WO2019115173A1 - Device and process for checking sensors that permit the detection of intrusions into a network - Google Patents

Device and process for checking sensors that permit the detection of intrusions into a network Download PDF

Info

Publication number
WO2019115173A1
WO2019115173A1 PCT/EP2018/081847 EP2018081847W WO2019115173A1 WO 2019115173 A1 WO2019115173 A1 WO 2019115173A1 EP 2018081847 W EP2018081847 W EP 2018081847W WO 2019115173 A1 WO2019115173 A1 WO 2019115173A1
Authority
WO
WIPO (PCT)
Prior art keywords
probe
network
probes
configuration
new configuration
Prior art date
Application number
PCT/EP2018/081847
Other languages
French (fr)
Inventor
Alexis Olivereau
Christophe Janneteau
Original Assignee
Commissariat A L'energie Atomique Et Aux Energies Alternatives
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Commissariat A L'energie Atomique Et Aux Energies Alternatives filed Critical Commissariat A L'energie Atomique Et Aux Energies Alternatives
Publication of WO2019115173A1 publication Critical patent/WO2019115173A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/38Services specially adapted for particular environments, situations or purposes for collecting sensor information

Definitions

  • the invention relates to the field of cybersecurity of network communications, and is particularly interested in the control of probes for detecting intrusions in such a network.
  • An intrusion detection system or IDS for "intrusion detection system” in English is generally a connected computer system, consisting of a set of sensors called IDS probes for "Intrusion Detection Sensor” in English, to monitor a network and identify abnormal or suspicious activities that may constitute intrusions.
  • the present invention relates to the technical problem of configuring the various probes that constitute a distributed intrusion detection system.
  • the initial configuration of the probes is a complex problem because of the number of probes that must be individually configured and / or the difficulty of programming the detection rules.
  • this complexity is further increased by the need to reconfigure the probes to cope with the variations of the system to be protected.
  • the known sniff IDS system is a software application that operates with a set of rules or signature attacks, which evolve over time via updates that are remotely implantable on a machine running the IDS application.
  • an IDS probe running the snort application is reconfigurable.
  • this reconfiguration capability is intended to make the probe capable of detecting new attacks when the latter have been previously identified and when the corresponding attack signatures have been designed.
  • This is a relatively lengthy process, involving human intervention, and is not intended to adapt to rapid changes in the monitored system.
  • the same remote access mechanism to an IDS probe can make it possible to quickly push to each probe an appropriate configuration. This makes it unnecessary to configure each probe individually "by hand” if multiple probes must be configured identically.
  • Knowledge-driven Adaptable Intrusion Detection for the Internet of Things is a distributed intrusion detection system for the Internet of Things, in which" KALIS "nodes are able to activate or deactivate detection modules to adapt their local knowledge of the environment and better identify possible threats.
  • the KALIS system allows nodes to refine the quality of a detection by using their knowledge of the context or environment, and to exchange information about these contexts and environments.
  • the KALIS system being completely distributed, the architecture on which it relies does not have an overall view and global detection network formed by the probes and therefore can not be able to better orchestrate the global detection function.
  • KALIS nodes can enable or disable detection modules, they are not capable of reconfiguration, for example to adapt to a new network to monitor.
  • DI DS Distributed Intrusion Detection System
  • a central server in charge of collecting data from these probes and analyzing them to identify possible attacks.
  • the probes being preinstalled and preconfigured on the equipment, the proposed system is static and the operations of the probes can not be adapted, reconfigured at the initiative of the central server.
  • An object of the present invention is to provide a method and an associated device for dynamically and individually controlling the configuration of a set of intrusion detection probes on a network to monitor to ensure its security.
  • the principle of the invention is to collect from a central server, different information that the probes can communicate, and reconfigure each probe individually when it is deemed necessary on the basis of information raised by the probes, the status of the network and possibly other parameters.
  • Another object of the present invention by adapting the configuration of the detection function to each probe, is to provide an intrusion detection system that is best able to detect and react to incidents as best as possible.
  • the invention makes it possible to manage in an automated manner a network of intrusion detection probes by ensuring that the overall detection method obtained by means of all these probes is as efficient as possible and adapts so much the perceived context that different statuses and capabilities of the probes.
  • the method of the invention enables an operator of detection systems, a faster deployment of detection systems, and the assurance of a good level of performance even when maintenance operations are minimized.
  • the dynamic reconfiguration of the probes also makes it possible to adapt more rapidly to a change of context, such as a threat.
  • the fact that the reconfiguration is orchestrated by a centralized server ensures that a local event does not disproportionately affect the overall configuration of the system, but that the tactics implemented to cope with it are part of an overall management strategy. Preventive security for the monitored system.
  • the invention will find advantageous applications in the security of communications networks, in particular industrial networks, loT, or embedded. These networks are used in broad application areas such as Industry 4.0, Smart Grids, Industrial Process Management Networks, Smart City, Connected Home, or Transportation. The invention is then likely to interest all manufacturers in the field of cyber security, providers of telecommunication network security solution.
  • the step of calculating a new configuration consists in searching in a table of predefined rules, a configuration corresponding to the information received from a probe;
  • the step of calculating a new configuration consists in operating a constrained optimization algorithm taking into account the received information; the step of calculating a new configuration consists in operating an artificial intelligence algorithm taking into account the information received;
  • the step of calculating a new configuration consists in implementing a combination of one or more of the claimed calculation steps
  • the step of determining the probes to be reconfigured further consists of using temporal information and / or contextual information on the monitored network and / or on its environment;
  • the step of sending a new configuration consists in sending an update of the parts of the network that a probe must monitor;
  • the step of sending a new configuration consists in sending an update of the type or types of attack that the probe must detect;
  • the step of sending a new configuration consists in sending an update of the attack identification mode or modes to be implemented by the probe;
  • the step of sending a new configuration consists of deactivating an active probe or activating a deactivated probe.
  • the invention also covers a device for individually controlling and adapting the configuration of each probe of a set of probes belonging to a surveillance network where each probe is able to detect intrusions in a communication network monitored by the network of sensors. monitoring.
  • the device comprises a controller able to communicate with the probes, said controller being configured for:
  • the probes are able to monitor different parts of the monitored network, to detect different types of attacks, and to implement different modes of attack identification;
  • the monitored communication network is based on a network architecture called Software Defined Network, consisting of at least one SDN controller and one or more SDN equipment monitored by said probes;
  • the claimed device comprises means for implementing the steps of the claimed method.
  • the invention also relates to a computer program that includes code instructions for executing the method for individually controlling and adapting the configuration of probes capable of detecting intrusions in a communication network, as claimed.
  • the invention may be available on a recording medium readable by a processor on which is recorded a program comprising instructions for the execution of the method for controlling and adapting in an individualized manner the configuration of probes suitable for detect intrusions in a communication network, as claimed, when the program is executed by the processor.
  • FIG. 1 is a block diagram of an exemplary telecommunication network monitored by an intrusion detection system according to embodiments of the invention
  • FIG. 2 illustrates a series of steps of the method for determining the reconfiguration of probes according to one embodiment of the invention
  • FIG. 3 illustrates a sequence of steps of the method of communicating a probe with a reconfiguration control server according to one embodiment of the invention
  • FIG. 4 is a block diagram of an exemplary implementation of the device of the invention according to an SDN architecture.
  • Figure 1 shows an example of a telecommunication network
  • the network to be monitored is represented as a set of one or more sub-networks (104: 104-1, ..., 104-n) to be monitored by the same monitoring network (102).
  • the network monitor can be very large, very complex in terms of topologies and / or protocols.
  • Each network to be monitored may be composed of a plurality of elements for which network traffic is monitored.
  • Such elements may be without limitation computers, servers, controllers or any other resource or equipment for which the monitoring system provides a monitoring function for packets flowing over network links for the purpose of detecting possible intrusions.
  • the monitoring network (102) is schematically represented as comprising a set of IDS probes (106: 106-1, ..., 106-m) adapted to monitor network traffic.
  • the probes are said to be reconfigurable in that they are capable of:
  • a probe can monitor one or more parts of a network, several probes can monitor the same part of a network.
  • one or more probes can detect the same type of attacks on one or more resources, several probes can detect different types of attacks on one or more resources.
  • attack identification modes for example a signature detection mode or a machine learning detection mode (to mention only two examples).
  • the same probe can implement several attack identification modes for one or more resources.
  • Those skilled in the art can refer to the numerous available literature concerning the different architectures and implementations of intrusion detection systems and associated IDS probes.
  • the monitoring network (102) further comprises a detection function controller (108) or IDS control server capable of communicating with the IDS probes.
  • the communication of the server (108) with the probes (106) can be via the monitored network (104) or via an independent communication infrastructure as shown in Figure 1.
  • the control server of the detection function ( 108) maintains the state or status of each probe.
  • the state of a probe includes at least the various reconfigurable parameters pre-listed but is not limited thereto.
  • the state of each probe can also include the system resources (memory, CPU, bandwidth) that are used by the probe to perform the detection function as well as the battery level of the probe.
  • the IDS server (108) receives information about their respective states from IDS probes. It also receives from each probe information about the threats that the probe has detected.
