. Si une intrusion d’un nouveau type est détectée avec ces nouvelles valeurs de seuils, alors de nouveau le module SID incrémente de 1 la valeur de la récompense R(t). Sinon il décrémente de 1 ladite valeur de récompense.
Il convient de noter que dans le mode de réalisation décrit ici, la valeur de la récompense R(t) peut avantageusement être incrémentée deux fois au cours d’une itération : une première fois parce que la fonction d’utilité est meilleure qu’à l’itération précédente suite à la mise à jour des seuils, et une seconde fois parce que la mise à jour des seuils permet de détecter des intrusions d’un nouveau type qui ne pouvaient pas être détectées auparavant.
Les étapes de l’algorithme Q-learning qui viennent d’être décrites sont itérées jusqu’à ce que le ratio ND(t)/NA(t) converge vers 1, comme résumé dans la table 1 ci-dessous pour une mise à jour conjuguée de tous les seuils THdeep(x), THagregco(x), THnotif(x) et THmitig(x) (l’homme du métier saurait adapter sans difficulté ces étapes à une mise à jour de seulement une partie de ces seuils).
On peut également envisager que certains seuils soient fixés statiquement et d’autres dynamiquement.
En référence à la figure 4, conformément à l’invention, le système de surveillance 2 est configuré pour évaluer pour chaque tranche de réseau SLi, i=1,..,N, un indice de confiance global, en appliquant le procédé de surveillance selon l’invention. Lafigure 4représente les principales étapes d’un tel procédé telles que mises en œuvre dans un mode particulier de réalisation par le système de surveillance 2.
Plus particulièrement, conformément à l’invention, chaque module de détection SIDj(SLi) associé à (ou déployé pour surveiller les éléments attachés à) une tranche de réseau SLi comprend outre les sous-modules 3 à 6 précédemment décrits, un sous-module d’évaluation 7 (cf. figure 3A), configuré pour évaluer, lors de la surveillance des éléments rattachés au module de détection SIDj(SLI) (étape E10), une information TLlocj(x,SLi) comprise ici entre 0 et 1 et représentative d’un niveau de confiance local attribué à cette tranche de réseau, x indiquant comme précédemment si le module de détection SIDj(SLi) considéré est un module R-SID, E-SID ou C-SID.
Cette information mesure la confiance du module de détection SIDj(SLi) en les éléments qu’il surveille, cette confiance étant déterminée en fonction des comportements de ces éléments, observés par le module de détection SIDj(SLi) (notamment via son sous-module de surveillance 4). Plus spécifiquement, dans le mode de réalisation décrit ici, l’information (ou plus simplement le niveau de confiance local) TLlocj(x,SLi) est évaluée de la façon suivante par le sous-module d’évaluation 7 du module de détection SIDj(SLi) (étape E20) :
TLlocj(x,SLi)=(BOK-BNOK)/(BOK+BNOK)
où BNOK désigne le nombre d’intrusions détectées sur une période T de temps déterminée par le module de détection SIDj(SLi) affectant les éléments qu’il surveille, BOK désigne le nombre de comportements “normaux” observés par le module de détection SIDj(SLi) sur les éléments qu’il surveille sur la période T. La normalité ou anormalité d’un comportement d’un élément surveillé peut être estimé à partir de critères prédéfinis ou de modèles de comportements normaux tels que ceux utilisés par le sous-module 4 de détection d’anomalies. On note qu’on suppose ici que la différence BOK-BNOK est positive. Si ce n’est pas le cas, la valeur de l’indice de confiance est forcée à 0.
Ainsi, si les éléments surveillés par un module de détection SIDj(SLi) persistent à avoir des comportements jugés « anormaux » (laissant suspecter la présence d’une intrusion), l’indice de confiance local TLlocj(x,SLi) tend vers 0. Inversement, si des comportements normaux sont observés, l’indice de confiance local TLlocj(x,SLi) tend vers 1. On note que l’indice de confiance local TLlocj(x,SLi) est obtenu en considérant tous les éléments surveillés par le module de détection SIDj(SLi) (autrement dit on moyenne des indices de confiance associés individuellement à chaque élément surveillé).
