FR3123527A1 - Procédé de surveillance d’un réseau, dispositif et système associés - Google Patents

Procédé de surveillance d’un réseau, dispositif et système associés Download PDF

Info

Publication number
FR3123527A1
FR3123527A1 FR2105606A FR2105606A FR3123527A1 FR 3123527 A1 FR3123527 A1 FR 3123527A1 FR 2105606 A FR2105606 A FR 2105606A FR 2105606 A FR2105606 A FR 2105606A FR 3123527 A1 FR3123527 A1 FR 3123527A1
Authority
FR
France
Prior art keywords
monitoring
network
monitoring devices
management device
local
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR2105606A
Other languages
English (en)
Inventor
Hichem SEDJELMACI
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Priority to FR2105606A priority Critical patent/FR3123527A1/fr
Publication of FR3123527A1 publication Critical patent/FR3123527A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Procédé et dispositif de surveillance d’une sécurité d’un réseau Le procédé de surveillance selon l’invention comprend : une étape (F50) de réception d’une pluralité d’alertes émises par une première pluralité de dispositifs de surveillance configurés pour protéger le réseau, lesdites alertes reportant des anomalies détectées par lesdits dispositifs de surveillance ; une étape (F60) de détermination, pour chaque dispositif de surveillance de ladite première pluralité, d’une métrique (f(IDSji)) associée audit dispositif de surveillance en fonction d’un niveau de détection et d’un niveau de consommation de ressources dudit dispositif de surveillance ;une étape (F80,F90) d’utilisation, pour la surveillance du réseau, des alertes émises par les dispositifs de surveillance associés à une métrique dépassant un premier seuil donné. Figure 4