  • the control server of the detection function (108) can be initially configured on the criticalities of the different parts or entities of the network monitored by each probe.
  • the IDS server (108) is able to communicate to each probe a new configuration after determining that the probe must be reconfigured.
  • FIG. 2 illustrates a sequence of steps of the method (200) for determining the reconfiguration of the probes according to one embodiment of the invention.
  • the method begins with the receipt (202) by the IDS server (108) of information from the probes relating to their status and detected threats.
  • the method determines for each probe based on its initial configuration whether it needs to be reconfigured.
  • the determination step may be initiated either periodically or on an event.
  • the determination step takes into account, for example, the criticality level of different parts or entities of the monitored network, and the information received, periodically or on event, from the probe.
  • the method takes into account other parameters such as, for example, time information (date / time, time elapsed since the last attack or since the last time the subnetwork was monitored or since last global reconfiguration of all the probes) and / or contextual information concerning the monitored network (204) and / or contextual information concerning the physical environment of the monitored network (206).
  • the contextual information (204) on the monitored network can for example relate to the appearance of traffic requiring a higher level of security for the network as a whole or for a part of the network (as the area where the flow transits). Such information may, for example, change the level of criticality of one or more parts of the network.
  • Contextual information (206) on the environment of the monitored network may for example relate to the detection, from sensors, cameras, or other devices, of a physical intrusion in the premises where the network under surveillance is deployed.
  • a new configuration may consist of updating, for example, the part or parts of the network that the probe must observe, the type or types of attack that the probe must be able to detect, the attack identification mode or modes. to be implemented by the probe.
  • a new configuration can also consist of deactivating an active probe or activating a deactivated probe.
  • the method makes it possible to calculate for each probe its new configuration.
  • a new configuration can be obtained by searching in a rules table accessible by the IDS server, indicating in a predefined manner the (re-) configurations to be implemented on each of the probes as a function of the information reported by those (information about their status and detected threats, and optionally other temporal information or contextual information about the network or its environment).
  • a new configuration can be calculated using a constrained optimization algorithm or genetic algorithm, from the information sent back by the probes (information concerning their status and the detected threats, and optionally other temporal information or contextual information about the network or its environment).
  • a new configuration may be calculated using an artificial intelligence algorithm, based on the information sent back by the probes (information concerning their status and the detected threats, and optionally other temporal information or contextual information about the network or its environment).
  • the artificial intelligence algorithm may also be provided with learning capabilities enabling it to autonomously adapt on the basis of information sent by the probes or other contextual information.
  • a new configuration may be calculated using a combination of the three mechanisms above.
  • some of the detection of threats and intrusions that is made by the probes can be deported from some probes to the IDS control server.
  • This can particularly concern low-resource probes that do not have the capacity to operate a neural network for example.
  • the probes concerned go back to the server with additional information concerning the state of the network monitored at the point of the network to which the probe is connected.
  • the control server relies on this information to determine the possible occurrence of a threat or attack at the parts of the network monitored by these probes.
  • the additional information relating to the state of the network that is sent back by the probes may for example be statistics collected at regular intervals concerning the nature of the traffic that travels over the network.
  • the IDS control server can operate an algorithm of artificial intelligence or machine learning (as a neuron network) to detect possible threats, then exploit this complementary information input of its decision algorithm (208) concerning the determination for each probe of a new configuration.
  • control server IDS can also, beyond the implementation of the method of reconfiguring the probes, trigger reconfigurations of the threat detection mechanisms that it carries out itself, for example by activating / deactivating a particular neuron network.
  • the IDS control server can also react in the event of a threat or attack that is detected, by raising an alert with the operator of the monitored network or by initiating autonomously reconfigurations at the level of the equipment (routers, gateway, firewall, etc ...) of the monitored network, in order to limit the impact of these attacks, or even block them.
  • These countermeasures can for example consist of reconfiguring the cryptographic material (keys, protocols, etc.) used in the network, setting up flow filtering rules, disabling certain communications links or equipment, etc.
  • the method of the invention allows the IDS server to determine the optimal configuration of each probe using a preconfigured rule table or a constrained optimization algorithm (genetic algorithm ) or an artificial intelligence algorithm or a combination of these three mechanisms.
  • the IDS control server relies on a genetic algorithm to determine the optimal configuration of each probe.
  • coverage the algorithm must make it possible to maximize the overall coverage of the monitored network, typically by assigning the available probes to the radio cells or channels of the network. monitored network that are distinct;
  • the algorithm must make it possible to maximize the quality of the detection made by each probe;
  • the algorithm must minimize the amount of resources consumed at each probe (for example computing power, memory, bandwidth - considered as a whole or separately) and must adapt the amount of resources consumed at the status of each probe (for example, selecting the least costly detection method for a probe that is otherwise occupied, or for a battery-operated sensor whose energy is to be saved); the response to threats: the algorithm must make it possible to allocate more detection means to the most critical parts of the network (for example, assigning more probes and / or assigning probes implementing more efficient detection mechanisms), the criticality of a part of the network being a metric representative of the current probability that this part of the network is being attacked. This probability can be deduced from concurrent current detections, or recent attacks;
  • the algorithm must make it possible to allocate more detection means to the most sensitive parts of the network (for example, by affecting more probes and / or by affecting probes using more efficient detection mechanisms), the sensitivity of a part of the network being a metric representative of the importance of the endangered assets in the case of a successful attack in the considered part of the network;
  • the algorithm must minimize the time during which part of the network is not monitored.
  • a probe implements an intrusion detection based on an artificial intelligence technique requiring learning (for example with an unsupervised neuron network)
  • additional constraints are also to be managed by the user.
  • the algorithm must make it possible to maximize the probability for a probe to remain assigned to the same part of the network as long as its learning is not completed;
  • the algorithm must minimize the probability that a learning phase will be initiated in a network part whose criticality metric indicates that it could be attacked;
  • the algorithm must make it possible to maximize the probability that a probe having a model of the normal traffic in a part of the network is assigned to the surveillance of this part of the network.
  • a probe implements an intrusion detection based on an artificial intelligence technique requiring learning
  • the probe is able to base the intrusion detection on "signature" mechanisms and by detecting anomalies, relying in this case on neural networks.
  • These mechanisms then introduce granularities in the configuration, which are likely to be reconfigured according to the principle of the invention.
  • These reconfigurations may concern the amount of signatures in the case of detection by signatures, or hyperparameters of the neural network as a number of nodes or layers.
  • the same probe can be dynamically configured so as to operate simultaneously detection systems by signature and detection by neural network.
  • the method makes it possible, in a next step (212), to send each probe its new configuration, and then to go back to the beginning of the step of receiving (202) new information from the probes.
  • the method (200) allowing the reconfiguration calculation of IDS probes can be carried out either periodically or punctually by being triggered by a predefined event, for example that of the detection of a threat by a probe .
  • FIG. 3 illustrates a sequence of steps of the method (300) for communicating a probe with a reconfiguration control server.
  • the method operates in a network monitoring environment as illustrated in Figure 1.
  • the network environment is an SDN environment for "Software Defined Networking". In English, as schematically illustrated in Figure 4.
  • the invention can be implemented for monitoring one or more SDN networks (404).
  • the SDN network architecture (402) consists of at least one SDN controller (408) and one or more SDN devices (414).
  • the monitoring system is composed of at least one or more IDS probes (416) assigned to the SDN equipment and an IDS control server (or service) (406) able to communicate with the IDS probes via SDN interfaces and links. Northbound (410) and Southbound (412). Those skilled in the art will be able to refer to the available literature describing in more detail the SDN architecture, since only the elements useful for understanding the implementation of the invention are represented and partially described.
  • the IDS probes (416) are able to send (step 302) to the IDS control server (406), information relating to their status and to the detected threats.
  • the IDS control server (406) is able to send to the IDS probes (416) reconfiguration instructions obtained according to the method described with reference to FIG. 2.
  • the determination of the optimal configuration of each probe is preferably obtained by the IDS server (406) by the implementation of a genetic algorithm.
  • the latter aims at the constrained optimization of the threat detection function at the global level of the monitored network.
  • the probes can implement techniques for detecting signatures or neuron network attacks.
  • the method allows each probe to determine whether it receives a reconfiguration instruction (step 304). If so, the probe automatically reconfigures itself according to the new received configuration (step 306), and can send new information to the IDS control server according to its new status (step 302). As long as a new configuration is not received, the probe periodically sends its status information and detected threats to the IDS control server.
  • the invention can be implemented from hardware and / or software elements. It may be available as a computer program product executed by a dedicated processor or a memory controller of a storage system, and which includes instructions for performing the process steps in their various embodiments.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

