WO2021152262A1 - Procede de surveillance de donnees echangees sur un reseau et dispositif de detection d'intrusions - Google Patents

Procede de surveillance de donnees echangees sur un reseau et dispositif de detection d'intrusions Download PDF

Info

Publication number
WO2021152262A1
WO2021152262A1 PCT/FR2021/050157 FR2021050157W WO2021152262A1 WO 2021152262 A1 WO2021152262 A1 WO 2021152262A1 FR 2021050157 W FR2021050157 W FR 2021050157W WO 2021152262 A1 WO2021152262 A1 WO 2021152262A1
Authority
WO
WIPO (PCT)
Prior art keywords
detection
technique
data
iter
detection technique
Prior art date
Application number
PCT/FR2021/050157
Other languages
English (en)
Inventor
Hichem SEDJELMACI
Original Assignee
Orange
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange filed Critical Orange
Publication of WO2021152262A1 publication Critical patent/WO2021152262A1/fr

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/088Non-supervised learning, e.g. competitive learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Definitions

  • the invention relates to the general field of telecommunications.
  • intrusion or attack relates more particularly to the monitoring of data exchanged over a communications network, and in particular the detection of intrusions or computer attacks (also called “cyber-attacks”).
  • intrusion or attack are used interchangeably.
  • Intrusion detection techniques are generally based on one or other of the following approaches:
  • each of a plurality of known attacks is associated with a set of values of different traffic characteristics (also sometimes referred to as attributes in the following), representative of the traffic of the attack considered and allowing to distinguish it.
  • Each set of values associated with an attack constitutes a signature of the attack. Values for the same traffic characteristics are determined for the monitored data and then compared to available attack signatures.
  • this approach is based on construction, for example by means of a machine learning algorithm (or "Machine Learning" in English ) supervised or unsupervised, a pattern of normal data behavior, in the absence of cyber attacks. If the monitored data does not conform to this pattern, an anomaly is detected in the monitored data.
  • Machine Learning or "Machine Learning” in English
  • the advantage of this approach is that it offers the possibility of detecting new attacks. On the other hand, it presents a high rate of false positives.
  • hybrid detection techniques implementing the two approaches.
  • Such a hybrid detection technique is described for example in the article by A. Abduvaliyev et al. titled “Energy Efficient Hybrid Intrusion Detection System for Wireless Sensor Networks”, International Conference on Electronics and Information Engineering, 2010.
  • the data packets are first inspected by an anomaly detection module. If the anomaly detection module detects an intrusion, the data packets are transmitted for analysis to a signature detection module. The con- clusions of the anomaly detection module and of the signature detection module are then supplied to a decision module which, on the basis of these conclusions, decides by applying a set of predefined rules whether or not there is an intrusion ( ie attack).
  • This hybrid technique leads to better detection precision.
  • This precision can be further improved by making several intrusion detection systems (or IDS systems hereinafter) collaborate with one another, each system being for example embedded in a different node of the network.
  • IDS systems intrusion detection systems
  • Such a collaborative system is for example described, in the context of a wireless sensor network, in the document by H. Sedjelmaci et al. titled “Intrusion Detection Framework of Cluster-based Wireless Sensor Network”, IEEE Symposium on Computers and Communications, 2012. The more nodes involved in the collaboration, the better the detection accuracy.
  • the invention proposes a solution which makes it possible to overcome the aforementioned drawbacks of the state of the art while offering very high precision in the detection of intrusions (computer attacks) capable of targeting various constituent elements of a network.
  • no limitation is attached to the nature of these elements: they can be nodes of the network itself (that is to say nodes belonging to the infrastructure of the network or connected to it for the benefit of the network. acquiring for example connectivity), network resources (memory resources, computation, network resources, etc.), communications protocols used in the network, etc.
  • the invention relates to a method for monitoring data exchanged over a network, this method being intended to be implemented by an intrusion detection device and comprising, for at least a subset of data:
  • the invention also relates to an intrusion detection device configured to monitor data exchanged over a network, this device comprising modules, activated for at least one subset of data, these modules comprising:
  • a first intrusion detection module configured to apply to said subset a first intrusion detection technique
  • - modules activated if an anomaly is detected by the first detection module in said sub-assembly, comprising: a second intrusion detection module, configured to apply a second intrusion detection technique to said subset; a third intrusion detection module, configured to apply a third intrusion detection technique to said subset, said third detection technique using results provided by the first and second detection modules; the second detection module being further configured to use a result provided by the third detection module for training of the second detection technique, and the first detection module being further configured to use, for training of the first technique detection, a result of an application to said subset of the second detection technique after said learning by the second detection module.
  • an intrusion detection technique takes as input either directly the monitored data, or characteristics or attributes derived (e) s of these data, such as for example statistics evaluated by a processing unit (external or not to the intrusion detection device according to the invention) from these data, and so on.
  • the data monitored by the intrusion detection device can be associated with one or more elements of the network as mentioned above which may be the subject of computer attacks and monitored by the device. intrusion detection.
  • These data are for example network data or protocol data passing through the network node hosting the intrusion detection device, and conveyed in messages conforming to one or more protocols monitored by the intrusion detection device (by example HTTP2.0 protocol); as a variant, it may be data coming from a fixed pre or a target IP address monitored by the intrusion detection device, or data sent by the node hosting the detection device. 'intrusions, etc.
  • the invention thus proposes an original iterative method, executed locally within a node of the network hosting the intrusion detection device according to the invention, and based on several configured intrusion detection techniques. to collaborate and communicate with each other with a view to strengthening their respective detection capacities, and therefore ultimately, the overall detection operated by the process. Such reinforcement is made possible in particular by the learning implemented at each iteration of the first and second detection techniques. As the exchanges between the detection techniques are implemented locally within the same node / device, the vulnerability of these exchanges to potential computer attacks is thus limited.
  • the inventor was inspired, to define these roles, by the model of generative ad verses networks (or GANs for Generative Adversarial Networks in English), well known in the field of imaging, which he has adapted in an original way to allow efficient and secure detection of computer attacks.
  • a generative adverse network as used in imaging, two networks, one called generator and the other called discriminator, are placed "in competition" according to a game theory scenario: the generator network generates a sample (ie an image in the field of imaging), while its "adversary", the discriminator network, tries to detect whether a sample is real or if it is the result of the generator network.
  • the learning of the two networks is carried out jointly and modeled as a zero-sum game (ie the gain of one of the networks constitutes a loss for the other network).
  • the first detection technique plays in a way the role of a network generating “abnormal” data. It analyzes the traffic data provided to it (or characteristics representative and derived from this data) and determines whether these present an anomaly (for example, they are representative of attack traffic or do not match. to normal behavior depending on the nature of the first detection technique). If applicable and only in this case, the second detection technique is activated, and the data or characteristics representative of these data considered by the first detection technique to be an anomaly (in other words, the attributes of the anomaly detected). This supply is for example carried out directly by the first detection technique itself. The second detection technique then plays the role of a discriminator and decides, on the basis of the analysis of the "abnormal" data or of the characteristics which have been supplied to it, whether these indeed reflect the presence of an intrusion or of an intrusion. 'an attack.
  • the learning of the first and second detection techniques is carried out taking into account
  • the invention provides for the intervention of a third detection technique, applied to the data considered by the first detection technique to be “abnormal”, this third detection technique advantageously having the results obtained from the applications of the first and second detection techniques.
  • This third detection technique aggregates the results of the other two techniques, compares them and uses the result of this comparison in addition to its own analysis to provide its own qualification of the data. It then returns the result obtained to the second detection technique, which uses it for its training and to strengthen its detection capacity.
  • the second detection technique is again applied to the data following this training, and the result of this application is supplied to the first detection technique which in turn uses it for its training.
  • the use of a third detection technique as proposed by the invention thus makes it possible to reduce the false detections made by the first and / or the second detection technique.
  • the third detection technique plays the role of a so-called loss function which aims to reduce the “losses” of the first and second detection techniques, that is to say in a cyber context. detection, the bad detections made by them (whether they are false positives or false negatives).
  • the successive applications of the three detection techniques form an iteration of the process according to the invention, each iteration relating to a set of distinct monitored data, and combining intrusion detection operations, detection of "losses" of the first. and second detection techniques and training of the first and second detection techniques.
  • This iterative process thus makes it possible, over the subsets of data processed, to strengthen the detection capacity of the device according to the invention, although it operates locally.
  • the method further comprises a step of notifying a third party entity of said anomaly.
  • the first detection technique can be applied once again after learning and the result of this new application of the first detection technique can be used to decide whether or not to notify the third entity, to trigger mitigation actions, etc.
  • the notified third-party entity can for example be a security operations center to which the device can ask to confirm (or deny) the detected intrusion.
  • the method may in particular comprise a step of transmitting to a security operations center at least one item of information from:
  • Such a security operations center advantageously has a more global view of the network: it is generally attached to several network nodes capable of each reporting to it the various anomalies that they detect in the data that they monitor and / or pass through them.
  • data passing through a node or a device is understood to mean data received and / or transmitted by the latter.
  • such a security operations center often has more hardware and / or software resources (memory, calculation, etc.) dedicated to cyber-detection and can thus implement more detection techniques. powerful and efficient (for example relying on machine learning techniques) than the nodes which are attached to it and report anomalies to it, and possibly more complex.
  • the method according to the invention further comprises a step of receiving, from the security operations center, information intended to be used by the intrusion detection device for learning the first, second and / or third detection techniques.
  • the intrusion detection techniques likely to be used by the method and by the intrusion detection device according to the invention.
  • the first and second intrusion detection techniques implement at least one automatic learning algorithm.