Description

Procédé de surveillance d’un réseau, dispositif et système associés
L’invention se rapporte au domaine général des télécommunications et plus particulièrement à la sécurité des réseaux de communications et à la protection de ces derniers contre des attaques telles que des attaques informatiques aussi communément appelées cyber-attaques.
Les menaces de cyber-attaques ont augmenté substantiellement ces dernières années avec les nouveaux réseaux de télécommunications qui exploitent notamment des techniques de virtualisation de fonctions réseau (ou NFV pour « Network Function Virtualization » en anglais), de réseau défini par logiciel (ou SDN pour « Software Defined Networking » en anglais) ou encore de découpage de réseaux en tranches (ou « network slicing » en anglais), et l’utilisation croissante des téléphones intelligents (ou « smartphones » en anglais) et autres tablettes ou surfaces.
De nombreux composants sont ainsi déployés dans les réseaux de télécommunications pour assurer leur protection, tels que par exemple des systèmes anti-virus, des pare-feux, des systèmes de détection d’intrusion, etc. Dans la suite, on désigne de manière générale ces différents composants par « dispositifs de surveillance d’un réseau ».
Ces dispositifs de surveillance peuvent être déployés et fonctionner de manière indépendante les uns des autres. Toutefois de nombreuses cyber-attaques ne peuvent être reconnues que si les logs et les événements de différents dispositifs de surveillance sont combinés et corrélés entre eux.
Les systèmes de gestion des événements et des informations de sécurité, plus communément appelés SIEM pour « Security Information and Event Management » en anglais, offrent cette possibilité. Ils permettent de consolider et d’évaluer les alertes remontées par plusieurs dispositifs de surveillance déployés pour protéger un réseau, en agrégeant, corrélant et analysant les informations récoltées par ces dispositifs de surveillance. Ces systèmes SIEM sont toutefois souvent très complexes et coûteux en termes de déploiement et de maintenance.
Le document de K-O. Detken et al., intitule “SIEM Approach for a Higher Level of Security in Enterprise Networks”, 8thIEEE International Conference on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications”, 24-26 septembre 2015, propose une intégration simplifiée d’un tel système SIEM qui peut être réalisée moyennant des efforts de configuration, de fonctionnement et de maintenance limités. Toutefois, en dépit de cette intégration simplifiée, la charge de traitement à laquelle est soumis un tel système SIEM est très importante, en raison notamment du grand nombre d’alertes remontées par les dispositifs de surveillance que le système SIEM doit corréler et traiter pour déterminer de façon précise si une ou plusieurs cyber-attaques ciblent le réseau. Cette charge de traitement importante induit un temps de détection des cyber-attaques qui peut s’avérer long, ce qui peut affecter l’efficacité des actions mises en œuvre pour mitiger ces cyber-attaques, et donc la sécurité du réseau. En outre, la fiabilité du système SIEM dépend de la fiabilité des alertes qui lui sont remontées : si le système SIEM est alimenté avec un grand nombre de fausses détections, il risque de fournir lui-même une détection erronée.
L’invention permet de pallier notamment aux inconvénients précités en proposant un procédé de surveillance d’un réseau par un dispositif de gestion d’une sécurité de ce réseau, le procédé de surveillance comprenant :
  • une étape de réception d’une pluralité d’alertes émises par une première pluralité de dispositifs de surveillance configurés pour protéger le réseau, lesdites alertes reportant des anomalies détectées par lesdits dispositifs de surveillance ;
  • une étape de détermination, pour chaque dispositif de surveillance de ladite première pluralité, d’une métrique associée audit dispositif de surveillance en fonction d’un niveau de détection et d’un niveau de consommation de ressources dudit dispositif de surveillance ; et
  • une étape d’utilisation, pour la surveillance du réseau, des alertes émises par les dispositifs de surveillance associés à une métrique dépassant un premier seuil donné.
Corrélativement, l’invention vise aussi un dispositif de gestion d’une sécurité d’un réseau comprenant :
  • un module de réception, configuré pour recevoir une pluralité d’alertes émises par une première pluralité de dispositifs de surveillance configurés pour protéger le réseau, ces alertes reportant des anomalies détectées par lesdits dispositifs de surveillance ;
  • un module de détermination configuré pour déterminer, pour chaque dispositif de surveillance de ladite première pluralité, une métrique associée audit dispositif de surveillance en fonction d’un niveau de détection et d’un niveau de consommation de ressources dudit dispositif de surveillance ; et
  • un module de surveillance du réseau, configuré pour utiliser les alertes émises par les dispositifs de surveillance associés à une métrique dépassant un premier seuil donné, pour détecter si une attaque informatique menace ledit réseau.
Aucune limitation n’est attachée à la nature des éléments du réseau protégés par les dispositifs de surveillance. Il peut s’agir d’équipements physiques (ex. serveurs, mémoires, CPU (pour « Central Processing Unit » en anglais), etc.) ou d’éléments virtuels ou logicielles (comme par exemple des fonctions réseau virtuelles ou VNFs).
En outre, aucune limitation n’est attachée à la nature des dispositifs de surveillance impliqués dans l’invention. Il peut s’agir de systèmes de détection d’intrusion (ou IDS pour « Intrusion Detection Systems »), de pare-feux, de systèmes anti-virus, etc. De même, le dispositif de gestion de la sécurité du réseau peut être un système de type SIEM adapté pour mettre en œuvre l’invention, mais il peut également s’agir en variante d’un centre d’opérations de sécurité ou SOC (pour « Security Operation Center » en anglais), ou de tout autre type d’équipement en charge de la sécurité d’un réseau, et configuré pour recevoir et traiter des alertes remontées par plusieurs dispositifs de surveillance du réseau.
Ainsi, conformément à l’invention, le dispositif de gestion ne tient compte et ne traite que les alertes remontées par des dispositifs de surveillance auxquels le dispositif de gestion associe des métriques dépassant un certain seuil. Ces métriques dépendent avantageusement à la fois du niveau de détection des dispositifs de surveillance en question et des ressources consommées pour cette surveillance, ce qui permet d’assurer un compromis entre précision de la détection et complexité en résultant. Par exemple, la métrique considérée par le dispositif de gestion pour chaque dispositif de surveillance est une fonction linéaire du niveau de détection et du niveau de consommation de ressources associés à ce dispositif de surveillance.
Le niveau de détection associé à un dispositif de surveillance peut être indifféremment, au sens de l’invention, un niveau « absolu » (ex. nombre d’anomalies détectées ou correctement détectées par le dispositif de surveillance en question sur une période de temps donnée), un niveau « relatif » (ex. taux de détection correspondant au ratio du nombre d’anomalies détectées par le dispositif de surveillance et du nombre d’anomalies effectivement présentes dans le réseau et susceptibles d’affecter le ou les éléments du réseau surveillés par le dispositif de surveillance, ou taux de détections correctes correspondant au ratio du nombre d’anomalies correctement détectées par le dispositif de surveillance et du nombre total d’anomalies qu’il a détectées), ou encore une combinaison des deux. Un niveau de détection « relatif » donne avantageusement une indication sur la précision et la robustesse du dispositif de surveillance, tandis qu’un niveau de détection « absolu » donne également une indication sur la menace en termes de cyber-attaques portant sur le ou les éléments du réseau qu’il surveille. Le niveau de détection du dispositif de surveillance peut également prendre en compte le taux ou le nombre de fausses alertes émises par le dispositif de surveillance sur une période de temps donnée, autrement dit de fausses détections réalisées par le dispositif de surveillance sur cette période de temps. Afin de déterminer si une anomalie est correctement ou faussement détectée, il est possible de s’appuyer notamment sur les détections réalisées par le dispositif de gestion ou par une autre entité centrale, telle que par exemple un centre d’opérations de sécurité (ou SOC), ou encore par un expert en cybersécurité.
La consommation des ressources peut être évaluée aussi bien en termes de quantités de ressources physiques consommées (ex. espace mémoire requis, puissance de calcul, signalisation induite par les alertes remontées, etc.), que de temps mis pour exécuter les actions de protection/surveillance ou durant lequel de telles ressources physiques sont sollicitées (ex. temps CPU). Par exemple, le niveau de consommation de ressources peut comprendre :
  • une quantité de signalisation nécessaire pour émettre ladite alerte ; et/ou
  • une consommation d’une ressource de calcul et/ou de traitement par le dispositif de surveillance ; et/ou
  • une consommation d’une ressource de stockage par le dispositif de surveillance.
L’invention propose donc un nouveau concept hiérarchique de détection de cyber-attaques s’appuyant sur une pluralité de dispositifs de surveillance et sur un dispositif de gestion de la sécurité du réseau auquel rapportent ces dispositifs de surveillance, ce nouveau concept permettant de détecter de façon efficace et précise les cyber-attaques ciblant le réseau tout en limitant la charge de traitement associée. Bien que la charge de traitement soit réduite, l’invention permet de limiter les mauvaises détections et plus particulièrement, d’atteindre un faible taux de faux positifs (autrement dit d’attaques détectées alors qu’il ne s’agit pas d’attaques à proprement parler). La réduction du nombre d’alertes traitées par le dispositif de gestion parmi toutes celles qui lui sont remontées, celles-ci étant dûment sélectionnées pour garantir la précision de la détection, permet au dispositif de gestion de détecter plus rapidement les cyber-attaques ciblant le cas échéant le réseau et ainsi, de mettre en place plus vite des actions de mitigation contre ces cyber-attaques. La sécurité du réseau surveillé par les dispositifs de surveillance et par le dispositif de gestion selon l’invention est ainsi améliorée, tout en garantissant une complexité raisonnable.
Le choix du seuil déclenchant la prise en compte de l’alerte remontée par un dispositif de surveillance peut dépendre de plusieurs facteurs, et notamment de la métrique considérée, du compromis souhaité entre précision et complexité, etc. Ce seuil peut être fixé par des experts, et peut évoluer au cours du temps. Il ne doit toutefois pas être choisi trop élevé au risque de détériorer la précision de détection, ni trop faible au risque de générer un grand nombre de faux positifs par le dispositif de gestion.
Dans un mode particulier de réalisation, le procédé de surveillance comprend en outre, lors d’une phase d’apprentissage d’un modèle comportemental dit global utilisé pour ladite surveillance du réseau par le dispositif de gestion de la sécurité du réseau :
  • une étape de réception, en provenance d’une deuxième pluralité de dispositifs de surveillance configurés pour protéger le réseau, d’un modèle comportemental dit local maintenu par chacun desdits dispositifs de surveillance de ladite deuxième pluralité ;
  • une étape d’évaluation, pour chaque dispositif de surveillance de ladite deuxième pluralité, d’une métrique de risque associée au modèle comportemental local reçu de ce dispositif de surveillance ;
  • une étape de mise à jour du modèle comportemental global en utilisant les modèles comportementaux locaux associés à des métriques de risque inférieures ou égales à un deuxième seuil donné.
Corrélativement, le dispositif de gestion selon l’invention peut comprendre en outre, dans ce mode de réalisation, un module d’apprentissage d’un modèle comportemental dit global utilisé par ledit module de surveillance du réseau, ce module étant configuré pour :
  • recevoir, en provenance d’une deuxième pluralité de dispositifs de surveillance configurés pour protéger le réseau, d’un modèle comportemental dit local maintenu par chacun desdits dispositifs de surveillance de ladite deuxième pluralité ;
  • évaluer, pour chaque dispositif de surveillance de ladite deuxième pluralité, une métrique de qualité d’information associée au modèle comportemental local reçu de ce dispositif de surveillance ; et
  • mettre à jour le modèle comportemental global en utilisant les modèles comportementaux locaux associés à des métriques de qualité d’information inférieures ou égales à un deuxième seuil donné.
On note que par souci de limiter les ressources nécessaires pour transmettre les modèles comportementaux locaux au dispositif de gestion, ceux-ci peuvent être transmis sous une forme condensée : par exemple, les dispositifs de surveillance peuvent transmettre au dispositif de gestion des paramètres définissant de manière univoque les modèles comportementaux locaux, ces mêmes paramètres étant utilisés pour mettre à jour le modèle comportemental global.
Bien que l’invention ne se limite pas à l’utilisation d’un algorithme de surveillance et de détection d’anomalies ou d’attaques particulier aussi bien au niveau des dispositifs de surveillance que du dispositif de gestion, elle a une application privilégiée lorsque les dispositifs de surveillance et le dispositif de gestion mettent en œuvre une approche collaborative dite d’apprentissage fédéré. Selon cette approche, les dispositifs de surveillance impliqués (autrement dit appartenant à la deuxième pluralité au sens de l’invention) disposent localement de données d’apprentissage et utilisent ces données d’apprentissage locales pour apprendre chacun, indépendamment les uns des autres, un modèle comportemental local. Les modèles locaux appris individuellement par les dispositifs de surveillance, ou de façon équivalente les paramètres définissant ces modèles, sont ensuite fournis au dispositif de gestion qui va coordonner ces modèles locaux (ou ces paramètres des modèles locaux) et dériver à partir de ceux-ci un modèle comportemental global qu’il partage ensuite avec les dispositifs de surveillance. On note que la deuxième pluralité de dispositifs de surveillance et la première pluralité de dispositifs de surveillance peuvent être identiques ou comprendre des dispositifs de surveillance en tout ou partie différents.
Cette approche collaborative, par opposition à une approche totalement centralisée au niveau du dispositif de gestion, permet de préserver la sécurité des données d’apprentissage et de limiter les quantités de données échangées sur le réseau pour obtenir le modèle comportemental global : les données d’apprentissage collectées par les dispositifs de surveillance de la deuxième pluralité sont stockées localement au niveau de ces derniers et ne sont pas transmises en l’état au dispositif de gestion via le réseau.