The invention relates to a process and a device for checking and adapting in an individual manner the configuration of every sensor in a set of sensors belonging to a surveillance network, where every sensor is capable of detecting intrusions into a communications network which is monitored by the surveillance network. In particular, such a device comprises a controller which is capable of communicating with the sensors and which is configured in order:- to receive from the sensors information items relating to the state of said sensors and to threats detected; - to initiate a decision-making algorithm in order to establish, for each sensor, according to the configuration thereof and the information items received, whether it must be reconfigured; - to calculate a new configuration for each sensor which has to be reconfigured; and - to send the new configuration of each sensor to be reconfigured to the respective sensor.

Description

DISPOSITIF ET PROCEDE DE CONTROLE DE SONDES  DEVICE AND METHOD FOR CONTROLLING PROBES
PERMETTANT LA DETECTION D’INTRUSIONS SUR UN RESEAU  ALLOWING THE DETECTION OF INTRUSIONS ON A NETWORK
Domaine de l’invention L’invention concerne le domaine de la cybersécurité des communications réseaux, et s’intéresse en particulier au contrôle de sondes permettant de détecter des intrusions dans un tel réseau. Field of the Invention The invention relates to the field of cybersecurity of network communications, and is particularly interested in the control of probes for detecting intrusions in such a network.
Etat de la Technique State of the art
Un système de détection d’intrusion ou IDS pour « Intrusion Détection System » en anglais, est généralement un système informatique connecté, constitué d’un ensemble de capteurs appelés sondes IDS pour « Intrusion Détection Sensor » en anglais, permettant de surveiller un réseau et de repérer des activités anormales ou suspectes susceptibles de constituer des intrusions. La présente invention a trait au problème technique de la configuration des différentes sondes qui constituent un système distribué de détection d’intrusion. Dans le cas de l’utilisation d’un tel système pour assurer la sécurité d’un réseau de très grandes dimensions et/ou très complexe en termes de topologies et/ou de protocoles, la configuration initiale des sondes est une problématique complexe du fait du nombre de sondes qu’il est nécessaire de configurer individuellement et/ou du fait de la difficulté de la programmation des règles de détection. Par ailleurs, dans le cas d’un système mutable, cette complexité se trouve encore accrue par le besoin de reconfigurer les sondes pour faire face aux variations du système à protéger. An intrusion detection system or IDS for "intrusion detection system" in English, is generally a connected computer system, consisting of a set of sensors called IDS probes for "Intrusion Detection Sensor" in English, to monitor a network and identify abnormal or suspicious activities that may constitute intrusions. The present invention relates to the technical problem of configuring the various probes that constitute a distributed intrusion detection system. In the case of the use of such a system to ensure the security of a network of very large dimensions and / or very complex in terms of topologies and / or protocols, the initial configuration of the probes is a complex problem because of the number of probes that must be individually configured and / or the difficulty of programming the detection rules. Moreover, in the case of a mutable system, this complexity is further increased by the need to reconfigure the probes to cope with the variations of the system to be protected.
Le système connu d’IDS « snort » est une application logicielle fonctionnant avec un ensemble de règles ou signatures d’attaques, qui évoluent avec le temps via des mises à jour qui sont implantables à distance sur une machine tournant l’application IDS. En ce sens, une sonde IDS tournant l’application snort est reconfigurable. Cependant, cette capacité de reconfiguration a vocation à rendre la sonde capable de détecter de nouvelles attaques quand ces dernières ont été préalablement identifiées et quand les signatures d’attaques correspondantes ont été conçues. Il s’agit alors d’un processus relativement long, impliquant une intervention humaine, et qui n’a pas pour objectif de s’adapter à des variations rapides du système surveillé. Dans le cas d’un déploiement initial d’un système de sondes IDS, un même mécanisme d’accès distant à une sonde IDS peut permettre de pousser rapidement vers chaque sonde une configuration appropriée. Cela permet de ne pas devoir configurer chaque sonde individuellement « à la main » si plusieurs sondes doivent être configurées de manière identique. Cela permet également de restaurer rapidement le système de détection formé par l’ensemble des sondes dans un état fonctionnel, si nécessaire. Cependant, cette approche exige que les règles propres à chaque sonde aient été générées préalablement. Cela ne diminue donc pas la partie de la complexité qui est due à la spécification des règles. Le système KALIS décrit par D. Midi et al. dans « A System forThe known sniff IDS system is a software application that operates with a set of rules or signature attacks, which evolve over time via updates that are remotely implantable on a machine running the IDS application. In this sense, an IDS probe running the snort application is reconfigurable. However, this reconfiguration capability is intended to make the probe capable of detecting new attacks when the latter have been previously identified and when the corresponding attack signatures have been designed. This is a relatively lengthy process, involving human intervention, and is not intended to adapt to rapid changes in the monitored system. In the case of an initial deployment of an IDS probe system, the same remote access mechanism to an IDS probe can make it possible to quickly push to each probe an appropriate configuration. This makes it unnecessary to configure each probe individually "by hand" if multiple probes must be configured identically. This also makes it possible to quickly restore the detection system formed by all the probes in a functional state, if necessary. However, this approach requires that the rules specific to each probe have been previously generated. This does not diminish the part of the complexity that is due to the specification of the rules. The KALIS system described by D. Midi et al. in "A System for
Knowledge-driven Adaptable Intrusion Détection for the Internet of Things » est un système distribué de détection d’intrusion pour l’internet des objets, dans lequel des noeuds « KALIS » sont capables d’activer ou désactiver des modules de détection pour s’adapter à leur connaissance locale de l’environnement et mieux identifier d’éventuelles menaces. Le système KALIS permet aux noeuds de raffiner la qualité d’une détection en mettant à profit leur connaissance du contexte ou de l’environnement, et de s’échanger des informations relatives à ces contextes et environnements. Le système KALIS étant complètement distribué, l’architecture sur laquelle il s’appuie ne possède pas une vue d’ensemble et globale du réseau de détection formé par les sondes et ne peut donc être en mesure d’orchestrer au mieux la fonction globale de détection. En outre, même si les noeuds KALIS peuvent activer ou désactiver des modules de détection, ils ne sont pas capables d’une reconfiguration, pour s’adapter par exemple à un nouveau réseau à surveiller. Knowledge-driven Adaptable Intrusion Detection for the Internet of Things "is a distributed intrusion detection system for the Internet of Things, in which" KALIS "nodes are able to activate or deactivate detection modules to adapt their local knowledge of the environment and better identify possible threats. The KALIS system allows nodes to refine the quality of a detection by using their knowledge of the context or environment, and to exchange information about these contexts and environments. The KALIS system being completely distributed, the architecture on which it relies does not have an overall view and global detection network formed by the probes and therefore can not be able to better orchestrate the global detection function. In addition, although KALIS nodes can enable or disable detection modules, they are not capable of reconfiguration, for example to adapt to a new network to monitor.
Steven R. Snapp et al. dans“DI DS (Distributed Intrusion Détection System) - Motivation, Architecture, and An Early Prototype” propose un système de détection d’intrusion distribué, constitué d’un ensemble de sondes de détection positionnées sur les équipements du réseau à surveiller, et d’un serveur central en charge de collecter les données issues de ces sondes et de les analyser pour identifier des attaques éventuelles. Les sondes étant préinstallées et préconfigurées sur les équipements, le système proposé est statique et les opérations des sondes ne peuvent pas être adaptées, reconfigurées à l’initiative du serveur central. Steven R. Snapp et al. in "Distributed Intrusion Detection System (DI DS) - Motivation, Architecture, and An Early Prototype" proposes a distributed intrusion detection system, consisting of a set of detection probes positioned on the equipment of the network to be monitored, and a central server in charge of collecting data from these probes and analyzing them to identify possible attacks. The probes being preinstalled and preconfigured on the equipment, the proposed system is static and the operations of the probes can not be adapted, reconfigured at the initiative of the central server.
Aussi, il existe le besoin d’une solution pour un système de détection d’intrusion dans un réseau de communication, qui offre un contrôle dynamique et individualisé de la configuration des sondes de détection d’intrusion. La présente invention répond à ce besoin. Also, there is the need for a solution for an intrusion detection system in a communication network, which provides a dynamic and individualized control of the intrusion detection probe configuration. The present invention meets this need.
Résumé de l’invention Summary of the invention
Un objet de la présente invention est de proposer un procédé et un dispositif associé permettant de contrôler de manière dynamique et individualisé la configuration d’un ensemble de sondes de détection d’intrusions sur un réseau à surveiller afin d’en assurer la sécurité. An object of the present invention is to provide a method and an associated device for dynamically and individually controlling the configuration of a set of intrusion detection probes on a network to monitor to ensure its security.
D’un point de vue général, le principe de l’invention consiste à collecter auprès d’un serveur central, différentes informations que les sondes peuvent communiquer, et à reconfigurer individuellement chaque sonde lorsque cela est estimé nécessaire sur la base des informations remontées par les sondes, du statut du réseau et éventuellement d’autres paramètres. From a general point of view, the principle of the invention is to collect from a central server, different information that the probes can communicate, and reconfigure each probe individually when it is deemed necessary on the basis of information raised by the probes, the status of the network and possibly other parameters.
Un autre objet de la présente invention, en adaptant la configuration de la fonction de détection à chaque sonde, est d’offrir un système de détection d’intrusion qui soit le mieux à même de détecter des incidents et d’y réagir au mieux. Another object of the present invention, by adapting the configuration of the detection function to each probe, is to provide an intrusion detection system that is best able to detect and react to incidents as best as possible.
Avantageusement, l’invention permet de gérer de manière automatisée un réseau de sondes de détection d’intrusion en s’assurant que la méthode de détection globale obtenue au moyen de l’ensemble de ces sondes soit la plus performante possible et s’adapte tant au contexte perçu qu’aux différents statuts et capacités des sondes. Advantageously, the invention makes it possible to manage in an automated manner a network of intrusion detection probes by ensuring that the overall detection method obtained by means of all these probes is as efficient as possible and adapts so much the perceived context that different statuses and capabilities of the probes.