  • the first detection technique is a hybrid detection technique based on a technique using known attack signatures and on a detection technique by reinforcement; and or
  • At least one of the second and the third detection technique is a detection technique by automatic learning.
  • At least one detection technique among the first and the second detection technique uses an artificial neural network, and the learning of this detection technique uses a gradient descent algorithm to put update the parameters of this artificial neural network.
  • the gradient descent algorithm can be configured for example to optimize an attack detection rate by said detection technique.
  • the first detection technique and the second detection technique use artificial neural networks
  • the method according to the invention further comprises a step of exchange between the first and second techniques of detection of parameters of said artificial neural networks, said exchanged parameters being taken into account for the learning of the first and second detection techniques.
  • Such parameters can be for example the number of layers used by each of the artificial neural networks, the number of neurons on each layer, the weights of the synapses, the attributes considered at the input of each of the networks (in other words the data or the characteristics of the data they consider to carry out their detections), etc.
  • This embodiment allows for more efficient and faster learning of the first and second detection techniques.
  • the detection techniques can use the parameters exchanged to converge more quickly and improve their respective classifications of the anomalies that they detect in the data that they process. They can adapt the attributes they consider (remove or add in particular) to improve their respective detections.
  • the third detection technique uses a support vector machine.
  • Such a machine learning algorithm advantageously has a low reaction time and a very efficient detection capacity compared to other known machine learning algorithms such as for example deep neural networks which generally are more complex in terms of computational terms and therefore have a slower reaction time.
  • the intrusion detection device according to the invention can advantageously be embedded in different nodes of the network.
  • the intrusion detection device is integrated into a connected object or user equipment to which the network provides a configuration. nectivity.
  • the intrusion detection device according to the invention is integrated in a server or in another mobile computing device (also commonly referred to as MEC server for Mobile Edge Computing), located in network edge.
  • MEC server mobile computing device
  • MEC equipment has more resources than user equipment, which makes it possible to have more precise and efficient detection techniques.
  • the invention can be deployed simultaneously for even more efficiency at the level of each of the aforementioned network nodes (user equipment, connected objects, MEC servers, etc.).
  • the monitoring method is implemented by a computer.
  • the invention also relates to a computer program on a recording medium, this program being capable of being implemented in a computer or more generally in a detection device in accordance with the invention and comprises instructions adapted to the implementation of a monitoring method as described above.
  • This program can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in a partially compiled form, or in n ' any other desirable shape.
  • the invention also relates to an information medium or a recording medium readable by a computer, and comprising instructions of the computer program mentioned above.
  • the information or recording medium can be any entity or device capable of storing the programs.
  • the medium may comprise a storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or else a magnetic recording means, for example a hard disk, or a flash memory.
  • the information or recording medium can be a transmissible medium such as an electrical or optical signal, which can be routed via an electrical or optical cable, by radio link, by optical link without wire or by other means.
  • the program according to the invention can in particular be downloaded from an Internet type network.
  • the information or recording medium can be an integrated circuit in which a program is incorporated, the circuit being adapted to execute or to be used in the execution of the monitoring method, in accordance with the invention. .
  • the invention relates to a system for monitoring data exchanged over a network comprising:
  • a security operations center configured to process information transmitted by said device in relation to the data monitored by said device and / or the anomalies detected by said device in this data and / or the configuration of the detection techniques used by said device for monitoring said data.
  • the system benefits from the same advantages as the monitoring method and the intrusion detection device according to the invention, mentioned above.
  • the monitoring method, the intrusion detection device and the monitoring system according to the invention have all or part of the aforementioned characteristics in combination.
  • FIG. 1 represents, in its environment, a monitoring system according to the invention in a particular embodiment
  • FIG. 2 represents the hardware architecture of an intrusion detection device according to the invention belonging to the surveillance system of FIG. 1, in a particular embodiment
  • FIG. 3 illustrates, in the form of a flowchart, the main steps of a monitoring method according to the invention, as implemented in a particular embodiment by the intrusion detection device illustrated in Figure 2;
  • FIG. 4 compares the performances obtained with a hybrid detection technique and the monitoring method according to the invention for a number of iterations between 1 and 30; and [Fig. 5] FIG. 5 compares the performances obtained with a hybrid detection technique and the monitoring method according to the invention for a number of iterations between 30 and 60.
  • Figure 1 shows, in its environment, a monitoring system 1 according to the invention, in a particular embodiment.
  • the monitoring system 1 is configured to monitor the data exchanged over a network NW comprising a plurality of nodes (ie elements), this plurality of nodes including in particular a plurality of connected objects (general referenced by IoTD in FIG. 1 for “Internet of Things Device”) to which the NW network provides connectivity and in particular access to the Internet network.
  • a network NW comprising a plurality of nodes (ie elements), this plurality of nodes including in particular a plurality of connected objects (general referenced by IoTD in FIG. 1 for “Internet of Things Device”) to which the NW network provides connectivity and in particular access to the Internet network.
  • IoTD Internet of Things Device
  • IoTD connected objects can be for example any devices configured to collect (and possibly process) data on their environment, and transmit this data or information extracted from this data to various applications or other service platforms via the NW network.
  • Such devices are, for example, temperature, pressure or speed sensors, connected watches, drones, connected vehicles, etc.
  • IoTD connected objects can designate other types of equipment, such as, for example, user equipment such as mobile telephones (eg “smartphones”), digital tablets, or other terminals benefiting from connectivity via the NW network.
  • Each of the IoTD connected objects integrates, in the embodiment described here, an intrusion detection device 2 according to the invention, and configured to monitor the data exchanged on the NW network passing through this connected object (eg . data sent and / or received by the connected object in question).
  • each IoTD connected object has the hardware architecture of a computer as shown in FIG. 2, and each intrusion detection device 2 embedded in an IoTD connected object is based on the elements of this hardware architecture to implement the monitoring method according to the invention.
  • the monitoring method according to the invention is iterative and applied here to a plurality of subsets of the data monitored by the intrusion detection device 2, each iteration corresponding to the processing performed by the device 2 of detection of intrusions on a distinct subset of data.
  • “applied to a plurality of subset of data” it is meant, as indicated above, that the monitoring method is applied directly to the data monitored by the detection device 2, or indirectly, to values of characteristics or of ′. attributes derived from these monitored data, characteristics or attributes goals that can be evaluated and provided in whole or in part by one or more entities external to the intrusion detection device 2 and to the IoTD connected object hosting this device (not shown in FIG.
  • the data processing module or modules 3 are shown outside the intrusion detection device 2, but they can, as a variant, be integrated into this intrusion detection device 2.
  • each IoTD connected object comprises in particular here a processor 4, a random access memory 5, a read only memory 6, a non-volatile flash memory 7, as well as communication means 8 comprising one or more interfaces communication allowing it in particular to communicate via the NW network.
  • the read only memory 6 of the connected object IoTD is a recording medium according to the invention, readable by the processor 4 and on which is recorded a computer program PROG according to the invention, which comprises instructions defining the main steps of a monitoring method in accordance with the invention.
  • the PROG program defines in an equivalent manner functional modules of the intrusion detection device 2, which rely on or control, among other things, the hardware elements 4 to 8 mentioned above, and which are activated iteratively, each iteration here corresponding to the processing. a distinct subset of data selected from among the data monitored by the intrusion detection device 2. It is recalled that the monitored data can be associated with the same network element or with different network elements monitored by the intrusion detection device 2 (protocol, IP address or prefix, etc.).
  • a first intrusion detection module 2A configured for apply, during successive iterations to a plurality of data subsets, a first intrusion detection technique, denoted here G (with reference to its role of “generator” in the intrusion detection device 2, such as explained previously).
  • the intrusion detection technique G is a hybrid detection technique implementing:
  • an RD algorithm implementing intrusion detection based on determined attack signatures (or "Rule based Detection” in English), known per se;
  • an RLD algorithm implementing an intrusion detection based on the recognition of an abnormal behavior of the data based on a technique of machine learning by reinforcement (or "Reinforcement Learning based Detection” in English ).
  • the RLD algorithm is here unsupervised and can be initialized for example with a set of attributes and decisions representative of abnormal behaviors (or even attacks) provided by experts. It uses an artificial neural network (or ANN for “Artificial Neural Network”), known per se, defined by parameters denoted QG. These parameters include in particular, the attributes of the data supplied as input to the neural network, the number of layers of the neural network, the weights of the synapses, etc.
  • the first detection module 2A is configured here such that if at least one of the RD or RLD algorithms detects an anomaly in the subset of data that it is studying, it is considered that an anomaly is detected by the first intrusion detection technique G and by the first detection module 2A. It is recalled here that the term anomaly is to be considered in the broad sense: it can be a behavior which differs from a normal behavior expected from the data in the absence of a cyber-attack, such as an attack detected by comparison. with specific attack signatures.
  • the intrusion detection device 2 comprises a plurality of other functional modules defined by the instructions of the PROG program and activated if (and only if here) an anomaly is detected by the first detection module 2A in the 'one of the data subsets he analyzes.
  • These functional modules include in particular:
  • a second intrusion detection module 2B configured to apply to this subset of data a second intrusion detection technique denoted D (with reference to its role of “discriminator” in the intrusion detection device 2 , as explained previously).
  • the second technique D uses a machine learning algorithm known per se. This machine learning algorithm is also based on an artificial neural network whose parameters are denoted QD. This example is given only by way of illustration, and other algorithms can be used alternatively; and
  • a third intrusion detection module 2C configured to apply to said subset of data a third intrusion detection technique, denoted LF (with reference to its role of “loss function” in the detection device 2 of 'intrusions, as explained above).
  • the third LF detection technique also uses as inputs the results provided by the first and second detection modules 2A and 2B (data and / or attributes extracted from these data and decisions of the first and second detection modules 2A and 2B).