Avantageusement dans ce mode de réalisation, conformément à l’invention, le dispositif de gestion va associer une métrique de risque aux modèles locaux qui lui sont fournis par les dispositifs de surveillance, et va ne tenir compte pour dériver le modèle comportemental global que des modèles locaux associés à une métrique de risque inférieure ou égale à un seuil donné. L’idée de cette métrique de risque est de détecter parmi les dispositifs de surveillance de la deuxième pluralité ceux qui sont susceptibles d’être ciblés par une attaque, et ainsi de ne pas prendre en compte les modèles locaux remontés par ces derniers.
Typiquement, une telle métrique de risque permet de détecter les dispositifs de surveillance de la deuxième pluralité affectés par une attaque de type « resource exhaustion », qui se traduit par une remontée au dispositif de gestion de (paramètres de) modèles locaux similaires ou identiques à chaque itération. Le dispositif de gestion consomme alors des ressources pour traiter ces modèles locaux alors qu’ils n’apportent aucune nouvelle information pour le modèle global. Pour traquer ce type de comportement, on peut considérer par exemple comme métrique de risque associée à un dispositif de surveillance le ratio du nombre d’itérations où le dispositif de surveillance remonte un modèle comportemental local (ou des paramètres d’un tel modèle) similaire(s) ou identique(s) (à un delta près à définir en fonction de la précision de détection du dispositif de surveillance) et du produit du nombre de dispositifs (dispositifs de surveillance de la deuxième pluralité et éventuellement, dispositif de gestion s’il maintient lui-même un modèle comportemental local en plus du modèle comportemental global) impliqués dans l’approche collaborative par le nombre d’itérations écoulées.
On note que dans certains contextes, il est possible de tempérer l’éviction des (paramètres de) modèles locaux remontés par des dispositifs de surveillance associés à des métriques de risque dépassant le (ex. supérieures aux) deuxième seuil. Ce peut être le cas notamment lorsque ces dispositifs de surveillance se trouvent dans le voisinage d’une attaque, car les modèles comportementaux locaux qu’ils remontent alors au dispositif de gestion peuvent apporter de précieuses informations au modèle global déterminé par le dispositif de gestion.
Ainsi, dans un mode particulier de réalisation, lors de l’étape de mise à jour, le modèle comportemental global est mis à jour en utilisant en outre les modèles comportementaux locaux associés à des métriques de risque dépassant le deuxième seuil donné et provenant de dispositifs de surveillance se trouvant dans un voisinage d’une attaque détectée par le dispositif de gestion.
Par « voisinage », on entend notamment, suivant le contexte de mise en œuvre de l’invention, que les dispositifs de surveillance se trouvent dans la même couverture radio qu’une cible de l’attaque détectée ou qu’une entité malicieuse à l’origine de l’attaque détectée, ou dans l’exemple d’un réseau filaire, qu’ils sont connectés à une cible de l’attaque détectée ou à une entité malicieuse à l’origine de l’attaque détectée.
En variante, on peut envisager que le dispositif de gestion associe un indice de confiance à chaque dispositif de surveillance de la deuxième pluralité (par exemple en fonction des bonnes et mauvaises détections remontées par le dispositif de surveillance), et exploite ou non le modèle local fourni par ce dispositif de surveillance en fonction de la valeur de cet indice de confiance.
Dans ces modes de réalisation où on considère les modèles comportementaux locaux remontés par des dispositifs de surveillance au voisinage d’une attaque détectée par le dispositif de gestion même si les métriques de risque associées dépassent le deuxième seuil, le procédé de surveillance peut alors comprendre en outre une étape de réinitialisation à zéro des métriques de risque associées à ces dispositifs de surveillance.
Dans un mode particulier de réalisation de l’invention, le procédé de surveillance est mis en œuvre par un ordinateur.
L’invention vise également un programme d’ordinateur sur un support d’enregistrement, ce programme étant susceptible d’être mis en œuvre dans un ordinateur ou plus généralement dans un dispositif de gestion de la sécurité d’un réseau conforme à l’invention et comporte des instructions adaptées à la mise en œuvre d’un procédé de surveillance tel que décrit ci-dessus.
Ce programme peut utiliser n’importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n’importe quelle autre forme souhaitable.
L’invention vise aussi un support d'information ou un support d’enregistrement lisibles par un ordinateur, et comportant des instructions du programme d'ordinateur mentionné ci-dessus.
Le support d'information ou d’enregistrement peut être n'importe quelle entité ou dispositif capable de stocker les programmes. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple un disque dur, ou une mémoire flash.
D'autre part, le support d'information ou d’enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par lien radio, par lien optique sans fil ou par d'autres moyens.
Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.
Alternativement, le support d'informations ou d’enregistrement peut être un circuit intégré dans lequel un programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé d’apprentissage collaboratif, conforme à l’invention.
Selon un autre aspect, l’invention concerne également un système de protection d’un réseau comprenant :
  • un dispositif de gestion d’une sécurité du réseau selon l’invention ; et
  • une première pluralité de dispositifs de surveillance, configurés pour surveiller le réseau et émettre des alertes vers le dispositif de gestion reportant des anomalies détectées par la première pluralité de dispositifs de surveillance.
Le système de protection bénéficie des mêmes avantages cités précédemment que le procédé de surveillance et le dispositif de gestion selon l’invention.
Dans un mode particulier de réalisation, le système de protection comprend une deuxième pluralité de dispositifs de surveillance, chacun des dispositifs de surveillance de la deuxième pluralité étant configuré pour maintenir un modèle comportemental dit local et échanger ce modèle comportemental local avec les autres dispositifs de surveillance de la deuxième pluralité et/ou le dispositif de gestion de la sécurité du réseau.
En outre, dans ce mode de réalisation, les dispositifs de surveillance de la deuxième pluralité peuvent être configurés pour mettre à jour le modèle comportemental global en utilisant les modèles comportementaux locaux maintenus par d’autres dispositifs de surveillance de la deuxième pluralité associés à des métriques de risque inférieures ou égales audit deuxième seuil donné.
Ces dispositifs de surveillance et le dispositif de gestion de la sécurité du réseau peuvent également être configurés pour mettre à jour le modèle comportemental global en utilisant en outre les modèles comportementaux locaux associés à des métriques de risque supérieures au deuxième seuil donné et fournis par des dispositifs de surveillance de la deuxième pluralité au voisinage desquels une attaque a été détectée par le dispositif de gestion.
On peut également envisager, dans d'autres modes de réalisation, que le procédé de surveillance, le dispositif de gestion et le système de protection selon l’invention présentent en combinaison tout ou partie des caractéristiques précitées.
D’autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures :
la représente un système de protection d’un réseau selon l’invention dans un mode particulier de réalisation ;
la représente un exemple d’architecture matérielle d’un équipement hébergeant un dispositif de gestion de la sécurité du réseau, conforme à l’invention, dans un mode particulier de réalisation ;
la représente les principales étapes mises en œuvre par le système de protection illustré à la durant une phase d’apprentissage, dans un mode particulier de réalisation ;
la réprésente les principales étapes d’un procédé de surveillance selon l’invention, mises en œuvre durant une phase de détection par le système de protection illustré à la et en particulier par le dispositif de gestion de la sécurité du réseau de ce système de protection, dans un mode particulier de réalisation.
Description de l’invention
La représente, dans son environnement, un système 1 de protection d’un réseau NW de communications (non représenté), conforme à l’invention, dans un mode particulier de réalisation dans lequel le système 1 de protection est déployé pour assurer la protection du réseau NW contre des attaques informatiques (ou cyber-attaques).
Aucune limitation n’est attachée à la nature du réseau NW de communications. Il peut s’agir par exemple d’un réseau de 5èmegénération (ou réseau 5G) tel que défini par le standard 3GPP (Third Generation Partnership Project), ou d’une autre génération, ou encore de tout autre réseau, comme un réseau d’entreprise, un réseau propriétaire, etc.
Le système 1 de protection comprend une pluralité de dispositifs de surveillance IDS1,…,IDSN (ou parfois référencés de façon générale par IDS), où N désigne un entier supérieur à 1, déployés à différents endroits du réseau NW pour surveiller et protéger divers éléments ou ressources du réseau NW. Ces éléments peuvent être des équipements physiques ou virtuels, telles que des fonctions réseau, des stations des base, des serveurs de périphérie (ou « Edge » en anglais), des ressources mémoire, des ressources de calcul, etc. Les dispositifs de surveillance IDS1,…,IDSN sont déployés pour surveiller le trafic transitant par ces ressources (trafic entrant et sortant) et circulant dans le réseau et/ou les processus mis en œuvre le cas échéant par ces éléments.
Dans l’exemple envisagé ici, les dispositifs de surveillance IDS1,…,IDSN sont des systèmes de détection d’intrusions (IDS), configurés pour détecter des anomalies (ex. attaques, intrusions, comportements non conformes à des comportements considérés comme « normaux », etc.) susceptibles d’affecter le ou les éléments qu’ils surveillent . A cet effet, ils sont équipés de modules de détection d’anomalies DET pouvant utiliser divers algorithmes de détection connus en soi. Dans l’exemple envisagé ici, les modules de détection DET utilisent un algorithme d’apprentissage automatique (ou ML pour « Machine Learning » en anglais) multi-classes, basé sur un réseau de neurones connu en soi, apte à classer les comportements des éléments surveillés par les dispositifs de surveillance en un nombre déterminé M de classes, M désignant un entier supérieur à 1. Ces M classes comprennent par exemple ici une classe « normal » (regroupant les comportements considérés comme normaux), une ou plusieurs classes associées à des attaques connues, comme par exemple une classe ATTACK1 (regroupant les anomalies associées ou attribuables à une attaque de type ATTACK1), une classe ATTACK2 (regroupant les anomalies associées ou attribuables à une attaque de type ATTACK2), …, une classe ATTACK(M-2) (regroupant les anomalies associées ou attribuables à une attaque de type ATTACK(M-2)) et une classe « autres attaques » (regroupant toutes les autres anomalies détectées non attribuables à des attaques de type ATTACK1, ATTACK2,…, ATTACK(M-2)). Aucune limitation n’est attachée à la nature des attaques ATTACK1, ATTACK2,… ATTACK(M-2). Il peut s’agir par exemple d’attaques de type « DoS » (ou déni de service), « Botnet », « FDI » (ou Injection de Fausses Données),
Bien entendu, cet exemple n’est donné qu’à titre illustratif, et d’autres algorithmes de détection peuvent être utilisés en variante par les modules de détection DET comme notamment d’autres algorithmes d’apprentissage automatique tels qu’un algorithme multi-classes SVM (pour « Support Vector Machine » en anglais) ou Machine à Vecteurs de Support, un algorithme d’apprentissage automatique binaire, un algorithme basé sur des signatures d’attaques connues et/ou des règles de détection, un algorithme hybride utilisant ces deux techniques de détection, etc.
Il convient de noter que l’invention s’applique également à d’autres types de dispositifs de surveillance que des dispositifs IDS, comme par exemple à des pare-feux, à des systèmes anti-virus, etc., configurés pour détecter des anomalies susceptibles d’affecter le ou les éléments qu’ils sont en charge de surveiller.
Les dispositifs de surveillance IDS1,…,IDSN sont configurés pour, lorsque leurs modules de détection détectent une anomalie, remonter une alerte ALERT vers un dispositif 2 de gestion de la sécurité du réseau NW, conforme à l’invention, et appartenant au système de protection 1. Cette alerte comprend ici un ou plusieurs attributs et/ou caractéristiques associés à et/ou décrivant l’anomalie détectée, l’anomalie détectée (classe associée à l’anomalie) ainsi qu’éventuellement le ou les éléments surveillés ciblés par cette anomalie.
Dans le mode de réalisation décrit ici, le dispositif 2 de gestion est un système de gestion des événements et des informations de sécurité ou SIEM, configuré pour agréger, analyser et corréler les différentes alertes ALERT qui lui sont remontées, et utiliser les informations remontées dans ces alertes ainsi que celles qu’il est en mesure par ailleurs de collecter localement pour déterminer si une ou plusieurs attaques informatiques ciblent ou non les équipements et/ou les ressources du réseau NW. A cet effet, le dispositif 2 de gestion est équipé d’un module 2A de détection, utilisant également ici un algorithme d’apprentissage automatique ML multi-classes basé sur un réseau de neurones comme les dispositifs de surveillance IDS1,…,IDSN. On note que le dispositif 2 de gestion peut lui-même être en charge de la surveillance d’éléments particuliers du réseau NW.
Dans le mode de réalisation décrit ici, on suppose en outre que les dispositifs de surveillance IDSn, n=1,…,N et le dispositif 2 de gestion mettent en œuvre entre eux un mécanisme d’apprentissage collaboratif ou fédéré, aussi connu sous le nom de « federated learning » en anglais, d’un modèle comportemental utilisé par leurs modules de détection respectifs. Un tel mécanisme est décrit par exemple dans le document de J. Konečný et al. intitulé « Federated Optimization: Distributed Machine-Learning for On-Device Intelligence », arXiv preprint arXiv :1610.02527v1, 8 octobre 2016. Selon cette approche collaborative, durant une phase d’apprentissage, les dispositifs de surveillance IDSn, n=1,…,N participant à l’apprentissage fédéré disposent localement de données d’apprentissage et utilisent ces données d’apprentissage locales pour apprendre chacun, indépendamment les uns des autres, un modèle comportemental local LOC_M(n) reflétant (i.e. définissant, caractérisant) le réseau de neurones ici qu’ils utilisent. Les modèles comportementaux locaux appris individuellement par chaque dispositif de surveillance ou des paramètre notés δn définissant de manière univoque et condensée ces modèles comportementaux locaux sont ensuite fournis à un dispositif central de coordination, à savoir ici, au dispositif 2 de gestion, qui, à partir de ces paramètres, dérive un modèle comportement global GLOB_M du réseau de neurones qu’il partage ensuite avec les dispositifs de surveillance IDSn, n=1,…,N. Des exemples de paramètres δn sont détaillés ultérieurement.