Avantageusement le procédé de l’invention permet à un opérateur de systèmes de détection, un déploiement plus rapide des systèmes de détection, et l’assurance d’un bon niveau de performance alors même que les opérations de maintenance sont minimisées. Advantageously, the method of the invention enables an operator of detection systems, a faster deployment of detection systems, and the assurance of a good level of performance even when maintenance operations are minimized.
Toujours avantageusement, la reconfiguration dynamique des sondes permet également une adaptation plus rapide à un changement de contexte, telle qu’une menace. Le fait que la reconfiguration soit orchestrée par un serveur centralisé garantit qu’un événement local n’affecte pas démesurément la configuration globale du système, mais que les tactiques mises en oeuvre pour y faire face s’inscrivent dans une stratégie d’ensemble de gestion de la sécurité préventive pour le système surveillé. Still advantageously, the dynamic reconfiguration of the probes also makes it possible to adapt more rapidly to a change of context, such as a threat. The fact that the reconfiguration is orchestrated by a centralized server ensures that a local event does not disproportionately affect the overall configuration of the system, but that the tactics implemented to cope with it are part of an overall management strategy. Preventive security for the monitored system.
L’invention trouvera des applications avantageuses dans la sécurisation des réseaux de communications, en particulier les réseaux industriels, loT, ou embarqués. Ces réseaux sont utilisés dans de vastes domaines applicatifs tels que l’industrie 4.0, les réseaux électriques intelligents, les réseaux de supervision de processus industriels, la ville intelligente, la maison connectée, ou les transports. L’invention est alors susceptible d’intéresser tous les industriels du domaine de la cyber- sécurité, fournisseurs de solution de sécurisation des réseaux de télécommunication. The invention will find advantageous applications in the security of communications networks, in particular industrial networks, loT, or embedded. These networks are used in broad application areas such as Industry 4.0, Smart Grids, Industrial Process Management Networks, Smart City, Connected Home, or Transportation. The invention is then likely to interest all manufacturers in the field of cyber security, providers of telecommunication network security solution.
Pour obtenir les résultats recherchés, des procédés tels que revendiqués sont proposés. En particulier, il est proposé un procédé mis en oeuvre par ordinateur pour contrôler et adapter de manière individualisée la configuration de chaque sonde d’un ensemble de sondes appartenant à un réseau de surveillance où chaque sonde est apte à détecter des intrusions dans un réseau de communication, le procédé opérant de manière dynamique pendant la surveillance d’un réseau de communication, et comprend les étapes suivantes : To achieve the desired results, methods as claimed are provided. In particular, it is proposed a computer-implemented method for controlling and individually adapting the configuration of each probe of a set of probes belonging to a surveillance network where each probe is able to detect intrusions in a network of probes. communication, the method operating dynamically during the monitoring of a communication network, and comprises the following steps:
- recevoir des sondes, des informations relatives à leur statut et aux menaces détectées ;  - receive probes, information about their status and detected threats;
- initier un algorithme de décision pour déterminer pour chaque sonde en fonction de sa configuration et des informations reçues, si elle doit être reconfigurée ;  - Initiate a decision algorithm to determine for each probe based on its configuration and received information, if it needs to be reconfigured;
- calculer une nouvelle configuration pour chaque sonde qui est à reconfigurer ; et  - calculate a new configuration for each probe that is to be reconfigured; and
- envoyer la nouvelle configuration de chaque sonde à reconfigurer, respectivement à ladite sonde.  - Send the new configuration of each probe to reconfigure respectively said probe.
Selon des modes de réalisation : According to embodiments:
- l’étape de calcul d’une nouvelle configuration consiste à chercher dans une table de règles prédéfinies, une configuration correspondant aux informations reçues d’une sonde ; the step of calculating a new configuration consists in searching in a table of predefined rules, a configuration corresponding to the information received from a probe;
- l’étape de calcul d’une nouvelle configuration consiste à opérer un algorithme d’optimisation sous contraintes prenant en compte les informations reçues ; - l’étape de calcul d’une nouvelle configuration consiste à opérer un algorithme d’intelligence artificielle prenant en compte les informations reçues ; the step of calculating a new configuration consists in operating a constrained optimization algorithm taking into account the received information; the step of calculating a new configuration consists in operating an artificial intelligence algorithm taking into account the information received;
- l’étape de calcul d’une nouvelle configuration consiste à mettre en oeuvre une combinaison d’une ou plusieurs des étapes de calcul revendiquées ; the step of calculating a new configuration consists in implementing a combination of one or more of the claimed calculation steps;
- l’étape de détermination des sondes à reconfigurer consiste de plus à utiliser des informations temporelles et/ou des informations contextuelles sur le réseau surveillé et/ou sur son environnement ; the step of determining the probes to be reconfigured further consists of using temporal information and / or contextual information on the monitored network and / or on its environment;
- l’étape d’envoyer une nouvelle configuration consister à envoyer une mise à jour des parties du réseau qu’une sonde doit surveiller ; the step of sending a new configuration consists in sending an update of the parts of the network that a probe must monitor;
- l’étape d’envoyer une nouvelle configuration consister à envoyer une mise à jour du ou des types d’attaque que la sonde doit détecter ; the step of sending a new configuration consists in sending an update of the type or types of attack that the probe must detect;
- l’étape d’envoyer une nouvelle configuration consister à envoyer une mise à jour du ou des modes d’identification d’attaque à mettre en oeuvre par la sonde ; the step of sending a new configuration consists in sending an update of the attack identification mode or modes to be implemented by the probe;
- l’étape d’envoyer une nouvelle configuration consister à désactiver une sonde active ou à activer une sonde désactivée. the step of sending a new configuration consists of deactivating an active probe or activating a deactivated probe.
L’invention couvre aussi un dispositif pour contrôler et adapter de manière individualisée la configuration de chaque sonde d’un ensemble de sondes appartenant à un réseau de surveillance où chaque sonde est aptes à détecter des intrusions dans un réseau de communication surveillé par le réseau de surveillance. En particulier, le dispositif comprend un contrôleur apte à communiquer avec les sondes, ledit contrôleur étant configuré pour : The invention also covers a device for individually controlling and adapting the configuration of each probe of a set of probes belonging to a surveillance network where each probe is able to detect intrusions in a communication network monitored by the network of sensors. monitoring. In particular, the device comprises a controller able to communicate with the probes, said controller being configured for:
- recevoir des sondes des informations relatives à leur statut et aux menaces détectées ; - initier un algorithme de décision afin de déterminer pour chaque sonde en fonction de sa configuration et des informations reçues, si elle doit être reconfigurée ; - receive probes information about their status and detected threats; - Initiate a decision algorithm to determine for each probe based on its configuration and information received, if it needs to be reconfigured;
- calculer une nouvelle configuration pour chaque sonde qui est à reconfigurer ; et  - calculate a new configuration for each probe that is to be reconfigured; and
- envoyer la nouvelle configuration de chaque sonde à reconfigurer, respectivement à ladite sonde.  - Send the new configuration of each probe to reconfigure respectively said probe.
Selon des modes de réalisation : - les sondes sont aptes à surveiller différentes parties du réseau surveillé, à détecter différents types d’attaques, et à mettre en oeuvre différents modes d’identification d’attaques ; According to embodiments: the probes are able to monitor different parts of the monitored network, to detect different types of attacks, and to implement different modes of attack identification;
- le réseau de communication surveillé est basé sur une architecture réseau dite Software Defined Network, constituée d’au moins un contrôleur SDN et d’un ou plusieurs équipements SDN surveillés par lesdites sondes ; the monitored communication network is based on a network architecture called Software Defined Network, consisting of at least one SDN controller and one or more SDN equipment monitored by said probes;
- le dispositif revendiqué comprend des moyens pour mettre en oeuvre les étapes du procédé revendiqué. the claimed device comprises means for implementing the steps of the claimed method.
L’invention porte aussi sur un programme d'ordinateur qui comporte des instructions de code pour l'exécution du procédé pour contrôler et adapter de manière individualisée la configuration de sondes aptes à détecter des intrusions dans un réseau de communication, tel que revendiqué. L’invention peut être disponible sur un support d'enregistrement lisible par un processeur sur lequel est enregistré un programme comportant des instructions pour l'exécution du procédé pour contrôler et adapter de manière individualisée la configuration de sondes aptes à détecter des intrusions dans un réseau de communication, tel que revendiqué, lorsque le programme est exécuté par le processeur. The invention also relates to a computer program that includes code instructions for executing the method for individually controlling and adapting the configuration of probes capable of detecting intrusions in a communication network, as claimed. The invention may be available on a recording medium readable by a processor on which is recorded a program comprising instructions for the execution of the method for controlling and adapting in an individualized manner the configuration of probes suitable for detect intrusions in a communication network, as claimed, when the program is executed by the processor.
Description des figures Description of figures
Différents aspects et avantages de l’invention vont apparaître en appui de la description des modes préférés d’implémentation de l’invention mais non limitatifs, avec référence aux figures ci-dessous : Various aspects and advantages of the invention will appear in support of the description of the preferred embodiments of the invention but not limiting, with reference to the figures below:
• La figure 1 est un schéma bloc d’un exemple de réseau de télécommunication surveillé par un système de détection d’intrusion selon des modes de réalisation de l’invention ; · La figure 2 illustre un enchaînement d’étapes du procédé de détermination de la reconfiguration de sondes selon un mode de réalisation de l’invention ; FIG. 1 is a block diagram of an exemplary telecommunication network monitored by an intrusion detection system according to embodiments of the invention; FIG. 2 illustrates a series of steps of the method for determining the reconfiguration of probes according to one embodiment of the invention;
