WO2006103337A1 - Procede de controle d’une table de flots adaptative et de detection d’une attaque par inondation d’un reseau de transmission de donnees par paquets a large bande et equipement d’analyse correspondant - Google Patents

Procede de controle d’une table de flots adaptative et de detection d’une attaque par inondation d’un reseau de transmission de donnees par paquets a large bande et equipement d’analyse correspondant Download PDF

Info

Publication number
WO2006103337A1
WO2006103337A1 PCT/FR2006/000631 FR2006000631W WO2006103337A1 WO 2006103337 A1 WO2006103337 A1 WO 2006103337A1 FR 2006000631 W FR2006000631 W FR 2006000631W WO 2006103337 A1 WO2006103337 A1 WO 2006103337A1
Authority
WO
WIPO (PCT)
Prior art keywords
stream
existing
candidate
flow
attributes
Prior art date
Application number
PCT/FR2006/000631
Other languages
English (en)
Inventor
Fabrice Guillemin
Stéphanie POISSON
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2006103337A1 publication Critical patent/WO2006103337A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Definitions

  • the invention relates to a method for controlling an adaptive flow table and detecting a flood attack of a broadband packet transmission network and corresponding analysis equipment.
  • the transmission of packet data over a broadband transmission network involves the implementation of specific procedures or protocols, which are essential for the smooth running of the transmission process.
  • network equipment such as routers, switches or multiplexers, for example, can ensure the execution of records and the processing of these records relating to flows or transmitted data streams.
  • a stream is characterized by a number of parameters or variables common to several transmitted data packets. These parameters can be contained in several layers of the OSI model for Open Systems Interconnection model in English. These parameters or variables may correspond to prefixes in the source and / or destination address fields, layer 3 in the case of IP or layer 2 networks in the case of ATM networks for Asynchronous Transfer Mode in English, or to any other field in the header (type of protocol for example) or in the payload, in English, packets, such as, in particular, the port numbers in the case of TCP segments, for Transmission ⁇ ontrol Protocol in English, encapsulated in the datagrams of the IP protocol.
  • the recordings relating to the flows, designated flow recordings, are created then sent to a collector according to certain criteria applied by the equipments of the network.
  • the aforementioned flow records may for example contain information relating to several streams and sent to the collector under form of one or more data packets according to the aforementioned criteria by the network equipment.
  • the aforementioned flow recordings can be made by a specific probe marketed by CISCO, designated CISCO Netflow, whose specifications can be found on the html address http: // www. cisco. com / warp / public / 732 / netflo w / index.html.
  • Such a probe analyzes only one packet of IP data on N packets entering a router.
  • the corresponding box of the stream table is updated with certain parameters of the parsed data packet, such as for example the volume in bytes, the type of packets indicated by the CODE field of the TCP segment header, including SYN flags, ACK flags, RESET flags, and others; the start and end dates of the stream, coded according to a certain proprietary schema, corresponding respectively to the arrival date of the first packet of the stream and to that of the last are also updated;
  • the flow table is flushed and sent as UDP packets, for User Data Protocol in English, to a collector when no other box is available in the table at the arrival of a packet that requires the creation of a new entry or when the elapsed time since sending the last table has exceeded a pre-established threshold value.
  • the above-mentioned flood monitoring process makes it possible to implement network flood attack detection techniques by a multitude of useless and malicious messages, such as connection establishment messages or the like.
  • the abovementioned techniques are based on the observation of the traffic at a point of observation, on a link via a device for duplicating the traffic by an optical coupler, or on an interface of a router, or by the implementation of functions as in the case of CISCO Netflow probes, on observation windows formed by successive time intervals.
  • the different observed flows are then classified according to specific criteria, as a function of the volumes, the number of connection establishment signals for the connected transfer protocols, for example.
  • the aforementioned classification then makes it possible to determine the most important flows, relative to a given criterion.
  • deltoids method Another technique, known as the deltoids method, consists of comparing the different waves observed on two consecutive windows and noting the larger contributors, but those with the largest differences in behavior between these two periods. Such a method has been described in the article "What's New: Finding Significant Differences in Network Data Streams” published by Graham Cormode, S.Muthukrishnan, IEEE Infocom 2004. Other techniques provide anomaly detection with respect to average behavior and can be used to determine flows with abnormal behavior. The article titled “Application of Anomaly Detection Algorithms for Detecting SYN Flooding Attacks” and published by Vasilios A. Siris, Fotini Papagalou in Proc. Globecom 2004, Dallas, December 2004 presents a panorama of the different techniques mentioned above, to which we will be able to refer.
  • Another known technique proposes a first phase of learning, more or less long, followed by a phase in which one classifies the different flows observed in several families. Each family is then characterized by a typical behavior. Consequently, if a stream comes out of the class which has been attributed to it, this variation results from an anomaly.
  • the above technique is implemented in the Peak Flow designated commercial product distributed by Arbor Networks and whose specifications are available at http: // www, arbornetworks.com.
  • the aforementioned techniques have the major drawback because of their need to accumulate a large amount of information over successive time intervals. It is also necessary to sort this information and reconstruct the flows in order to calculate the value of specific parameters or variables. These operations are very expensive in terms of computation time, because of the gigantic number of streams that are likely to coexist simultaneously or to occur in a given time interval on a transmission link of a broadband packet data network. bandaged. When an average behavior has been defined, it is then necessary to identify the flows which exceed the aforementioned average behavior or to identify the large contributors, or even to carry out correlations over successive time intervals to detect anomalies, when a deltoid method is Implementation.
  • the object of the present invention is to remedy all the disadvantages of the techniques of the prior art, by implementing a method of controlling a table of flows, or hash table, which is adaptive and of a method of detecting a flood attack of a corresponding broadband packet data network.
  • the notion of floating hash table must be understood as that relating to an adaptive flow coding table and reduced size.
  • an object of the present invention is the implementation of a control method of the above-mentioned flow table, which, thanks to the reduced size of the latter, makes it possible to introduce a natural selection by filtering the transiting flows.
  • the streams of least contribution according to a criterion of volume or flow, of number of connection establishment messages, ICMP messages, for Internet ⁇ ontrol Message Protocol in English, or other being systematically eliminated, in real time.
  • Another object of the present invention is also, by means of the aforementioned filtering process, the implementation of evaluation criteria of the averages and the variances of the variables and monitoring parameters that are much more reliable, more precise and more faithful, allowing and the implementation of a corresponding method for detecting a flood attack of a broadband packet data transmission network.
  • the method of controlling an adaptive flow table located in memory of an analysis equipment of a broadband packet data transmission network, object of the present invention is implemented from recordings streams each having a stream descriptor, each stream descriptor including at least stream attributes formed at least by a stream identifier including at least the destination address of the stream and by the volume of the cumulative stream over a creation time recording.
  • the criterion of conditional attribute existence includes at least the identity respectively the absence of identity of the destination address of the candidate stream and the existing stream and the superiority of the volume respectively of the number of messages of this message type of the volume candidate stream or the number of messages of this type of messages of the existing stream measured during the creation time of the record being processed.
  • the method of controlling an adaptive flow table object of the invention finds application to the technical management of broadband packet data transmission networks, such as the IP network, to the security of these networks, in particular to their protection against malicious attacks by flooding by multitude of access request messages or other, through the implementation of an adaptive flow table in accordance with the object of the present invention and the dedicated use thereof. ci for the implementation of a method of detecting a flood attack.
  • FIG. 1 represents, by way of illustration, a flowchart of the essential steps of the method of controlling an adaptive flow table, object of the present invention
  • FIG. 2 represents, by way of illustration, a detail of implementation of the registration / non-registration operation of a candidate stream with a potential address of the adaptive flow table, according to a partial flowchart;
  • FIG. 3 represents, by way of illustration, a detail of implementation of the update operation of the attributes of an existing stream, when the destination address of the candidate stream and of the existing stream are identical;
  • FIG. 4 represents, for illustrative purposes, a continuation of the flowchart illustrating the registration / non-registration operation of a candidate stream of FIG. 2;
  • FIG. 5 represents, by way of illustration, a flowchart of the essential steps of the method for detecting a flood attack of a broadband packet data transmission network, from a table of flows. adaptive controlled according to the method object of the invention illustrated in Figures 1 to 4;
  • FIG. 6 represents, by way of illustration, a flowchart of the essential steps of an abnormality qualification procedure of a candidate and / or existing stream, according to a nonlimiting preferential embodiment, in the context of the method illustrated in Figure 5;
  • FIG. 7 represents, by way of illustration, a flowchart of the essential steps of an attack signaling procedure
  • FIG. 8 represents, by way of illustration, a broadband packet data network analysis equipment according to the subject of the present invention.
  • FIG. 9 represents, in detail, the arrangement of an adaptive flow table, in accordance with the object of the present invention.
  • the method which is the subject of the invention is implemented from stream recordings, designated FR, each comprising a stream descriptor, designated FD, each stream descriptor comprising stream attributes.
  • FA the stream attributes being formed at least by a flow identifier designated FI including at least the destination address of the stream, denoted DA, and by the volume of the cumulative stream over the duration of creation of the record containing the flow descriptor, the volume of the cumulative stream being denoted FV.
  • a stream record is noted:
  • the method which is the subject of the invention is implemented for at least one type of message M; conveyed by the streams considered on any link of the transmission network to which is dedicated the adaptive flow table according to the subject of the present invention.
  • the method which is the subject of the invention consists, at least, for a type of message Mi conveyed by the streams, in a step A, of extracting from each of the flow descriptors the flow information and attributes. relating to each of the streams contained in each stream descriptor and to associate the stream attributes to the corresponding relevant stream, to define a plurality of candidate streams for enrollment in the adaptive flow table object of the present invention.
  • Step A of FIG. 1 is represented by the symbolic relation representing the extraction operation:
  • FR [FD [FA], Mi] actually means the recording of a given stream and CF [FD [FA], Mi] designates the candidate stream obtained after extraction of the stream attributes and association of these attributes with the flow corresponding relevant to define the aforementioned candidate stream.
  • Step A is then followed by a step B consisting in calculating, for each of the candidate streams, a potential address of memory area in the flow table, that is to say in the memory of the equipment. analysis in which the flow table is implemented.
  • the potential address is a function of the destination address DA of the candidate stream CF considered.
  • Step B is then followed by a step C consisting of listing or not the FA attributes of each of the candidate streams CF to the determined potential address HA (DA) of the memory area considered, the aforementioned attributes FA being accompanied by an update of the cumulative value of the number of messages of the type of message considered.
  • the operation consisting of inscribing or not the attributes of the candidate stream under consideration is carried out on the criterion of non-existence or conditional existence of an attribute of an existing stream in the determined potential address memory zone HA (DA), respectively. with respect to the candidate stream CF.
  • the aforementioned criterion of conditional existence of attributes comprises at least the identity respectively the absence of identity of the the destination address of the candidate stream and the existing stream, when the latter is stored in the HA address memory (DA), and the superiority of the volume or the number of messages of a particular type of the candidate stream to the volume respectively to the number of messages of the same type of the existing stream, these quantities being measured during the creation time of the records.
  • step C thereof the registration / non-registration operation is represented at the potential address HA (DA) of the memory area of the attributes of each of the streams by the symbolic relation. :
  • any FD flow descriptor can be at least constituted as shown in Table 1 below.
  • any FD flow descriptor can comprise: the identifier of the stream FI, which may itself comprise the source address SA of the stream, a destination address DA of the stream, the type of protocol, the number of ports and any other relevant parameter; the start date of the ST flow; the end date of the FT flow;
  • step C of FIG. 1 registration / non-registration step with the potential address considered, the value of the calculated potential address HA (DA), the candidate stream CF and attributes of the latter, as well as the type of message Mi and of course the value of the flag mentioned above indicating the presence of such a message.
  • DA calculated potential address
  • Mi the type of message
  • the presence of an existing flow EF [F 1 D [D 1 A] 5 CNMj] and the attributes of the latter entered in the memory zone at the aforementioned potential address are also available, or the case where appropriate, empty memory zone when there is no existing flow EF and therefore no existing flow attribute entered in the address memory area considered.
  • the method which is the subject of the invention then consists at least in a step Ci in calculating the cumulative number of messages of the type of message considered from the attributes of the flow CF candidate, updated as an existing stream, then to enter in the potential address memory area HA (DA) the attributes of the candidate stream and the cumulative value of the number of message type messages M ,.
  • M designates the type of message considered
  • NJC indicates the cumulative number of messages, which can be determined in the presence of the flag of the attributes of the candidate stream to the value 1 from the volume of the stream and the number of packets, for example.
  • step C 2 of FIG. 2 the entry in the potential address memory zone HA (DA) of the candidate stream CF and the attributes of the latter is symbolized by the inscription of CF [FD [DA] 5 CNMI].
  • the method which is the subject of the invention then consists, on the identity of the destination address of the existing stream and the destination address of the candidate stream, the identity test being carried out in stage C 3 of FIG. comparison of the destination addresses DA of the candidate stream CF and D'A of the existing stream EF and positive response to the R2006 / 000631
  • step C 4 the value of the cumulative number of messages of the type of messages considered Mj, in the memory zone, by adding to the existing value, the estimated value of the number of messages of the message type, based on the attributes of the candidate stream.
  • This updating operation in step C 4 comprises the calculation of the number of messages NM; in a manner similar to step Ci of the same figure 2 to then update the cumulative value by the relation:
  • Step C 4 is then followed by a step C 5 of updating the attributes of the existing flow F 1 A, other than the destination address of the existing flow on criterion of identity and lack of identity. identifiers of the existing stream and the candidate stream.
  • step C 5 The operation of step C 5 will now be described with reference to FIG. 3, in which, for the implementation of step C 5 , one has on the one hand
  • FA [FI [DA], ST 5 FT, FV];
  • F 1 A [F 1 I [DA] 5 S 1 T 5 F 1 T 5 F 1 V]. It is indicated that due to the positive response to the C 3 test the destination addresses of the candidate and existing streams are identical and equal to DA.
  • the step of updating the attributes of the existing flow F'A represented in FIG. 3, as represented in the above-mentioned figure, is executed on the candidate and existing stream attributes comprising as well as previously described the identifiers FI and F '. I of each of the aforementioned flows, the start dates ST and S'T, the end dates FT and
  • the update step C 5 then comprises a step C 51 for updating the volume of the existing flow F 1 V by adding the volume of the candidate stream to step C 51 , this operation being represented by the relation
  • Step C 51 is followed by a step C 52 for updating the start date, respectively the end date of the existing flow by the minimum, respectively the maximum between the corresponding value of start date, respectively of end date of the candidate stream CF and the existing stream EF.