En variante, les dispositifs de surveillance IDSn, n=1,…,N et le dispositif 2 de gestion peuvent mettre en œuvre un mécanisme d’apprentissage collaboratif tel que décrit dans la demande de brevet français FR 2013929 non encore publiée. Selon ce mécanisme d’apprentissage collaboratif, les dispositifs de surveillance IDSn et le dispositif 2 de gestion disposent de données d’apprentissage locales et utilisent ces données d’apprentissage locales pour apprendre chacun, indépendamment les uns des autres, un modèle comportemental local du réseau de neurones ici qu’ils utilisent, puis ils échangent entre eux les modèles comportementaux locaux qu’ils maintiennent respectivement ou les paramètres de ces modèles comportementaux locaux. Chaque dispositif participant à l’apprentissage collaboratif met alors à jour à partir de l’ensemble des modèles locaux ou des paramètres échangés et de son propre modèle local ou de ses propres paramètres, un modèle comportement global du réseau de neurones et utilise ce modèle comportemental global pour la détection d’anomalies.
On note que par souci de simplification ici, on ne considère qu’un dispositif de type SIEM. L’invention s’applique toutefois également en présence de plusieurs dispositifs de type SIEM (et plus généralement plusieurs dispositifs 2 de gestion) dans le système 1 de protection.
Dans le mode de réalisation décrit ici, chaque dispositif de surveillance IDSn, n=1,…,N, ainsi que le dispositif 2 de gestion a l’architecture matérielle d’un ordinateur, ou est embarqué dans un équipement physique du réseau NW ayant l’architecture matérielle d’un ordinateur 3. Cette architecture matérielle est représentée schématiquement sur la . Elle comprend notamment un processeur 4, une mémoire vive 5, une mémoire morte 6, une mémoire non volatile 7 et des moyens de communications 8. Les moyens de communication 8 permettent au dispositif de surveillance IDSn de communiquer notamment avec le dispositif 2 de gestion et inversement, et éventuellement aux dispositifs de surveillance IDSj, j=1,…,N de communiquer entre eux. Dans le mode de réalisation décrit ici, ces moyens de communications 8 mettent par exemple en œuvre le protocole sécurisé TLS (Transport Layer Security) lors des échanges entre les dispositifs de surveillance IDSn et le dispositif 2 de gestion.
La mémoire morte 6 est un support d’information sur lequel est enregistré, pour le dispositif de surveillance IDSn, un programme d’ordinateur PROG-IDS, et pour le dispositif 2 de gestion, un programme d’ordinateur PROG2.
Le programme d’ordinateur PROG-IDS est lisible par le processeur 4 et comporte des instructions pour l’exécution de différentes opérations (ou étapes), mises en œuvre par le dispositif de surveillance IDSn pour assurer, en collaboration avec les autres dispositifs de surveillance IDSj, j≠n, et le dispositif 2 de gestion du système 1, la protection du réseau NW. Ce programme PROG-IDS définit des modules fonctionnels du dispositif de surveillance IDSn, qui s’appuient sur ou commandent les éléments matériels 4 à 8 évoqués ci-avant. Dans le mode de réalisation décrit ici, ces modules fonctionnels comprennent notamment comme illustré sur la :
  • le module DET de détection, configuré pour détecter des anomalies affectant le ou les éléments du réseau NW surveillés par le dispositif de surveillance IDSn, ce module DET de détection utilisant ici un algorithme d’apprentissage automatique multi-classes basé sur un réseau de neurones tel qu’introduit précédemment. Ce réseau de neurones s’appuie sur un modèle comportemental global GLOB_M, défini par une pluralité de paramètres notés w, ces paramètres comprenant notamment pour un réseau de neurones, la topologie du réseau de neurones (autrement dit les connexions entre les neurones du réseau), et la fonction d’agrégation utilisée par le réseau de neurones pour classer les comportements analysés par le module DET de détection (ex. somme pondérée, distance pseudo-euclidienne, etc.). Dans le mode de réalisation décrit ici, les paramètres w du réseau de neurones comprennent en outre une fonction de seuillage utilisée pour éviter un surapprentissage du réseau de neurones (ex. fonction sigmoïde, échelon, fonction linéaire ou de Gauss, etc.) ;
  • un module LEARN d’apprentissage collaboratif du modèle comportemental global GLOB_M, activé lors de la phase d’apprentissage mise en œuvre par le système 1 de protection et comprenant une pluralité d’itérations, et configuré pour notamment, à chaque itération :
    • mettre à jour, lorsque de nouvelles données d’apprentissage sont disponibles au niveau du dispositif de surveillance IDSn, le modèle comportemental local LOC_M(n) maintenu par le dispositif de surveillance IDSn (ou de façon équivalente, les paramètres δn définissant ce modèle comportemental local, ces paramètres comprenant ici pour un réseau de neurones, comme indiqué ci-avant la topologie des connexions du réseau de neurones, ainsi que les fonctions d’agrégation et de seuillage utilisées par le réseau de neurones), et mémorisé par exemple dans la mémoire non volatile 7 ;
    • envoyer le modèle comportemental local LOC_M(n) au dispositif 2 de gestion. Dans le mode de réalisation décrit ici, cet envoi prend la forme de l’envoi des paramètres δn du modèle LOC_M(n) afin de limiter la bande passante nécessaire à cet envoi ; et
    • recevoir du dispositif 2 de gestion, le modèle comportemental global GLOB_M dérivé par ce dernier à partir des modèles comportementaux locaux LOC_M (et plus particulièrement ici des paramètres définissant ces modèles) remontés par les dispositifs de surveillance IDSn participant à l’apprentissage collaboratif. Dans le mode de réalisation décrit ici, le module LEARN reçoit le modèle comportemental global GLOB_M sous la forme de ses paramètres w afin de limiter la bande passante nécessaire à cette réception ;
  • un module NOTIF de notification configuré pour, lorsque le module DET de détection détecte une anomalie, remonter cette anomalie au dispositif 2 de gestion dans une alerte ALERT. Cette alerte prend la forme d’un message envoyé par le module NOTIF de notification.
Les fonctions des modules DET, LEARN et NOTIF de chaque dispositif de surveillance IDSn sont décrites plus en détail ultérieurement en référence aux figures 3 et 4.
Le programme d’ordinateur PROG2 est lisible par le processeur 4 de l’ordinateur 3 et comporte des instructions pour l’exécution de différentes étapes d’un procédé de surveillance selon l’invention, tel qu’il est mis en œuvre par le dispositif 2 de gestion. Ce programme PROG2 définit des modules fonctionnels du dispositif 2 de gestion, qui s’appuient sur ou commandent les éléments matériels 4 à 8 évoqués ci-avant. Dans le mode de réalisation décrit ici, ces modules fonctionnels comprennent notamment comme illustré sur la :
  • le module 2A de détection introduit précédemment, configuré pour surveiller le réseau et utiliser à cette fin un algorithme d’apprentissage automatique multi-classes (M classes) basé sur un réseau de neurones, tel que décrit ci-avant. Ce réseau de neurones est défini par le modèle comportemental global GLOB_M appris de façon collaborative entre les dispositifs de surveillance IDSn et le dispositif 2 de gestion ;
  • un module 2B de réception, configuré pour recevoir les messages d’alerte ALERT émis le cas échéant par les dispositifs de surveillance IDSn, n=1,…,N, ces messages d’alerte reportant des anomalies détectées par lesdits dispositifs de surveillance comme évoqué précédemment ;
  • un module 2C de détermination configuré pour déterminer, pour chaque dispositif de surveillance IDSn, n=1,..,N lui ayant remonté le cas échéant un message d’alerte, une métrique associée à ce dispositif de surveillance IDSn en fonction d’un niveau de détection et d’un niveau de consommation de ressources de ce dispositif de surveillance. La façon dont le module 2C de détermination évalue chaque métrique est détaillée davantage ultérieurement.
Le module 2A de détection est configuré conformément à l’invention, pour utiliser uniquement les alertes émises par les dispositifs de surveillance IDSn, associés à des métriques déterminées par le module 2C de détermination dépassant (ex. supérieures à) un premier seuil THR1 donné, pour déterminer si une attaque informatique menace ou non le réseau NW.
En outre, dans le mode de réalisation décrit ici, le programme d’ordinateur PROG2 définit également un module 2D d’apprentissage du dispositif 2 de gestion du modèle comportemental global GLOB_M du réseau de neurones utilisé par le module 2A de détection. Ce module 2D d’apprentissage est activé lors de la phase d’apprentissage et configuré pour :
  • recevoir, en provenance des dispositifs de surveillance IDSn, n=1,…,N, les modèles comportementaux locaux LOC_M(n) maintenus par ces derniers, et plus particulièrement ici les paramètres δn définissant ces modèles comportementaux locaux ;
  • évaluer, pour chaque dispositif de surveillance IDSn lui ayant transmis un modèle comportemental local LOC_M(n), une métrique de risque associée à ce modèle comportemental local ; et
  • mettre à jour le modèle comportement global GLOB_M en utilisant les modèles comportementaux locaux LOC_M(n) (et plus particulièrement ici les paramètres de ces modèles comportementaux locaux) associés à des métriques de risque inférieures ou égales à un deuxième seuil THR2 donné.
Par souci de simplification ici, on considère que les dispositifs de surveillance IDS remontant les alertes et ceux participant à l’apprentissage collaboratif du modèle comportemental global GLOB_M sont les mêmes, à savoir les dispositifs de surveillance IDSn, n=1,…,N. Toutefois cette hypothèse n’est pas limitative de l’invention, et on peut envisager que la pluralité de dispositifs de surveillance remontant des alertes au dispositif 2 de gestion (première pluralité au sens de l’invention) et la pluralité de dispositifs de surveillance participant à l’apprentissage collaboratif du modèle comportemental GLOB_M (deuxième pluralité au sens de l’invention) diffèrent (par exemple la deuxième pluralité comprend un sous-ensemble de la première pluralité de dispositifs de surveillance).
En outre, il convient de noter que tous les dispositifs de surveillance de la première et de la deuxième pluralité ne remontent pas nécessairement des alertes simultanément. Ces alertes peuvent être fournies à des instants différents, en fonction de l’occurrence des événements déclenchant ces alertes.
Les fonctions des modules 2A à 2D du dispositif 2 de gestion sont décrites plus en détail en référence aux figures 3 et 4 décrites maintenant.
La représente les principales étapes mises en œuvre lors de la phase d’apprentissage collaboratif du modèle comportemental global GLOB_M réalisé par les dispositifs de surveillance IDSn et le dispositif 2 de gestion. Ces étapes s’appuient sur des étapes du procédé de surveillance selon l’invention, dans un mode particulier de réalisation.
Le modèle comportemental global GLOB_M est pour mémoire, dans l’exemple envisagé ici, le modèle utilisé par le réseau de neurones sur lequel s’appuient les algorithmes de détection mis en œuvre respectivement par les modules de détection DET de chaque dispositif de surveillance IDSn, n=1… N, et 2A du dispositif 2 de gestion. Il est défini par une pluralité de paramètres w, comprenant notamment, dans le cas d’un réseau de neurones, comme indiqué précédemment, la topologie des connexions du réseau de neurones, ainsi que les fonctions d’agrégation et de seuillage utilisées par le réseau de neurones.
Bien entendu, les paramètres w définissant le modèle comportemental global (et incidemment les paramètres δn définissant les modèles comportementaux locaux maintenus par chacun des dispositifs de surveillance IDSn) varient en fonction de l’algorithme de détection mis en œuvre par les modules de détection DET et 2A. Ainsi, dans un autre exemple d’un algorithme de détection SVM, ces paramètres correspondent aux vecteurs de support de l’algorithme SVM définissant l’hyperplan séparateur considéré pour la classification. On peut par ailleurs envisager de transmettre d’autres paramètres en plus des paramètres précités, comme par exemple le nombre de couches du réseau de neurones, etc.
On note par ailleurs que par souci de simplification ici, on a considéré le même algorithme de détection au niveau des différents modules de détection DET et du module de détection 2A. Toutefois cette hypothèse n’est pas limitative en soi. On peut par exemple envisager des algorithmes différents dès lors que les modules de détection DET et le module de détection 2A sont en mesure de déduire les informations dont ils ont besoin pour exécuter leurs algorithmes de détection à partir des modèles comportementaux et/ou des paramètres de ces modèles comportementaux échangés entre eux. Par exemple, les modules de détection DET peuvent mettre en œuvre un algorithme SVM binaire tandis que le module de détection 2A peut mettre en œuvre un algorithme SVM multi-classes, le dispositif 2 de gestion étant en mesure de déduire des modèles comportementaux locaux fournis par les modules de détection DET et définissant l’algorithme SVM binaire, des informations lui permettant de mettre à jour le modèle comportemental global définissant l’algorithme SVM multi-classes.
Comme mentionné précédemment, la phase d’apprentissage du modèle comportemental global GLOB_M est réalisée sur une pluralité I d’itérations iter, iter=1,…,I, I désignant un entier supérieur à 1 (étapes E00, E110 et E120).
Lors de chaque itération iter, chaque dispositif de surveillance IDSn, n=1,…,N participant à l’apprentissage collaboratif/fédéré, via son module LEARN d’apprentissage, utilise les données d’apprentissages locales qu’il a à disposition pour mettre à jour un modèle comportement local LOC_Miter(n) du réseau de neurones utilisé par son module DET de détection (étape E10).
Plus précisément, de façon générale, un dispositif de surveillance IDSn, via son module DET de détection, surveille localement et continûment les éléments du réseau NW dont il a la charge et en particulier, le trafic transitant par ces éléments et/ou les processus qu’ils exécutent le cas échéant. Il collecte pour ces éléments une pluralité FEAT(n) d’attributs et/ou de caractéristiques, à divers instants.