• La figure 3 illustre un enchaînement d’étapes du procédé de communication d’une sonde avec un serveur de contrôle de reconfiguration selon un mode de réalisation de l’invention; FIG. 3 illustrates a sequence of steps of the method of communicating a probe with a reconfiguration control server according to one embodiment of the invention;
• La figure 4 est un schéma bloc d’un exemple d’implémentation du dispositif de l’invention selon une architecture SDN. FIG. 4 is a block diagram of an exemplary implementation of the device of the invention according to an SDN architecture.
Description détaillée de l’invention Detailed description of the invention
La figure 1 montre un exemple de réseau de télécommunication Figure 1 shows an example of a telecommunication network
(104) surveillé par un système de détection d’intrusion (102) permettant d’implémenter le dispositif de l’invention. Pour des raisons de clarté de la description, l’exemple est illustré de manière simplifiée afin de ne montrer que les éléments intervenants dans la mise en oeuvre du dispositif de l’invention. Ainsi le réseau à surveiller est représenté comme un ensemble de un ou plusieurs sous-réseaux (104 : 104-1 , ..., 104-n) à surveiller par un même réseau de surveillance (102). Le réseau à surveiller peut être de très grandes dimensions, très complexe en termes de topologies et/ou de protocoles. Chaque réseau à surveiller peut être composé d’une pluralité d’éléments pour lesquels le trafic réseau est surveillé. De tels éléments (non montrés) peuvent être sans limitation des ordinateurs, des serveurs, des contrôleurs ou toute autre ressource ou équipement pour lesquels le système de surveillance assure une fonction de surveillance des paquets circulant sur des liens réseau en vue de la détection d’éventuelles intrusions. (104) monitored by an intrusion detection system (102) for implementing the device of the invention. For the sake of clarity of the description, the example is illustrated in a simplified manner in order to show only the elements involved in the implementation of the device of the invention. Thus, the network to be monitored is represented as a set of one or more sub-networks (104: 104-1, ..., 104-n) to be monitored by the same monitoring network (102). The network monitor can be very large, very complex in terms of topologies and / or protocols. Each network to be monitored may be composed of a plurality of elements for which network traffic is monitored. Such elements (not shown) may be without limitation computers, servers, controllers or any other resource or equipment for which the monitoring system provides a monitoring function for packets flowing over network links for the purpose of detecting possible intrusions.
Le réseau de surveillance (102) est représenté de manière simplifiée comme comprenant un ensemble de sondes IDS (106 : 106-1 , ..., 106-m) aptes à surveiller du trafic réseau. Les sondes sont dites reconfigurables en ce qu’elles sont aptes à :  The monitoring network (102) is schematically represented as comprising a set of IDS probes (106: 106-1, ..., 106-m) adapted to monitor network traffic. The probes are said to be reconfigurable in that they are capable of:
surveiller différentes parties du réseau (104), par exemple du fait de leur position géographique et/ou du fait du canal radio sur lequel elles écoutent le trafic. Selon des modes de réalisation, une sonde peut surveiller une ou plusieurs parties d’un réseau, plusieurs sondes peuvent surveiller une même partie d’un réseau.  monitor different parts of the network (104), for example because of their geographical position and / or because of the radio channel on which they listen to the traffic. According to embodiments, a probe can monitor one or more parts of a network, several probes can monitor the same part of a network.
détecter différents types d’attaques, par exemple en consultant des bases de données de signatures dans le cas d’une détection par signature. Selon des modes de réalisation, une ou plusieurs sondes peuvent détecter le même type d’attaques sur une ou plusieurs ressources, plusieurs sondes peuvent détecter différents types d’attaques sur une ou plusieurs ressources.  detect different types of attacks, for example by consulting signature databases in the case of signature detection. According to embodiments, one or more probes can detect the same type of attacks on one or more resources, several probes can detect different types of attacks on one or more resources.
mettre en oeuvre différents modes d’identification d’attaques, par exemple un mode de détection par signatures ou un mode de détection par machine learning (pour ne citer que deux exemples). Selon des modes de réalisation, une même sonde peut mettre en oeuvre plusieurs modes d’identification d’attaques pour une ou plusieurs ressources. L’homme du métier peut se référer à la nombreuse littérature disponible concernant les différentes architectures et implémentations de systèmes de détection d’intrusion et de sondes IDS associées. implement different attack identification modes, for example a signature detection mode or a machine learning detection mode (to mention only two examples). According to embodiments, the same probe can implement several attack identification modes for one or more resources. Those skilled in the art can refer to the numerous available literature concerning the different architectures and implementations of intrusion detection systems and associated IDS probes.
Le réseau de surveillance (102) comprend de plus un contrôleur de la fonction de détection (108) ou serveur de contrôle IDS apte à communiquer avec les sondes IDS. La communication du serveur (108) avec les sondes (106) peut s’opérer via le réseau surveillé (104) ou via une infrastructure de communication indépendante tel qu’illustré sur la figure 1. Le serveur de contrôle de la fonction de détection (108) maintient l’état ou statut de chaque sonde. L’état d’une sonde inclut au moins les différents paramètres reconfigurables pré-listés mais ne s’y limite pas. Ainsi, outre la ou les parties du réseau observée(s), les types d’attaques qu’une sonde est capable de détecter, et le ou les mode(s) d’identification d’attaque mis en oeuvre, l’état de chaque sonde peut aussi inclure les ressources système (mémoire, CPU, bande passante) qui sont utilisées par la sonde pour exercer la fonction de détection ainsi que le niveau de batterie de la sonde.  The monitoring network (102) further comprises a detection function controller (108) or IDS control server capable of communicating with the IDS probes. The communication of the server (108) with the probes (106) can be via the monitored network (104) or via an independent communication infrastructure as shown in Figure 1. The control server of the detection function ( 108) maintains the state or status of each probe. The state of a probe includes at least the various reconfigurable parameters pre-listed but is not limited thereto. Thus, in addition to the part or parts of the observed network (s), the types of attacks that a probe is capable of detecting, and the mode (s) of attack identification implemented, the state of each probe can also include the system resources (memory, CPU, bandwidth) that are used by the probe to perform the detection function as well as the battery level of the probe.
Le serveur IDS (108) reçoit des sondes IDS des informations relatives à leurs états respectifs. Il reçoit également de chaque sonde des informations relatives aux menaces que la sonde a détectées. Dans un mode de réalisation, le serveur de contrôle de la fonction de détection (108) peut être initialement configuré sur les criticités des différentes parties ou entités du réseau surveillé par chaque sonde.  The IDS server (108) receives information about their respective states from IDS probes. It also receives from each probe information about the threats that the probe has detected. In one embodiment, the control server of the detection function (108) can be initially configured on the criticalities of the different parts or entities of the network monitored by each probe.
Selon le principe de l’invention, le serveur IDS (108) est apte à communiquer à chaque sonde une nouvelle configuration après avoir déterminer que la sonde doit être reconfigurée.  According to the principle of the invention, the IDS server (108) is able to communicate to each probe a new configuration after determining that the probe must be reconfigured.
La figure 2 illustre un enchaînement d’étapes du procédé (200) de détermination de la reconfiguration des sondes selon un mode de réalisation de l’invention. Le procédé débute par la réception (202) par le serveur IDS (108) d’informations des sondes relatives à leur statut et aux menaces détectées. Dans une étape suivante (208), le procédé permet de déterminer pour chaque sonde sur la base de sa configuration initiale si elle doit être reconfigurée. L’étape de détermination peut être initiée soit périodiquement, soit sur évènement. L’étape de détermination prend en compte par exemple, le niveau de criticité de différentes parties ou entités du réseau surveillé, et les informations reçues, périodiquement ou sur évènement, de la sonde. Dans un mode de réalisation, le procédé prend en compte d’autres paramètres tels que par exemple des informations temporelles (date / heure, temps écoulé depuis la dernière attaque ou depuis la dernière fois que le sous-réseau considéré a été surveillé ou depuis la dernière reconfiguration globale de l’ensemble des sondes) et/ou des informations contextuelles concernant le réseau surveillé (204) et/ou des informations contextuelles concernant l’environnement physique du réseau surveillé (206). FIG. 2 illustrates a sequence of steps of the method (200) for determining the reconfiguration of the probes according to one embodiment of the invention. The method begins with the receipt (202) by the IDS server (108) of information from the probes relating to their status and detected threats. In a next step (208), the method determines for each probe based on its initial configuration whether it needs to be reconfigured. The determination step may be initiated either periodically or on an event. The determination step takes into account, for example, the criticality level of different parts or entities of the monitored network, and the information received, periodically or on event, from the probe. In one embodiment, the method takes into account other parameters such as, for example, time information (date / time, time elapsed since the last attack or since the last time the subnetwork was monitored or since last global reconfiguration of all the probes) and / or contextual information concerning the monitored network (204) and / or contextual information concerning the physical environment of the monitored network (206).
Les informations contextuelles (204) sur le réseau surveillé peuvent par exemple concerner l’apparition d’un trafic requérant un niveau de sécurité plus élevé pour le réseau dans son ensemble ou pour une partie du réseau (comme la zone où le flux transite). Une telle information peut par exemple faire évoluer le niveau de criticité d’une ou plusieurs parties du réseau.  The contextual information (204) on the monitored network can for example relate to the appearance of traffic requiring a higher level of security for the network as a whole or for a part of the network (as the area where the flow transits). Such information may, for example, change the level of criticality of one or more parts of the network.
Les informations contextuelles (206) sur l’environnement du réseau surveillé peuvent par exemple concerner la détection, à partir de capteurs, de caméras, ou d’autres dispositifs, d’une intrusion physique dans les locaux où est déployé le réseau sous surveillance.  Contextual information (206) on the environment of the monitored network may for example relate to the detection, from sensors, cameras, or other devices, of a physical intrusion in the premises where the network under surveillance is deployed.