Bien entendu, d’autres manières d’estimer un indice de confiance local peuvent être envisagées dans le contexte de l’invention, comme par exemple une somme pondérée des nombres BOK et BNOK, seulement l’un de ces deux nombres, ou toute autre fonction de ces deux nombres, etc.
Comme mentionné ci-avant, un niveau de confiance local est évalué par chaque module de détection SIDj(SLi) déployé sur la tranche de réseau SLi : autrement dit, chaque module R-SIDj(SLi), chaque module E-SIDj(SLi) et chaque module C-SIDj(SLi) déployés sur la tranche de réseau SLi évaluent un indice de confiance local en tenant compte du comportement des éléments qu’ils surveillent respectivement. Les indices de confiance locaux ainsi évalués pour la tranche de réseau SLi sont ensuite fournis à un module de détection C-SID*(SLi) déployé au niveau du cœur de réseau (étape E30) pour la tranche de réseau SLi. Dans le mode de réalisation décrit ici, on suppose que cette fourniture se fait de manière sécurisée par exemple en chiffrant les messages comprenant les indices de confiance locaux ; ce chiffrement peut s’appuyer notamment sur un protocole de cryptographie robuste et léger tel que celui décrit dans le document de J. Ni et al. intitulé « Efficient, Secure and Privacy-preserving Network Slicing for 5G-enabled IoT Systems », IEEE Journal on Selected Areas in Communications, vol. 36, issue 3, 2018.
Dans le mode de réalisation décrit ici, le module de détection C-SID*(SLi) comprend, outre les sous-modules 3 à 7 précédemment décrits, un second sous-module 8 d’évaluation ainsi qu’un sous-module 9 de mitigation (cf. figure 3B). Le second sous-module 8 d’évaluation est configuré pour évaluer un indice de confiance global pour la tranche de réseau SLi, compris ici entre 0 et 1, à partir des informations représentatives des indices de confiance locaux fournies par l’ensemble des modules de détection SIDj(SLi). Plus particulièrement, dans le mode de réalisation décrit ici, l’indice de confiance global TL(SLi) pour la tranche de réseau SLi est évalué par le sous-module 8 du module de détection C-SID*(SLi) comme la moyenne des indices de confiance locaux fournis par tous les modules SIDj(SLi) associés à la tranche SLi (étape E40).
En variante, l’indice de confiance global peut être évalué en utilisant une autre fonction que la moyenne des indices de confiance locaux, comme par exemple un écart-type des indices de confiance locaux, une somme pondérée avec un poids plus important donné aux indices de confiance locaux estimés par les modules C-SID qui ont une vue plus globale sur le réseau, etc.
On note que les indices de confiance locaux évalués par les modules R-SID peuvent être collectés par les modules E-SID en liaison avec les modules R-SID, puis fournis par les modules R-SID à un module C-SID, lui-même en connexion avec le module C-SID*. En variante, une communication directe entre les modules R-SID et E-SID et le module C-SID* peut être envisagée.
Le module C-SID*(SLi) est ici l’un des modules de détection C-SID(SLi) déployés dans le réseau cœur et en charge de surveiller une ou plusieurs fonctions réseau activées pour la tranche de réseau SLi. Dans le mode de réalisation décrit ici, on choisit comme module C-SID*(SLi) un module de détection C-SID déployé dans le cœur de réseau au plus proche du (ou des) réseau(x) de périphérie et du (ou des) réseau(x) d’accès, par exemple, le module de détection C-SID en charge de la surveillance de la fonction réseau AMF (qui correspond à la « première » fonction active du réseau cœur sollicitée pour l’accès au service fourni par la tranche de réseau SLi). En variante, il peut s’agir le module de détection C-SID en charge de la surveillance d’une autre fonction réseau telle que la fonction UPF. On note que pour le calcul de l’indice global de confiance, le module C-SID*(SLi) choisi prend également en compte son propre indice de confiance local.