  • the previous relationships indicate the update of the start date by the minimum between the start date value ST of the candidate stream and S 1 T of the existing stream and the maximum between the value of the date end of the existing FT flow and the FT candidate flow.
  • step C 50 In negative response to the test of step C 50 , that is to say if the identifiers of the candidate stream IF and the existing stream are different, and if the existing stream is out of date vis-à-vis a duration of reactualization determined, this expiry condition being executed by the test C 53 by the symbolic relation DoT 0 (EF) relation in which
  • Dc denotes a current date given by a system date for example and T 0 (EF) denotes the re-actualization duration determined for the existing flow EF, this duration being able to be determined arbitrarily or experimentally, then on positive response to the aforementioned test C 53 in step C 54, the attributes of the existing stream are erased in the memory area and the attributes of the identifier FI, of the date, are entered in the same HA address memory zone (DA). ST start, end date and FT volume flow VF candidate to replace the corresponding attributes f ', S 1 T, FT and F'v existing EF flow.
  • DA HA address memory zone
  • the method which is the subject of the invention when the memory zone is occupied, furthermore consists in the absence of an identity of the destination address of the existing flow A and of the the destination address of the candidate stream DA as represented in FIG. 4, if the existing stream EF has expired with respect to a given refreshment period as represented in FIG. 4, this condition being executed on the C 6 test of FIG.
  • step C 9 the execution of a step C 9 of calculation of the cumulative number of messages of this type of messages, number CNMj then comparison of the aforementioned number with the threshold value SCMj representing the determined threshold value mentioned above, then one proceeds in a step Cio to an erase in the memory area of the attributes of the existing flow F 1 I, S 1 T, F 1 T, F 1 V and one proceeds to the registration of the attributes identifying IF of start date ST, of date FT end, FV volume of the candidate stream replacing the attributes of the existing stream, the cumulative number of messages CNMj of the message type M; considered having been calculated in step C 9 from the attributes of the candidate stream.
  • step C 8 the volume of the candidate flow FV is smaller than the volume of the existing flow F 1 V, then proceed to step C 11 to reject the candidate stream, the attributes of the existing flow being maintained in the memory area of the water table and unchanged.
  • step C 11 This operation in step C 11 is represented by the relation Reject CF [FD [FA] 5 Mi].
  • step B of FIG. 1 it is indicated that the potential address calculation can be executed from a calculation module taking into account the destination address DA of the candidate stream. CF.
  • This HA (DA) address is calculated for example by means of a hash function applied to the destination address of the candidate stream.
  • any hash function ensuring a substantially uniform distribution of the potential memory area address calculated on the memory space of the analysis equipment is likely to be suitable.
  • Such hash functions are normally available in the scientific literature and in particular on the relevant websites.
  • each memory zone of the adaptive flow table object of the present invention contains for each existing stream EF at least the fields as mentioned in Table 2.
  • each memory zone of the flow table comprises at least: a stream identifier, that is to say the value FI for example; the start date of the flow ST, the end date of the flow FT,
  • the memory zone write operations are the operations C 2 , C 54 , C 52 , C 56, C 7 and C 9 0 previously described in the description.
  • control method that is the subject of the present invention thus makes it possible to implement an adaptive flow table, which makes it possible to establish an average acceptable behavior for at least one stream and in particular a plurality of streams with respect to a given criterion. .
  • a stream is then characterized by a certain variable corresponding to the desired detection criteria, this criterion being able to correspond to the volume of data of the stream or the number of connection establishment requests to a given destination address, as previously described in the description.
  • the average behavior can then be defined by a permissible average for the absence of a flood attack of this network on the criterion of relative stationary rate of the volume flow and / or the rate of the number of messages of the type of messages considered as the request for establishment. of connection.
  • control method which is the object of the present invention, thus makes it possible to create an adaptive flow table which constitutes an image set of existing flows, from the recording of candidate flows each comprising a candidate stream descriptor containing attributes. of the candidate stream.
  • the adaptive flow table which is the subject of the present invention, is thus implemented by means of a hashing function to constitute a floating table maintained in the course of the water, that is to say according to the arrival of the recordings of flows, thanks to the application of certain rules of insertion and expulsion of the flows in the table, these rules favoring of course the taking into account of the important flows according to the criteria defined previously in the description.
  • Maintaining the flow image set to constitute the adaptive flow table according to the control method of the present invention can then be performed over a record creation time in the absence of a limited viewing window.
  • the method of detecting a flood attack which is the subject of the invention, naturally consists in establishing an image set of existing flows from the recording of candidate flows each comprising a candidate stream descriptor. containing attributes of the candidate stream.
  • a plurality of candidate streams CF [FD [FA] 5 M 1 ] are thus considered according to the annotation previously mentioned in the description.
  • the attributes of each candidate flow are written together with a cumulative number value of messages of message type M; considered.
  • the candidate flow is accepted, at the time of registration, or otherwise not registered, the candidate stream is then rejected, as mentioned previously in the description.
  • the registration or the non-registration of each candidate stream CF in the existing flow image set is carried out on the criterion of non-existence or conditional existence of a comparable existing stream in the set of existing streams as well as than previously mentioned in the description.
  • the set of images of existing streams that is to say the adaptive flow table, obtained thanks to the implementation of the control method object of the present invention, is representative over one or more periods creation of records of an average acceptable state for lack of flood attack of this network, on criterion of relative stationarity of volume flow rate and / or the rate of the number of messages of the type of messages considered.
  • step D the operation of establishing the stream image set is represented, which is represented by the symbolic relation:
  • the method for detecting a flood attack of a broadband packet data transmission network then consists of detecting in one step E the exclusion of any existing stream of this image set of existing streams, when writing a candidate stream in this image set of existing streams.
  • the method of detecting a flood attack in accordance with the object of the present invention , then consists in the step F to discriminate in all the aforementioned image a subset of healthy existing streams.
  • an existing healthy stream is defined as any existing or expired stream which has not been measured. exclusion by marking the existing streams constituting the entire image of existing streams.
  • the discriminating operation consists of the discrimination of any healthy existing stream belonging to the image set, according to the previously defined healthy current flow criterion, with each healthy existing stream that can be assigned. a corresponding subscript of belonging to the subset of existing healthy stream E s .
  • step F is then followed by a step G consisting in calculating, for the subset E s of existing healthy streams, an average variable and a volume variance variable and / or a number of message messages.
  • message type considered Mj taking into account the existing stream rejected in the previous step E.
  • the volume average variables M v and the volume variance variables S v are updated from an exponential smoothing mobile calculation algorithm for example.
  • This type of calculation and update by the aforementioned algorithm is a conventional type of calculation, which for this reason will not be described in detail.
  • an average and a floating variance for the flow rate in the number of messages of type of message considered Mi per second of the healthy flows are calculated taking into account the flow rate of the expelled flow.
  • CNMj denotes the cumulative number of messages of the expelled stream EFE + I, FT and ST denote the start date and the end date of the aforementioned expelled stream.
  • M m and S m variables of average and variance in the number of messages denoted M m and S m are also calculated from an averaging algorithm with smoothing exponential for example.
  • Step G is then followed by a step H, which consists in detecting an anomaly of any existing stream and / or any candidate stream by comparing the volume rate and / or the rate of the number of messages of this type of message. derived from the attributes of the existing flow and / or the candidate flow vis-à-vis variables of average and volume variance volume and / or number of aforementioned messages.
  • the anomaly detection of any existing stream advantageously consists in comparing the volume flow rate with the average volume flow rate and the volume flow variance respectively the flow rate of the number of messages to the average of the message rate and the rate variance in the number of messages.
  • the anomaly detection in step H is advantageously performed by comparing the superiority of the volume flow rate r v of the existing EF E + I discharge stream with a linear combination of the flow rate variable. volume and variance variable in volume.
  • the operation of detecting a flow rate anomaly in the number of messages of the same type of message of any existing stream and / or candidate includes the comparison of the rate flow advantage in number of messages r m to a linear combination of the message number average rate variable and the number of message rate variance variable.
  • the corresponding operations are recorded in step H of Figure 5 by the relation: r v> M + K v v v .S
  • K v denotes a weighting coefficient of the volume flow variance, taken for example equal to 5;
  • K m designates a weighting coefficient of the variance of flow in number of messages, taken for example equal to 35.
  • a flow of an anomaly is not necessarily an abnormal flow in the sense of a flood attack.
  • the method that is the subject of the present invention further consists, as represented in FIG. 6 in a step I, of relying on a set of existing flow recordings, anomaly seats E. eav, m , the number of occurrences of volume flow anomaly detection and / or in number of messages for a given message type for an existing stream and / or a candidate stream.
  • step I The counting done in step I is represented by the symbolic relationship
  • OE 3V is the number of occurrences of volume flow anomalies and OE am is the number of occurrences of flow anomalies in message counts for the existing flow E eav , n
  • Step I is followed by a step J consisting in comparing the numbers of occurrences mentioned above with a threshold value of anomaly occurrences denoted N v for the occurrence threshold of volume flow anomaly respectively in number. of messages N m .
  • This operation is represented by the symbolic operation
  • step K If one or both of the aforementioned anomaly occurrence threshold values are exceeded, then the candidate stream and / or the existing stream is stored in step K as an abnormal flow in a subset of the image. abnormal flows. This operation is performed on a positive response to the test J of FIG.
  • step 1 is returned to counting for an adaptive continuation of the process.
  • step K the subset image of abnormal flows is noted: . It includes, of course, the collection of all existing streams and / or candidates that have satisfied the test of stage J and which have therefore been considered abnormal.
  • the detection method of the present invention also consists, according to a preferred embodiment, in a periodic scan or scan of the subset image of abnormal flows, as shown in Figure 7, by reading the latter.
  • the reading operation in the above-mentioned step L is accompanied by a count v of occurrence of the same abnormal flow during the period of travel.
  • the aforementioned counting operation is represented by the symbolic relation
  • NE eA denotes the number of occurrences of the same abnormal flow.
  • the analysis equipment of a broadband packet data transmission network can advantageously be implemented in the form of a waiter.
  • the aforementioned server can then be installed in a collector or on the contrary be installed in a network independently, so as to communicate with any collector implanted on this network.
  • the analysis equipment that is the subject of the present invention conventionally comprises I / O input / output devices, a RAM working memory and a CPU. It is understood in particular that when the network analysis equipment object of the present invention is implanted in a collector, the input / output I / O members, the working memory RAM and the central processing unit CPUs can be common.
  • the network analysis equipment object of the present invention can then benefit from all the software resources of the collector to ensure in particular the reception, the storage and the processing of the recordings of flows FR and of course descriptors of FD flows to allow the implementation of the method object of the present invention.
  • an adaptive flow table Ti 5 which, of course, includes an image set of existing streams established from FR records of candidate streams each having a candidate stream descriptor FD containing attributes of the candidate stream FA, as previously described in the description.
  • each candidate stream CF The attributes of each candidate stream CF are entered, the candidate stream being accepted, accompanied by a value of the cumulative number of messages of at least one type of message respectively not inscribed, the candidate stream being rejected, in the set of images.
  • existing flows on the criterion of non-existence respectively of conditional existence of a comparable existing stream in the whole image of existing flows.
  • the image set of existing flows is representative, over a record creation time, of a permissible average state by absence of flood attack of this network, on the criterion of relative stationarity of the volume flow rate and / or the rate in number of messages of a certain type of messages.
  • the analysis equipment object of the invention also comprises a control module M 1 of the adaptive flow table T 1 .
  • the control module M 1 can be constituted by a program module in executable permanent memory in RAM working memory and allowing the technical management of the adaptive flow table T 1 .
  • each candidate stream is registered when the candidate stream is accepted accompanied by a value of the cumulative number of messages of a given message type respectively unregistered when the candidate stream is rejected in the existing stream image set, c that is, in the adaptive flow table T 1 on the criterion of non-existence or conditional existence of a comparable existing stream in the existing stream image set, respectively.
  • control module M 1 makes it possible, of course, to implement the steps of the method of controlling the adaptive flow table T 1 as described previously in the description with reference to FIGS. 1 to 4. .
  • the network analysis equipment which is the subject of the invention, also comprises a program module M 2 also formed by a permanent memory module, for example.
  • program module being however directly executable in RAM working memory in order to allow the implementation of the method for detecting a flood attack of a broadband packet data transmission network as described previously in the description in FIG. connection with Figure 5.
  • This procedure allows in particular to perform the detection of an anomaly of any existing stream and / or any candidate stream, any registered candidate stream becoming an existing stream in accordance with the method object of the present invention.
  • the analysis equipment object of the present invention comprises a table of abnormal flows T 2 comprising a subset image of abnormal flows and a control module M 3 of the abnormal flow table and sub-image image of abnormal flows T 2 .
  • the control module M 3 is constituted by a program module directly executable in RAM working memory in order to allow the implementation of the method which is the subject of the invention and in particular of the abnormal flow table management process, as described with reference to FIG.
  • control module of the abnormal flow table and the abnormal flow image subassembly advantageously also comprises a submodule of program M ' 3 executable in working memory and allowing a periodic scan of the abnormal flow table T 1 in order to launch a network flood attack signaling message respectively an end-of-anomaly message of the stream in question, as well as previously described in the description with reference to FIG. 7.
  • the program modules M 1 , M 2 and M 3 , M ' 3 can be stored or transmitted by a data medium.
  • the latter may be a hardware storage medium, for example a CD-ROM, a magnetic diskette or a hard disk, or a transmissible medium such as an electrical, optical or radio signal.
  • the aforementioned program modules M 1 , M 2 and M 3 , M ' 3 which are the subject of the invention, comprise the software instructions allowing the execution of the method according to the invention as described with reference to FIGS. 1 to 4, 5 and 6, respectively.
  • the aforementioned adaptive flow table is in the form of a memory space, a table divided into boxes of the same size. Each memory box is itself divided into sub-boxes, each of these sub-boxes being intended to store the attributes of the existing flows, such as Identifier, Flow # 1 to Flow #M, start date ST, end date FT , FV volume, accumulated number of PN packets, cumulative number of CNM messages; one or more particular types for the destination address DA of the existing flow, as well as control variables for the rejection of existing flows, for example a counter COF 1n indicating the number of times the existing flow considered exceeds a certain criterion, which is itself a linear combination of the average and variance calculated along the water, as previously described in the description.