Ainsi une nouvelle configuration peut consister à mettre à jour par exemple la ou les parties du réseau que la sonde doit observer, le ou les types d’attaque que la sonde doit être capable de détecter, le ou les modes d’identification d’attaque à mettre en oeuvre par la sonde. Une nouvelle configuration peut aussi consister à désactiver une sonde active ou à activer une sonde désactivée. Dans une étape suivante (210), le procédé permet de calculer pour chaque sonde sa nouvelle configuration. Dans un mode de réalisation, une nouvelle configuration peut être obtenue en cherchant dans une table de règles accessible par le serveur IDS, indiquant de manière prédéfinie les (re-)configurations à mettre en place sur chacune des sondes en fonction des informations remontées par celles-ci (informations concernant leur statuts et les menaces détectées, et optionnellement d’autres informations temporelles ou informations contextuelles sur le réseau ou son environnement). Thus, a new configuration may consist of updating, for example, the part or parts of the network that the probe must observe, the type or types of attack that the probe must be able to detect, the attack identification mode or modes. to be implemented by the probe. A new configuration can also consist of deactivating an active probe or activating a deactivated probe. In a next step (210), the method makes it possible to calculate for each probe its new configuration. In one embodiment, a new configuration can be obtained by searching in a rules table accessible by the IDS server, indicating in a predefined manner the (re-) configurations to be implemented on each of the probes as a function of the information reported by those (information about their status and detected threats, and optionally other temporal information or contextual information about the network or its environment).
Dans un autre mode de réalisation, une nouvelle configuration peut être calculée au moyen d’un algorithme d’optimisation sous contraintes ou algorithme génétique, à partir des informations remontées par les sondes (informations concernant leur statuts et les menaces détectées, et optionnellement d’autres informations temporelles ou informations contextuelles sur le réseau ou son environnement).  In another embodiment, a new configuration can be calculated using a constrained optimization algorithm or genetic algorithm, from the information sent back by the probes (information concerning their status and the detected threats, and optionally other temporal information or contextual information about the network or its environment).
Dans un autre mode de réalisation, une nouvelle configuration peut être calculée au moyen d’un algorithme d’intelligence artificielle, à partir des informations remontées par les sondes (informations concernant leur statuts et les menaces détectées, et optionnellement d’autres informations temporelles ou informations contextuelles sur le réseau ou son environnement). Dans une variante de réalisation, l’algorithme d’intelligence artificielle peut également être doté de capacités d’apprentissage lui permettant de s’adapter de manière autonome sur la base des informations remontées par les sondes ou des autres informations contextuelles.  In another embodiment, a new configuration may be calculated using an artificial intelligence algorithm, based on the information sent back by the probes (information concerning their status and the detected threats, and optionally other temporal information or contextual information about the network or its environment). In an alternative embodiment, the artificial intelligence algorithm may also be provided with learning capabilities enabling it to autonomously adapt on the basis of information sent by the probes or other contextual information.
Dans un autre mode de réalisation, une nouvelle configuration peut être calculée au moyen d’une combinaison des trois mécanismes ci- dessus.  In another embodiment, a new configuration may be calculated using a combination of the three mechanisms above.
Dans une implémentation particulière, une partie de la détection des menaces et des intrusions qui est faite par les sondes peut être déportée depuis certaines sondes vers le serveur de contrôle IDS. Cela peut particulièrement concerner des sondes à faibles ressources qui n’ont pas la capacité à opérer un réseau neuronal par exemple. Dans ce cas les sondes concernées remontent au serveur des informations supplémentaires concernant l’état du réseau surveillé au niveau du point du réseau auquel la sonde est connectée. Le serveur de contrôle s’appuie sur ces informations pour déterminer l’apparition éventuelle d’une menace ou attaque au niveau des parties du réseau surveillées par ces sondes. Les informations supplémentaires relatives à l’état du réseau qui sont remontées par les sondes peuvent par exemple être des statistiques collectées à intervalles réguliers concernant la nature du trafic qui transite sur le réseau. Ces statistiques peuvent couvrir par exemple un nombre de connexions, quels sont les protocoles concernés, les tailles des paquets, les débits minimum / moyen / maximum, les intervalles temporels inter-paquets, etc.... Sur la base de ces informations, le serveur de contrôle IDS, peut opérer un algorithme d’intelligence artificielle ou de machine learning (comme un réseau de neurone) pour détecter les éventuelles menaces, puis exploiter cette information complémentaire en entrée de son algorithme de décision (208) concernant la détermination pour chaque sonde d’une nouvelle configuration. In a particular implementation, some of the detection of threats and intrusions that is made by the probes can be deported from some probes to the IDS control server. This can particularly concern low-resource probes that do not have the capacity to operate a neural network for example. In this case the probes concerned go back to the server with additional information concerning the state of the network monitored at the point of the network to which the probe is connected. The control server relies on this information to determine the possible occurrence of a threat or attack at the parts of the network monitored by these probes. The additional information relating to the state of the network that is sent back by the probes may for example be statistics collected at regular intervals concerning the nature of the traffic that travels over the network. These statistics can cover, for example, a number of connections, which are the protocols concerned, the sizes of the packets, the minimum / average / maximum rates, the inter-packet time intervals, etc. Based on this information, the IDS control server, can operate an algorithm of artificial intelligence or machine learning (as a neuron network) to detect possible threats, then exploit this complementary information input of its decision algorithm (208) concerning the determination for each probe of a new configuration.
De manière optionnelle, le serveur de contrôle IDS peut également, au-delà de la mise en oeuvre du procédé de reconfiguration des sondes, déclencher des reconfigurations des mécanismes de détection des menaces qu’il réalise lui-même, par exemple en activant / désactivant un réseau de neurone particulier.  Optionally, the control server IDS can also, beyond the implementation of the method of reconfiguring the probes, trigger reconfigurations of the threat detection mechanisms that it carries out itself, for example by activating / deactivating a particular neuron network.
Dans une autre variante de l’invention, le serveur de contrôle IDS peut également réagir en cas de menace ou attaque qui est détectée, en levant une alerte auprès de l’opérateur du réseau surveillé ou en déclenchant de manière autonome des reconfigurations au niveau des équipements (routeurs, passerelle, firewall, etc...) du réseau surveillé, dans l’optique de limiter l’impact de ces attaques, voire de les bloquer. Ces contremesures peuvent par exemple consister à reconfigurer le matériel cryptographique (des clés, des protocoles...) utilisé dans le réseau, à mettre en place des règles de filtrage des flux, à désactiver certains liens de communications ou équipements, etc. In another variant of the invention, the IDS control server can also react in the event of a threat or attack that is detected, by raising an alert with the operator of the monitored network or by initiating autonomously reconfigurations at the level of the equipment (routers, gateway, firewall, etc ...) of the monitored network, in order to limit the impact of these attacks, or even block them. These countermeasures can for example consist of reconfiguring the cryptographic material (keys, protocols, etc.) used in the network, setting up flow filtering rules, disabling certain communications links or equipment, etc.
Comme il a été décrit plus haut, le procédé de l’invention permet la détermination par le serveur IDS de la configuration optimale de chaque sonde au moyen d’une table de règles préconfigurées ou d’un algorithme d’optimisation sous contraintes (algorithme génétique) ou d’un algorithme d’intelligence artificielle ou d’une combinaison de ces trois mécanismes.  As described above, the method of the invention allows the IDS server to determine the optimal configuration of each probe using a preconfigured rule table or a constrained optimization algorithm (genetic algorithm ) or an artificial intelligence algorithm or a combination of these three mechanisms.
Dans un mode de réalisation préféré, le serveur de contrôle IDS s’appuie sur un algorithme génétique pour déterminer la configuration optimale de chaque sonde. Avantageusement, les différentes contraintes qu’un tel algorithme génétique vise à satisfaire sont alors les suivantes : la couverture : l’algorithme doit permettre de maximiser la couverture globale du réseau surveillé, typiquement en assignant les sondes disponibles à des cellules ou des canaux radio du réseau surveillé qui sont distincts ;  In a preferred embodiment, the IDS control server relies on a genetic algorithm to determine the optimal configuration of each probe. Advantageously, the various constraints that such a genetic algorithm aims to satisfy are the following: coverage: the algorithm must make it possible to maximize the overall coverage of the monitored network, typically by assigning the available probes to the radio cells or channels of the network. monitored network that are distinct;
la qualité : l’algorithme doit permettre de maximiser la qualité de la détection opérée par chaque sonde ;  quality: the algorithm must make it possible to maximize the quality of the detection made by each probe;
l’efficacité : l’algorithme doit permettre de minimiser la quantité de ressources consommées au niveau de chaque sonde (par exemple la puissance de calcul, la mémoire, la bande passante - considérées dans leur ensemble ou séparément) et doit adapter la quantité de ressources consommées au statut de chaque sonde (par exemple, sélectionner la méthode de détection la moins coûteuse pour une sonde qui est occupée par ailleurs, ou pour une sonde opérant sur batterie et dont l’énergie doit être économisée); la réponse aux menaces : l’algorithme doit permettre d’affecter plus de moyens de détection aux parties les plus critiques du réseau (par exemple, affecter plus de sondes et/ou affecter des sondes mettant en oeuvre des mécanismes de détection plus performants), la criticité d’une partie du réseau étant une métrique représentative de la probabilité actuelle que cette partie du réseau soit en train d’être attaquée. Cette probabilité peut être déduite de détections actuelles concourantes, ou d’attaques récentes ; Efficiency: the algorithm must minimize the amount of resources consumed at each probe (for example computing power, memory, bandwidth - considered as a whole or separately) and must adapt the amount of resources consumed at the status of each probe (for example, selecting the least costly detection method for a probe that is otherwise occupied, or for a battery-operated sensor whose energy is to be saved); the response to threats: the algorithm must make it possible to allocate more detection means to the most critical parts of the network (for example, assigning more probes and / or assigning probes implementing more efficient detection mechanisms), the criticality of a part of the network being a metric representative of the current probability that this part of the network is being attacked. This probability can be deduced from concurrent current detections, or recent attacks;