  • the third LF technique uses a multi-class automatic learning algorithm, and in particular a support vector machine (or SVM for “Support Vector Machine”), known per se.
  • the learning of the third LF technique is carried out on the basis of the information supplied to the third detection module 2C by the first and second detection modules 2A and 2B.
  • the use of an SVM algorithm allows low reaction time and efficient detection of attacks against deep neural networks.
  • other automatic learning algorithms can of course be considered as a variant.
  • the third detection module 2C can be configured initially or at any time by an expert (via a suitable interface provided for this purpose) with new attack signatures and / or new attributes to improve its efficiency.
  • the second detection module 2B is configured to use, at each iteration, a result supplied by the third detection module 2C for learning the second detection technique D, and the first detection module.
  • detection 2A is also configured to use, during said iteration, for a training of the first detection technique G, a result of an application to said subset of data of the second detection technique D, after completion of the learning by the second detection module 2B.
  • the way in which the three intrusion detection modules 2A, 2B and 2C collaborate with each other during each iteration is described in more detail later.
  • the intrusion detection device 2 comprises another functional module designated in the remainder of the description as a 2D alert module, configured to notify an anomaly detected in at least one sub- set of data processed by the device 2 intrusion detection, to at least one third party.
  • the 2D alert module is based on the means of communication 9 of the connected object IoTD via the network NW.
  • the 2D alert module is configured to notify a security operations center 8 (also designated by SOC 8) supervising a plurality of distinct nodes of the network NW and in particular the objects connected IoTD.
  • a security operations center manages the security of the NW network (and possibly other networks) by relying for this purpose on various tools for collecting, correlating events, analyzing data. activities on networks and on the various elements that make them up (eg databases, applications, servers, user equipment, etc.), as well as on the expertise of analysts and security specialists. It can also have remote intervention means. In other words, it is a trusted entity with great expertise and allowing precise and reliable detection of intrusions in the NW network.
  • Such a security operations center 8 can also trigger, if necessary, actions to mitigate the attacks detected in the network NW.
  • the security operations center 8 is configured here to manage the alerts sent by the various nodes of the NW network, and more particularly, to process the information transmitted by the 2D warning modules of the detection devices 2. 'intrusions according to the invention on board nodes of the NW network, in relation to the data monitored by the intrusion detection devices 2 and / or the anomalies detected by them in these data and / or the configuration of the techniques of G, D and / or LF detection used by them to monitor this data.
  • the data processing module (s) 3 extracted (in) t and / or estimated (s) from the DATA data subset (iter) the FEAT values (iter ) characteristics or attributes taken into account by the intrusion detection device 2. These characteristics or attributes are those used by the intrusion detection techniques implemented in the first, second and third detection modules 2A, 2B and 2C to analyze the DATA subset (iter) and determine whether this corresponds to normal behavior or reflects the presence of a computer attack.
  • the FEAT (iter) characteristics can be estimated at a given instant or over a given period of time corresponding to the DATA subset (iter) considered.
  • such characteristics can be a number of lost packets, a quality of the signal received by the IoTD connected object, a communication time, a number of connections of the failed IoTD connected object, a number of “unnecessary” packets sent or passing through the IoTD connected object, a number of erroneous connections on a site, etc.
  • these FEAT characteristics can be provided to the processing module (s) by entities external to the connected object IoTD.
  • the FEAT (iter) characteristics are supplied to the intrusion detection device 2 and more particularly to the first intrusion detection module 2A for application of the first intrusion detection technique G (E10).
  • the module 2A applies sequentially or in parallel to the FEAT characteristics (iter) the RD and RLD algorithms (step E20).
  • Each of these algorithms provides a decision as to the presence or absence of an attack in view of the FEAT (iter) characteristics analyzed.
  • the RD algorithm indicates in its decision denoted DEC_RD (iter) if, in view of the known attack signatures available to it, the FEAT characteristics (iter) correspond to one of them, and the RLD algorithm indicates in its DEC_RLD (iter) decision whether or not the FEAT (iter) characteristics correspond to normal behavior.
  • the decisions DEC_RD (iter) and DEC_RLD (iter) can take different forms depending on the algorithms at the origin of these decisions.
  • the decision DEC_RD (iter) can include a binary element, equal to 0 if no attack has been detected or to 1 if an attack has been detected, and when a attack has been detected, include information about this attack such as the name of the attack, the resources affected, etc.
  • the DEC_RLD (iter) decision can take the form of a real number between 0 and 1, a value close to 0 indicating the presumption of abnormal behavior (and therefore the presence of an attack), a value close to 1 indicating on the contrary a behavior close to normality (and therefore the absence of attack).
  • the pair formed from the decisions DEC_RD (iter) and DEC_RLD (iter) constitutes a result DEC_G (iter) of the application of the detection technique G within the meaning of the invention.
  • DEC_RD DEC_RD
  • DEC_RLD DEC_RLD
  • the module 2A supplies the module 2B with the current parameters QG (iter) of the artificial neural network implemented by the RLD algorithm.
  • step E30 the iteration index iter is incremented (step E50) and a new data subset is analyzed by the intrusion detection device 2.
  • the first intrusion detection technique G therefore plays a sort of generator role here in the sense that it "generates” (or more precisely provides) to the second technique for detecting intrusions D of attributes extracted from data which it considers to be representative of a computer attack.
  • the FEAT attributes are not necessarily provided directly by the first detection module 2A, but under its control (it can in particular send a control signal to the processing module 3 so that the latter provides the relevant attributes for the second detection technique D as soon as it has detected an anomaly).
  • the reception of the FEAT characteristics / attributes (iter) and of the DEC_G decision (iter) by the second detection module 2B activates the latter and triggers the application by the module 2B of the second detection technique D to the FEAT characteristics (iter) of the DA-TA data sub-set (iter) (step E60).
  • the second detection technique D also uses as an input, in addition to the FEAT characteristics (iter), the decision DEC_G (iter) provided by the module 2A, result of the application of the first detection technique G on the sub- DATA dataset (iter).
  • the application of the second detection technique D results in a decision DEC_D (iter).
  • This DEC_D (iter) decision provided by the second detection technique D indicates here whether or not the latter has detected an abnormal behavior or an attack on the basis of the FEAT characteristics (iter) representative of the data DATA (iter) and of the DEC_G decision. (iter) provided by module 2A.
  • this decision can take different forms depending on the algorithm implemented by the detection technique D.
  • the decision DEC_D takes the form of a real number included between 0 and 1, a value close to 0 indicating the presumption of an abnormal behavior (and therefore of the presence of an attack), a value close to 1 indicating on the contrary a behavior close to normality (and therefore the absence attack).
  • the DEC_D (iter) decision is then provided by the module 2B to the third detection module 2C, possibly if necessary with the characteristics of the data DATA (iter) used by the second detection technique D if these differ from those used by the first detection technique G (step E70).
  • the second detection technique D plays in a way the role of discriminator, since it determines from the inputs supplied to it by the generator (ie the module 2A implementing the detection technique G) whether or not it is an attack.
  • the purpose of the third LF detection technique is to provide its own decision as to the FEAT characteristics (iter) while taking into account the decisions DEC_G (iter) and DEC_D (iter).
  • the third LF function can interact occasionally or regularly for its training with an expert via an interface provided for this purpose (based for example on the communication means 9 of the connected object IoTD or via an appropriate graphical interface).
  • the application of the LF detection technique results in a DEC_LF (iter) decision indicating whether or not the LF detection technique has detected an attack from the FEAT characteristics (iter) and taking into account the DEC_G decisions (iter) and DEC_D (iter).
  • This DEC_LF (iter) decision is supplied by module 2C to module 2B (step E90), for learning the detection technique D.
  • the module 2C can provide other information to the module 2B intended to be used for learning the detection technique D, or even then to be transmitted by the module 2B to the module 2A for learning the detection technique G (as a variant, it is conceivable that the module 2C provides directly to the module 2A the information intended to reinforce the learning of the detection technique G).
  • module 2C can transmit attribute values to module 2B to be taken into account by the detection technique D (respectively by the detection technique G) for its training in order to improve its detection.
  • the module 2C can also transmit to the module 2B signatures of new attacks which have been provided to it by experts, or new rules to be applied to detect abnormal behavior, or new attributes to be considered for detection, etc. .
  • step E100 The learning of the detection technique D implemented by the module 2B is carried out, in the embodiment described here, using a gradient descent algorithm
  • the module 2B evaluates from the decision DEC_LF (iter), the rate X_D (iter) of correct decisions taken by the detection technique D, the decisions DEC_LF serving for this purpose as references as good decisions.
  • the rate X_D (iter) corresponds to the ratio of the number of decisions DEC_D taken by the detection technique D coinciding with the decisions DECJ.F taken by the detection technique LF until the iteration current iter, and the number of anomalies M reported by the detection module 2A.
  • the gradient descent algorithm is applied to the parameters (Miter) of the detection technique D with a view to maximizing the rate X_D (iter) of correct decisions thus estimated.
  • the module 2B can for this purpose proceed, for example, as described in the document by D.P. Kingma et al. titled “Adam: A method for stochastic Optimization”, 3rd International Conference for Learning Representations, 2015.
  • the module 2B having the parameters QG (iter) of the decision technique G it can use these parameters to update the parameters (Miter) of the decision technique D, for example by defining a objective function to be optimized including all or part of the QG parameters (iter) (eg in the form of constraints to be respected).
  • This exchange between the modules 2A and 2B of the parameters of the artificial neural networks that they implement respectively can make it possible to accelerate the learning of the detection techniques D and G and to reduce their respective complexities (for example if the parameters QG (iter ) report a lower number of layers than that used by the detection technique D, this information can be used when learning the detection technique D to try to reduce the number of layers used by its neural network artificial as long as this makes it possible to optimize the rate of correct detections).