La pluralité d’attributs et/ou de caractéristiques FEAT(n) collectés par le dispositif de surveillance IDSn dépend des attaques que le module DET de détection est apte à détecter et à classifier. Ainsi, par exemple, pour une attaque de type DoS, ces attributs et/ou caractéristiques FEAT(n) peuvent comprendre un nombre de paquets perdus et un nombre de paquets envoyés par unité de temps par les éléments surveillés par le dispositif de surveillance IDSn ; si le dispositif de surveillance IDSn est hébergé par un serveur de calcul périphérique, un nombre de points d’accès communiquant simultanément avec celui-ci ; si le dispositif de surveillance IDSn est hébergé par une fonction du réseau cœur, le nombre de serveurs de calcul périphérique communiquant simultanément avec la fonction en question du réseau cœur ; un temps de transmission d’un paquet de données par les éléments surveillés par le dispositif de surveillance IDSn, une longueur de données brutes transmises par ces éléments, etc. Pour une attaque de type FDI, ces attributs et/ou caractéristiques FEAT(n) peuvent comprendre une distribution (ex. distance de Mahalanobis) d’un type de messages déterminé (ex. messages de signalisation ou de notification d’attaques), une puissance de signal, un nombre de paquets émis par seconde, une latence de bout-en-bout, etc. Ces attributs et/ou caractéristiques surveillés peuvent être déterminés par expertise, à partir de la connaissance des spécificités des attaques ATTACK1,…,ATTACK(M-2) considérées. Chaque dispositif de surveillance IDSn peut collecter ces attributs et/ou caractéristiques par ses propres moyens, ou les obtenir d’autres équipements du réseau NW, comme par exemple de sondes positionnées en des endroits appropriés du réseau au voisinage des éléments surveillés par le dispositif de surveillance IDSn.
Dans le mode de réalisation décrit ici, on suppose que chaque dispositif de surveillance IDSn obtient pour plusieurs échantillons d’attributs/caractéristiques FEATiter(n) collectés lors de l’itération iter (chaque échantillon pouvant désigner un vecteur constitués de plusieurs attributs/caractéristiques), les labels LABiter(n) des classes associées à ces échantillons d’attributs/caractéristiques, compte tenu des classes envisagées par l’algorithme de détection mis en œuvre par le module DET de détection (étape E10). La combinaison des échantillons d’attributs/caractéristiques FEATiter(n) et des labels LABiter(n) associés constituent des données d’apprentissage dLEARNiter(n) disponibles localement au niveau du dispositif de surveillance IDSn. Les labels peuvent être fournis par exemple par des experts en cybersécurité (on parle alors d’apprentissage supervisé), ou comme par une entité centrale d’opérations de sécurité aussi connue sous le nom de SOC (pour « Security Operation Center » en anglais). On note que les données d’apprentissages dLEARNiter(n) sont locales à chaque dispositif de surveillance IDSn et diffèrent d’un dispositif de surveillance IDSn à un autre.
L’obtention par le dispositif de surveillance IDSn de ces données d’apprentissage dLEARNiter(n) locales lors de l’itération iter déclenche la mise à jour par son module LEARN d’apprentissage du modèle comportemental local LOC_Miter(n) qu’il maintient (par exemple stocké dans sa mémoire non volatile 7) et plus particulièrement des paramètres δitern définissant ce modèle en utilisant les nouvelles données d’apprentissage locales LEARNiter(n) dont il dispose (étape E20).
Dans le mode de réalisation décrit ici, pour une itération courante iter>1, il applique à cet effet aux données d’apprentissage locales dLEARNiter(n) un algorithme de descente de gradient stochastique SGD (pour « Stochastic Gradient Descent » en anglais), connu en soi, et décrit notamment dans le document de J. Konečný cité précédemment. Cet algorithme lui permet de déterminer simplement à partir des paramètres δiter-1n du modèle comportemental local déterminé à l’itération précédente iter-1, et des données d’apprentissage dLEARNiter(n), les paramètres δitern à l’itération courante iter, par exemple en utilisant la formule suivante :
δitern= δiter-1n-hiter∇fniter-1n)
où hiterdésigne un pas de descente déterminé (qui peut varier ou non en fonction des itérations), strictement positif, le symbole ∇ désigne le gradient de la fonction à laquelle il est appliqué, et fndésigne une fonction erreur qui tient compte des données d’apprentissage dLEARNiter(n), et qui désigne l’erreur entre la sortie effective de l’algorithme de détection utilisant le modèle comportemental LOC_Miter(n) et la sortie attendue (par rapport aux données d’apprentissage disponibles), cette fonction dépendant de l’algorithme de détection envisagé. Dans l’exemple envisagé ici, la fonction erreur caractérise l’erreur de classification introduite par l’algorithme. On peut par exemple prendre pour cette fonction erreur une distance euclidienne ou d’autres fonctions erreurs comme indiqué ultérieurement. Lors de la première itération iter=1, la mise à jour du modèle comportemental local LOC_M1(n) consiste ici en un apprentissage du modèle comportement local LOC_M1(n) à partir des données d’apprentissage dLEARN1(n) de façon connue en soi.
Dans le mode de réalisation décrit ici, le module LEARN d’apprentissage extrait ensuite les paramètres δitern définissant le modèle comportemental local LOC_Miter(n) et les transmet au dispositif 2 de gestion (étape E30).
Sur réception des modèles comportementaux locaux LOC_Mi ter(n) des différents dispositifs de surveillance IDSn (et plus particulièrement ici des paramètres δitern définissant ces modèles), n=1,…,N, le dispositif 2 de gestion via son module 2D d’apprentissage détermine pour chaque dispositif de surveillance IDSn, si le modèle comportemental local LOC_Miter(n) remonté par le dispositif de surveillance IDSn est identique (à un facteur de précision près) au modèle comportement local LOC_Miter-1(n) remonté par le dispositif de surveillance IDSn à l’itération précédente iter-1. Si tel est le cas, il incrémente un compteur NbiterCt(n) associé au dispositif de surveillance IDSn (étape E50), ce compteur ayant été préalablement initialisé à 0 lors de l’itération iter=1 (étape E00). Sinon, le compteur NbiterCt(n) associé au dispositif de surveillance IDSn est décrémenté s’il est positif.
Puis le dispositif 2 de gestion via son module 2D d’apprentissage évalue, pour chaque dispositif de surveillance IDSn, une métrique dite de risque, notée Qitern associée au modèle comportemental local LOC_Miter(n) reçu de ce dispositif de surveillance IDSn (étape E60). Dans le mode de réalisation décrit ici, cette métrique Qitern de risque est évaluée de la façon suivante :
Qitern=NbiterCt(n)/(iter.Ncollab)
où NbiterCt(n) désigne le compteur associé au dispositif de surveillance IDSn mis à jour le cas échéant durant l’étape E50, iter l’indice d’itération courante, et Ncollab le nombre de dispositifs participant à l’apprentissage collaboratif (autrement dit, Ncollab désigne le nombre de dispositifs de surveillance de la deuxième pluralité au sens de l’invention). Dans l’exemple envisagé ici, Ncollab=N. Dans la variante de réalisation mettant en œuvre un algorithme collaboratif tel que décrit dans la demande FR 2013929 non encore publiée, Ncollab=N+1, le dispositif 2 de gestion maintenant également un modèle comportemental local. On note par ailleurs que plusieurs SIEMs peuvent être impliqués dans l’algorithme d’apprentissage collaboratif auquel cas Ncollab tient compte du nombre de SIEMs impliqués et maintenant un modèle comportemental local utilisé pour dériver le modèle comportemental global GLOB_M.
Puis le dispositif 2 de gestion via son module 2D d’apprentissage sélectionne parmi les N modèles comportementaux locaux remontés par les N dispositifs de surveillance IDSn, n=1,…,N, ceux qui sont associés à une métrique de risque Qitern inférieure ou égale à un seuil THR2 donné (étape E70). Le seuil THR2 est par exemple pris égal à 0.6. Bien entendu cette valeur n’est donnée qu’à titre illustratif et d’autres valeurs, par exemple comprises entre 0.4 et 0.6 peuvent être envisagées en variante.
On note ici N0 le nombre de modèles comportementaux locaux sélectionnés. Le module 2D d’apprentissage met ensuite à jour le modèle comportement global GLOB_Miterà l’itération courante iter en utilisant les N0 modèles comportementaux locaux ainsi sélectionnés (étape E80) : plus particulièrement ici, le module 2D d’apprentissage met à jour les paramètres witerdu modèle comportement global GLOB_Miterà l’itération iter en utilisant les paramètres δiterj, j=j1,…,jN0, j1,…jN0 désignant les N0 indices parmi les indices n=1,…,N, correspondant aux N0 modèles comportementaux locaux sélectionnés.
De façon connue en soi, et comme mentionné dans le document de J. Konečný cité précédemment, la mise à jour du modèle comportement global GLOB_Miter(ou de façon équivalente de ses paramètres witer) à partir des modèles comportementaux locaux LOC_Miter(j), j=j1,…,jN0 maintenus par les N0 dispositifs de surveillance sélectionnés lors de l’étape E50 revient à résoudre le problème suivant :
minwf(witer) où f(witer)=(1/N0) Σj=j1…jN0fjiterj)
où f et fjdes fonctions « perte » ou « erreur » entre la sortie effective de l’algorithme de détection utilisant le modèle comportemental considéré et la sortie attendue (autrement dit ici, l’erreur de classification comme décrit précédemment), ces fonctions dépendant comme mentionné précédemment de l’algorithme envisagé (ex. réseau de neurones ici, ou SVM, régression linéaire, etc.). Des exemples de fonctions erreur sont donnés pour divers algorithmes de détection dans le document de J. Konečný. Ainsi pour un réseau de neurones, une fonction erreur de type distance euclidienne peut être considérée. Pour un algorithme SVM multi-classes tel qu’envisagé à titre illustratif ici, une fonction erreur de type fonction polynômiale, fonction sigmoïde, ou fonction RBF (pour « Radial Basis Function », en anglais), peut être utilisée.
Dans le mode de réalisation décrit ici, pour obtenir les paramètres witerdu modèle comportemental global GLOB_Miter, le module 2D d’apprentissage du dispositif 2 de gestion moyenne les paramètres δiterj des modèles comportementaux locaux LOC_Miter(j), j=j1,…,N0 sélectionnés, de la façon suivante :
witer=(1/N0) Σj=j1…jN0δiterj
En variante, si les dispositifs de surveillance IDSn n’exploitent pas les mêmes quantités de données d’apprentissage locales lors des mises à jour des modèles comportementaux locaux, la moyenne évaluée peut être pondérée par les quantités de données d’apprentissage disponibles au niveau de chaque dispositif de surveillance IDSj, j=j1,..,jN0 sélectionnés de la façon suivante :
witerj=j1…jN0(pj/P) δiterj
où pj désigne la dimension des données d’apprentissage LEARNi(j) disponibles au niveau du dispositif de surveillance IDSj, et P= Σj=j1…jN0pj. Dans cette variante, lors de la remontée des modèles comportementaux locaux, les dispositifs de surveillances IDSn, n=1,…,N transmettent également au dispositif 2 de gestion les valeurs des dimensions pn, n=1,…,N.
Le dispositif 2 de gestion transmet ensuite à chaque dispositif de surveillance IDSn, n=1,…,N, le modèle comportemental global GLOB_Mitermis à jour (étape E90). Plus particulièrement dans le mode de réalisation décrit ici, cette transmission consiste en l’envoi des paramètres witerdu modèle comportemental global GLOB_Miterpour économiser la bande passante.
En variante, on peut envisager que le dispositif 2 de gestion ne transmette le modèle comportemental global mis à jour qu’aux dispositifs de surveillance IDSj, j=j1,…,jN0 qui ont été sélectionnés lors de l’étape E50, les autres n’étant pas considérés comme suffisamment fiables.
Sur réception du modèle comportemental global GLOB_Miter(et plus particulièrement ici des paramètres witerdu modèle comportemental global GLOB_Miter) (étape E100), le module DET de détection de chaque dispositif de surveillance IDSn, n=1,…,N est dès lors configuré pour utiliser ce modèle comportemental global GLOB_Miterpour ses futures détections.
Puis une nouvelle itération de la phase d’apprentissage est mise en œuvre (étape E110) tant que le nombre I maximal d’itérations de la phase d’apprentissage n’est pas dépassé (étape test E120). Ce nombre I peut être déterminé à l’avance ou être déterminé de façon dynamique. Par exemple, il peut varier en fonction du nombre d’attaques détectées dans le réseau, et/ou tenir compte si le modèle comportemental global GLOB_M varie d’une itération à une autre ou combien de fois il varie sur les itérations considérées, etc. Typiquement, si le modèle comportemental global ne varie pas au bout d’un nombre donné d’itérations, il peut être déterminé lors de l’étape test E120 que le nombre maximal d’itérations est atteint. On peut envisager également qu’un expert en cybersécurité ou le SOC fixe une valeur initiale de I, et qu’en fonction du contexte et des événements mentionnés ci-avant, cette valeur initiale soit incrémentée ou décrémentée par l’expert ou par le SOC.
On note que la phase d’apprentissage peut être conduite de façon préliminaire avant de mettre en œuvre des détections avec le modèle comportemental global, ou en parallèle de telles détections.
Par ailleurs, dans le mode de réalisation décrit ici, le modèle comportemental global est dérivé à chaque itération iter=1,…,I par le module 2D d’apprentissage du dispositif 2 de gestion à partir des paramètres des modèles comportementaux locaux remontés par les dispositifs de surveillance IDSn, n=1,..,N. Dans un autre mode de réalisation, comme évoqué précédemment, on peut envisager que, outre le dispositif 2 de gestion, chaque dispositif de surveillance IDSn mette à jour lui-même, via son module LEARN d’apprentissage, le modèle comportemental global comme décrit notamment dans la demande de brevet français FR 2013929 non encore publiée. Dans ce mode de réalisation, les dispositifs de surveillance IDSn, n=1,…,N de la deuxième pluralité et le dispositif 2 de gestion mettent à jour à chaque itération des modèles comportementaux locaux (ou les paramètres de tels modèles) à partir des données d’apprentissage locales dont ils disposent, comme lors des étapes E10 et E20 décrites précédemment (à la différence près que le dispositif 2 de gestion maintient également un tel modèle comportemental local). Puis ils s’échangent ces modèles comportementaux locaux et mettent à jour chacun le modèle comportemental global à partir des modèles comportementaux locaux échangés comme décrit lors de l’étape E80 (en incluant parmi les modèles comportementaux locaux considérés celui maintenu par le dispositif 2 de gestion). Plus spécifiquement, dans ce mode de réalisation, chaque dispositif de surveillance IDSn, n=1,…N ainsi que le dispositif 2 de gestion évalue une métrique de risque associée à chaque modèle comportemental local qu’il a reçu comme décrit à l’étape E60 et sélectionne les modèles comportementaux locaux associés à une métrique de risque inférieure ou égale au seuil THR2. Puis chaque dispositif de surveillance IDSn, n=1,…N et le dispositif 2 de gestion mettent à jour le modèle comportemental global à partir des modèles comportementaux locaux sélectionnés comme décrit précédemment à l’étape E80.