Une fois l’indice de confiance global évalué, le module C-SID*(SLi) détermine, au moyen de son sous-module 9 de mitigation, si une action de mitigation doit être déclenchée compte tenu de la valeur de cet indice (étape test E50). A cet effet, il compare l’indice de confiance global évalué TL(SLi) avec un seuil donné, noté ici THTL(SLi). Ce seuil peut varier d’une tranche de réseau à un autre (par exemple être plus élevé pour les tranches de réseau nécessitant une sécurité accrue), ou être le même pour toutes les tranches de réseau, dépendre des services offerts sur la tranche de réseau, etc. Il peut être fixé par un expert en cyber-sécurité pour chacune des tranches de réseaux considérées et peut être paramétrable et évoluer au fil du temps. Par exemple, ce seuil peut être fixé à 0.8.
En raison de la convention utilisée ici, si l’indice de confiance global évalué TL(SLi) est ici inférieur au seuil THTL(SLi) défini pour cette tranche (réponse oui à l’étape test E50), alors le sous-module 9 de mitigation déclenche une action de mitigation d’une intrusion pour la tranche de réseau SLi (étape E60). Différents types d’actions de mitigation peuvent être déclenchées : par exemple, le module C-SID*(SLi) peut décider d’isoler (i.e. supprimer ou désactiver) la tranche de réseau SLi notamment si l’indice de confiance global est inférieur à un seuil bas (ex. 0.3), ou d’isoler un segment de réseau sur lequel s’appuie la tranche de réseau SLi, ou d’identifier dans une liste noire certains éléments associés à cette tranche de réseau considérés comme malicieux (le module C-SID*(SLi) peut à cet effet s’appuyer sur les informations remontées par les différents modules SID(SLi) déployés pour surveiller la tranche de réseau pour identifier de tels éléments et/ou les actions à entreprendre), de sorte à bloquer le trafic à destination ou en provenance de ces éléments malicieux, ou d’informer le centre d’opérations de sécurité SOC qui peut décider des actions de mitigation à effectuer dans le réseau 1, etc. Il convient de noter que l’action de mitigation déclenchée peut varier en fonction également de la valeur de l’indice de confiance global TL(SLi) ; de même, l’action de mitigation peut être décidée par le module C-SID*(SLi) en analysant les indices de confiance locaux, pour déterminer où cette action doit être menée ou quelle action doit être entreprise.
Si l’indice de confiance global évalué TL(SLi) est supérieur au seuil THTL(SLi) (réponse non à l’étape test E50), aucune action de mitigation n’est entreprise (étape E70). Le module C-SID*(SLi) peut en informer les autres modules SID(SLi) associés à la tranche SLi, notamment ceux à l’origine d’indices de confiance locaux faibles, et leur envoyer des informations leur permettant de mettre à jour par exemple les attributs utilisés par leurs techniques de détection.
On note que d’autres approches peuvent être envisagées pour évaluer les indices de confiance locaux et global associés à une tranche de réseau. Par exemple, une approche telle que celle décrite dans le document de B. Niu et al. intitulé “5G Network Slice Security Trust Degree Calculation Model”, 3rd IEEE International Conference on Computer and Communications, Chengdu, China, 2017, pp. 1150-1157, peut être utilisée en variante.
L’invention propose ainsi une solution qui permet de garantir la sécurité de bout en bout de tranches de réseau, en s’appuyant sur une technique de calcul hybride combinant à la fois un calcul distribué d’indices de confiance locaux et un calcul centralisé d’un indice de confiance global pour chaque tranche du réseau. L’indice global calculé en est d’autant plus robuste et permet le cas échéant une action de mitigation adaptée à chaque tranche de réseau considérée.