  • the decision technique D is again applied, after learning (and possible updating of the CMiter parameters) during this learning), to the FEAT characteristics (iter) and a new decision DEC_D ' (iter) resulting from this application is generated by the module 2B (step El 10).
  • the parameters CMiter) possibly updated during the learning carried out in step E100 are intended to be used at the following iteration iter + 1 by the detection technique D and are thus stored in a variable denoted CMiter +1).
  • step E120 The decision DEC_D '(iter) is supplied by the module 2B to the module 2A, also here with the parameters CMiter + 1) of the detection technique D updated if necessary (step E120). If information intended for module 2A (eg new attributes, new attack signatures, etc.) has been provided by module 2C to module 2B during step E90, this information is also transmitted during step E120 to module 2A by module 2B.
  • information intended for module 2A eg new attributes, new attack signatures, etc.
  • the decision DEC_D '(iter) and the parameters CMiter + 1) of the detection technique D are then used by the module 2A for learning the detection technique G, and more specifically here for the learning of the RLD algorithm (step E130). This learning is carried out here in a manner similar to what has been described previously for the detection technique D.
  • the algorithm RD can optionally be updated with new signatures provided if necessary by the module 2C during step E90. .
  • the module 2A uses a gradient descent algorithm optimizing the rate X_G (iter) of correct decisions taken by the detection technique G (we consider here the decisions DEC_G combining the combined decisions of the RD and RLD algorithms), the decisions DEC_D 'serving for this purpose as references as good decisions.
  • the rate X_G (iter) corresponds to the ratio of the number of decisions DEC_G taken by the detection technique G coinciding with the decisions DEC_D 'taken by the detection technique D after learning up to the current iteration iter, and the number of anomalies / attacks M 'detected by the detection module 2B.
  • the gradient descent algorithm is applied to the QG (iter) parameters of the G detection technique (and more specifically here of the neural network implemented by the RLD algorithm) in order to maximize the rate X_G (iter ) of correct decisions thus estimated.
  • Module 2A can, for example, proceed as described in the document by D.P. Kingma et al. cited previously.
  • Other criteria can be considered to replace or supplement the rate of correct decisions when learning the decision technique G, such as, for example, a minimum consumption rate, minimum computational complexity, etc.
  • the module 2A having parameters CMiter + l) of the decision technique D, it can use these parameters to update the parameters CMiter) of the decision technique G, if necessary, for example by defining a objective function to be optimized including all or part of the QG parameters (iter) (eg in the form of constraints to be respected).
  • This exchange of the parameters CMiter + 1) can make it possible to accelerate the learning of the detection technique G as described above for the detection technique D and to reduce the complexity of the detection techniques D and G.
  • the decision DEC_D '(iter) indicates the presence of an anomaly in the data subset DATA (iter) (for example an attack is detected by the decision technique D) (yes response to test step E140), then the 2D alert module of the intrusion detection device 2 notifies the security operations center 9 of the anomaly detected (step E150).
  • the decision DEC_D '(iter) which serves as the final decision taken by the intrusion detection device 2 as regards the reliability of the data DATA (iter).
  • the 2D alert module can transmit all or part of the following information:
  • the notification of step E150 triggers a verification by the security operations center 9 of the validity (correction) of the decision DEC_D '(iter).
  • the security operations center 9 can apply for example a more powerful intrusion detection technique than those applied by the intrusion detection device 2, and / or exploit other information received from other IoTD objects connected to the NW network.
  • information is for example attributes and / or signatures associated with attacks not known to the intrusion detection device 2, etc.
  • the iteration index iter is incremented (step E50) and a new data subset is analyzed by the intrusion detection device 2 according to steps E10 to E150 which have just been described.
  • the invention makes it possible to improve the rate of detection of intrusions thanks to the collaboration of detection techniques G, D and LF while preserving the confidentiality of the information used for detection.
  • the network NW included a plurality of connected objects carrying detection devices 2 according to the invention.
  • the invention applies of course in other contexts, and in particular, the device 2 for detecting intrusions according to the invention can be integrated into other equipment of the NW network, such as for example in servers. mobile computing (or MEC servers) located at the edge of the NW network.
  • FIGS. 4 and 5 compare the performance of a hybrid intrusion detection technique such as that used by the detection module 2A in the embodiment which has just been described, with the performance of the monitoring method according to the invention as implemented by the intrusion detection device 2. These performances were obtained by simulation.
  • bi and p 2 are real weighting factors between 0 and 1 with a 2 > 3 ⁇ 4 and p 2 > Pi.
  • 3 ⁇ 4 0.1
  • a 2 0.4
  • FIGS. 4 and 5 show that the monitoring method according to the invention improves the detection precision metric M compared to a hybrid detection technique. This improvement is all the more important as the number of iterations increases. This is due to the strengthening of the detection and the improvement of the detection precision obtained thanks to the collaboration between the detection techniques G and D.

Abstract

Le procédé comprend, pour au moins un sous-ensemble de données : - une première étape d'application (E20) audit sous-ensemble d'une première technique (G) de détection d'intrusions; - si une anomalie est détectée (E30) : o une deuxième étape d'application (E60) d'une deuxième technique (D) de détection d'intrusions audit sous-ensemble; o une troisième étape d'application (E80) d'une troisième technique (LF) de détection d'intrusions audit sous-ensemble, utilisant des résultats des première et deuxième étapes d'application; o une étape d'utilisation (E100) d'un résultat de la troisième étape d'application pour un apprentissage de la deuxième technique; o une étape d'utilisation (E130) d'un résultat d'une application (El 10) audit sous- ensemble de la deuxième technique après apprentissage pour un apprentissage de la première technique.

Description

Description
Titre de l'invention : Procédé de surveillance de données échangées sur un réseau et dispositif de détection d'intrusions
Technique antérieure
[0001] L'invention se rapporte au domaine général des télécommunications.
[0002] Elle concerne plus particulièrement la surveillance de données échangées sur un réseau de communications, et notamment la détection d'intrusions ou d'attaques informatiques (encore appelées « cyber-attaques »). Dans la suite de la description, on utilise indifféremment les termes intrusion ou attaque.
[0003] Aucune limitation n'est attachée à la nature du réseau. L'invention s'applique toutefois de façon privilégiée aux réseaux mobiles, et notamment aux réseaux mobiles de cinquième génération ou réseaux mobiles 5G.
[0004] Les réseaux mobiles 5G, avec les techniques de communication avancées qu'ils mettent en œuvre et les capacités nouvelles qu'ils offrent en matière notamment de débits, de volumes d'information et de connexion, ouvrent des perspectives d'usage inédites qui posent de véritables challenges en termes de cyber sécurité. Au cours des années précédentes, de nombreuses techniques de détection d'intrusions (ou IDS pour « Intrusion Détection Systems » en anglais) ont été développées, s'appuyant sur des approches proactives permettant d'une part, d'anticiper et de réduire les vulnérabilités dans les systèmes informatiques, et d'autre part, de déclencher des actions de mitigation efficaces lorsque des intrusions sont détectées dans ces systèmes informatiques.
[0005] Les techniques de détection d'intrusions se fondent en général sur l'une ou l'autre des approches suivantes :
- l'utilisation de signatures d'attaques connues : on associe à chacune d'une pluralité d'attaques connues, un ensemble de valeurs de différentes caractéristiques de trafic (aussi parfois désignées par attributs dans la suite), représentatives du trafic de l'attaque considérée et permettant de le distinguer. Chaque ensemble de valeurs associé à une attaque constitue une signature de l'attaque. Les valeurs des mêmes caractéristiques de trafic sont déterminées pour les données surveillées, puis comparées aux signatures des attaques dont on dispose. Cette approche permet de limiter le taux de faux positifs détectés, c'est-à-dire d'ensembles de données identifiés comme étant associés à un trafic d'attaque alors qu'ils n'en sont pas. Toutefois, elle ne permet de détecter que des attaques déjà connues ;
- l'utilisation d'un modèle de comportement normal des données pour détecter la présence d'anomalies : cette approche s'appuie sur la construction, par exemple au moyen d'un algorithme d'apprentissage automatique (ou « Machine Learning » en anglais) supervisé ou non supervisé, d'un modèle de comportement normal des données, en l'absence de cyber-attaques. Si les données surveillées ne sont pas conformes à ce modèle, une anomalie est détectée dans les données surveillées. L'avantage de cette approche est qu'elle offre la possibilité de détecter de nouvelles attaques. En revanche, elle présente un fort taux de faux positifs.
[0006] Pour remédier aux inconvénients précités, des techniques de détection dites hybrides, mettant en œuvre les deux approches, ont été proposées. Une telle technique de détection hybride est décrite par exemple dans l'article de A. Abduvaliyev et al. intitulé « Energy Efficient Hybrid Intrusion Détection System for Wireless Sensor Networks », International Conférence on Electronics and Information Engineering, 2010.
[0007] Dans l'approche retenue dans cet article, les paquets de données sont d'abord inspectés par un module de détection d'anomalies. Si le module de détection d'anomalies détecte une intrusion, les paquets de données sont transmis pour analyse à un module de détection de signatures. Les con- clusions du module de détection d'anomalies et du module de détection de signatures sont alors fournies à un module de décision qui, sur la base de ces conclusions, décide en appliquant un en semble de règles prédéfinies s'il y a ou non intrusion (i.e. attaque).