On note que dans les deux modes de réalisation qui viennent être décrits, seuls les modèles comportementaux locaux associés à une métrique de risque inférieure ou égale au seuil THR2 sont pris en compte pour mettre à jour le modèle comportemental global. Dans une variante de réalisation, on peut envisager que des modèles comportementaux locaux associés à une métrique de risque supérieure au seuil THR2 soient également pris en compte dès lors qu’ils proviennent de dispositifs de surveillance situés au voisinage d’une attaque détectée par le dispositif 2 de gestion ou par un autre dispositif tel que par exemple le centre d’opérations de sécurité (SOC), ou encore par un expert et notifiée au dispositif 2 de gestion (autrement dit la détection de l’attaque par le dispositif 2 de gestion peut être directement effectuée par lui ou indirectement via un autre dispositif). Par « voisinage », on entend, suivant le contexte de mise en œuvre de l’invention, que les dispositifs de surveillance (et le cas échéant le dispositif 2 de gestion) se trouvent dans la même couverture radio qu’une cible de l’attaque détectée ou qu’une entité malicieuse à l’origine de l’attaque détectée, ou dans l’exemple d’un réseau filaire, qu’ils sont connectés à une cible de l’attaque détectée ou qu’une entité malicieuse à l’origine de l’attaque détectée.
Dans ce cas en outre, les compteurs NbiterCt associés aux dispositifs de surveillance situés au voisinage d’une attaque peuvent également être réinitialisés à zéro, résultant en une métrique de risque nulle.
Dans une autre variante encore, on peut envisager que le dispositif 2 de gestion associe un indice de confiance à chaque dispositif de surveillance de la deuxième pluralité (par exemple en fonction des bonnes et mauvaises détections remontées par le dispositif de surveillance), et exploite ou non le modèle comportemental local fourni par ce dispositif de surveillance en fonction de la valeur de cet indice de confiance (par exemple si elle dépasse un seuil THR3 donné).
Ainsi, grâce à la prise en compte de la métrique de risque, et le cas échéant de la localisation des dispositifs de surveillance à proximité d’une attaque avérée, on s’assure de prendre en compte lors de la phase d’apprentissage uniquement des informations pertinentes pour mettre à jour le modèle comportemental global. Ceci permet de réduire la charge de calcul du dispositif 2 de gestion et le cas échéant, des dispositifs de surveillance IDSn.
Nous allons maintenant décrire plus en détail, en référence à la , la phase de détection à proprement parler telle qu’elle est mise en œuvre par les dispositifs de surveillance IDSn et par le dispositif 2 de gestion. La phase de détection s’appuie sur des étapes du procédé de surveillance selon l’invention. Comme mentionné précédemment, elle peut se dérouler de façon concomitante avec la phase d’apprentissage ou être mise en œuvre une fois la phase d’apprentissage réalisée. Quelle que soit l’option retenue on suppose que les modules de détection DET et 2A respectivement des dispositifs de surveillance IDSn et du dispositif 2 de gestion utilisent lors de cette phase de détection le modèle comportement global GLOB_M déterminé lors de la phase d’apprentissage (lors de l’itération courante de la phase d’apprentissage si apprentissage et détection sont menés de façon concomitante ou à l’issue de la phase d’apprentissage sinon).
Durant la phase de détection, les dispositifs de surveillance IDS1,…,IDSN surveillent localement et continûment, via leurs modules DET de détection respectifs, les éléments du réseau NW dont ils ont la charge et en particulier, le trafic transitant par ces éléments et/ou les processus qu’ils exécutent le cas échéant. Chaque dispositif de surveillance IDSn, n=1,…,N collecte pour ces éléments une pluralité FEAT(n) d’attributs et/ou de caractéristiques, à divers instants, comme décrit précédemment pour la phase d’apprentissage (étape F10). La pluralité d’attributs et/ou de caractéristiques FEAT(n) collectés par chaque dispositif de surveillance IDSn dépend des attaques que son module DET de détection est apte à détecter et à classifier, comme indiqué ci-avant. Les attributs et/ou caractéristiques FEAT(n) sont analysés par le module DET de détection, et plus particulièrement fournis en entrée du réseau de neurones utilisé par ce dernier défini par le modèle comportemental GLOB_M (étape F20).
On suppose ici que tout ou partie (au moins deux) des dispositifs de surveillance IDS1,…,IDSN détectent à l’issue de l’étape F20 sur la base des attributs et/ou caractéristiques FEAT collectés par ces derniers une anomalie dans le comportement d’au moins un élément qu’ils surveillent et remontent, via leurs modules NOTIF de notification, une alerte ALERT au dispositif 2 de gestion (étape F40). On désigne par j1,j2…jJ les indices des dispositifs de surveillance parmi les dispositifs de surveillance IDS1,…,IDSN notifiant une alerte au dispositif 2 de gestion, les indices j1,j2,…,jJ étant pris dans l’ensemble {1,…,N}. Cette alerte prend ici la forme d’un message envoyé par chaque dispositif de surveillance concerné au dispositif 2 de gestion et comprenant un ou plusieurs attributs et/ou caractéristiques associés à et/ou décrivant l’anomalie détectée, l’anomalie détectée ainsi qu’éventuellement le ou les éléments surveillés ciblés par cette anomalie. On note que les alertes évoquées ci-avant ne sont pas nécessairement envoyées simultanément par les dispositifs de surveillance et dépendent bien entendu de l’instant de détection des anomalies notifiées dans ces alertes. On considère toutefois ici que le module 2A de détection est activé pour tenir compte des alertes remontées sur une période de temps de durée T déterminée, chaque activation du module 2A de détection correspondant à une nouvelle période de temps de durée T.
Sur réception de ces alertes via son module 2B de réception (étape F50), le dispositif 2 de gestion détermine pour chaque dispositif de surveillance IDSji, i=1,…,J, J>1 lui ayant remonté une alerte une métrique f(IDSji) associée à ce dispositif de surveillance IDSji (étape F60). Cette métrique f(IDSji) est fonction avantageusement, conformément à l’invention, d’un niveau de détection et d’un niveau de consommation de ressources du dispositif de surveillance IDSji. Dans le mode de réalisation décrit ici, le niveau de consommation de ressources comprend :
  • une quantité de signalisation nécessaire pour que le dispositif de surveillance IDSji émette l’alerte ALERTE ; et
  • une consommation d’une ressource de calcul et/ou de traitement par le dispositif de surveillance IDSji pour détecter l’anomalie remontée dans l’alerte ALERT.
Toutefois cet exemple n’est donné qu’à titre illustratif, et il est possible de ne s’attacher à la consommation que d’une seule des ressources précitées et/ou d’autres ressources, par exemple comme une ressource de stockage consommée par le dispositif de surveillance IDSji lors de la détection d’anomalie.
Par ailleurs, dans le mode de réalisation décrit ici, le niveau de détection du dispositif de surveillance IDSji tient compte non seulement du nombre d’anomalies détectées par le dispositif de surveillance IDSji mais également, parmi ces anomalies détectées, du nombre de faux positifs, c’est-à-dire d’anomalies détectées par le dispositif de surveillance IDSji sur une période de temps donnée alors qu’il ne s’agit pas à proprement parler d’anomalies. Dans le mode de réalisation décrit ici, c’est le dispositif 2 de gestion qui estime ce nombre de faux positifs en comparant à chaque nouvelle détection réalisée par le dispositif 2 de gestion via son module 2A de détection (autrement dit, à chaque nouvelle activation du module 2A de détection), le résultat de cette détection avec les anomalies remontées par le dispositif de surveillance IDSji (autrement dit selon si son module 2A de détection confirme ou non les anomalies remontées par le dispositif de surveillance IDSji). On note que le nombre de faux positifs est estimé par le dispositif 2 de gestion en décalé, lors d’une détection réalisée lors d’une activation précédente du module 2A de détection, lors de la première détection ce nombre de faux positifs étant pris égal à 0 pour l’ensemble des dispositifs de surveillance. Par ailleurs, on note également que le niveau de détection associé à un dispositif de surveillance IDSji peut être indifféremment un niveau « absolu », un niveau « relatif » (i.e. normalisé par rapport aux anomalies détectées par le dispositif 2 de gestion), ou encore une combinaison des deux.
Dans le mode de réalisation décrit ici, on envisage des niveaux de détection et de consommation de ressources relatifs. Plus particulièrement, la métrique f(IDSji) déterminée par le module 2C de détermination du dispositif 2 de gestion est définie par la fonction linéaire suivante : sont des facteurs de pondération compris entre 0 et 1, qui dépendent du compromis que l’on souhaite atteindre. Ils peuvent être en outre choisis de sorte à obtenir une métrique comprise entre 0 et 1, ou en variante, le module 2C de détermination est configuré pour forcer à 1, respectivement à 0, la métrique f(IDSji) associée au dispositif de surveillance IDSji lorsque l’expression ci-dessus donne une valeur supérieur à 1, respectivement inférieure à 0. Par ailleurs :
  • désigne le taux d’anomalies correctement détectées par le dispositif de surveillance IDSji sur une période de temps donnée. Dans l’exemple envisagé ici, il s’agit du ratio du nombre de d’anomalies correctement détectées par le dispositif de surveillance IDSji et du nombre total d’anomalies détectées par ce dernier et remontées au dispositif 2 de gestion. Une anomalie est considérée comme correctement détectée si le dispositif 2 de gestion via son module 2A de détection confirme cette anomalie, même si la classe associée par le dispositif 2 de gestion à l’anomalie détectée ne correspond pas à celle remontée par le dispositif de surveillance IDSji. En variante on peut envisager que si le dispositif 2 de gestion confirme l’existence d’une anomalie mais n’associe pas la même classe à cette anomalie il considère que le dispositif de surveillance IDSji a réalisé une fausse détection ;
  • et désignent respectivement la consommation des ressources de calcul et/ou de traitement (ex. puissance CPU) nécessaire pour détecter l’anomalie remontée dans l’alerte ALERT et la quantité maximale de ressources de calcul et/ou de traitement du dispositif de surveillance IDSji dédiée à la détection. Cette quantité maximale est fournie par le constructeur du dispositif de surveillance ;
  • et désignent respectivement la quantité de signalisation nécessaire pour que le dispositif de surveillance IDSji émette l’alerte ALERTE et la quantité maximale de signalisation pouvant être utilisée par le dispositif de surveillance IDSji pour remonter une telle alerte. Cette quantité maximale est fournie par le constructeur du dispositif de surveillance ou par le ou les documents spécifiant le cas échéant les échanges entre le dispositif de surveillance et le dispositif 2 de gestion et en particulier le format des messages d’alerte ; et
  • désigne respectivement le taux d’anomalies faussement détectées par le dispositif IDSji de surveillance sur une période de temps donnée, autrement dit ici le ratio du nombre de fausses détections réalisées par le dispositif de surveillance IDSji sur ladite période et du nombre total de détections remontées au dispositif 2 de gestion. Une anomalie est considérée comme faussement détectée si le dispositif 2 de gestion ne confirme pas l’existence d’une anomalie. Comme mentionné ci-dessus pour le taux de détections correctes, on peut en variante considérer qu’une anomalie est faussement détectée si la classe associée à cette anomalie par le dispositif 2 de gestion ne coïncide pas avec celle remontée par le dispositif de surveillance IDSji.
Cet exemple de métrique n’est donné qu’à titre illustratif et bien entendu d’autres expressions peuvent être envisagées selon les compromis que l’on souhaite réaliser. Il convient de noter que les termes et pondérés respectivement par les facteurs participent au niveau de détection du dispositif de surveillance IDSji, tandis que les termes et pondérés respectivement par les facteurs contribuent au niveau de consommation de ressources au sens de l’invention.
Une fois les métriques f(IDSji), i=1,..,J, déterminées, le dispositif 2 de gestion, par l’intermédiaire de son module 2C de détermination, compare chacune desdites métriques avec un seuil THR1 déterminé (étape F70). Par exemple THR1=0.6.
Si la métrique f(IDSji) associée au dispositif de surveillance IDSji dépasse le seuil THR1, et plus particulièrement ici est supérieure au seuil THR1, le module 2C de détermination sélectionne le dispositif de surveillance IDSji et utilise l’alerte remontée par ce dernier pour assurer la surveillance du réseau NW (étape F80). En revanche, il ne tient pas compte de l’alerte remontée par le dispositif de surveillance IDSji si la métrique f(IDSji) ne dépasse pas le seuil THR1 (ex. est inférieure ou égale à ce seuil ici).
Autrement dit, le module 2A de détection du dispositif 2 de gestion utilise uniquement les alertes ALERT, et les informations remontées dans ces alertes, notifiées par les dispositifs de surveillance IDSji, i=1,…,J associés à une métrique f(IDSji) dépassant le seuil THR1 pour déterminer si une attaque cible ou non le réseau NW. Ceci permet de limiter avantageusement les informations traitées par le dispositif 2 de gestion tout en s’assurant que les informations traitées sont pertinentes. Les informations remontées dans les alertes ainsi sélectionnées comprennent notamment les attributs et/ou caractéristiques relatifs aux anomalies détectées par les dispositifs de surveillance qui sont fournies au module 2A de détection du dispositif 2 de gestion pour application du réseau de neurones défini par le modèle comportemental GLOB_M, complétées éventuellement par d’autres attributs et/ou caractéristiques collectés localement par le dispositif 2 de gestion (étape F90).
Le résultat de cette application obtenu par le module 2A de détection indique si une anomalie ou une attaque cible ou non un ou plusieurs éléments le réseau NW (étape F100). Si une anomalie ou une attaque est confirmée, le dispositif 2 de gestion peut alors déclencher une ou plusieurs actions de mitigation pour traiter cette anomalie ou cette attaque (ex. éviction de la cible ou du trafic provenant d’une source donnée ou destinée à une cible donnée, fourniture de nouvelles données d’apprentissage aux dispositifs de surveillance, etc.). Sinon, le dispositif 2 de surveillance met à jour les taux de fausses détections des dispositifs de surveillance ayant remonté une anomalie. Il peut par ailleurs également fournir de nouvelles données d’apprentissage à ces derniers pour leur permettre d’améliorer leurs modèles comportementaux locaux et par là-même participer à l’amélioration de la précision du modèle comportemental global.