Claims (12)

  1. Système de surveillance (2) d’au moins une tranche (SL1,…,SL8) d’un réseau de communications (1) utilisant au moins un réseau d’accès, un réseau de périphérie et un réseau cœur, ledit système comprenant, pour chaque tranche, une pluralité de modules de détection d’intrusions (R-SID, E-SID, C-SID) configurés pour surveiller des éléments associés à ladite tranche et comportant au moins un premier module (R-SID) de détection d’intrusions au niveau du réseau d’accès, un deuxième module (E-SID) de détection d’intrusions au niveau du réseau de périphérie, et au moins un troisième module (C-SID) au niveau du réseau cœur, chacun desdits modules étant configuré pour fournir une information représentative d’un niveau de confiance local attribué à ladite tranche en fonction d’un comportement d’au moins un élément qu’il surveille, un dit troisième module (C-SID*) étant en outre configuré pour évaluer, à partir desdites informations fournies, un niveau de confiance global pour ladite tranche et à déclencher une action de mitigation d’une intrusion pour ladite tranche en fonction d’une valeur de ce niveau de confiance global.
  2. Système de surveillance (2) selon la revendication 1 dans lequel ladite pluralité de modules de détection associée à ladite tranche comprend une pluralité de troisièmes modules (C-SID) associés respectivement à des fonctions réseau actives distinctes du réseau cœur.
  3. Système de surveillance (2) selon la revendication 2 dans lequel ledit troisième module (C-SID*) configuré pour évaluer le niveau de confiance global est sélectionné parmi ladite pluralité de troisièmes modules en fonction de sa proximité au réseau d’accès et/ou au réseau de périphérie.
  4. Système de surveillance (2) selon l’une quelconque des revendications 1 à 3 dans lequel le niveau de confiance global pour ladite tranche est une moyenne des niveaux de confiance locaux fournis par ladite pluralité de modules de détection.
  5. Système de surveillance (2) selon l’une quelconque des revendications 1 à 4 dans lequel au moins un niveau de confiance local est évalué par un dit module de détection pour la dite tranche comme un ratio entre une soustraction d’un nombre de comportements normaux dudit au moins un élément surveillé par ce module de détection et d’un nombre d’intrusions affectant ledit au moins un élément surveillé par ce module de détection détectées sur une période de temps donnée, par une somme desdits nombres.
  6. Système de surveillance (2) selon l’une quelconque des revendications 1 à 5 dans lequel ladite action de mitigation comprend, si la valeur du niveau de confiance global est inférieure à un seuil donné, une isolation de ladite tranche du réseau et/ou une éviction d’au moins un élément du réseau d’accès, du réseau de périphérie et/ou du réseau cœur identifiés comme ciblés par une intrusion.
  7. Système de surveillance (2) selon l’une quelconque des revendications 1 à 6 dans lequel ledit premier module est configuré pour, sur détection d’une intrusion, signaler ladite intrusion détectée audit deuxième module et/ou à un dit premier module associé à une autre tranche utilisant ledit réseau d’accès.
  8. Système de surveillance (2) selon l’une quelconque des revendications 1 à 7 dans lequel ledit deuxième module est configuré pour, sur détection d’une intrusion, signaler ladite intrusion détectée audit au moins un troisième module et/ou déclencher une action de mitigation au niveau du réseau d’accès et/ou du réseau de périphérie.
  9. Système de surveillance (2) selon l’une quelconque des revendications 1 à 8 dans lequel au moins un dit module de détection est configuré pour exécuter au moins une action parmi une action d’analyse en profondeur, une action de notification, et/ou une action de mitigation lorsqu’il détecte qu’une probabilité d’exécuter ladite action est supérieure à un seuil déterminé.
  10. Système de surveillance (2) selon la revendication 9 dans lequel ledit seuil est déterminé dynamiquement pour ledit module de détection en fonction d’un nombre de fausses détections réalisées par ledit module de détection.
  11. Réseau de communications (1), configuré pour mettre en œuvre un découpage en tranches, ledit réseau de communications comprenant un système de surveillance selon l’une quelconque des revendications 1 à 10 configuré pour surveiller au moins une tranche dudit réseau.
  12. Procédé de surveillance d’au moins une tranche (SL1,..,SL8) d’un réseau de communications (1) utilisant au moins un réseau d’accès, un réseau de périphérie et un réseau cœur, ledit procédé comprenant :
    - une étape de surveillance (E10) de ladite tranche par une pluralité de modules de détection d’intrusions configurés pour surveiller des éléments associés à ladite tranche et comportant au moins un premier module de détection d’intrusions au niveau du réseau d’accès, un deuxième module de détection d’intrusions au niveau du réseau de périphérie, et au moins un troisième module au niveau du réseau cœur ;
    - une étape de fourniture (E30), par chacun desdits modules (R-SID, E-SID, C-SID), d’une information représentative d’un niveau de confiance local attribué à ladite tranche en fonction d’un comportement d’au moins un élément surveillé par ledit module ;
    - une étape d’évaluation (E40), par un dit troisième module, à partir desdites informations fournies, d’un niveau de confiance global pour ladite tranche ; et
    - une étape de déclenchement (E60) d’une action de mitigation d’une intrusion pour ladite tranche en fonction d’une valeur de ce niveau de confiance global.
FR2006453A 2020-06-19 2020-06-19 Système et procédé de surveillance d’au moins une tranche d’un réseau de communications utilisant un indice de confiance attribué à la tranche du réseau Withdrawn FR3111505A1 (fr)