Abstract

L'invention concerne un procédé de contrôle d'une table de flots adaptative d'un réseau. Pour un type de message (Mi) véhiculé par les flots, il consiste à (A) extraire à partir des descripteurs de flot (FD), les attributs du flot (FA) et associer ces derniers au flot pertinent pour définir une pluralité de flots candidats (CF), calculer (B) pour chaque flot candidat (CF) une adresse potentielle de zone mémoire (HA) dans la table des flots, en fonction de l'adresse de destination (DA) du flot candidat, inscrire ou non (C) les attributs de chacun des flots candidats à une adresse potentielle (HA(DA)), accompagnés d'une actualisation de la valeur du nombre de messages (CNMi) de ce type de message, sur critère de non existence respectivement d'existence conditionnelle d'attributs d'un flot existant dans la zone mémoire d'adresse potentielle (HA(DA)). Le critère d’existence conditionnelle d'attributs comprend au moins l'identité ou l'absence d'identité du flot candidat (CF) et du flot existant (EF) et la supériorité du volume du flot candidat (FV) au volume du flot existant (F’V). Application à la surveillance et la protection des réseaux IP contre les attaques par inondation.

Description

PROCEDE DE CONTROLE D'UNE TABLE DE FLOTS ADAPTATIVE ET DE DETECTION D'UNE ATTAQUE PAR INONDATION D'UN RESEAU DE TRANSMISSION DE DONNEES PAR PAQUETS A LARGE BANDE ET
EQUIPEMENT D'ANALYSE CORRESPONDANT
L'invention concerne un procédé de contrôle d'une table de flots adaptative et de détection d'une attaque par inondation d'un réseau de transmission par paquets à large bande et un équipement d'analyse correspondant.
La transmission de données par paquets sur un réseau de transmission à large bande implique la mise en œuvre de procédures ou protocoles spécifiques, indispensables au bon déroulement du processus de transmission.
En particulier, pour veiller au respect de ces procédures ou protocoles, des équipements du réseau, tels que les routeurs, les commutateurs ou les multiplexeurs par exemple, peuvent assurer l'exécution d'enregistrements et le traitement de ces enregistrements relatifs à des flux ou flots de données transmises.
D'une manière générale, un flot est caractérisé par un certain nombre de paramètres ou variables communs à plusieurs paquets de données transmis. Ces paramètres peuvent être contenus dans plusieurs couches du modèle OSI pour Open Systems Interconnection model en anglais. Ces paramètres ou variables peuvent correspondre à des préfixes dans les champs d'adresses source et/ou destination, couche 3 dans le cas des réseaux IP ou couche 2 dans le cas des réseaux ATM pour Asynchronous Transfer Mode en anglais, ou à tout autre champ dans l'entête (type de protocole par exemple) ou dans la charge utile, "payload" en anglais, des paquets, tels que, notamment, les numéros de port dans le cas des segments TCP, pour Transmission Çontrol Protocol en anglais, encapsulés dans les datagrammes du protocole IP.
Les enregistrements relatifs aux flots, désignés enregistrements de flots, sont créés puis envoyés à un collecteur selon certains critères appliqués par les équipements du réseau. Les enregistrements de flots précités peuvent par exemple contenir des informations relatives à plusieurs flots et envoyées au collecteur sous forme d'un ou plusieurs paquets de données selon les critères précités par les équipements du réseau.
Dans le cadre du réseau IP, les enregistrements de flots précités peuvent être réalisés par une sonde spécifique commercialisée par la société CISCO, désignée CISCO Netflow, et dont les spécifications peuvent être consultées sur l'adresse html http ://www. cisco . com/warp/public/732/netflo w/index.html.
Une telle sonde n'effectue une analyse que d'un paquet de données IP sur N paquets entrant dans un routeur.
A chaque paquet analysé, la sonde précitée renseigne une table de flots de la manière ci-après :
- si le paquet correspond à un flot déjà présent dans la table des flots, la case correspondante de la table des flots est mise à jour avec certains paramètres du paquet de données analysé, tels que par exemple le volume en octets, le type de paquets indiqué par le champ CODE de l'en-tête des segments TCP, notamment drapeaux SYN, ACK, RESET ou autres ; les dates de début et de fin de flot, codées suivant un certain schéma propriétaire, et correspondant respectivement à la date d'arrivée du premier paquet du flot et à celle du dernier sont en outre mises à jour ;
- sinon, si le paquet ne correspond à aucun des flots déjà présents dans la table des flots, une nouvelle entrée et une case correspondante, relative à ce nouveau flot, sont créées dans la table.
La table des flots est vidée et envoyée sous forme de paquets UDP, pour User Data Protocol en anglais, à un collecteur lorsque aucune autre case n'est disponible dans la table à l'arrivée d'un paquet qui nécessite la création d'une nouvelle entrée ou quand le temps écoulé depuis l'envoi de la dernière table a dépassé une valeur de seuil pré-établie.
Le processus de surveillance des flots précité permet de mettre en œuvre des techniques de détection d'attaque par inondation des réseaux par une multitude de messages inutiles et malveillants, tels que messages d'établissement de connexion ou autres. Les techniques précitées reposent sur l'observation du trafic en un point d'observation, sur un lien via un dispositif de duplication du trafic par un coupleur optique, ou sur une interface d'un routeur, ou grâce à la mise en œuvre de fonctions spécifiques comme dans le cas des sondes CISCO Netflow, sur des fenêtres d'observation formées par des intervalles de temps successifs.
Les différents flots observés sont ensuite classés suivant des critères spécifiques, en fonction des volumes, du nombre de signaux d'établissement de connexions pour les protocoles de transfert connectés, par exemple.
Le classement précité permet ensuite de déterminer les flots les plus importants, relativement à un critère donné.
Des techniques de traitement de données spécifique, dites "data mining" en anglais, sont ensuite mises en œuvre pour détecter les flots qui représentent les plus fortes contributions au cours du temps.
Les techniques dites de gros contributeurs, pour "heavy hitters" en anglais, donnent par exemple les N plus gros contributeurs sur une période de temps selon un certain critère, volumétrie, nombre de paquet de données ou autre.
Ensuite, la comparaison de deux listes successives de gros contributeurs obtenues lors de deux périodes de temps consécutives permet de mettre en évidence un comportement suspect, lors de l'arrivée inopinée d'un nouveau flot. Pour une description plus détaillée de la technique correspondante, on pourra utilement se reporter à l'article publié par Graham Cormode, FHp Korn, S. Muthukrishnan, Divesh Srivastava intitulé "Finding Hierachichal Heavy Hitters in Date Stream" in Proc. VLDB Conférence, Berlin 2003.
Une autre technique, dite méthode des deltoïdes, consiste à comparer les différents flots observés sur deux fenêtres consécutives et à relever non pas les contributeurs les plus gros, mais ceux qui présentent les plus grosses différences de comportement entre ces deux périodes. Une telle méthode a été décrite dans l'article intitulé "What's New: Finding Significant Différences in Network Data Streams" publié par Graham Cormode, S. Muthukrishnan, IEEE Infocom 2004. D'autres techniques proposent une détection des anomalies par rapport à un comportement moyen et permettent de déterminer les flots présentant un comportement anormal. L'article intitulé "Application of Anomaly Détection Algorithms for Detecting SYN Flooding Attacks" et publié par Vasilios A. Siris, Fotini Papagalou in Proc. Globecom 2004, Dallas, December 2004 présente un panorama des différentes techniques précitées, auquel on pourra se reporter.
Des techniques différentes, basées sur l'étude des messages SNMP pour Simple Network Management Protocol en anglais qui véhiculent des informations contenues dans les bases de gestion des équipements du réseau, bases MIB pour Management Information Bases en anglais, cherchent à discriminer des signes précurseurs d'attaque par saturation DDOS, pour Distributed Déniai of Service en anglais, en utilisant les variables des MIB, telles que le nombre de ICMP écho, lors d'une attaque de type "Ping flood".
Un mode opératoire correspondant a été décrit dans l'article intitulé "Proactive Détection of Distributed Déniai of Service Attacks using MIB Traffic
Variables - A Feasability study" in Proc. IFIP/IEEE, Seatle Mai 2001 et publié par
Joâo B.D. Cabrera, Landy Lewis, Xinzhou Qin, Wenke Lee, Ravi K. Prasanth, B.
Ravichandran, Raman K. Mehra.
En fait, une étude statistique compare tous les couples de variables d'entrée et de sortie d'une victime potentielle et cherche à déterminer les causes d'une augmentation d'une valeur d'une variable cible, une attaque par exemple.
L'article intitulé "Detecting Flood-based Déniai of Service Attacks with SNMP/RMON" publié par W. Streilein, David J. Fried, Robert K. Cunningham, Workshops on Statistical and Machine Learning Techniques in Computer Intrusion Détection, George Mason University, 24-26 septembre 2003, décrit l'utilisation de compteurs de paquets et de volumétrie et étudie les variations de la quantité définie comme la taille des paquets divisée par le nombre total de paquets en tenant compte des heures de la journée.
Une autre technique connue, enfin, propose une première phase d'apprentissage, plus ou moins longue, suivie d'une phase dans laquelle on classe les différents flots observés dans plusieurs familles. Chaque famille est alors caractérisée par un comportement type. Par suite, si un flot sort de la classe qui lui a été attribuée, cette variation résulte d'une anomalie. La technique précitée est mise en œuvre dans le produit commercial désigné Peak Flow distribué par la société Arbor Networks et dont les spécifications sont disponibles à l'adresse du site http ://www, arbornetworks.com.
Les techniques précitées présentent l'inconvénient majeur du fait de leur nécessité d'accumuler une quantité importante d'information sur des intervalles de temps successifs. Il est en outre nécessaire de trier cette information et de reconstituer les flots afin de calculer la valeur de paramètres ou variables spécifiques. Ces opérations sont très coûteuses en temps de calcul, en raison du nombre gigantesque de flots qui sont susceptibles de coexister simultanément ou de se présenter dans un intervalle de temps donné sur un lien de transmission d'un réseau de transmission de données par paquets à large bande. Lorsqu'un comportement moyen a été défini, il faut ensuite identifier les flots qui excèdent le comportement moyen précité ou identifier les gros contributeurs, voire effectuer des corrélations sur des intervalles de temps successifs pour détecter des anomalies, lorsqu'une méthode de type deltoïde est mise en œuvre.
La présente invention a pour objet de remédier à l'ensemble des inconvénients des techniques de l'art antérieur, par la mise en œuvre d'un procédé de contrôle d'une table de flots, ou table de hachage, adaptative et d'un procédé de détection d'une attaque par inondation d'un réseau de transmission de données par paquets à large bande correspondant. La notion de table de hachage flottante doit être comprise comme celle relative à une table de codage des flots adaptative et de taille réduite.
En particulier, un objet de la présente invention est la mise en œuvre d'un procédé de contrôle de la table de flots précitée, lequel, grâce à la taille réduite de cette dernière, permet d'introduire une sélection naturelle par filtrage des flots transitant sur le lien, les flots de moindre contribution, selon un critère de volume ou débit, de nombre de messages d'établissement de connexions, de messages ICMP, pour Internet Çontrol Message Protocol en anglais, ou autre étant systématiquement éliminés, en temps réel.
Un autre objet de la présente invention est également, grâce au processus de filtrage précité, la mise en œuvre de critères d'évaluation des moyennes et des variances des variables et paramètres de surveillance beaucoup plus fiables, plus précis et plus fidèles, ce qui permet ainsi la mise en œuvre d'un procédé correspondant de détection d'une attaque par inondation d'un réseau de transmission de données par paquets à large bande.
Le procédé de contrôle d'une table de flots adaptative implantée en mémoire d'un équipement d'analyse d'un réseau de transmission de données par paquets à large bande, objet de la présente invention, est mis en œuvre à partir d'enregistrements de flots comportant chacun un descripteur de flot, chaque descripteur de flot incluant au moins des attributs de flot formés au moins par un identifiant de flot incluant au moins l'adresse de destination du flot et par le volume du flot cumulé sur une durée de création d'enregistrement.
Il est remarquable en ce qu'il consiste au moins, pour au moins un type de message véhiculé par les flots, à extraire, à partir de chacun des descripteurs de flots contenu dans un enregistrement, les informations et attributs de flots relatifs à chacun des flots contenus dans chaque descripteur de flot et à associer les attributs de flot aux flots pertinents, pour définir une pluralité de flots candidats, pour calculer, pour chacun des flots candidats, une adresse potentielle déterminée de zone mémoire, dans la table de flots, cette adresse potentielle étant fonction de l'adresse de destination du flot candidat, inscrire ou non les attributs de chacun des flots candidats à l'adresse potentielle déterminée de cette zone mémoire, accompagnés d'une actualisation de la valeur du nombre de messages de chaque type de message, sur critère de non existence respectivement d'existence conditionnelle d'attributs d'un flot existant dans cette zone mémoire d'adresse potentielle déterminée, vis-à-vis du flot candidat. Le critère d'existence conditionnelle d'attribut comporte au moins l'identité respectivement l'absence d'identité de l'adresse de destination du flot candidat et du flot existant et la supériorité du volume respectivement du nombre de messages de ce type de messages du flot candidat au volume respectivement au nombre de messages de ce type de messages du flot existant mesurés pendant la durée de création de l'enregistrement en cours de traitement.
Le procédé de contrôle d'une table de flots adaptative objet de l'invention trouve application à la gestion technique des réseaux de transmission de données par paquets à large bande, tels que le réseau IP, à la sécurisation de ces réseaux, en particulier à leur protection contre les attaques malveillantes par inondation par multitude de messages de demande d'accès ou autres, grâce à la mise en œuvre d'une table de flots adaptative conforme à l'objet de la présente invention et l'utilisation dédiée de celle-ci pour la mise en œuvre d'un procédé de détection d'une attaque par inondation.
Le procédé de contrôle d'une table de flots adaptative, le procédé de détection d'une attaque par inondation d'un réseau de transmission de données par paquets à large bande et l'équipement d'analyse correspondant, conformes à l'objet de la présente invention, seront mieux compris à la lecture de la description et à l'observation des dessins ci-après, dans lesquels :