[0008] Cette technique hybride conduit à une meilleure précision de la détection. Cette précision peut être améliorée encore davantage en faisant collaborer entre eux plusieurs systèmes de détection d'intrusion (ou systèmes IDS dans la suite), chaque système étant par exemple embarqué dans un nœud différent du réseau. Un tel système collaboratif est par exemple décrit, dans le contexte d'un réseau de capteurs sans fil, dans le document de H. Sedjelmaci et al. intitulé « Intrusion Détection Framework of Cluster-based Wireless Sensor Network », IEEE Symposium on Computers and Communications, 2012. Plus il y a de nœuds impliqués dans la collaboration, meilleure est la préci sion de la détection opérée.
[0009] Toutefois, une telle collaboration entre des systèmes IDS se fonde sur l'échange d'informations critiques entre les systèmes IDS (typiquement des informations sur les attaques détectées par les différents systèmes IDS), qui peuvent elles-mêmes faire l'objet d'attaques menaçant l'efficacité de cette collaboration.
Exposé de l'invention
[0010] L'invention propose une solution qui permet de remédier aux inconvénients précités de l'état de la technique tout en offrant une très grande précision de détection des intrusions (attaques informa tiques) susceptibles de cibler différents éléments constitutifs d'un réseau. Aucune limitation n'est attachée à la nature de ces éléments : il peut s'agir de nœuds du réseau à proprement parler (c'est-à-dire de nœuds appartenant à l'infrastructure du réseau ou connectés à celui-ci pour béné ficier par exemple d'une connectivité), de ressources du réseau (ressources de mémoire, de calcul, ressources réseau, etc.), de protocoles de communications utilisés dans le réseau, etc.
[0011] Plus précisément, l'invention vise un procédé de surveillance de données échangées sur un réseau, ce procédé étant destiné à être mis en œuvre par un dispositif de détection d'intrusions et com prenant, pour au moins un sous-ensemble de données :
- une première étape d'application audit sous-ensemble d'une première technique de détection d'intrusions ;
- si une anomalie est détectée dans ledit sous-ensemble : o une deuxième étape d'application d'une deuxième technique de détection d'intrusions audit sous-ensemble ; o une troisième étape d'application d'une troisième technique de détection d'intrusions audit sous-ensemble, ladite troisième technique de détection utilisant des résultats des première et deuxième étapes d'application ; o une première étape d'utilisation d'un résultat de la troisième étape d'application pour un apprentissage de la deuxième technique de détection ; o une deuxième étape d'utilisation d'un résultat d'une application audit sous-ensemble de la deuxième technique de détection après ledit apprentissage pour un apprentissage de la première technique de détection.
[0012] Corrélativement, l'invention concerne également un dispositif de détection d'intrusions configuré pour surveiller des données échangées sur un réseau, ce dispositif comprenant des modules, acti vés pour au moins un sous-ensemble de données, ces modules comprenant :
- un premier module de détection d'intrusions, configuré pour appliquer audit sous-ensemble une première technique de détection d'intrusions ;
- des modules, activés si une anomalie est détectée par le premier module de détection dans ledit sous-ensemble, comprenant : o un deuxième module de détection d'intrusions, configuré pour appliquer une deuxième technique de détection d'intrusions audit sous-ensemble ; o un troisième module de détection d'intrusions, configuré pour appliquer une troisième technique de détection d'intrusions audit sous-ensemble, ladite troisième technique de détection utilisant des résultats fournis par les premier et deuxième modules de détection ; le deuxième module de détection étant en outre configuré pour utiliser un résultat fourni par le troisième module de détection pour un apprentissage de la deuxième technique de détection, et le premier module de détection étant en outre configuré pour utiliser, pour un apprentissage de la première technique de détection, un résultat d'une application audit sous-ensemble de la deuxième technique de détection après ledit apprentissage par le deuxième module de détection.
[0013] Par application d'une technique de détection d'intrusions à des données, on entend au sens de l'invention que la technique de détection prend en entrée soit directement les données surveillées, soit des caractéristiques ou des attributs dérivé(e)s de ces données, comme par exemple des sta tistiques évaluées par une unité de traitement (externe ou non au dispositif de détection d'intrusions selon l'invention) à partir de ces données, etc.
[0014] On note par ailleurs que les données surveillées par le dispositif de détection d'intrusions selon l'invention peuvent être associées à un ou plusieurs éléments du réseau tels que précités pouvant faire l'objet d'attaques informatiques et surveillés par le dispositif de détection d'intrusions. Ces données sont par exemple des données réseau ou des données protocolaires transitant par le nœud du réseau hébergeant le dispositif de détection d'intrusions, et véhiculées dans des mes sages conformes à un ou plusieurs protocoles surveillés par le dispositif de détection d'intrusions (par exemple protocole HTTP2.0) ; en variante, il peut s'agir de données en provenance d'un pré fixe ou d'une adresse IP cible surveillé(e) par le dispositif de détection d'intrusions, ou de données émises par le nœud hébergeant le dispositif de détection d'intrusions, etc.
[0015] Aucune limitation n'est attachée à la nature de l'anomalie déclenchant les deuxième et troisième étapes d'application et les première et deuxième étapes d'utilisation du procédé de surveillance se lon l'invention (respectivement activant les deuxième et troisième modules de détection du disposi tif selon l'invention). Il peut s'agir d'un comportement non conforme à un comportement jugé normal des données surveillées en l'absence d'intrusion comme d'une attaque détectée ciblant les données surveillées, etc. ; la caractérisation de l'anomalie dépend des techniques de détection d'intrusion considérées pour mettre en œuvre l'invention.
[0016] L'invention propose ainsi un procédé itératif original, exécuté localement au sein d'un nœud du réseau hébergeant le dispositif de détection d'intrusions selon l'invention, et s'appuyant sur plu sieurs techniques de détection d'intrusions configurées pour collaborer et communiquer entre elles en vue de renforcer leurs capacités de détection respectives, et donc in fine, de la détection glo bale opérée par le procédé. Un tel renforcement est permis notamment par les apprentissages mis en œuvre à chaque itération des première et deuxième techniques de détection. Les échanges entre les techniques de détection étant mis en œuvre localement au sein d'un même nœud/dispositif, on limite ainsi la vulnérabilité de ces échanges face à de potentielles attaques in formatiques.
[0017] Les trois techniques de détection mises en œuvre conformément à l'invention jouent des rôles distincts et complémentaires.
[0018] Plus spécifiquement, l'inventeur s'est inspiré, pour définir ces rôles, du modèle des réseaux ad verses génératifs (ou GANs pour Generative Adversarial Networks en anglais), bien connus dans le domaine de l'imagerie, qu'il a adapté de façon originale pour permettre une détection d'attaques informatiques efficace et sécurisée. [0019] Pour mémoire, dans un réseau adverse génératif tel qu'utilisé en imagerie, deux réseaux, l'un dit générateur l'autre dit discriminateur, sont placés « en compétition » selon un scénario de théorie des jeux : le réseau générateur génère un échantillon (à savoir une image dans le domaine de l'imagerie), tandis que son « adversaire », le réseau discriminateur, essaye de détecter si un échantillon est réel ou s'il est le résultat du réseau générateur. L'apprentissage des deux réseaux est réalisé de façon conjointe et modélisé comme un jeu à somme nulle (i.e. le gain de l'un des réseaux constitue une perte pour l'autre réseau).
[0020] L'inventeur s'est inspiré de ce principe de la façon suivante. Dans le procédé selon l'invention, la première technique de détection joue en quelque sorte le rôle d'un réseau générateur de données « anormales ». Elle analyse les données de trafic qui lui sont fournies (ou des caractéristiques représentatives et dérivées à partir de ces données) et détermine si celles-ci présentent une anomalie (par exemple, elles sont représentatives d'un trafic d'attaque ou ne correspondent pas à un comportement normal selon la nature de la première technique de détection). Le cas échéant et seulement dans ce cas, la deuxième technique de détection est activée, et sont fournies à la deuxième technique de détection les données ou les caractéristiques représentatives de ces données considérées par la première technique de détection comme présentant une anomalie (autrement dit, les attributs de l'anomalie détectée). Cette fourniture est par exemple réalisée directement par la première technique de détection elle-même. La deuxième technique de détection joue alors le rôle d'un discriminateur et décide, à partir de l'analyse des données « anormales » ou des caractéristiques qui lui ont été fournies, si celles-ci reflètent effectivement la présence d'une intrusion ou d'une attaque.
[0021] L'apprentissage des première et deuxième techniques de détection est réalisé en tenant compte
« indirectement » des résultats délivrés par chacune de ces techniques. A cet effet, l'invention prévoit l'intervention d'une troisième technique de détection, appliquée sur les données considérées par la première technique de détection comme « anormales », cette troisième technique de détection disposant avantageusement des résultats issus des applications des première et deuxième techniques de détection. Cette troisième technique de détection agrège les résultats des deux autres techniques, les compare et utilise le résultat de cette comparaison en plus de sa propre analyse pour fournir sa propre qualification des données. Elle renvoie ensuite le résultat obtenu à la deuxième technique de détection, qui l'utilise pour son apprentissage et pour renforcer sa capacité de détection. La deuxième technique de détection est une nouvelle fois appliquée sur les données suite à cet apprentissage, et le résultat de cette application est fourni à la première technique de détection qui l'utilise à son tour pour son apprentissage. Le recours à une troisième technique de détection telle que proposé par l'invention permet ainsi de réduire les fausses détections effectuées par la première et/ou la deuxième technique de détection. En d'autres termes, la troisième technique de détection joue le rôle d'une fonction dite de perte qui vise à réduire les « pertes » des première et deuxième techniques de détection, c'est-à-dire dans un contexte de cyber-détection, les mauvaises détections opérées par celles-ci (qu'il s'agisse de faux positifs ou de faux négatifs).