Claims (16)

  1. Procédé de surveillance d’un réseau par un dispositif de gestion d’une sécurité dudit réseau, le procédé de surveillance comprenant :
    • une étape (F50) de réception d’une pluralité d’alertes émises par une première pluralité de dispositifs de surveillance configurés pour protéger le réseau, lesdites alertes reportant des anomalies détectées par lesdits dispositifs de surveillance ;
    • une étape (F60) de détermination, pour chaque dispositif de surveillance de ladite première pluralité, d’une métrique (f(IDSji)) associée audit dispositif de surveillance en fonction d’un niveau de détection et d’un niveau de consommation de ressources dudit dispositif de surveillance ;
    • une étape (F80,F90) d’utilisation, pour la surveillance du réseau, des alertes émises par les dispositifs de surveillance associés à une métrique dépassant un premier seuil donné.
  2. Procédé de surveillance selon la revendication 1 dans lequel ledit niveau de consommation de ressources comprend :
    • une quantité de signalisation nécessaire pour émettre ladite alerte ; et/ou
    • une consommation d’une ressource de calcul et/ou de traitement par le dispositif de surveillance ; et/ou
    • une consommation d’une ressource de stockage par le dispositif de surveillance.
  3. Procédé de surveillance selon la revendication 1 ou 2 dans lequel ladite métrique est une fonction linéaire dudit niveau de détection et dudit niveau de consommation de ressources.
  4. Procédé de surveillance selon l’une quelconque des revendications 1 à 3 dans lequel ledit niveau de détection tient compte d’un nombre de fausses alertes émises par le dispositif de surveillance sur une période de temps donnée.
  5. Procédé de surveillance selon l’une quelconque des revendications 1 à 4 dans lequel ledit premier seuil est supérieur ou égal à 0.6.
  6. Procédé de surveillance selon l’une quelconque des revendications 1 à 5 comprenant en outre, lors d’une phase d’apprentissage d’un modèle comportemental dit global utilisé pour ladite surveillance du réseau par le dispositif de gestion de la sécurité du réseau :
    • une étape (E40) de réception, en provenance d’une deuxième pluralité de dispositifs de surveillance configurés pour protéger le réseau, d’un modèle comportemental dit local maintenu par chacun desdits dispositifs de surveillance de ladite deuxième pluralité ;
    • une étape (E60) d’évaluation, pour chaque dispositif de surveillance de ladite deuxième pluralité, d’une métrique de risque associée au modèle comportemental local reçu de ce dispositif de surveillance ;
    • une étape (E80) de mise à jour du modèle comportemental global en utilisant les modèles comportementaux locaux associés à des métriques de risque inférieures ou égales à un deuxième seuil donné.
  7. Procédé de surveillance selon la revendication 6 dans lequel lors de l’étape de mise à jour, le modèle comportemental global est mis à jour en utilisant en outre les modèles comportementaux locaux associés à des métriques de risque supérieures au deuxième seuil donné et provenant de dispositifs de surveillance se trouvant au voisinage d’une attaque détectée par le dispositif de gestion.
  8. Procédé de surveillance selon la revendication 7 comprenant en outre une étape de réinitialisation à zéro des métriques de risque associées aux modèles comportementaux locaux maintenus par lesdits dispositifs de surveillance au voisinage desquels une attaque a été détectée.
  9. Programme d’ordinateur comportant des instructions pour l’exécution d’un procédé de surveillance selon l’une quelconque des revendications 1 à 8, lorsque ledit programme est exécuté par un ordinateur.
  10. Support d’enregistrement lisible par un ordinateur sur lequel est enregistré un programme d’ordinateur selon la revendication 9.
  11. Dispositif (2) de gestion d’une sécurité d’un réseau comprenant :
    • un module (2B) de réception, configuré pour recevoir une pluralité d’alertes émises par une première pluralité de dispositifs de surveillance configurés pour protéger le réseau, ces alertes reportant des anomalies détectées par lesdits dispositifs de surveillance ;
    • un module (2C) de détermination configuré pour déterminer, pour chaque dispositif de surveillance de ladite première pluralité, une métrique associée audit dispositif de surveillance en fonction d’un niveau de détection et d’un niveau de consommation de ressources dudit dispositif de surveillance ;
    • un module (2A) de surveillance du réseau, configuré pour utiliser les alertes émises par les dispositifs de surveillance associés à une métrique dépassant un premier seuil donné, pour détecter si une attaque informatique menace ledit réseau.
  12. Dispositif (2) de gestion selon la revendication 11 comprenant en outre un module (2D) d’apprentissage d’un modèle comportemental dit global utilisé par ledit module de surveillance du réseau, ledit module étant configuré pour :
    • recevoir, en provenance d’une deuxième pluralité de dispositifs de surveillance configurés pour protéger le réseau, d’un modèle comportemental dit local maintenu par chacun desdits dispositifs de surveillance de ladite deuxième pluralité ;
    • évaluer, pour chaque dispositif de surveillance de ladite deuxième pluralité, une métrique de risque associée au modèle comportemental local reçu de ce dispositif de surveillance ;
    • mettre à jour le modèle comportemental global en utilisant les modèles comportementaux locaux associés à des métriques de risque inférieures ou égales à un deuxième seuil donné.
  13. Système (1) de protection d’un réseau comprenant :
    • un dispositif (2) de gestion d’une sécurité du réseau selon la revendication 11 ou 12 ; et
    • une première pluralité de dispositifs de surveillance (IDS1,…IDSN), configurés pour surveiller ledit réseau et émettre des alertes vers le dispositif de gestion reportant des anomalies détectées par ladite première pluralité de dispositifs de surveillance.
  14. Système (1) de protection selon la revendication 13 comprenant une deuxième pluralité de dispositifs de surveillance, chacun desdits dispositifs de surveillance de la deuxième pluralité étant configuré pour maintenir un modèle comportemental dit local et échanger ce modèle comportemental local avec les autres dispositifs de surveillance de la deuxième pluralité et/ou le dispositif de gestion de la sécurité du réseau, celui-ci étant conforme à la revendication 12.
  15. Système de protection selon la revendication 14 dans lequel les dispositifs de surveillance de la deuxième pluralité sont configurés pour mettre à jour le modèle comportemental global en utilisant les modèles comportementaux locaux maintenus par d’autres dispositifs de surveillance de la deuxième pluralité associés à des métriques de risque inférieures ou égales audit deuxième seuil donné.
  16. Système de protection selon la revendication 15 dans lequel lesdits dispositifs de surveillance et/ou ledit dispositif de gestion de la sécurité du réseau sont configurés pour mettre à jour le modèle comportemental global en utilisant en outre les modèles comportementaux locaux associés à des métriques de risque dépassant le deuxième seuil donné et fournis par des dispositifs de surveillance de ladite deuxième pluralité au voisinage desquels une attaque a été détectée.
FR2105606A 2021-05-28 2021-05-28 Procédé de surveillance d’un réseau, dispositif et système associés Pending FR3123527A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR2105606A FR3123527A1 (fr) 2021-05-28 2021-05-28 Procédé de surveillance d’un réseau, dispositif et système associés