- la figure 1 représente, à titre illustratif, un organigramme des étapes essentielles du procédé de contrôle d'une table de flots adaptative, objet de la présente invention ; - la figure 2 représente, à titre illustratif, un détail de mise en œuvre de l'opération d'inscription/non inscription d'un flot candidat à une adresse potentielle de la table de flots adaptative, selon un organigramme partiel ;
- la figure 3 représente, à titre illustratif, un détail de mise en œuvre de l'opération de mise à jour des attributs d'un flot existant, lorsque l'adresse de destination du flot candidat et du flot existant sont identiques ;
- la figure 4 représente, à titre illustratif, une suite de l'organigramme illustratif de l'opération d'inscription/non inscription d'un flot candidat de la figure 2 ;
- la figure 5 représente, à titre illustratif, un organigramme des étapes essentielles du procédé de détection d'une attaque par inondation d'un réseau de transmission de données par paquets à large bande, à partir d'une table de flots adaptative contrôlée conformément au procédé objet de l'invention illustré aux figures 1 à 4 ;
- la figure 6 représente, à titre illustratif, un organigramme des étapes essentielles d'une procédure de qualification d'anomalie d'un flot candidat et/ou existant, selon un mode de mise en œuvre préférentiel non limitatif, dans le cadre du procédé illustré en figure 5 ;
- la figure 7 représente, à titre illustratif, un organigramme des étapes essentielles d'une procédure de signalisation d'attaque ;
- la figure 8 représente, à titre illustratif, un équipement d'analyse de réseau de transmission de données par paquets à large bande, conforme à l'objet de la présente invention ;
- la figure 9 représente, de manière détaillée, l'agencement d'une table de flots adaptative, conforme à l'objet de la présente invention.
Une description plus détaillée du procédé de contrôle d'une table de flots adaptative implantée en mémoire d'un équipement d'analyse d'un réseau de transmission de données par paquets à large bande, conforme à l'objet de l'invention, sera maintenant donnée en liaison avec la figure 1 et les figures suivantes.
D'une manière générale, on indique que le procédé objet de l'invention est mis en œuvre à partir d'enregistrements de flots, désignés FR, comportant chacun un descripteur de flot, désigné FD, chaque descripteur de flot comprenant des attributs de flot notés FA, les attributs de flot étant formés au moins par un identifiant de flot désigné FI incluant au moins l'adresse de destination du flot, notée DA, et par le volume du flot cumulé sur la durée de création de l'enregistrement contenant le descripteur de flot, le volume du flot cumulé étant noté FV. En référence à la figure 1 on indique qu'un enregistrement de flot est noté :
FR[FD[FA], M;] et que les attributs de flot sont notés :
FA=[FI[DA], FV]. La notation précédente ne préjuge aucunement du mode d'agencement des champs représentatifs de chacun des éléments précités, enregistrement de flot, descripteur de flot, attribut de flot, identifiant de flot, par exemple.
Le procédé objet de l'invention est mis en œuvre pour au moins un type de message M; véhiculé par les flots considérés sur tout lien du réseau de transmission auquel est dédié la table de flots adaptative conforme à l'objet de la présente invention.
En référence à la figure 1, le procédé objet de l'invention consiste au moins, pour un type de message Mi véhiculé par les flots, en une étape A, à extraire à partir de chacun des descripteurs de flot les informations et attributs de flot relatifs à chacun des flots contenus dans chaque descripteur de flot et à associer les attributs de flots au flot pertinent correspondant, pour définir une pluralité de flots candidats à l'inscription dans la table de flots adaptative, objet de la présente invention.
L'étape A de la figure 1 est représentée par la relation symbolique représentant l'opération d'extraction :
FR[FD[FA]] ^ CF[FD[FA], Mi].
Dans la relation précédente, on indique que :
FR[FD[FA], Mi] désigne en fait l'enregistrement d'un flot considéré et CF[FD[FA], Mi] désigne en fait le flot candidat obtenu après extraction des attributs de flot et association de ces attributs au flot pertinent correspondant pour définir ainsi le flot candidat précité.
L'étape A est alors suivie d'une étape B consistant à calculer, pour chacun des flots candidats, une adresse potentielle déterminée de zone mémoire dans la table des flots, c'est-à-dire dans la mémoire de l'équipement d'analyse dans laquelle la table de flots est implantée.
L'adresse potentielle est fonction de l'adresse de destination DA du flot candidat CF considéré.
A l'étape B de la figure 1, l'opération de calcul d'une adresse potentielle est notée par la relation symbolique : FA=[FI[DA]] > HA(DA) Dans la relation précédente,
FA=[FI[DA]] désigne en fait l'attribut du flot associé au flot candidat CF, et HA(DA) désigne l'adresse potentielle déterminée de zone mémoire, fonction de l'adresse de destination DA du flot candidat. L'étape B est alors suivie d'une étape C consistant à inscrire ou non les attributs FA de chacun des flots candidats CF à l'adresse potentielle HA(DA) déterminée de la zone mémoire considérée, les attributs précités FA étant accompagnés d'une actualisation de la valeur cumulée du nombre de messages du type de message considéré. L'opération consistant à inscrire ou non les attributs du flot candidat considéré est effectuée sur critère de non existence respectivement d'existence conditionnelle d'attribut d'un flot existant dans la zone mémoire d'adresse potentielle déterminée HA(DA), vis-à-vis du flot candidat considéré CF.
Selon un aspect remarquable du procédé de contrôle d'une table de flots adaptative objet de la présente invention, on indique que le critère d'existence conditionnelle d'attributs précité comporte au moins l'identité respectivement l'absence d'identité de l'adresse de destination du flot candidat et du flot existant, lorsque ce dernier est mémorisé dans la zone mémoire d'adresse potentielle HA(DA), et la supériorité du volume, respectivement du nombre de messages d'un type particulier du flot candidat au volume respectivement au nombre de messages du même type du flot existant, ces quantités étant mesurées pendant la durée de création des enregistrements.
Sur la figure 1, à l'étape C de celle-ci, on a représenté l'opération d'inscription/non inscription à l'adresse potentielle HA(DA) de la zone mémoire des attributs de chacun des flots par la relation symbolique :
CF[FD[DA], Mi]/EF[F'D[D'A],CNMi]
Dans la relation précédente, outre le flot candidat CF considéré : [F1D[D1A]5CNMi] désigne les attributs d'un flux existant noté, pour cette raison, EF[F1D[D1A]5CNM;], CNM; désignant le nombre cumulé de messages d'un type particulier. On comprend ainsi que chaque flot candidat CF est soumis à une comparaison des attributs d'un flot existant EF, lorsque ce dernier est déjà inscrit dans la zone mémoire dont l'adresse correspond à l'adresse potentielle calculée à l'étape B. En ce qui concerne les types de message présentant un intérêt majeur pour la mise en œuvre du procédé objet de la présente invention, et en particulier d'un procédé de détection d'attaque par inondation par l'un au moins des types de message précités, M;, on indique que ce type de messages est le plus souvent utilisé pour des attaques en volume et/ou en avalanche, ces types de message pouvant être des messages d'établissement de connection, message SYN dans le cas du protocole TCP, ou d'autres types de message, par exemple des messages de contrôle, comme les messages ICMP Echo dans le cas du protocole IP.
On comprend, en particulier, que le procédé objet de la présente invention tant pour ce qui concerne le procédé de contrôle d'une table de flots que le procédé de détection d'une attaque par inondation d'un réseau de transmission de données par paquets à large bande, objets de la présente invention, peuvent être mis en œuvre pour tout type de message désigné génériquement par Mj, mais que ces derniers seront décrits uniquement dans le cas d'un seul type de message, bien que les mêmes principes puissent être repris pour la détection simultanée de plusieurs types de messages.
A ce titre, bien qu'aucune hypothèse ne soit faite sur le système qui engendre les enregistrements de flots, on indique que tout descripteur de flot FD peut être au minimum constitué ainsi que représenté au tableau 1 ci-après.
Tableau 1
Figure imgf000013_0001
Ainsi que représenté au tableau précité, tout descripteur de flot FD peut comprendre : - identifiant du flot FI, lequel peut comporter lui-même l'adresse source SA du flot, une adresse de destination DA du flot, le type de protocole, les numéro de ports et tout autre paramètre pertinent ; la date de début du flot ST ; la date de fin du flot FT ;
- le volume en octets ;
- le nombre de paquets observés ;
- et enfin un drapeau indiquant éventuellement si un message du type considéré, message de type M; a été observé pendant la formation de l'enregistrement ; lorsqu'un tel type de message a été observé, le drapeau est instancié à la valeur 1 , sinon il est instancié à la valeur 0, par exemple.
Les caractéristiques et paramètres des attributs des flots sont calculés seulement pendant la formation d'un enregistrement de flots. Ainsi, un même flot peut apparaître dans deux enregistrements consécutifs. Malgré tout, lors de la création de chaque enregistrement tout se passe comme si le flot considéré était observé pour la première fois. On admet donc qu'il n'existe aucune corrélation explicite entre les enregistrements. Enfin, on suppose également que les caractéristiques d'un flot sont suffisantes pour estimer le nombre de messages du type considéré observé pendant la durée de création de l'enregistrement. Une description plus détaillée du critère d'inscription/non inscription à l'adresse potentielle déterminée de la zone mémoire dans la table de flot, c'est-à-dire l'adresse HA(DA), sera maintenant donnée en liaison avec les figures 2 à 4.
Pour la mise en œuvre de l'étape C de la figure 1, étape d'inscription/non inscription à l'adresse potentielle considérée, on dispose de la valeur de l'adresse potentielle calculée HA(DA), du flot candidat CF et des attributs de ce dernier, ainsi que du type de message Mi et bien entendu de la valeur du drapeau précédemment mentionné indiquant la présence d'un tel message. On dispose aussi, le cas échéant, de la présence d'un flux existant EF[F1D[D1A]5CNMj] et des attributs de ce dernier inscrits dans la zone mémoire à l'adresse potentielle précitée, ou le cas échéant, d'une zone mémoire vide lorsqu'il n'existe aucun flot existant EF et donc aucun attribut de flot existant inscrit dans la zone mémoire d'adresse considérée.
Ainsi que représenté à la figure 2, sur critère de non existence d'attribut d'un flot existant dans la zone mémoire d'adresse potentielle déterminée HA(DA) ce critère étant réalisé par le test exécuté à l'étape C0 de la figure 2 selon la relation :
HA(DA): ≡0?, lorsque la zone mémoire précitée est vide, le procédé objet de l'invention consiste alors au moins en une étape Ci à calculer le nombre cumulé de messages du type de message considéré à partir des attributs du flot candidat CF, réactualisé comme flot existant, puis à inscrire dans la zone mémoire d'adresse potentielle HA(DA) les attributs du flot candidat ainsi que la valeur cumulée du nombre de messages de type de messages M,.
Sur la figure 2, l'opération de calcul est notée C1, l'opération de calcul étant symbolisée par la relation : M1 ^ CNMi.
Dans la relation précédente, M; désigne le type de message considéré ;
CNM; désigne le nombre cumulé de messages, lequel peut être déterminé en présence du drapeau des attributs du flux candidat à la valeur 1 à partir du volume du flux et du nombre de paquets par exemple.
A l'étape C2 de la figure 2, l'inscription dans la zone mémoire d'adresse potentielle HA(DA) du flux candidat CF et des attributs de ce dernier est symbolisée par l'inscription de CF[FD[DA]5CNMi].
Au contraire, sur réponse négative au test C0 de la figure 2, c'est-à-dire sur critère d'existence d'attributs d'un flot existant EF dans la zone mémoire d'adresse potentielle HA(DA), la mémoire est ainsi occupée.
Le procédé objet de l'invention consiste alors, sur identité de l'adresse de destination du flot existant et de l'adresse de destination du flot candidat, le test d'identité étant réalisé à l'étape C3 de la figure 2 par comparaison des adresses de destination DA du flux candidat CF et D'A du flux existant EF et réponse positive au R2006/000631
- 14 -
test de comparaison d'égalité réalisé à l'étape C3 précitée, à mettre à jour en une étape C4 la valeur du nombre cumulé de messages du type de messages considérés Mj, dans la zone mémoire, en ajoutant à la valeur existante, la valeur estimée du nombre de messages du type de messages, à partir des attributs du flot candidat. Cette opération de mise à jour à l'étape C4 comprend le calcul du nombre de messages NM; dans une manière analogue à l'étape Ci de la même figure 2 pour ensuite mettre à jour la valeur cumulée par la relation :
CNM1 = CNM1 + NMi indiquée à l'étape C4 précitée. L'étape C4 est alors suivie d'une étape C5 consistant à mettre à jour les attributs du flot existant F1A, autres que l'adresse de destination du flot existant sur critère d'identité et d'absence d'identité des identifiants du flot existant et du flot candidat.
L'opération de l'étape C5 sera maintenant décrite en liaison avec la figure 3 dans laquelle, pour la mise en œuvre de l'étape C5, on dispose d'une part
- des attributs du flot candidat, soit
FA=[FI[DA],ST5FT,FV] ;
- des attributs du flot existant
F1A=[F1I[DA]5S1T5F1T5F1V]. On indique qu'en raison de la réponse positive au test C3 les adresses de destination des flots candidat et existant sont identiques et égales à DA.
L'étape de mise à jour des attributs du flux existant F'A représentés à la figure 3, ainsi que représenté sur la figure précitée, est exécutée sur les attributs de flot candidat et existant comprenant ainsi que décrit précédemment les identifiants FI et F'I de chacun des flots précités, les dates de début ST et S'T, les dates de fin FT et
F'T et les volumes de chacun des flots FV et F1V.
Si les identifiants du flot existant F'A et du flot candidat FA sont identiques, soit FI[DA]=F1I[DA], cette condition étant exécutée par comparaison d'égalité FI=FI1, et sur réponse positive au test C50 précité, l'étape de mise à jour C5 comprend alors une étape C51 de mise à jour du volume du flot existant F1V par adjonction du volume du flot candidat à l'étape C51, cette opération étant représentée par la relation
F'V=F'V+FV
L'étape C51 est suivie d'une étape C52 de mise à jour de la date de début, respectivement de la date de fin du flot existant par le minimum, respectivement le maximum entre la valeur correspondante de date de début, respectivement de date de fin du flot candidat CF et du flot existant EF.
A l'étape C52 de la figure 3, l'opération de mise à jour est représentée par la relation symbolique ST=min(ST,ST)