Priority Applications (4)

Application Number Priority Date Filing Date Title
FR2006453A FR3111505A1 (fr) 2020-06-19 2020-06-19 Système et procédé de surveillance d’au moins une tranche d’un réseau de communications utilisant un indice de confiance attribué à la tranche du réseau
PCT/FR2021/051109 WO2021255400A1 (fr) 2020-06-19 2021-06-18 Surveillance d'au moins une tranche d'un reseau de communications utilisant un indice de confiance attribue a la tranche du reseau
US18/002,149 US20230232235A1 (en) 2020-06-19 2021-06-18 Monitoring of at least one slice of a communications network using a confidence index assigned to the slice of the network
EP21740600.8A EP4169226A1 (fr) 2020-06-19 2021-06-18 Surveillance d'au moins une tranche d'un reseau de communications utilisant un indice de confiance attribue a la tranche du reseau

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2006453A FR3111505A1 (fr) 2020-06-19 2020-06-19 Système et procédé de surveillance d’au moins une tranche d’un réseau de communications utilisant un indice de confiance attribué à la tranche du réseau
FR2006453 2020-06-19

Publications (1)

Publication Number Publication Date
FR3111505A1 true FR3111505A1 (fr) 2021-12-17

Family

ID=72801614

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2006453A Withdrawn FR3111505A1 (fr) 2020-06-19 2020-06-19 Système et procédé de surveillance d’au moins une tranche d’un réseau de communications utilisant un indice de confiance attribué à la tranche du réseau

Country Status (1)

Country Link
FR (1) FR3111505A1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050039047A1 (en) * 2003-07-24 2005-02-17 Amit Raikar Method for configuring a network intrusion detection system
CN105516177B (zh) * 2015-12-28 2019-02-22 上海交通大学 基于sdn和nfv的5g网络多级攻击缓解方法
WO2019115173A1 (fr) * 2017-12-14 2019-06-20 Commissariat A L'energie Atomique Et Aux Energies Alternatives Dispositif et procede de controle de sondes permettant la detection d'intrusions sur un reseau