[0022] Les applications successives des trois techniques de détection forment une itération du processus selon l'invention, chaque itération portant sur un ensemble de données surveillées distinct, et combinant des opérations de détection d'intrusions, de détection de « pertes » des première et deuxième techniques de détection et d'apprentissage des première et deuxième techniques de détection. Ce processus itératif permet ainsi, au fil des sous-ensembles de données traités, de renforcer la capacité de détection du dispositif selon l'invention, bien qu'opérant localement.
[0023] Dans un mode particulier de réalisation, si le résultat de l'application de la deuxième technique de détection après apprentissage indique une anomalie dans ledit sous-ensemble de données, le procédé comprend en outre une étape de notification d'une entité tierce de ladite anomalie.
[0024] Ainsi, on utilise le résultat généré suite à la deuxième application de la deuxième technique de détection pour décider de la présence ou non d'une intrusion et notifier le cas échéant une entité tierce. Ce résultat bénéficie avantageusement du retour de la troisième technique de détection.
[0025] Ce résultat peut être utilisé également pour déclencher des opérations de mitigation, etc., connues en soi, et non décrites en détail ici.
[0026] En variante, on peut appliquer une nouvelle fois la première technique de détection après apprentissage et utiliser le résultat de cette nouvelle application de la première technique de détection pour décider de notifier ou non l'entité tierce, déclencher des actions de mitigation, etc.
[0027] L'entité tierce notifiée peut être par exemple un centre d'opérations de sécurité auquel le dispositif peut demander de confirmer (ou d'infirmer) l'intrusion détectée.
[0028] A cet effet, le procédé peut comprendre notamment une étape de transmission à un centre d'opérations de sécurité d'au moins une information parmi :
- des caractéristiques d'au moins un sous-ensemble de données présentant une anomalie ;
- des paramètres de ladite première et/ou ladite deuxième technique de détection ;
- au moins une anomalie détectée par la troisième technique de détection non détectée par la première et/ou la deuxième technique de détection.
[0029] Un tel centre d'opérations de sécurité dispose avantageusement d'une vue plus globale sur le réseau : il est généralement rattaché à plusieurs nœuds du réseau susceptibles de lui reporter chacun les différentes anomalies qu'ils détectent dans les données qu'ils surveillent et/ou qui transitent par eux. Au sens de l'invention, on entend par données transitant par un nœud ou un dispositif des données reçues et/ou émises par celui-ci.
[0030] En outre, un tel centre d'opérations de sécurité dispose souvent de davantage de ressources matérielles et/ou logicielles (mémoire, calcul, etc.) dédiées à la cyber-détection et peut ainsi mettre en œuvre des techniques de détection plus puissantes et performantes (par exemple s'appuyant sur des techniques d'apprentissage automatique) que les nœuds qui lui sont rattachés et lui reportent des anomalies, et éventuellement plus complexes.
[0031] En variante, d'autres entités peuvent être notifiées avec les informations précitées, en complément ou remplacement d' un centre d'opérations de sécurité, comme par exemple des entités aptes à déclencher des actions de mitigation de l'attaque détectée par le dispositif de détection d'intrusions selon l'invention.
[0032] Dans un mode particulier de réalisation, le procédé selon l'invention comprend en outre une étape de réception, en provenance du centre d'opérations de sécurité, d'informations destinées à être utilisées par le dispositif de détection d'intrusions pour l'apprentissage des première, deuxième et/ou troisième techniques de détection.
[0033] Ce peut être le cas par exemple en cas de désaccord du centre d'opérations de sécurité avec l'anomalie reportée par le dispositif de détection d'intrusions selon l'invention, ou si de nouvelles attaques ont été détectées par le centre d'opérations de sécurité et ne lui ont pas été reportées par le dispositif de détection d'intrusions selon l'invention, ou encore si celui-ci dispose d'informations des attaques inconnues du dispositif de détection d'intrusions. Grâce à ces informations reçues du centre d'opérations de sécurité, on peut encore renforcer davantage les capacités de détection du dispositif de détection d'intrusions selon l'invention. En outre, cela permet de tenir compte indirectement des détections effectuées par d'autres nœuds du réseau.
[0034] Aucune limitation n'est attachée aux techniques de détection d'intrusions susceptibles d'être utilisées par le procédé et par le dispositif de détection d'intrusions selon l'invention. Préférentiellement, les première et deuxième techniques de détection d'intrusions mettent en œuvre au moins un algorithme d'apprentissage automatique.
[0035] Par exemple, dans un mode particulier de réalisation : - la première technique de détection est une technique de détection hybride basée sur une technique utilisant des signatures d'attaques connues et sur une technique de détection par renforcement ; et/ou
- au moins l'une parmi la deuxième et la troisième technique de détection est une technique de détection par apprentissage automatique.
[0036] Ce choix, s'appuyant à la fois sur une technique de détection hybride et sur des techniques de détection par apprentissage automatique permet d'obtenir une détection fiable. Via l'utilisation d'une première technique de détection hybride, on combine ainsi les avantages des techniques utilisant des signatures d'attaques (faible taux de faux positifs) et des techniques par renforcement (fort taux de détection).
[0037] Dans un mode particulier de réalisation, au moins une technique de détection parmi la première et la deuxième technique de détection utilise un réseau de neurones artificiel, et l'apprentissage de cette technique de détection utilise un algorithme de descente de gradient pour mettre à jour des paramètres de ce réseau de neurones artificiel.
[0038] L'algorithme de descente de gradient peut être configuré par exemple pour optimiser un taux de détection d'attaques par ladite technique de détection.
[0039] Cela permet d'augmenter la précision de détection du procédé selon l'invention. On note toutefois que d'autres critères d'optimisation peuvent être envisagés en remplacement ou en sus du taux de détection d'attaques. Ainsi, on peut également envisager de minimiser la consommation d'énergie liée à l'exécution des techniques de détection, de maximiser leur rapidité d'exécution, etc., suivant le contexte d'exécution de l'invention.
[0040] Dans un mode particulier de réalisation, la première technique de détection et la deuxième technique de détection utilisent des réseaux de neurones artificiels, et le procédé selon l'invention comprend en outre une étape d'échange entre les première et deuxième techniques de détection de paramètres desdits réseaux de neurones artificiels, lesdits paramètres échangés étant pris en compte pour les apprentissages des première et deuxième techniques de détection.
[0041] De tels paramètres peuvent être par exemple le nombre de couches utilisés par chacun des réseaux de neurones artificiels, le nombre de neurones sur chaque couche, les poids des synapses, les attributs considérés en entrée de chacun des réseaux (autrement dit les données ou les caractéristiques des données qu'ils considèrent pour effectuer leurs détections), etc. Ce mode de réalisation permet un apprentissage plus efficace et plus rapide des première et deuxième techniques de détection. En effet, les techniques de détection peuvent utiliser les paramètres échangés pour converger plus rapidement et améliorer leurs classifications respectives des anomalies qu'elles détectent dans les données qu'elles traitent. Elles peuvent adapter les attributs qu'elles considèrent (en supprimer ou en ajouter notamment) pour améliorer leurs détections respectives.
[0042] Dans un mode particulier de réalisation, la troisième technique de détection utilise une machine à vecteurs de support.
[0043] Un tel algorithme d'apprentissage automatique présente avantageusement un temps de réaction faible et une capacité de détection très efficace par rapport à d'autres algorithmes d'apprentissage automatique connus comme par exemple des réseaux de neurones profonds qui généralement sont plus complexes en termes de calcul et ont donc un temps de réaction plus lent.
[0044] Toutefois tous ces exemples d'algorithmes pour les première, deuxième et troisième techniques de détection ne sont donnés qu'à titre illustratif et bien entendu d'autres algorithmes peuvent être envisagés lors de la mise en œuvre de l'invention.
[0045] Comme mentionné précédemment, le dispositif de détection d'intrusions selon l'invention peut être avantageusement embarqué dans différents nœuds du réseau.
[0046] Ainsi, dans un mode particulier de réalisation, le dispositif de détection d'intrusions selon l'invention est intégré dans un objet connecté ou un équipement utilisateur auquel le réseau fournit une con- nectivité.
[0047] Dans un autre mode de réalisation, le dispositif de détection d'intrusions selon l'invention est inté gré dans un serveur ou dans un autre équipement de calcul mobile (aussi couramment désigné par serveur MEC pour Mobile Edge Computing), situé en périphérie du réseau. Le recours à de tels équipements périphériques permet de collecter et de traiter des données à proximité des utilisa teurs, et de réduire la latence par rapport à un traitement réalisé au niveau de l'infrastructure ré seau à proprement parler. En outre, les équipements MEC disposent de davantage de ressources que les équipements utilisateurs ce qui permet d'avoir des techniques de détection plus précises et efficaces.
[0048] Bien entendu, l'invention peut être déployée simultanément pour encore plus d'efficacité au niveau de chacun des nœuds du réseau précitées (équipements utilisateurs, objets connectés, serveurs MEC, etc.).
[0049] Dans un mode particulier de réalisation de l'invention, le procédé de surveillance est mis en œuvre par un ordinateur.
[0050] L'invention vise également un programme d'ordinateur sur un support d'enregistrement, ce pro gramme étant susceptible d'être mis en œuvre dans un ordinateur ou plus généralement dans un dispositif de détection conforme à l'invention et comporte des instructions adaptées à la mise en œuvre d'un procédé de surveillance tel que décrit ci-dessus.
[0051] Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable.
[0052] L'invention vise aussi un support d'information ou un support d'enregistrement lisibles par un ordi nateur, et comportant des instructions du programme d'ordinateur mentionné ci-dessus.
[0053] Le support d'information ou d'enregistrement peut être n'importe quelle entité ou dispositif capable de stocker les programmes. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple un disque dur, ou une mémoire flash.
[0054] D'autre part, le support d'information ou d'enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par lien radio, par lien optique sans fil ou par d'autres moyens.