FT=max(FT,FT)
On comprend, en particulier, que les relations précédentes indiquent la mise à jour de la date de début par le minimum entre la valeur de date de début ST du flot candidat et S 1T du flot existant et le maximum entre la valeur de la date de fin du flot existant FT et du flot candidat FT.
En réponse négative au test de l'étape C50, c'est-à-dire si les identifiants du flot candidat FI et du flot existant sont différents, et si le flot existant est périmé vis- à-vis d'une durée de réactualisation déterminée, cette condition de péremption étant exécutée par le test C53 par la relation symbolique DoT0(EF) relation dans laquelle
Dc désigne une date courante donnée par une date système par exemple et T0(EF) désigne la durée de réactualisation déterminée pour le flot existant EF, cette durée pouvant être déterminée de manière arbitraire ou expérimentale, alors sur réponse positive au test C53 précité, on procède à en une étape C54 à l'effacement dans la zone mémoire des attributs du flot existant et à l'inscription, dans cette même zone mémoire d'adresse HA(DA), des attributs d'identifiant FI, de date de début ST, de date de fin FT et du volume du flot candidat FV en remplacement des attributs correspondants F'I, S1T, FT et F'V du flot existant EF. Sinon, sur réponse négative au test C53 le flot existant n'étant pas périmé et si le volume du flot candidat est supérieur au volume du flot existant, cette condition étant exécutée par le test de l'étape C55 par comparaison de supériorité par la relation symbolique FV>F'V, alors on procède sur réponse positive au test C53 précité, en une étape C55, à l'effacement dans la zone mémoire d'adresse HA(DA) des attributs du flot existant et à l'inscription dans cette zone mémoire des attributs d'identifiant de date de début, de date de fin et du volume du flot candidat, en remplacement des attributs du flot existant, le nombre cumulé de messages du type de message considéré Mj étant inchangé. Cette dernière opération est représentée par la relation CNMi=CNMi indiquant que le nombre cumulé de messages du type de messages correspondant est inchangé. En outre, à l'étape C54 précitée, l'identifiant FI, la date de début ST, la date de fin FT et le volume du flot FV en octets remplacent les paramètres correspondants, F'I, S1T, F'T, F'V du flot existant EF.
Sinon, sur réponse négative au test C55, le volume du flot candidat FV étant inférieur au volume du flot existant F1V, alors l'on procède en une étape C57 au rejet du flot candidat, le flot candidat CF[FD[FA]5M;] étant rejeté mais les attributs identifiant F'I, date de début ST, date de fin F'T et volume F'V du flot existant étant toutefois inchangés.
En référence à la figure 2, sur critère d'existence d'attributs du flot existant dans la zone mémoire d'adresse potentielle déterminée HA(DA), c'est-à-dire sur réponse négative au test C0 de la figure 2 précitée, puis sur réponse négative au test C3, le procédé objet de l'invention, lorsque la zone mémoire est occupée, consiste en outre ainsi sur absence d'identité de l'adresse de destination du flot existant D'A et de l'adresse de destination du flot candidat DA ainsi que représenté en figure 4, si le flot existant EF est périmé vis-à-vis d'une durée de réactualisation déterminée ainsi que représenté en figure 4, cette condition étant exécutée au test C6 de la figure précitée par la relation Dc>To(EF) où Dc désigne la date courante, ainsi que mentionné précédemment, et où T0(EF) désigne la durée de réactualisation déterminée pour le flux existant EF, alors, on procède dans la zone mémoire d'adresse potentielle considérée à un effacement des attributs du flot existant et à l'inscription C7 dans cette zone mémoire des attributs d'identifiant FI de date de début ST, de date de fin FT et de volume FV du flot candidat, ces attributs étant accompagnés du nombre cumulé de messages de ce type de messages en remplacement du flot existant.
Sinon, sur réponse négative au test C6 de la figure 4, le flot candidat n'étant pas périmé et si le volume du flot candidat FV est supérieur au volume du flot existant, cette condition étant exécutée à l'étape C8 de la figure 4 par la comparaison de supériorité FV>F'V, et si la valeur du nombre cumulé de messages de ce type de message est supérieure à une valeur de seuil déterminée, ces conditions successives étant représentées par la réponse positive au test C8 précité puis l'exécution d'une étape C9 de calcul du nombre cumulé de messages de ce type de messages, nombre CNMj puis comparaison du nombre précité à la valeur de seuil SCMj représentant la valeur de seuil déterminée précédemment mentionnée, alors on procède en une étape Cio à un effacement dans la zone mémoire des attributs du flot existant F1I, S1T, F1T, F1V et l'on procède à l'inscription des attributs identifiant FI de date de début ST, de date de fin FT, de volume FV du flot candidat en remplacement des attributs du flot existant, le nombre cumulé de messages CNMj du type de message M; considéré ayant été calculé à l'étape C9 à partir des attributs du flux candidat.
Sinon, sur réponse négative au test de l'étape C8 le volume du flux candidat FV est inférieur au volume du flot existant F1V, alors l'on procède à l'étape C11 au rejet du flot candidat, les attributs du flot existant étant maintenus dans la zone mémoire de la table des flots et inchangés.
Cette opération à l'étape C11 est représentée par la relation Rejet CF[FD[FA]5Mi].
Différentes indications seront maintenant données ci-après relatives à la mise en œuvre du procédé objet de l'invention tel qu'illustré et décrit en liaison avec les figures 2 à 4 précédemment citées.
En ce qui concerne la mise en œuvre de l'étape B de la figure 1, on indique que le calcul d'adresse potentielle peut être exécuté à partir d'un module de calcul prenant en compte l'adresse de destination DA du flot candidat CF. Cette adresse HA(DA) est calculée par exemple au moyen d'une fonction de hachage appliquée à l'adresse de destination du flot candidat. D'une manière générale, on indique que toute fonction de hachage assurant une répartition sensiblement uniforme de l'adresse potentielle de zone mémoire calculée sur l'espace mémoire de l'équipement d'analyse est susceptible de convenir. De telles fonctions de hachage sont normalement disponibles dans la littérature scientifique et notamment sur les sites Internet pertinents.
Suite à l'inscription des attributs de tout flot candidat et du nombre cumulé de messages dans chaque zone mémoire d'adresse HA(DA), chaque zone mémoire de la table de flots adaptative, objet de la présente invention, contient pour chaque flot existant EF au minimum les champs tels que mentionnés au tableau 2.
Tableau 2
Figure imgf000020_0001
Ainsi, chaque zone mémoire de la table des flots comprend au moins : - un identifiant de flot, c'est-à-dire la valeur FI par exemple ; la date de début du flot ST, la date de fin du flot FT,
- le volume cumulé du flot en octets FV,
- le nombre cumulé de messages du type considéré pour l'adresse de destination DA correspondant à l'identifiant du flot, c'est-à-dire le nombre CNMj. On indique que les opérations d'écriture en zone mémoire sont les opérations C2, C54, C52, C56, C7 et C jo précédemment décrites dans la description.
Le procédé de contrôle objet de la présente invention permet ainsi la mise en œuvre d'une table de flots adaptative, laquelle permet d'établir un comportement moyen admissible pour au moins un flot et en particulier une pluralité de flots par rapport à un critère déterminé.
Un flot est alors caractérisé par une certaine variable correspondant aux critères de détection souhaités, ce critère pouvant correspondre au volume de données du flot ou au nombre de demandes d'établissement de connection vers une adresse de destination donnée, ainsi que décrit précédemment dans la description.
Le comportement moyen peut alors être défini par une moyenne admissible par absence d'attaque d'inondation de ce réseau sur critère de stationnante relative du débit en volume et/ou du débit en nombre de messages du type de messages considéré de demande d'établissement de connection.
La mise en œuvre du procédé de contrôle, objet de la présente invention permet ainsi de créer une table de flots adaptative laquelle constitue un ensemble image de flots existants, à partir d'enregistrement de flots candidats comportant chacun un descripteur de flot candidat contenant des attributs du flot candidat.
La table de flots adaptative, objet de la présente invention, est ainsi mise en œuvre grâce à une fonction de hachage pour constituer une table flottante maintenue au fil de l'eau, c'est-à-dire en fonction de l'arrivée des enregistrements de flots, grâce à l'application de certaines règles d'insertion et d'expulsion des flots dans la table, ces règles favorisant bien entendu la prise en compte des flots importants suivant les critères définis précédemment dans la description.
Le maintien de l'ensemble image de flots pour constituer la table de flots adaptative conformément au procédé de contrôle objet de la présente invention peut alors être exécuté sur une durée de création d'enregistrement en l'absence de fenêtre d'observation limitée.
Une description plus détaillée d'un procédé de détection d'une attaque par inondation d'un réseau de transmission de données par paquets à large bande par au moins un message d'un type de message donné, sera maintenant donnée en liaison avec les figures 5, 6 et 7 ci-après. En référence à la figure 5, le procédé de détection d'une attaque par inondation, objet de l'invention, consiste bien entendu à établir un ensemble image de flots existants à partir d'enregistrement de flots candidats comportant chacun un descripteur de flot candidat contenant des attributs du flot candidat.
En référence à la figure 5, on considère ainsi une pluralité de flots candidats CF[FD[FA]5M1] selon l'annotation précédemment mentionnée dans la description. Les attributs de chaque flot candidat sont inscrits accompagnés d'une valeur de nombre cumulé de messages du type de message M; considéré.
Ainsi, le flot candidat est accepté, lors de l'inscription, ou au contraire non inscrit, le flot candidat étant alors rejeté, ainsi que mentionné précédemment dans la description. L'inscription ou la non-inscription de chaque flot candidat CF dans l'ensemble image de flots existants est effectuée sur critère de non-existence, respectivement d'existence conditionnelle d'un flot existant comparable dans l'ensemble image de flots existants ainsi que mentionné précédemment dans la description. Ainsi que mentionné précédemment, l'ensemble image de flots existants, c'est-à-dire la table des flots adaptative, obtenue grâce à la mise en œuvre du procédé de contrôle objet de la présente invention, est représentative sur une ou plusieurs durées de création d'enregistrements d'un état moyen admissible par absence d'attaque par inondation de ce réseau, sur critère de stationnarité relative de débit en volume et/ou du débit en nombre de messages du type de messages considéré.
Sur la figure 5, à l'étape D, on a représenté l'opération d'établissement de l'ensemble image de flots, lequel est représenté par la relation symbolique :
Ee = (EFe[F1D[F1A], CNMfl£f .
Dans la relation précédente - Ee désigne l'ensemble image des flots existants ;
-
Figure imgf000022_0001
désigne l'ensemble image précité constitué par les flots existants EFe réputés appartenir à l'ensemble image précité, l'indice e désignant l'appartenance pour e=l à e=E de chaque flot existant à cet ensemble image. Pour l'opération d'établissement de l'ensemble image précité on indique que cette opération peut être exécutée par la mise en œuvre des étapes A, B et C de la figure 1 selon l'étape D de la figure 5.
Disposant de l'ensemble image de flots existants précité Ee, le procédé de détection d'une attaque par inondation d'un réseau de transmission de données par paquets à large bande, conforme à l'objet de la présente invention, consiste alors à détecter en une étape E l'exclusion de tout flot existant de cet ensemble image de flots existants, lors de l'inscription d'un flot candidat dans cet ensemble image de flots existants.
L'opération de détection est représentée par le test de l'étape E par la relation symbolique :
3 EFe[F'D[F'A], CNMj] | e=ea≈E+l ?
Dans la relation symbolique précédente, on indique que la détection de l'exclusion de tout flot existant est symbolisée par l'égalité e=ea=E+l selon laquelle, à tout flot existant EFe de cet ensemble image, selon les critères précédemment décrits dans la description, est alors affecté symboliquement un indice spécifique e=ea=E+l en dehors de l'ensemble image, le flux existant EFea affecté d'un tel indice étant alors exclu par marquage de l'ensemble image précité. Cette notion d'exclusion par marquage correspond à la mise en œuvre des critères d'exclusion d'un flot existant et bien entendu de remplacement par un flot candidat et inscription à l'adresse potentielle HA(DA) de zone mémoire des attributs du flot candidat, soit aux étapes C54, C56 de la figure 3 et C7 et Ci0 de la figure 4.
Cette notion d'exclusion est celle d'une exclusion par tri, sur la base de l'indice spécifique ea, et non d'une exclusion physique de la zone mémoire, non nécessaire. Sur réponse négative au test E, c'est-à-dire en l'absence d'exclusion d'un flot existant, le processus d'établissement est poursuivi et ainsi symbolisé par le retour à l'étape d'établissement D de la figure 5. On comprend, bien entendu, que dans cette situation, le processus d'établissement correspond à la fonction adaptative de la table de flots adaptative contrôlée, conformément au procédé de contrôle objet de la présente invention, dans les cas autres que les cas des étapes C54, C56, C7 et C 10 des figures 2 à 4 précitées.
Au contraire, sur réponse positive au test E de la figure 5, c'est-à-dire sur expulsion d'un des flots existants, le procédé de détection d'une attaque par inondation, conforme à l'objet de la présente invention, consiste alors à l'étape F à discriminer dans l'ensemble l'image précité un sous-ensemble de flots existants sains. Conforraément à un aspect remarquable du procédé de détection d'une attaque par inondation, objet de la présente invention, on indique qu'un flot existant sain est défini comme tout flot existant ou périmé qui n'a fait l'objet d'aucune mesure d'exclusion par marquage des flots existants constituant l'ensemble image de flots existants.
L'opération de discrimination du sous-ensemble de flots existants sains à l'étape F de la figure 5 est représentée par la relation symbolique :
Es = (EF5[F1D[F' A], CNMi])J e Ee
On comprend, par la relation symbolique précitée, que l'opération de discrimination consiste en la discrimination de tout flot existant sain appartenant à l'ensemble image, selon le critère de flot existant sain précédemment défini, à chaque flot existant sain, pouvant être attribué un indice s correspondant d'appartenance au sous-ensemble de flot existant sain Es.
L'étape F précitée est alors suivie d'une étape G consistant à calculer, pour le sous-ensemble Es de flots existants sains, une variable de moyenne et une variable de variance de débit en volume et/ou en nombre de messages de type de message considéré Mj, compte tenu du flot existant rejeté à l'étape E précédente.