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050039047A1 (en) * 2003-07-24 2005-02-17 Amit Raikar Method for configuring a network intrusion detection system
CN105516177B (zh) * 2015-12-28 2019-02-22 上海交通大学 基于sdn和nfv的5g网络多级攻击缓解方法
WO2019115173A1 (fr) * 2017-12-14 2019-06-20 Commissariat A L'energie Atomique Et Aux Energies Alternatives Dispositif et procede de controle de sondes permettant la detection d'intrusions sur un reseau

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
B. NIU ET AL.: "5G Network Slice Security Trust Degree Calculation Model", 3RD IEEE INTERNATIONAL CONFÉRENCE ON COMPUTER AND COMMUNICATIONS, 2017, pages 1150 - 1157
J. NI ET AL.: "Efficient, Secure and Privacy-preserving Network Slicing for 5G-enabled IoT Systems", IEEE JOURNAL ON SELECTED AREAS IN COMMUNICATIONS, vol. 36, no. 3, 2018
LIU YICEN ET AL: "A Dynamic Composition Mechanism of Security Service Chaining Oriented to SDN/NFV-Enabled Networks", IEEE ACCESS, vol. 6, 17 September 2018 (2018-09-17), pages 53918 - 53929, XP011692976, DOI: 10.1109/ACCESS.2018.2870601 *
Y. KHETTAB ET AL.: "Virtual Security as a Service for 5G Verticals", WCNC 2018, IEEE WIRELESS COMMUNICATIONS AND NETWORKING CONFÉRENCE

Similar Documents

Publication Publication Date Title
US11665194B2 (en) Automatic retraining of machine learning models to detect DDoS attacks
US10581901B2 (en) Increased granularity and anomaly correlation using multi-layer distributed analytics in the network
US10389741B2 (en) Edge-based detection of new and unexpected flows
US10404728B2 (en) Learning internal ranges from network traffic data to augment anomaly detection systems
US10917421B2 (en) Refining synthetic malicious samples with unlabeled data
US20190349403A1 (en) Detecting targeted data exfiltration in encrypted traffic
WO2006010866A1 (fr) Syteme et procedes de securisation de postes informatiques et/ou de reseaux de communications
FR3095313A1 (fr) Procédé et dispositif de traitement d’un message d’alerte notifiant une anomalie détectée dans un trafic émis via un réseau
Huertas Celdrán et al. Towards the autonomous provision of self-protection capabilities in 5G networks
EP4021051A1 (fr) Procede d'apprentissage collaboratif entre une pluralite de noeuds d'un reseau d'un modele de detection d'anomalies
Modarresi et al. A framework for improving network resilience using SDN and fog nodes
US20230396512A1 (en) Advanced Machine Learning Techniques for Internet Outage Detection
Tonini et al. Network slicing automation: Challenges and benefits
Demırcı et al. Virtual security functions and their placement in software defined networks: A survey
Yurekten et al. Citadel: Cyber threat intelligence assisted defense system for software-defined networks
FR3111506A1 (fr) Système et procédé de surveillance d’au moins une tranche d’un réseau de communications
Roy An Effective FOG Computing Based Distributed Forecasting of Cyber-Attacks in Internet of Things.
FR3111505A1 (fr) Système et procédé de surveillance d’au moins une tranche d’un réseau de communications utilisant un indice de confiance attribué à la tranche du réseau
EP4169226A1 (fr) Surveillance d'au moins une tranche d'un reseau de communications utilisant un indice de confiance attribue a la tranche du reseau
Cruz et al. Cooperative security management for broadband network environments
EP4162652A1 (fr) Procédé de détection d'anomalies dans un réseau de communication, procédé de coordination de détection d'anomalies, dispositifs, équipement routeur, système de gestion d'anomalies et programmes d'ordinateur correspondants
Marnerides et al. A multi-level resilience framework for unified networked environments
Bao et al. An elastic-hybrid honeynet for cloud environment
US20240129740A1 (en) Systems and methods for cellular network security slicing
US20240171979A1 (en) Detecting anomalous behaviour in an edge communication network

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20211217

ST Notification of lapse

Effective date: 20230205