la priorisation : l’algorithme doit permettre d’affecter plus de moyens de détection aux parties les plus sensibles du réseau (par exemple, en affectant plus de sondes et/ou en affectant des sondes mettant en oeuvre des mécanismes de détection plus performants), la sensibilité d’une partie du réseau étant une métrique représentative de l’importance des actifs en danger dans le cas d’une attaque réussie dans la partie considérée du réseau ;  prioritization: the algorithm must make it possible to allocate more detection means to the most sensitive parts of the network (for example, by affecting more probes and / or by affecting probes using more efficient detection mechanisms), the sensitivity of a part of the network being a metric representative of the importance of the endangered assets in the case of a successful attack in the considered part of the network;
le conservatisme : l’algorithme doit permettre de minimiser la distance par rapport à l’état précédent ;  conservatism: the algorithm must make it possible to minimize the distance from the previous state;
la surveillance : l’algorithme doit permettre de minimiser le temps pendant lequel une partie du réseau n’est pas surveillée.  monitoring: the algorithm must minimize the time during which part of the network is not monitored.
Dans un mode de réalisation où une sonde met en oeuvre une détection d’intrusion s’appuyant sur une technique d’intelligence artificielle requérant un apprentissage (par exemple avec un réseau de neurones non supervisé), des contraintes supplémentaires sont également à gérer par l’algorithme génétique :  In an embodiment where a probe implements an intrusion detection based on an artificial intelligence technique requiring learning (for example with an unsupervised neuron network), additional constraints are also to be managed by the user. genetic algorithm:
- la qualité de l’apprentissage : l’algorithme doit permettre de maximiser la probabilité pour une sonde de demeurer affectée à la même partie du réseau tant que son apprentissage n’est pas terminé ; - the quality of the learning: the algorithm must make it possible to maximize the probability for a probe to remain assigned to the same part of the network as long as its learning is not completed;
l’apprentissage ne doit pas être corrompu : l’algorithme doit permettre de minimiser la probabilité qu’une phase d’apprentissage soit initiée dans une partie réseau dont la métrique de criticité traduit qu’elle pourrait faire l’objet d’une attaque ; learning must not be corrupted: the algorithm must minimize the probability that a learning phase will be initiated in a network part whose criticality metric indicates that it could be attacked;
la rentabilité de l’apprentissage : l’algorithme doit permettre de maximiser la probabilité qu’une sonde disposant d’un modèle du trafic normal dans une partie du réseau soit affectée à la surveillance de cette partie du réseau.  the profitability of the learning: the algorithm must make it possible to maximize the probability that a probe having a model of the normal traffic in a part of the network is assigned to the surveillance of this part of the network.
Dans ce mode de réalisation où une sonde met en oeuvre une détection d’intrusion s’appuyant sur une technique d’intelligence artificielle requérant un apprentissage, la sonde est en mesure de baser la détection d’intrusions sur des mécanismes « par signatures » et par détection d’anomalies, en s’appuyant dans ce cas sur des réseaux de neurones. Ces mécanismes introduisent alors des granularités dans la configuration, qui sont susceptibles d’être reconfigurées selon le principe de l’invention. Ces reconfigurations peuvent concerner la quantité de signatures dans le cas de détection par signatures, ou des hyperparamètres du réseau de neurones comme un nombre de noeuds ou de couches.  In this embodiment where a probe implements an intrusion detection based on an artificial intelligence technique requiring learning, the probe is able to base the intrusion detection on "signature" mechanisms and by detecting anomalies, relying in this case on neural networks. These mechanisms then introduce granularities in the configuration, which are likely to be reconfigured according to the principle of the invention. These reconfigurations may concern the amount of signatures in the case of detection by signatures, or hyperparameters of the neural network as a number of nodes or layers.
A noter que, si ses ressources le lui permettent, une même sonde peut être dynamiquement configurée de manière à faire fonctionner simultanément des systèmes de détection par signature et de détection par réseau de neurones.  Note that, if its resources allow it, the same probe can be dynamically configured so as to operate simultaneously detection systems by signature and detection by neural network.
Revenant à la figure 2, après l’étape (210) de calcul des nouvelles configurations, le procédé permet dans une étape suivante (212), d’envoyer à chaque sonde sa nouvelle configuration, puis de revenir au début à l’étape de réception (202) de nouvelles informations des sondes.  Returning to FIG. 2, after the step (210) for calculating the new configurations, the method makes it possible, in a next step (212), to send each probe its new configuration, and then to go back to the beginning of the step of receiving (202) new information from the probes.
Selon des modes de réalisation, le procédé (200) permettant le calcul de reconfiguration de sondes IDS peut s’effectuer soit périodiquement, soit ponctuellement en étant déclenché par un événement prédéfini, comme par exemple celui de la détection d’une menace par une sonde. La figure 3 illustre un enchaînement d’étapes du procédé (300) de communication d’une sonde avec un serveur de contrôle de reconfiguration. Selon des modes de réalisation de l’invention, le procédé opère dans un environnement de surveillance de réseau tel qu’illustré sur la figure 1. Dans une variante d’implémentation particulière, l’environnement réseau est un environnement SDN pour « Software Defined Networking » en anglais, tel qu’illustré de manière schématique sur la figure 4. Ainsi, l’invention peut s’implémenter pour la surveillance d’un ou plusieurs réseaux SDN (404). L’architecture réseau SDN (402) est constituée d’au moins un contrôleur SDN (408) et d’un ou plusieurs équipements SDN (414). Le système de surveillance est composé au moins d’une ou plusieurs sondes IDS (416) assignées aux équipements SDN et d’un serveur (ou service) de contrôle IDS (406) apte à communiquer avec les sondes IDS via des interfaces et liens SDN « Northbound » (410) et « Southbound » (412). L’homme du métier pourra se reporter à la littérature disponible décrivant plus en détails l’architecture SDN, car seuls les éléments utiles à la compréhension de la mise en oeuvre de l’invention sont représentés et partiellement décrits. Les sondes IDS (416) sont aptes à envoyer (étape 302) vers le serveur de contrôle IDS (406), des informations relatives à leur statut et aux menaces détectées. Le serveur de contrôle IDS (406) est apte à envoyer aux sondes IDS (416) des consignes de reconfiguration obtenues selon le procédé décrit en référence à la figure 2. Dans cette variante d’implémentation, la détermination de la configuration optimale de chaque sonde est de préférence obtenue par le serveur IDS (406) par la mise en oeuvre d’un algorithme génétique. Ce dernier a pour objectif l’optimisation sous contrainte de la fonction de détection de menaces au niveau global du réseau surveillé. Les sondes peuvent mettre en oeuvre des techniques de détection d’attaques par signature ou par réseau de neurone. Revenant à la figure 3, le procédé permet que chaque sonde détermine si elle reçoit une consigne de reconfiguration (étape 304). Si oui, la sonde se reconfigure automatiquement en accord avec la nouvelle configuration reçue (étape 306), et peut envoyer de nouvelles informations au serveur de contrôle IDS selon son nouveau statut (étape 302). Tant qu’une nouvelle configuration n’est pas reçue, la sonde envoie périodiquement les informations relatives à son statut et aux menaces détectées au serveur de contrôle IDS. According to embodiments, the method (200) allowing the reconfiguration calculation of IDS probes can be carried out either periodically or punctually by being triggered by a predefined event, for example that of the detection of a threat by a probe . FIG. 3 illustrates a sequence of steps of the method (300) for communicating a probe with a reconfiguration control server. According to embodiments of the invention, the method operates in a network monitoring environment as illustrated in Figure 1. In a particular implementation variant, the network environment is an SDN environment for "Software Defined Networking". In English, as schematically illustrated in Figure 4. Thus, the invention can be implemented for monitoring one or more SDN networks (404). The SDN network architecture (402) consists of at least one SDN controller (408) and one or more SDN devices (414). The monitoring system is composed of at least one or more IDS probes (416) assigned to the SDN equipment and an IDS control server (or service) (406) able to communicate with the IDS probes via SDN interfaces and links. Northbound (410) and Southbound (412). Those skilled in the art will be able to refer to the available literature describing in more detail the SDN architecture, since only the elements useful for understanding the implementation of the invention are represented and partially described. The IDS probes (416) are able to send (step 302) to the IDS control server (406), information relating to their status and to the detected threats. The IDS control server (406) is able to send to the IDS probes (416) reconfiguration instructions obtained according to the method described with reference to FIG. 2. In this variant of implementation, the determination of the optimal configuration of each probe is preferably obtained by the IDS server (406) by the implementation of a genetic algorithm. The latter aims at the constrained optimization of the threat detection function at the global level of the monitored network. The probes can implement techniques for detecting signatures or neuron network attacks. Returning to FIG. 3, the method allows each probe to determine whether it receives a reconfiguration instruction (step 304). If so, the probe automatically reconfigures itself according to the new received configuration (step 306), and can send new information to the IDS control server according to its new status (step 302). As long as a new configuration is not received, the probe periodically sends its status information and detected threats to the IDS control server.
Ainsi, la présente description illustre une implémentation préférentielle de l’invention, mais n’est pas limitative. Des exemples sont choisis pour permettre une bonne compréhension des principes de l’invention et une application concrète, mais ne sont en rien exhaustifs et doivent permettre à l’homme du métier d’apporter des modifications et des variantes d’implémentation en conservant les mêmes principes.  Thus, the present description illustrates a preferred implementation of the invention, but is not limiting. Examples are chosen to allow a good understanding of the principles of the invention and a concrete application, but are in no way exhaustive and should allow the skilled person to make modifications and implementation variants while maintaining the same principles.
L’invention peut s’implémenter à partir d’éléments matériel et/ou logiciel. Elle peut être disponible en tant que produit programme d’ordinateur exécuté par un processeur dédié ou par un contrôleur mémoire d’un système de stockage, et qui comprend des instructions pour exécuter les étapes des procédés dans leurs différents modes de réalisation.  The invention can be implemented from hardware and / or software elements. It may be available as a computer program product executed by a dedicated processor or a memory controller of a storage system, and which includes instructions for performing the process steps in their various embodiments.