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2105606 2021-05-28
FR2105606A FR3123527A1 (fr) 2021-05-28 2021-05-28 Procédé de surveillance d’un réseau, dispositif et système associés

Publications (1)

Publication Number Publication Date
FR3123527A1 true FR3123527A1 (fr) 2022-12-02

Family

ID=77411802

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2105606A Pending FR3123527A1 (fr) 2021-05-28 2021-05-28 Procédé de surveillance d’un réseau, dispositif et système associés

Country Status (1)

Country Link
FR (1) FR3123527A1 (fr)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2013929A1 (fr) 1968-07-29 1970-04-10 Western Electric Co
US20040093512A1 (en) * 2002-11-08 2004-05-13 Char Sample Server resource management, analysis, and intrusion negation
US20050015624A1 (en) * 2003-06-09 2005-01-20 Andrew Ginter Event monitoring and management
WO2020212442A1 (fr) * 2019-04-18 2020-10-22 Orange Procede et dispositif de traitement d'un message d'alerte notifiant une anomalie detectee dans un trafic emis via un reseau

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2013929A1 (fr) 1968-07-29 1970-04-10 Western Electric Co
US20040093512A1 (en) * 2002-11-08 2004-05-13 Char Sample Server resource management, analysis, and intrusion negation
US20050015624A1 (en) * 2003-06-09 2005-01-20 Andrew Ginter Event monitoring and management
WO2020212442A1 (fr) * 2019-04-18 2020-10-22 Orange Procede et dispositif de traitement d'un message d'alerte notifiant une anomalie detectee dans un trafic emis via un reseau

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
J. KONECNY ET AL.: "Federated Optimization: Distributed Machine-Learning for On-Device Intelligence", ARXIV :1610.02527V1, 8 October 2016 (2016-10-08)
K-O. DETKEN ET AL.: "SIEM Approach for a Higher Level of Security in Enterprise Networks", 8TH IEEE INTERNATIONAL CONFÉRENCE ON INTELLIGENT DATA ACQUISITION AND ADVANCED COMPUTING SYSTEMS: TECHNOLOGY AND APPLICATIONS, 24 September 2015 (2015-09-24)

Similar Documents

Publication Publication Date Title
Lima Filho et al. Smart detection: an online approach for DoS/DDoS attack detection using machine learning
Pour et al. On data-driven curation, learning, and analysis for inferring evolving internet-of-Things (IoT) botnets in the wild
US10616267B2 (en) Using repetitive behavioral patterns to detect malware
Samarakoon et al. 5g-nidd: A comprehensive network intrusion detection dataset generated over 5g wireless network
FR3106914A1 (fr) Procédé de surveillance de données échangées sur un réseau et dispositif de détection d’intrusions
FR3095313A1 (fr) Procédé et dispositif de traitement d’un message d’alerte notifiant une anomalie détectée dans un trafic émis via un réseau
WO2018002484A1 (fr) Procédé et dispositif de surveillance de la sécurité d'un système d'information
Monge et al. Detection of economic denial of sustainability (EDoS) threats in self-organizing networks
Labonne Anomaly-based network intrusion detection using machine learning
EP4021051A1 (fr) Procede d'apprentissage collaboratif entre une pluralite de noeuds d'un reseau d'un modele de detection d'anomalies
Kavousi et al. A Bayesian network‐based approach for learning attack strategies from intrusion alerts
Jagtap et al. Intelligent software defined networking: long short term memory‐graded rated unit enabled block‐attack model to tackle distributed denial of service attacks
Diab et al. Denial of service detection using dynamic time warping
Saini et al. A hybrid ensemble machine learning model for detecting APT attacks based on network behavior anomaly detection
Najafimehr et al. DDoS attacks and machine‐learning‐based detection methods: A survey and taxonomy
FR3123527A1 (fr) Procédé de surveillance d’un réseau, dispositif et système associés
El-Alfy et al. Detecting Cyber‐Attacks on Wireless Mobile Networks Using Multicriterion Fuzzy Classifier with Genetic Attribute Selection
WO2021245361A1 (fr) Procédé de détection d'anomalies dans un réseau de communication, procédé de coordination de détection d'anomalies, dispositifs, équipement routeur, système de gestion d'anomalies et programmes d'ordinateur correspondants
EP4009584A1 (fr) Procédé de détermination de classifieurs pour la détection d'attaques dans un réseau de communication, dispositif de détermination associé
US20210029157A1 (en) Artificial intelligence (ai)-based malware detection
FR3104761A1 (fr) Procédé de surveillance de données transitant par un équipement utilisateur
Lange et al. Using a deep understanding of network activities for security event management
Shyu et al. A multiagent-based intrusion detection system with the support of multi-class supervised classification
Rezac et al. Analysis of the ip telephony security issues using automatic neural network classifier
Abaid Time-sensitive prediction of malware attacks and analysis of machine-learning classifiers in adversarial settings

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20221202

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4