[0055] Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.
[0056] Alternativement, le support d'informations ou d'enregistrement peut être un circuit intégré dans lequel un programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé de surveillance, conforme à l'invention.
[0057] Selon un autre aspect, l'invention vise un système de surveillance de données échangées sur un réseau comprenant :
- au moins un dispositif de détection d'intrusions selon l'invention ; et
- un centre d'opérations de sécurité, configuré pour traiter des informations transmises par ledit dispositif en relation avec les données surveillées par ledit dispositif et/ou les anomalies détectées par ledit dispositif dans ces données et/ou la configuration des techniques de détection utilisées par ledit dispositif pour surveiller lesdites données.
[0058] Le système bénéficie des mêmes avantages que le procédé de surveillance et le dispositif de détec tion d'intrusions selon l'invention, cités précédemment.
[0059] On peut également envisager, dans d'autres modes de réalisation, que le procédé de surveillance, le dispositif de détection d'intrusions et le système de surveillance selon l'invention présentent en combinaison tout ou partie des caractéristiques précitées.
Brève description des dessins [0060] D'autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures :
[Fig. 1] la figure 1 représente, dans son environnement, un système de surveillance selon l'invention dans un mode particulier de réalisation ;
[Fig. 2] la figure 2 représente l'architecture matérielle d'un dispositif de détection d'intrusions conforme à l'invention appartenant au système de surveillance de la figure 1, dans un mode particulier de réalisation ;
[Fig. 3] la figure 3 illustre, sous forme d'ordinogramme, les principales étapes d'un procédé de surveillance selon l'invention, tel qu'il est mis en œuvre dans un mode particulier de réalisation par le dispositif de détection d'intrusions illustré à la figure 2 ;
[Fig. 4] la figure 4 compare les performances obtenues avec une technique de détection hybride et le procédé de surveillance selon l'invention pour un nombre d'itérations compris entre 1 et 30 ; et [Fig. 5] la figure 5 compare les performances obtenues avec une technique de détection hybride et le procédé de surveillance selon l'invention pour un nombre d'itérations compris entre 30 et 60.
Description de l'invention
[0061] La figure 1 représente, dans son environnement, un système de surveillance 1 conforme à l'invention, dans un mode particulier de réalisation.
[0062] Dans ce mode de réalisation, le système de surveillance 1 est configuré pour surveiller les données échangées sur un réseau NW comportant une pluralité de nœuds (i.e. d'éléments), cette pluralité de nœuds comptant notamment une pluralité d'objets connectés (référencés de façon générale par IoTD sur la figure 1 pour « Internet of Things Device ») auxquels le réseau NW fournit une connectivité et en particulier un accès au réseau Internet. Par souci de simplification et de façon nullement limitative, on a représenté sur la figure 1 uniquement trois objets connectés IoTD.
[0063] Aucune limitation n'est attachée à la nature des objets connectés IoTD. Il peut s'agir par exemple de n'importe quels dispositifs configurés pour collecter (et éventuellement traiter) des données sur leur environnement, et transmettre ces données ou des informations extraites de ces données à diverses applications ou autres plateformes de service via le réseau NW. De tels dispositifs sont par exemple des capteurs de température, de pression ou de vitesse, des montres connectées, des drones, des véhicules connectés, etc. En variante, les objets connectés IoTD peuvent désigner d'autres types d'équipements, comme par exemple des équipements utilisateurs tels que des téléphones mobiles (ex. « smartphones »), des tablettes numériques, ou autres terminaux bénéficiant d'une connectivité via le réseau NW.
[0064] Chacun des objets connectés IoTD intègre, dans le mode de réalisation décrit ici, un dispositif 2 de détection d'intrusions conforme à l'invention, et configuré pour surveiller les données échangées sur le réseau NW transitant par cet objet connecté (ex. des données envoyées et/ou reçues par l'objet connecté en question). Dans le mode de réalisation décrit ici, chaque objet connecté IoTD a l'architecture matérielle d'un ordinateur telle que représentée sur la figure 2, et chaque dispositif 2 de détection d'intrusions embarqué dans un objet connecté IoTD s'appuie sur les éléments de cette architecture matérielle pour mettre en œuvre le procédé de surveillance selon l'invention.
[0065] On note que le procédé de surveillance selon l'invention est itératif et appliqué ici à une pluralité de sous-ensembles des données surveillées par le dispositif 2 de détection d'intrusions, chaque itération correspondant au traitement effectué par le dispositif 2 de détection d'intrusions sur un sous- ensemble de données distinct. Par « appliqué à une pluralité de sous-ensemble de données », on entend, comme indiqué précédemment, que le procédé de surveillance est appliqué directement aux données surveillées par le dispositif 2 de détection, ou indirectement, sur des valeurs de caractéristiques ou d'attributs dérivées à partir de ces données surveillées, ces caractéristiques ou attri- buts pouvant être évalué(e)s et fourni(e)s en tout ou partie par une ou plusieurs entités externes au dispositif 2 de détection d'intrusions et à l'objet connecté IoTD hébergeant ce dispositif (non représentées sur la figure 1), ou par l'objet connecté IoTD au moyen d'un ou de plusieurs modules 3 de traitement de données prévus à cet effet. Sur la figure 1, le ou les modules 3 de traitement de données sont représentés extérieurs au dispositif 2 de détection d'intrusions, mais ils peuvent, en variante, être intégrés dans ce dispositif 2 de détection d'intrusions.
[0066] En référence à la figure 2, chaque objet connecté IoTD comprend notamment ici un processeur 4, une mémoire vive 5, une mémoire morte 6, une mémoire flash non volatile 7, ainsi que des moyens de communication 8 comprenant une ou plusieurs interfaces de communication lui permettant notamment de communiquer via le réseau NW.
[0067] La mémoire morte 6 de l'objet connecté IoTD est un support d'enregistrement conforme à l'invention, lisible par le processeur 4 et sur lequel est enregistré un programme d'ordinateur PROG selon l'invention, qui comporte des instructions définissant les principales étapes d'un procédé de surveillance conforme à l'invention. Le programme PROG définit de manière équivalente des modules fonctionnels du dispositif 2 de détection d'intrusions, qui s'appuient ou commandent entre autres les éléments matériels 4 à 8 cités précédemment, et qui sont activés de façon itérative, chaque itération ici correspondant au traitement d'un sous-ensemble de données distinct sélectionné parmi les données surveillées par le dispositif 2 de détection d'intrusion. On rappelle que les données surveillées peuvent être associées à un même élément de réseau ou à des éléments de réseau différents surveillés par le dispositif 2 de détection d'intrusion (protocole, adresse ou préfixe IP, etc.).
[0068] Les modules fonctionnels du dispositif 2 de détection d'intrusions comptent en particulier, comme illustré à la figure 1 pour l'un seulement des objets connectés IoTD par souci de simplification, un premier module 2A de détection d'intrusions, configuré pour appliquer au cours d'itérations successives à une pluralité de sous-ensembles de données, une première technique de détection d'intrusions, notée ici G (en référence à son rôle de « générateur » dans le dispositif 2 de détection d'intrusions, comme expliqué précédemment).
[0069] Dans le mode de réalisation décrit ici, la technique de détection d'intrusions G est une technique de détection hybride mettant en œuvre:
- d'une part, un algorithme RD mettant en œuvre une détection d'intrusions basée sur des signatures d'attaques déterminées (ou « Rule based Détection » en anglais), connue en soi ; et
- d'autre part, un algorithme RLD mettant en œuvre une détection d'intrusions basée sur la reconnaissance d'un comportement anormal des données s'appuyant sur une technique d'apprentissage automatique par renforcement (ou « Reinforcement Learning based Détection » en anglais). L'algorithme RLD est ici non supervisé et peut être initialisé par exemple avec un jeu d'attributs et de décisions représentatifs de comportements anormaux (voire d'attaques) fournis par des experts. Il utilise un réseau de neurones artificiel (ou ANN pour « Artificial Neural Network » en anglais), connu en soi, défini par des paramètres notés QG. Ces paramètres comprennent notamment, les attributs des données fournis en entrée du réseau de neurones, le nombre de couches du réseau de neurones, les poids des synapses, etc.
[0070] Le premier module 2A de détection est configuré ici de telle sorte que si l'un au moins des algorithmes RD ou RLD détecte une anomalie dans le sous-ensemble de données qu'il étudie, on considère qu'une anomalie est détectée par la première technique de détection d'intrusions G et par le premier module 2A de détection. On rappelle ici que le terme anomalie est à considérer au sens large : il peut s'agir d'un comportement qui diffère d'un comportement normal attendu des données en l'absence de cyber-attaque, comme d'une attaque détectée par comparaison avec des signatures d'attaques déterminées.
[0071] Bien entendu, d'autres techniques de détection d'intrusions que celle qui vient d'être décrite peu- vent être envisagées pour la technique G, qu'elles soient simples ou hybrides. Par exemple, on peut envisager la technique hybride décrite dans l'article de A. Abduvaliyev et al. précédemment introduit, ou une technique de détection hybride plus élaborée combinant au moyen de règles ou par l'intermédiaire d'un autre algorithme d'apprentissage automatique, les sorties des algorithmes RD et RLD. En variante, on peut envisager la technique d'apprentissage automatique par renforce ment décrite dans le document de A. Servin et al. intitulé « Multi-Agent Reinforcement Learning for Intrusion Détection », European Symposium on Adaptive and Learning Agents and Multi-Agent Sys tems, Springer, 2008.