Pour la mise en œuvre de l'étape G on indique que le débit en volume rv du flot expulsé peut être calculé par la relation : rv=FV/(FT-ST) où FV est la valeur du champ volume de la case du flot existant expulsé EFE+ I-
A partir du débit calculé précité, les variables de moyenne en volume Mv et de variance en volume Sv sont mises à jour à partir d'un algorithme de calcul mobile à lissage exponentiel par exemple. Ce type de calcul et de mise à jour par l'algorithme précité est un calcul de type classique, lequel pour cette raison ne sera pas décrit en détail.
De manière similaire, une moyenne et une variance flottante pour le débit en nombre de messages de type de message considéré Mi par seconde des flots sains sont calculées en tenant compte du débit du flot expulsé. La variable de débit en nombre de messages peut être calculée selon la relation rm=CNMi/(FT-ST).
Dans la relation précédente, CNMj désigne le nombre cumulé de messages du flot expulsé EFE+I, FT et ST désignent la date de début respectivement la date de fin du flot expulsé précité. De la même manière que dans le cas du débit en volume, des variables de moyenne et de variance en nombre de messages notés Mm et Sm sont également calculées à partir d'un algorithme de moyenne mobile à lissage exponentiel par exemple.
Ainsi qu'on l'observera sur la figure 5, le calcul du débit en volume rv respectivement du débit en nombre de messages rm, est effectué pour le flot expulsé EFE+I alors que le calcul des variables de moyenne de débit en volume Mv respectivement en nombre de messages de ce type Mm et de variance de débit en volume Sv respectivement en nombre de messages Sm est effectué sur le sous- ensemble de flots existants sains. L'étape G est alors suivie d'une étape H, laquelle consiste à détecter une anomalie de tout flot existant et/ou de tout flot candidat par comparaison du débit en volume et/ou du débit en nombre de messages de ce type de message dérivés des attributs du flot existant et/ou du flot candidat vis-à-vis des variables de moyenne et de variance de débit en volume et/ou en nombre de messages précités. D'une manière générale on indique que la détection d'anomalie de tout flot existant consiste, avantageusement, à comparer le débit en volume à la moyenne de débit en volume et à la variance de débit en volume respectivement le débit en nombre de messages à la moyenne de débit en message et à la variance de débit en nombre de messages. Dans un mode de mise en œuvre préférentiel, la détection d'anomalie à l'étape H est avantageusement effectuée par comparaison de supériorité du débit en volume rv du flot existant rejeté EFE+I à une combinaison linéaire de la variable de débit en volume et de la variable de variance en volume.
De même, l'opération consistant à détecter une anomalie de débit en nombre de messages d'un même type de message de tout flot existant et/ou candidat comprend la comparaison de supériorité du débit en nombre de messages rm à une combinaison linéaire de la variable de moyenne de débit en nombre de messages et de la variable de variance de débit en nombre de messages. Les opérations correspondantes sont notées à l'étape H de la figure 5 par la relation : rv>Mv+Kv.Sv
ET/OU rm>Mm+Km.Sra Dans la relation précédente
Kv désigne un coefficient de pondération de la variance de débit de volume, pris par exemple égal à 5 ;
Km désigne un coefficient de pondération de la variance de débit en nombre de messages, pris par exemple égal à 35.
Toutefois, et selon des observations effectuées grâce à une table de flots adaptative contrôlée conformément au procédé de contrôle objet de la présente invention, un flot siège d'une anomalie n'est pas forcément un flot anormal au sens d'une attaque par inondation.
Ainsi, suite à la mise en œuvre du procédé objet de la présente invention telle que représentée en figure 5 pour la détection d'une attaque par inondation et après la mise en œuvre de l'étape H on dispose d'un flot existant siège d'anomalie de débit en volume et/ou en nombre de messages, noté pour cette raison selon la relation
EeaV)m=EFea[FD[FA]5CNMi].
Bien entendu, lors d'une mise en œuvre de création d'enregistrements, on obtient ainsi une pluralité de flots existants sièges d'anomalie et donc une pluralité de flots existants siège d'anomalie Eeav,mj lesquels peuvent bien entendu être enregistrés pour l'opération d'enregistrement considérée.
Pour mettre en évidence un flux siège d'anomalie, le procédé objet de la présente invention consiste en outre, ainsi que représenté en figure 6 en une étape I, à compter sur un ensemble d'enregistrements de flots existants, sièges d'anomalie Eeav,m, le nombre d'occurrences d'une détection d'anomalie du débit en volume et/ou en nombre de messages pour un type de message donné pour un flot existant et/ou un flot candidat.
L'opération précitée est bien entendu effectuée sur l'enregistrement des flots existants Eeav,m enregistrés suite à la mise en œuvre de l'étape H précitée. Le comptage effectué à l'étape I est représenté par la relation symbolique
Figure imgf000027_0001
Dans la relation précédente,
OE3V désigne le nombre d'occurrences d'anomalies de débit en volume et OEam désigne le nombre d'occurrences d'anomalies de débit en nombre de messages pour le flux existant Eeav,m-
L'étape I est suivie d'une étape J consistant à comparer les nombres d'occurrences précitées à une valeur de seuil d'occurrences d'anomalie notée Nv pour le seuil d'occurrences d'anomalie de débit en volume respectivement en nombre de messages Nm. Cette opération est représentée par l'opération symbolique
OEav>Nv ET/OU OEam>Nm.
Si l'une et/ou l'autre des valeurs de seuil d'occurrences d'anomalie précitées est dépassée, alors on mémorise en une étape K le flot candidat et/ou le flot existant comme flot anormal dans un sous-ensemble image de flots anormaux. Cette opération est réalisée sur réponse positive au test J de la figure 6.
Sinon, sur réponse négative au test J de la figure précitée, on retourne à l'étape I de comptage pour une poursuite adaptative du processus.
A l'étape K, le sous-ensemble image de flots anormaux est noté :
Figure imgf000027_0002
. II comprend bien entendu, la collection de tous les flots existants et/ou candidats qui ont satisfait au test de l'étape J et qui ont donc été considérés comme anormaux.
Le procédé de détection de la présente invention consiste également, selon un mode de mise en œuvre préférentiel, en une scrutation ou parcours périodique du sous-ensemble image de flots anormaux, ainsi que représenté à la figure 7, par lecture de ce dernier.
L'opération de lecture à l'étape L précitée est assortie d'un décompte v d'occurrence d'un même flot anormal pendant la période de parcours. L'opération de décompte précitée est représentée par la relation symbolique
EeAv.m *" NEeA-
Dans la relation précédente, on indique que NEeA désigne le nombre d'occurrences du même flot anormal.
Sur critère de fréquence d'occurrence d'un même flot anormal pendant la période de parcours, cette opération étant réalisée au test M de la figure 7 et représentée par la relation
Figure imgf000028_0001
c'est-à-dire sur réponse positive au test M précité, NAS désignant une valeur de seuil représentant ce critère de fréquence, l'on procède alors à une étape N au lancement d'un message de signalisation d'attaque par inondation du réseau. Sinon, en l'absence d'occurrence d'un même flot anormal selon le critère de fréquence, c'est-à-dire sur réponse négative au test M de la figure 7 on procède au lancement d'un message de fin d'anomalie pour le flot considéré EeAv,m-
Une description plus détaillée d'un équipement d'analyse d'un réseau de transmission de données par paquets à large bande particulièrement adapté pour la mise en œuvre du procédé de contrôle d'une table de flots adaptative et de détection d'une attaque par inondation d'un tel réseau de transmission, conforme à l'objet de l'invention, sera maintenant donnée en liaison avec la figure 8.
En référence à la figure précitée, on indique que l'équipement d'analyse d'un réseau de transmission de données par paquets à large bande, conforme à l'objet de la présente invention, peut avantageusement être mis en œuvre sous forme d'un serveur. Le serveur précité peut alors être implanté dans un collecteur ou au contraire être installé en réseau de manière indépendante, de manière à communiquer avec tout collecteur implanté sur ce réseau. Ainsi que représenté sur la figure 8, l'équipement d'analyse objet de la présente invention comprend de manière classique des organes d'entrée/sortie I/O, une mémoire de travail RAM et une unité centrale de traitement CPU. On comprend en particulier que lorsque l'équipement d'analyse de réseau, objet de la présente invention, est implanté dans un collecteur, les organes d'entrée/sortie I/O, la mémoire de travail RAM et l'unité centrale de traitement CPU peuvent être communs. Dans cette situation, l'équipement d'analyse de réseau objet de la présente invention peut alors bénéficier de toutes les ressources logicielles du collecteur pour assurer en particulier la réception, la mémorisation et le traitement des enregistrements de flots FR et bien entendu des descripteurs de flots FD afin de permettre la mise en œuvre du procédé objet de la présente invention.
Toutefois, selon un aspect remarquable de l'équipement d'analyse de réseau objet de l'invention, celui-ci comporte, ainsi que représenté en figure 8, une table de flots adaptative Ti5 laquelle, bien entendu, comporte un ensemble image de flots existants établie à partir d'enregistrements FR de flots candidats comportant chacun un descripteur de flot candidat FD contenant des attributs du flot candidat FA, ainsi que décrit précédemment dans la description.
Les attributs de chaque flot candidat CF sont inscrits, le flot candidat étant accepté, accompagnés d'une valeur du nombre cumulé de messages d'au moins un type de message respectivement non inscrits, le flot candidat étant rejeté, dans l'ensemble image de flots existants, sur critère de non existence respectivement d'existence conditionnelle d'un flot existant comparable dans l'ensemble image de flots existants.
L'ensemble image de flots existants est représentatif, sur une durée de création d'enregistrements, d'un état de moyenne admissible par absence d'attaque par inondation de ce réseau, sur critère de stationnarité relative du débit en volume et/ou du débit en nombre de messages d'un type de messages déterminé.
En outre, l'équipement d'analyse objet de l'invention comprend également un module de contrôle M1 de la table de flots adaptative T1. Le module de contrôle M1 peut être constitué par un module de programme en mémoire permanente exécutable en mémoire de travail RAM et permettant la gestion technique de la table de flots adaptative T1.
En particulier, chaque flot candidat est inscrit lorsque le flot candidat est accepté accompagné d'une valeur du nombre cumulé de messages d'un type de message donné respectivement non inscrit lorsque le flot candidat est rejeté dans l'ensemble image de flot existant, c'est-à-dire dans la table de flot adaptative T1 sur critère de non existence respectivement d'existence conditionnelle d'un flot existant comparable dans l'ensemble image de flots existant.
On comprend, en particulier, que le module de contrôle M1 précité permet bien entendu la mise en œuvre des étapes du procédé de contrôle de la table de flots adaptative T1 ainsi que décrit précédemment dans la description en liaison avec les figures 1 à 4.
Ainsi qu'on l'observera en outre sur la figure 8, l'équipement d'analyse de réseau, objet de l'invention, comporte en outre un module M2 de programme formé également par un module de mémoire permanente par exemple, ce module de programme étant toutefois directement exécutable en mémoire de travail RAM afin de permettre la mise en œuvre du procédé de détection d'une attaque par inondation d'un réseau de transmission de données par paquets à large bande tel que décrit précédemment dans la description en liaison avec la figure 5. Ce mode opératoire permet en particulier d'effectuer la détection d'une anomalie de tout flot existant et/ou tout flot candidat, tout flot candidat inscrit devenant un flot existant conformément au procédé objet de la présente invention.
Enfin, et selon un aspect particulièrement remarquable de l'équipement d'analyse objet de la présente invention, ainsi qu'on l'observera sur la figure 8, celui- ci comporte une table de flots anormaux T2 comportant un sous ensemble image de flots anormaux ainsi qu'un module de contrôle M3 de la table de flots anormaux et du sous ensemble image de flots anormaux T2. Le module de contrôle M3 est constitué par un module de programme directement exécutable en mémoire de travail RAM afin de permettre la mise en œuvre du procédé objet de l'invention et en particulier du processus de gestion de la table de flots anormaux, tel que décrit en liaison avec la figure 6.
En outre, le système d'analyse objet de la présente invention tel que représenté en figure 8 est tel que le module de contrôle de la table des flots anormaux et du sous-ensemble image de flots anormaux comporte avantageusement en outre un sous-module de programme M'3 exécutable en mémoire de travail et permettant une scrutation périodique de la table des flots anormaux T1 afin de lancer un message de signalisation d'attaque par inondation du réseau respectivement un message de fin d'anomalie du flot considéré, ainsi que décrit précédemment dans la description en liaison avec la figure 7.
Les modules de programme M1, M2 et M3, M'3 peuvent être stockés ou transmis par un support de données. Ce dernier peut être un support matériel de stockage, par exemple un CD ROM, une disquette magnétique ou un disque dur, ou un support transmissible tel qu'un signal électrique, optique ou radio. Les modules de programme M1, M2 et M3, M'3 précités, objet de l'invention, comprennent les instructions logicielles permettant l'exécution du procédé selon l'invention tel que décrit en liaison avec les figures 1 à 4, 5 et 6, 7 respectivement.
Enfin, sur la figure 9, on a représenté de manière détaillée l'agencement d'une table de flots adaptative, conforme à l'objet de la présente invention. La table de flots adaptative précitée se présente sous la forme d'un espace mémoire, un tableau divisé en cases de même dimension. Chaque case mémoire est elle-même divisée en sous-cases, chacune de ces sous-cases étant destinée à stocker les attributs des flots existants, tels que Identifiant, Flot #1 à Flot #M, date de début ST, date de fin FT, volume FV, nombre cumulé de paquets PN, nombre cumulé de messages CNM; d'un ou plusieurs types particuliers pour l'adresse de destination DA du flot existant, ainsi que des variables de contrôle pour le rejet des flots existants, par exemple un compteur COF1n indiquant le nombre de fois où le flot existant considéré excède un certain critère, qui est lui-même une combinaison linéaire des moyenne et variance calculées au fil de l'eau, ainsi que décrit précédemment dans la description.