Claims

Revendications claims
1. Procédé mis en oeuvre par ordinateur pour contrôler et adapter de manière individualisée la configuration de chaque sonde d’un ensemble de sondes appartenant à un réseau de surveillance où chaque sonde est apte à détecter des intrusions dans un réseau de communication, le procédé opérant de manière dynamique pendant la surveillance d’un réseau de communication, et comprenant les étapes suivantes : A computer-implemented method for individually controlling and adapting the configuration of each probe of a set of probes belonging to a surveillance network where each probe is able to detect intrusions in a communication network, the method operating dynamically during the monitoring of a communication network, and comprising the following steps:
- recevoir des sondes, des informations relatives à leur statut et aux menaces détectées ;  - receive probes, information about their status and detected threats;
- initier un algorithme de décision pour déterminer pour chaque sonde en fonction de sa configuration et des informations reçues, si elle doit être reconfigurée ; - Initiate a decision algorithm to determine for each probe based on its configuration and received information, if it needs to be reconfigured;
- calculer une nouvelle configuration pour chaque sonde qui est à reconfigurer ; et - calculate a new configuration for each probe that is to be reconfigured; and
- envoyer la nouvelle configuration de chaque sonde à reconfigurer respectivement à ladite sonde.  - Send the new configuration of each probe to reconfigure respectively to said probe.
2. Le procédé selon la revendication 1 dans lequel l’étape de calcul d’une nouvelle configuration consiste à chercher dans une table de règles prédéfinies, une configuration correspondant aux informations reçues d’une sonde. 2. The method of claim 1 wherein the step of calculating a new configuration is to search in a predefined rule table, a configuration corresponding to the information received from a probe.
3. Le procédé selon la revendication 1 dans lequel l’étape de calcul d’une nouvelle configuration consiste à opérer un algorithme d’optimisation sous contraintes prenant en compte les informations reçues. 3. The method according to claim 1 wherein the step of calculating a new configuration consists in operating a constrained optimization algorithm taking into account the information received.
4. Le procédé selon la revendication 1 dans lequel l’étape de calcul d’une nouvelle configuration consiste à opérer un algorithme d’intelligence artificielle prenant en compte les informations reçues. 4. The method of claim 1 wherein the step of calculating a new configuration is to operate an artificial intelligence algorithm taking into account the information received.
5. Le procédé selon la revendication 1 dans lequel l’étape de calcul d’une nouvelle configuration consiste à mettre en oeuvre une combinaison d’une ou plusieurs des étapes de calcul selon les revendications 2, 3 et 4. 5. The method according to claim 1, wherein the step of calculating a new configuration consists in implementing a combination of one or more of the calculation steps according to claims 2, 3 and 4.
6. Le procédé selon la revendication 5 dans lequel l’étape de détermination des sondes à reconfigurer consiste de plus à utiliser des informations temporelles et/ou des informations contextuelles sur le réseau surveillé et/ou sur son environnement. The method of claim 5 wherein the step of determining the probes to be reconfigured further comprises using temporal information and / or contextual information about the monitored network and / or its environment.
7. Le procédé selon l’une quelconque des revendications 1 à 6 dans lequel l’étape d’envoyer une nouvelle configuration consister à envoyer une mise à jour des parties du réseau qu’une sonde doit surveiller. The method of any one of claims 1 to 6 wherein the step of sending a new configuration is to send an update of the portions of the network that a probe is to monitor.
8. Le procédé selon l’une quelconque des revendications 1 à 7 dans lequel l’étape d’envoyer une nouvelle configuration consister à envoyer une mise à jour du ou des types d’attaque que la sonde doit détecter. 8. The method according to any one of claims 1 to 7 wherein the step of sending a new configuration is to send an update of the attack type or types that the probe must detect.
9. Le procédé selon l’une quelconque des revendications 1 à 8 dans lequel l’étape d’envoyer une nouvelle configuration consister à envoyer une mise à jour du ou des modes d’identification d’attaque à mettre en oeuvre par la sonde. The method of any one of claims 1 to 8 wherein the step of sending a new configuration consist in sending an update of the attack identification mode or modes to be implemented by the probe.
10. Le procédé selon l’une quelconque des revendications 1 à 9 dans lequel l’étape d’envoyer une nouvelle configuration consister à désactiver une sonde active ou à activer une sonde désactivée. The method of any one of claims 1 to 9 wherein the step of sending a new configuration includes deactivating an active probe or activating a deactivated probe.
1 1. Un dispositif pour contrôler et adapter de manière individualisée la configuration de chaque sonde d’un ensemble de sondes appartenant à un réseau de surveillance où chaque sonde est apte à détecter des intrusions dans un réseau de communication surveillé par le réseau de surveillance, le dispositif comprenant un contrôleur apte à communiquer avec les sondes, ledit contrôleur étant configuré pour : A device for individually controlling and adapting the configuration of each probe of a set of probes belonging to a surveillance network where each probe is able to detect intrusions in a communication network monitored by the surveillance network, the device comprising a controller adapted to communicate with the probes, said controller being configured to:
- recevoir des sondes des informations relatives à leur statut et aux menaces détectées ;  - receive probes information about their status and detected threats;
- initier un algorithme de décision afin de déterminer pour chaque sonde en fonction de sa configuration et des informations reçues, si elle doit être reconfigurée ;  - Initiate a decision algorithm to determine for each probe based on its configuration and information received, if it needs to be reconfigured;
- calculer une nouvelle configuration pour chaque sonde qui est à reconfigurer ; et  - calculate a new configuration for each probe that is to be reconfigured; and
- envoyer la nouvelle configuration de chaque sonde à reconfigurer respectivement à ladite sonde.  - Send the new configuration of each probe to reconfigure respectively to said probe.
12. Le dispositif selon la revendication 1 1 dans lequel les sondes sont aptes à surveiller différentes parties du réseau surveillé, à détecter différents types d’attaques, et à mettre en oeuvre différents modes d’identification d’attaques. 12. The device according to claim 11 wherein the probes are able to monitor different parts of the monitored network, to detect different types of attacks, and to implement different modes of attack identification.
13. Le dispositif selon la revendication 11 ou 12 dans lequel le réseau de communication surveillé est basé sur une architecture réseau dite Software Defined Network, constituée d’au moins un contrôleur SDN et d’un ou plusieurs équipements SDN surveillés par lesdites sondes. The device according to claim 11 or 12 wherein the monitored communication network is based on a so-called Software Defined Network network architecture, consisting of at least one SDN controller and one or more SDN equipment monitored by said probes.
14. Le dispositif selon l’une quelconque des revendications 1 1 à 13 comprenant des moyens pour mettre en oeuvre les étapes du procédé selon l’une quelconque des revendications 2 à 10. 14. The device according to any one of claims 1 1 to 13 comprising means for implementing the steps of the method according to any one of claims 2 to 10.
15. Programme d'ordinateur comportant des instructions pour l'exécution du procédé pour contrôler et adapter de manière individualisée la configuration de sondes aptes à détecter des intrusions dans un réseau de communication selon l’une quelconque des revendications 1 à 10, lorsque le programme est exécuté par un processeur. 15. A computer program comprising instructions for the execution of the method for individually controlling and adapting the configuration of probes suitable for detecting intrusions in a communication network according to any one of claims 1 to 10, when the program is executed by a processor.
16. Support d'enregistrement lisible par un processeur sur lequel est enregistré un programme comportant des instructions pour l'exécution du procédé pour contrôler et adapter de manière individualisée la configuration de sondes aptes à détecter des intrusions dans un réseau de communication selon l’une quelconque des revendications 1 à 10, lorsque le programme est exécuté par le processeur. 16. A processor-readable recording medium on which is recorded a program comprising instructions for executing the method for individually controlling and adapting the configuration of probes able to detect intrusions in a communication network according to one of the following: any of claims 1 to 10, when the program is executed by the processor.
PCT/EP2018/081847 2017-12-14 2018-12-06 Device and process for checking sensors that permit the detection of intrusions into a network WO2019115173A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1762124A FR3075421B1 (en) 2017-12-14 2017-12-14 DEVICE AND PROCEDURE FOR MONITORING PROBES ALLOWING THE DETECTION OF INTRUSIONS ON A NETWORK
FR1762124 2017-12-14

Publications (1)

Publication Number Publication Date
WO2019115173A1 true WO2019115173A1 (en) 2019-06-20

Family

ID=61802093

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2018/081847 WO2019115173A1 (en) 2017-12-14 2018-12-06 Device and process for checking sensors that permit the detection of intrusions into a network

Country Status (2)

Country Link
FR (1) FR3075421B1 (en)
WO (1) WO2019115173A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3111505A1 (en) * 2020-06-19 2021-12-17 Orange System and method for monitoring at least one slice of a communications network using a confidence index assigned to the slice of the network
WO2021255400A1 (en) * 2020-06-19 2021-12-23 Orange Monitoring of at least one section of a communications network using a confidence index assigned to the section of the network

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004023714A2 (en) * 2002-09-06 2004-03-18 Lockheed Martin Orincon Corporation Computer network security system utilizing dynamic mobile sensor agents
US20050039047A1 (en) * 2003-07-24 2005-02-17 Amit Raikar Method for configuring a network intrusion detection system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004023714A2 (en) * 2002-09-06 2004-03-18 Lockheed Martin Orincon Corporation Computer network security system utilizing dynamic mobile sensor agents
US20050039047A1 (en) * 2003-07-24 2005-02-17 Amit Raikar Method for configuring a network intrusion detection system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3111505A1 (en) * 2020-06-19 2021-12-17 Orange System and method for monitoring at least one slice of a communications network using a confidence index assigned to the slice of the network
WO2021255400A1 (en) * 2020-06-19 2021-12-23 Orange Monitoring of at least one section of a communications network using a confidence index assigned to the section of the network

Also Published As

Publication number Publication date
FR3075421A1 (en) 2019-06-21
FR3075421B1 (en) 2021-09-24

Similar Documents

Publication Publication Date Title
US20210273958A1 (en) Multi-stage anomaly detection for process chains in multi-host environments
US10659333B2 (en) Detection and analysis of seasonal network patterns for anomaly detection
US10469511B2 (en) User assistance coordination in anomaly detection
US20210273953A1 (en) ENDPOINT AGENT CLIENT SENSORS (cSENSORS) AND ASSOCIATED INFRASTRUCTURES FOR EXTENDING NETWORK VISIBILITY IN AN ARTIFICIAL INTELLIGENCE (AI) THREAT DEFENSE ENVIRONMENT
EP3429130B1 (en) Os start event detection, os fingerprinting, and device tracking using enhanced data features
US20230171276A1 (en) Apparatus having engine using artificial intelligence for detecting bot anomalies in a computer network
US11115428B2 (en) Systems and methods for determining network data quality and identifying anomalous network behavior
US10581901B2 (en) Increased granularity and anomaly correlation using multi-layer distributed analytics in the network
US10616251B2 (en) Anomaly selection using distance metric-based diversity and relevance
US11411838B2 (en) Adaptive stress testing of SD-WAN tunnels for what-if scenario model training
US11265336B2 (en) Detecting anomalies in networks
US10931692B1 (en) Filtering mechanism to reduce false positives of ML-based anomaly detectors and classifiers
US11063842B1 (en) Forecasting network KPIs
Ridwan et al. Applications of machine learning in networking: a survey of current issues and future challenges
US10552763B2 (en) Constraint-aware resource synchronization across hyper-distributed learning systems
US20180152466A1 (en) Estimating feature confidence for online anomaly detection
AU2022307535A1 (en) Intelligent prioritization of assessment and remediation of common vulnerabilities and exposures for network nodes
US10944661B2 (en) Wireless throughput issue detection using coarsely sampled application activity
US10628587B2 (en) Identifying and halting unknown ransomware
WO2020212442A1 (en) Method and device for processing an alert message indicating the detection of an anomaly in traffic transmitted via a network
WO2021236661A1 (en) Endpoint client sensors for extending network visibility
WO2021152262A1 (en) Method for monitoring data exchanged on a network and device for detecting intrusions
WO2019115173A1 (en) Device and process for checking sensors that permit the detection of intrusions into a network
Hamouda et al. Intrusion detection systems for industrial internet of things: A survey
US11558263B2 (en) Network device association with network management system

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 18803994

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 18803994

Country of ref document: EP

Kind code of ref document: A1