Claims

REVENDICATIONS
.1. Procédé de contrôle d'une table de flots adaptative implantée en mémoire d'un équipement d'analyse d'un réseau de transmission de données par paquets à large bande, à partir d'enregistrements de flots comportant chacun un descripteur de flot, chaque descripteur de flot comprenant des attributs de flot formés au moins par un identifiant de flot incluant au moins l'adresse de destination du flot et par le volume du flot cumulé sur une durée de création d'enregistrement, caractérisé en ce qu'il consiste au moins, pour au moins un type de message véhiculé par lesdits flots, à :
- extraire, à partir de chacun des descripteurs de flot, les informations et attributs de flot relatifs à chacun des flots contenus dans chaque descripteur de flot et associer les attributs de flot au flot pertinent, pour définir une pluralité de flots candidats ; — calculer, pour chacun des flots candidats, une adresse potentielle déterminée de zone mémoire dans ladite table de flots, ladite adresse potentielle étant fonction de ladite adresse de destination dudit flot candidat ;
- inscrire ou non les attributs de chacun desdits flots candidats à une adresse potentielle déterminée de ladite zone mémoire, accompagnés d'une actualisation de la valeur du nombre de messages de ce type de message, sur critère de non existence respectivement d'existence conditionnelle d'attributs d'un flot existant dans ladite zone mémoire d'adresse potentielle déterminée, vis-à-vis dudit flot candidat, ledit critère d'existence conditionnelle d'attributs comportant au moins l'identité respectivement l'absence d'identité de l'adresse de destination dudit flot candidat et dudit flot existant et la supériorité du volume respectivement du nombre de messages de ce type de messages du flot candidat au volume respectivement au nombre de messages de ce type de messages du flot existant mesurés pendant la durée de création d'enregistrement.
2. Procédé selon la revendication 1, caractérisé en ce que, sur critère de non existence d'attributs d'un flot existant dans ladite zone mémoire d'adresse potentielle déterminée, ladite zone mémoire étant vide, celui-ci consiste au moins à :
- calculer le nombre cumulé de messages du type de messages considéré, à partir des attributs dudit flot candidat, réactualisé comme flot existant ;
- inscrire, dans ladite zone mémoire, les attributs dudit flot candidat.
3. Procédé selon la revendication 1 ou 2, caractérisé en ce que, sur critère d'existence d'attributs d'un flot existant dans ladite zone mémoire d'adresse potentielle déterminée, ladite zone mémoire étant occupée, celui-ci consiste au moins, sur identité de l'adresse de destination du flot existant et de l'adresse de destination du flot candidat, à :
- mettre à jour la valeur du nombre de messages de ce type de messages cumulé dans la zone mémoire en ajoutant à la valeur existante la valeur estimée du nombre de messages de ce type de messages à partir des attributs du flot candidat ; et, à
- mettre à jour les attributs du flot existant, autres que l'adresse de destination du flot existant, sur critère d'identité et d'absence d'identité des identifiants du flot existant et du flot candidat.
4. Procédé selon la revendication 3, caractérisé en ce que l'étape de mise à jour des attributs du flot existant autres que l'adresse de destination du flot existant comporte, pour des attributs de flot candidat et de flot existant comportant l'identifiant, la date de début, la date de fin et le volume du flot,
- si les identifiants du flot existant et du flot candidat sont identiques ;
- la mise à jour du volume du flot existant, par adjonction du volume du flot candidat ;
- la mise à jour de la date de début respectivement de la date de fin du flot existant par le minimum respectivement le maximum entre la valeur correspondante de la date de début respectivement de la date de fin du flot candidat et du flux existant ; sinon
- si les identifiants du flot candidat et du flot existant sont différents, et - si le flot existant est périmé vis-à-vis d'une durée de réactualisation déterminée,
- l'effacement dans ladite zone mémoire des attributs du flot existant et l'inscription, dans cette zone mémoire, des attributs d'identifiant, de date de début, de date de fin et du volume du flot candidat, en remplacement des attributs du flot existant ; sinon, le flot existant n'étant pas périmé,
- si le volume du flot candidat est supérieur au volume du flot existant,
- l'effacement dans ladite zone mémoire des attributs du flot existant et l'inscription dans cette zone mémoire des attributs d'identifiant, de date de début, de date de fin et du volume du flot candidat, en remplacement du flot existant, le nombre cumulé de messages du type de messages considéré étant inchangé ; sinon, le volume du flot candidat étant inférieur au volume du flot existant,
- le rejet du flot candidat, les attributs d'identifiant, de date de début, de date de fin et de volume du flot existant étant inchangés.
5. Procédé selon l'une des revendications 3 ou 4, caractérisé en ce que sur critère d'existence d'attributs du flot existant dans ladite zone mémoire d'adresse potentielle déterminée, ladite zone mémoire étant occupée, celui-ci consiste en outre, sur absence d'identité de l'adresse de destination du flot existant et de l'adresse de destination du flot candidat, à - si le flot existant est périmé vis-à-vis d'une durée de réactualisation déterminée,
- effacer dans ladite zone mémoire les attributs du flot existant et inscrire dans cette zone mémoire les attributs d'identifiant, de date de début, de date de fin et de volume du flot candidat accompagnés du nombre cumulé de messages de ce type de messages, en remplacement du flot existant ; sinon, le flot candidat n'étant pas périmé,
- si le volume du flot candidat est supérieur au volume du flot existant et si la valeur du nombre cumulé de messages de ce type de messages est inférieure à une valeur de seuil déterminée,
- effacer dans ladite zone mémoire les attributs du flot existant et inscrire dans cette zone les attributs d'identifiant, de date de début, de date de fin, de volume du flot candidat en remplacement des attributs du flot existant, le nombre cumulé de messages du type de message considéré étant calculé à partir des attributs du flot candidat ; sinon, le volume du flot candidat étant inférieur au volume du flot existant,
- rejeter le flot candidat, les attributs du flot existant, dans la zone mémoire de la table des flots étant inchangés.
6. Procédé de détection d'une attaque par inondation d'un réseau de transmission de données par paquets à large bande par au moins un message d'un type de messages, caractérisé en ce que celui-ci consiste au moins à :
- établir un ensemble image de flots existants à partir d'enregistrements de flots candidats comportant chacun un descripteur de flot candidat contenant des attributs du flot candidat, les attributs de chaque flot candidat étant inscrits, le flot candidat étant accepté, accompagnés d'une valeur de nombre cumulé de messages de ce type de messages respectivement non inscrits, le flot candidat étant rejeté, dans ledit ensemble image de flots existants sur critère de non existence respectivement d'existence conditionnelle d'un flot existant comparable dans ledit ensemble image de flots existants, ledit ensemble image de flots existants étant représentatif sur une durée de création d'enregistrements d'un état de moyenne admissible par absence d'attaque par inondation de ce réseau sur critère de stationnarité relative du débit en volume et/ou du débit ou nombre de messages de ce type de messages ; 006/000631
- 34 -
- détecter l'exclusion de tout flot existant de cet ensemble image de flots existants, lors de l'inscription d'un flot candidat, dans cet ensemble image de flots existants ; et,
- discriminer dans cet ensemble image un sous-ensemble de flots existants sains, un flot existant sain étant défini comme tout flot existant périmé qui n'a fait l'objet d'aucune mesure d'exclusion des flots existants constituant l'ensemble image de flots existants ;
- calculer pour ledit sous-ensemble de flots existants sains une variable de moyenne et une variable de variance de débit en volume et/ou en nombre de messages de ce type de messages, compte tenu du flot existant exclu ;
- détecter une anomalie de tout flot existant et/ou candidat par comparaison du débit en volume et/ou du débit en nombre de messages de ce type de message dérivés des attributs dudit flot existant et/ou candidat vis-à-vis desdites variables de moyenne et de variance de débit en volume et/ou en nombre de messages.
7. Procédé selon la revendication 6, caractérisé en ce que l'opération consistant à détecter une anomalie de débit en volume de tout flot existant et/ou candidat comprend la comparaison de supériorité du débit en volume dudit flot à une combinaison linéaire de la variable de moyenne de débit en volume et de la variable de variance de débit en volume.
8. Procédé selon l'une des revendications 6 ou 7, caractérisé en ce que l'opération consistant à détecter une anomalie de débit en nombre de messages d'un même type de messages de tout flot existant et/ou candidat comprend la comparaison de supériorité du débit en nombre de messages d'un même type de messages à une combinaison linéaire de la variable de moyenne de débit en nombre de messages et de la variable de variance de débit en nombre de messages.
9. Procédé selon l'une des revendications 6 à 8, caractérisé en ce que celui-ci consiste en outre à : - compter sur un ensemble d'enregistrements successifs le nombre d'occurrences d'une détection d'anomalie de débit en volume et/ou en nombre de messages d'un type de messages pour un flot existant et/ou candidat,
- comparer ce nombre d'occurrences à une valeur de seuil d'occurrence d'anomalie de débit en volume respectivement en nombre de messages ; et, si l'une et/ou l'autre des valeurs de seuil d'occurrence d'anomalie est dépassée,
- mémoriser ledit candidat et/ou ledit flot existant comme flot anormal dans un sous-ensemble image de flots anormaux.
10. Procédé selon la revendication 9, caractérisé en ce que celui-ci consiste en outre à :
- parcourir périodiquement ledit sous-ensemble image de flots anormaux ; et, sur critère de fréquence d'occurrence d'un même flot anormal pendant la période de parcours,
- lancer un message de signalisation d'attaque par inondation dudit réseau ; sinon, en l'absence d'occurrence d'un même flot anormal selon ledit critère de fréquence,
- lancer un message de fin d'anomalie pour le flot considéré.
11. Équipement d'analyse de réseau de transmission de données par paquets à large bande comprenant des organes d'entrée/sortie, une mémoire de travail et une unité centrale de traitement, caractérisé en ce qu'il comporte au moins :
- une table de flots adaptative comportant un ensemble image de flots existants établi à partir d'enregistrements de flots candidats comportant chacun un descripteur de flot candidat contenant des attributs du flot candidat, les attributs de chaque flot candidat étant inscrits, le flot candidat étant accepté, accompagné d'une valeur de nombre cumulé de messages d'au moins un type de message, respectivement non inscrits, le flot candidat étant rejeté, dans ledit ensemble image de flots existants sur critère de non existence respectivement d'existence conditionnelle d'un flot existant comparable dans ledit ensemble image de flots existants, ledit ensemble image de flots existants étant représentatif sur au moins une durée de création d'enregistrements d'un état de moyenne admissible par absence d'attaque par inondation de ce réseau, sur critère de stationnante relative du débit en volume et/ou du débit en nombre de messages de ce type de messages ;
- un module de contrôle de ladite table de flots adaptative ledit module de contrôle étant constitué par un module de programme exécutable en mémoire de travail et permettant la mise en œuvre des étapes du procédé selon l'une des revendications 1 à 5.
12. Équipement d'analyse de réseau selon la revendication 11, caractérisé en ce que celui-ci comporte en outre un module de programme directement exécutable en mémoire de travail et permettant la mise en œuvre des étapes du procédé selon l'une des revendications 6 à 8 et la détection d'une anomalie de tout flot existant et/ou candidat.
13. Équipement d'analyse de réseau selon l'une des revendications 11 ou 12, caractérisé en ce que celui-ci comporte en outre :
- une table de flots anormaux comportant un sous-ensemble image de flots anormaux ;
- un module de contrôle de ladite table de flots anormaux et du sous-ensemble image de flots anormaux, ledit module de contrôle étant constitué par un module de programme exécutable en mémoire de travail et permettant la mise en œuvre du procédé selon la revendication 9.
14. Équipement d'analyse de réseau selon la revendication 13, caractérisé en ce que ledit module de contrôle de ladite table des flots anormaux et du sous- ensemble image de flots anormaux comporte en outre un sous-module de programme exécutable en mémoire de travail et permettant sur scrutation périodique de ladite table des flots anormaux de lancer un message de signalisation d'attaque par inondation du réseau respectivement un message de fin d'anomalie du flot considéré, selon la revendication 10.
15. Table de flots adaptative dans un espace mémoire d'une mémoire accessible en lecture/écriture, caractérisé en ce que ledit espace mémoire est subdivisé en une pluralité de zones mémoires, chaque zone mémoire étant définie par une adresse spécifique, l'une au moins desdites zones mémoires dudit espace mémoire comportant les attributs d'un flot existant, lesdits attributs d'un flot existant comprenant au moins :
- un identifiant de flot ;
- une date de début du flot ; - une date de fin du flot ;
- le volume cumulé du flot ;
- le nombre cumulé de messages d'un type considéré, lesdites zones mémoires représentant un ensemble image de flots existants.
16. Programme informatique mémorisé sur un support de mémorisation et exécutable par un ordinateur, caractérisé en ce que, lorsque celui-ci est exécuté par un ordinateur d'un équipement d'analyse réseau de transmission de données par paquets à large bande, ledit programme informatique exécute des instructions logicielles de commande d'exécution par ledit équipement des étapes du procédé selon l'une des revendications 1 à 5.
17. Programme informatique mémorisé sur un support de mémorisation et exécutable par un ordinateur caractérisé en ce que, lorsque celui-ci est exécuté par l'ordinateur d'un équipement d'analyse réseau de transmission de données par paquets à large bande, ledit programme informatique exécute des instructions logicielles de commande d'exécution par ledit équipement des étapes du procédé selon l'une des revendications 6 à 10.
PCT/FR2006/000631 2005-03-31 2006-03-22 Procede de controle d’une table de flots adaptative et de detection d’une attaque par inondation d’un reseau de transmission de donnees par paquets a large bande et equipement d’analyse correspondant WO2006103337A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0503156 2005-03-31
FR0503156 2005-03-31

Publications (1)

Publication Number Publication Date
WO2006103337A1 true WO2006103337A1 (fr) 2006-10-05

Family

ID=35414758

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2006/000631 WO2006103337A1 (fr) 2005-03-31 2006-03-22 Procede de controle d’une table de flots adaptative et de detection d’une attaque par inondation d’un reseau de transmission de donnees par paquets a large bande et equipement d’analyse correspondant

Country Status (1)

Country Link
WO (1) WO2006103337A1 (fr)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008090531A3 (fr) * 2007-01-23 2009-01-08 Alcatel Lucent Mécanisme d'isolement pour systèmes terminaux potentiellement contaminés
US8112801B2 (en) 2007-01-23 2012-02-07 Alcatel Lucent Method and apparatus for detecting malware
US8250645B2 (en) 2008-06-25 2012-08-21 Alcatel Lucent Malware detection methods and systems for multiple users sharing common access switch

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002021771A1 (fr) * 2000-09-07 2002-03-14 Mazu Networks, Inc. Dispositif permettant de proteger les sites victimes durant des attaques par deni de service
US20020107953A1 (en) * 2001-01-16 2002-08-08 Mark Ontiveros Method and device for monitoring data traffic and preventing unauthorized access to a network
US20040054925A1 (en) * 2002-09-13 2004-03-18 Cyber Operations, Llc System and method for detecting and countering a network attack
EP1429230A2 (fr) * 2002-12-12 2004-06-16 Alcatel Canada Inc. Amélioration du hachage secret de la correspondance TCP SYN/FIN

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002021771A1 (fr) * 2000-09-07 2002-03-14 Mazu Networks, Inc. Dispositif permettant de proteger les sites victimes durant des attaques par deni de service
US20020107953A1 (en) * 2001-01-16 2002-08-08 Mark Ontiveros Method and device for monitoring data traffic and preventing unauthorized access to a network
US20040054925A1 (en) * 2002-09-13 2004-03-18 Cyber Operations, Llc System and method for detecting and countering a network attack
EP1429230A2 (fr) * 2002-12-12 2004-06-16 Alcatel Canada Inc. Amélioration du hachage secret de la correspondance TCP SYN/FIN

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
HAINING WANG ET AL: "Detecting SYN flooding attacks", PROCEEDINGS IEEE INFOCOM 2002. THE CONFERENCE ON COMPUTER COMMUNICATIONS. 21ST. ANNUAL JOINT CONFERENCE OF THE IEEE COMPUTER ANDCOMMUNICATIONS SOCIETIES. NEW YORK, NY, JUNE 23 - 27, 2002, PROCEEDINGS IEEE INFOCOM. THE CONFERENCE ON COMPUTER COMMUNICA, vol. VOL. 1 OF 3. CONF. 21, 23 June 2002 (2002-06-23), pages 1530 - 1539, XP010593720, ISBN: 0-7803-7476-2 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008090531A3 (fr) * 2007-01-23 2009-01-08 Alcatel Lucent Mécanisme d'isolement pour systèmes terminaux potentiellement contaminés
US8020207B2 (en) 2007-01-23 2011-09-13 Alcatel Lucent Containment mechanism for potentially contaminated end systems
US8112801B2 (en) 2007-01-23 2012-02-07 Alcatel Lucent Method and apparatus for detecting malware
US8250645B2 (en) 2008-06-25 2012-08-21 Alcatel Lucent Malware detection methods and systems for multiple users sharing common access switch

Similar Documents

Publication Publication Date Title
US9531742B2 (en) Detection of malicious network connections
CN107683586B (zh) 用于异常检测中的计算基于小区密度的稀有度的方法和装置
US9680877B2 (en) Systems and methods for rule-based anomaly detection on IP network flow
US8533819B2 (en) Method and apparatus for detecting compromised host computers
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
Duffield et al. Rule-based anomaly detection on IP flows
US20090168645A1 (en) Automated Network Congestion and Trouble Locator and Corrector
Yeganeh et al. Cute: Traffic classification using terms
KR20090087437A (ko) 트래픽 검출 방법 및 장치
EP1842389B1 (fr) Procédé, dispositif et programme de détection d'usurpation d'adresse dans un réseau sans fil
Simon et al. Scan detection: A data mining approach
WO2006103337A1 (fr) Procede de controle d’une table de flots adaptative et de detection d’une attaque par inondation d’un reseau de transmission de donnees par paquets a large bande et equipement d’analyse correspondant
EP2353272B1 (fr) Procede de caracterisation d'entites a l'origine de variations dans un trafic reseau
Li et al. Usaid: Unifying signature-based and anomaly-based intrusion detection
EP4009584A1 (fr) Procédé de détermination de classifieurs pour la détection d'attaques dans un réseau de communication, dispositif de détermination associé
EP3598330B1 (fr) Procédé et dispositif de détection d'anomalie
Wu Audit data analysis and mining
Nychis An empirical evaluation of entropy-based anomaly detection
EP4280560A1 (fr) Procédé pour détecter des anomalies de routage entre systèmes autonomes
WO2006123036A1 (fr) Procede de representation en structure arborescente d'un groupe de flots de donnees numeriques. structure arborescente, procede et systeme de detection d'une attaque par inondation
FR2806503A1 (fr) Procede et dispositif d'analyse de trafic d'une pluralite de systemes informatiques pare-feu
Zang et al. Encrypted DNS Traffic Analysis for Service Intention Inferring
EP4009209A1 (fr) Procédé de détermination de quantités pour la détection d'attaques dans un réseau de communication, dispositif de détermination associé
CN117579532A (zh) 一种针对无状态记录的网络服务检测方法、装置及设备
CN116366327A (zh) 一种网络流量还原和监控方法

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

WWW Wipo information: withdrawn in national office

Country of ref document: DE

NENP Non-entry into the national phase

Ref country code: RU

WWW Wipo information: withdrawn in national office

Country of ref document: RU

122 Ep: pct application non-entry in european phase

Ref document number: 06726129

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 06726129

Country of ref document: EP

Kind code of ref document: A1

WWW Wipo information: withdrawn in national office

Ref document number: 6726129

Country of ref document: EP