[0072] Le dispositif 2 de détection d'intrusions comprend une pluralité d'autres modules fonctionnels défi nis par les instructions du programme PROG et activés si (et seulement si ici) une anomalie est dé tectée par le premier module 2A de détection dans l'un des sous-ensembles de données qu'il ana lyse. Parmi ces modules fonctionnels figurent notamment :
- un deuxième module 2B de détection d'intrusions, configuré pour appliquer à ce sous- ensemble de données une deuxième technique de détection d'intrusions notée D (en référence à son rôle de « discriminateur » dans le dispositif 2 de détection d'intrusions, comme expliqué précédemment). Dans le mode de réalisation décrit ici, la deuxième technique D utilise un algorithme d'apprentissage automatique connu en soi. Cet algorithme d'apprentissage automatique s'appuie également sur un réseau de neurones artificiel dont les paramètres sont notés QD. Cet exemple n'est donné qu'à titre illustratif, et d'autres algorithmes peuvent être utilisés en variante ; et
- un troisième module 2C de détection d'intrusions, configuré pour appliquer audit sous- ensemble de données une troisième technique de détection d'intrusions, notée LF (en référence à son rôle de « fonction de pertes » dans le dispositif 2 de détection d'intrusions, comme expliqué précédemment). Conformément à l'invention, la troisième technique de détection LF utilise également comme entrées les résultats fournis par les premier et deuxième modules de détection 2A et 2B (données et/ou attributs extraits de ces données et décisions des premier et deuxième modules de détection 2A et 2B). Dans le mode de réalisation décrit ici, la troisième technique LF utilise un algorithme d'apprentissage automatique multi-classes, et notamment une machine à vecteurs de support (ou SVM pour « Support Vector Machine » en anglais), connue en soi. L'apprentissage de la troisième technique LF est réalisé à partir des informations fournies au troisième module de détection 2C par les premier et deuxième modules de détection 2A et 2B. L'utilisation d'un algorithme SVM permet un temps de réaction faible et une détection efficace des attaques par rapport à des réseaux de neurones profonds. Toutefois, d'autres algorithmes d'apprentissage automatique peuvent bien entendu être envisagés en variante. On note que le troisième module 2C de détection peut être paramétré initialement ou à tout moment par un expert (via une interface idoine prévue à cet effet) avec de nouvelles signatures d'attaques et/ou de nouveaux attributs pour améliorer son efficacité.
[0073] Conformément à l'invention, le deuxième module de détection 2B est configuré pour utiliser, à chaque itération, un résultat fourni par le troisième module de détection 2C pour un apprentissage de la deuxième technique de détection D, et le premier module de détection 2A est en outre confi guré pour utiliser, durant ladite itération, pour un apprentissage de la première technique de détec tion G, un résultat d'une application audit sous-ensemble de données de la deuxième technique de détection D, après réalisation de l'apprentissage par le deuxième module de détection 2B. La façon dont les trois modules de détection d'intrusions 2A, 2B et 2C collaborent entre eux lors de chaque itération est décrit plus en détail ultérieurement.
[0074] Dans le mode de réalisation décrit ici, le dispositif 2 de détection d'intrusions comprend un autre module fonctionnel désigné dans la suite de la description par module 2D d'alerte, configuré pour notifier une anomalie détectée dans au moins un sous-ensemble de données traité par le dispositif 2 de détection d'intrusions, à au moins une entité tierce. Le module 2D d'alerte s'appuie sur les moyens de communication 9 de l'objet connecté IoTD via le réseau NW.
[0075] Dans le mode de réalisation décrit ici, le module 2D d'alerte est configuré pour notifier un centre d'opérations de sécurité 8 (aussi désigné par SOC 8) supervisant une pluralité de nœuds distincts du réseau NW et en particulier les objets connectés IoTD. De façon connue, un tel centre d'opérations de sécurité gère la sécurité du réseau NW (et éventuellement d'autres réseaux) en s'appuyant à cet effet, sur divers outils de collecte, de corrélation d'événements, d'analyse des ac tivités sur les réseaux et sur les différents éléments qui les composent (ex. bases de données, ap plications, serveurs, équipements utilisateurs, etc.), ainsi que sur l'expertise d'analystes et de spé cialistes en sécurité. Il peut en outre disposer de moyens d'intervention à distance. Autrement dit, il s'agit d'une entité de confiance dotée d'une grande expertise et permettant une détection précise et fiable des intrusions dans le réseau NW. Un tel centre d'opérations de sécurité 8 peut en outre déclencher si besoin des actions de mitigation des attaques détectées dans le réseau NW.
[0076] Le centre d'opérations de sécurité 8 est configuré ici pour gérer les alertes remontées par les diffé rents nœuds du réseau NW, et plus particulièrement, pour traiter les informations transmises par les modules 2D d'alerte des dispositifs 2 de détection d'intrusions selon l'invention embarqués dans des nœuds du réseau NW, en relation avec les données surveillées par les dispositifs 2 de détection d'intrusions et/ou les anomalies détectées par ceux-ci dans ces données et/ou la configuration des techniques de détection G, D et/ou LF utilisées par ceux-ci pour surveiller ces données.
[0077] Nous allons maintenant décrire, en référence à la figure 3, les principales étapes du procédé de surveillance selon l'invention, telles qu'elles sont mises en œuvre, dans un mode particulier de réa lisation, par le dispositif 2 de détection d'intrusions embarqué dans chacun des objets connectés IoTD du système 1 de surveillance de la figure 1.
[0078] Les étapes qui sont décrites ci-après sont mises en œuvre itérativement pour chaque sous- ensemble de données DATA(iter) transitant par l'objet connecté IoTD hébergeant ce dernier et analysé par le dispositif 2 de détection d'intrusions (étape E00 d'initialisation à 1 d'un indice d'itération iter, et étape E50 d'incrémentation de cet indice iter).
[0079] On suppose ici que le (ou les) module(s) de traitement de données 3 extrai(en)t et/ou estime(nt) à partir du sous-ensemble de données DATA(iter) les valeurs FEAT(iter) des caractéristiques ou attri buts pris en compte par le dispositif 2 de détection d'intrusions. Ces caractéristiques ou attributs sont ceux qui sont utilisés par les techniques de détection d'intrusions mises en œuvre dans les premier, deuxième et troisième modules de détection 2A, 2B et 2C pour analyser le sous-ensemble de données DATA(iter) et déterminer si celui-ci correspond à un comportement normal ou reflète la présence d'une attaque informatique.
[0080] On note que ce ne sont pas nécessairement les mêmes caractéristiques qui sont prises en compte par les différents modules de détection. On suppose toutefois ici, par souci de simplification que les mêmes (valeurs de) caractéristiques FEAT(iter) sont fournies en entrée de chacun des modules de détection, libres à chacun d'entre eux de ne sélectionner que celles qui sont pertinentes pour sa détection.
[0081] Les caractéristiques FEAT(iter) peuvent être estimées à un instant donné ou sur une période de temps donnée correspondant au sous-ensemble de données DATA(iter) considéré. A titre d'exemples, de telles caractéristiques peuvent être un nombre de paquets perdus, une qualité du signal reçue par l'objet connecté IoTD, un temps de communication, un nombre de connexions de l'objet connecté IoTD ayant échoué, un nombre de paquets « inutiles » émis ou transitant par l'objet connecté IoTD, un nombre de connexions erronées sur un site, etc. La façon dont sont ac quises ces caractéristiques est connue de l'homme du métier et n'est pas décrite en détail ici. Comme mentionné précédemment, en variante, ces caractéristiques FEAT peuvent être fournies au(x) module(s) de traitement par des entités externes à l'objet connecté IoTD. [0082] Les caractéristiques FEAT(iter) sont fournies au dispositif 2 de détection d'intrusions et plus particulièrement au premier module 2A de détection d'intrusions pour application de la première technique de détection d'intrusions G (E10).
[0083] Dans le mode de réalisation décrit ici, la première technique de détection d'intrusions G étant hybride, le module 2A applique séquentiellement ou en parallèle sur les caractéristiques FEAT(iter) les algorithmes RD et RLD (étape E20). Chacun de ces algorithmes fournit une décision quant à la présence ou non d'une attaque au vu des caractéristiques FEAT(iter) analysées. Plus précisément ici, l'algorithme RD indique dans sa décision notée DEC_RD(iter) si, au vu des signatures d'attaques connues dont il dispose, les caractéristiques FEAT(iter) correspondent à l'une d'entre elles, et l'algorithme RLD indique dans sa décision DEC_RLD(iter) si les caractéristiques FEAT(iter) correspondent ou non à un comportement normal.
[0084] On note que les décisions DEC_RD(iter) et DEC_RLD(iter) peuvent prendre différentes formes selon les algorithmes à l'origine de ces décisions. Ainsi, à titre illustratif, dans l'exemple envisagé ici, la décision DEC_RD(iter) peut comprendre un élément binaire, égal à 0 si aucune attaque n'a été détectée ou à 1 si une attaque a été détectée, et lorsqu'une attaque a été détectée, inclure des informations sur cette attaque comme notamment le nom de l'attaque, les ressources affectées, etc. La décision DEC_RLD(iter) peut prendre la forme d'un nombre réel compris entre 0 et 1, une valeur proche de 0 indiquant la présomption d'un comportement anormal (et donc de la présence d'une attaque), une valeur proche de 1 indiquant au contraire un comportement proche de la normalité (et donc l'absence d'attaque).
[0085] Le couple formé des décisions DEC_RD(iter) et DEC_RLD(iter) constitue un résultat DEC_G(iter) de l'application de la technique de détection G au sens de l'invention.
[0086] Si l'une et/ou l'autre des décisions DEC_RD(iter) et/ou DEC_RLD(iter) fait état de la présence d'une anomalie dans les données DATA(iter) (c'est-à-dire dans l'exemple envisagé ici, si une attaque est détectée par l'algorithme RD et/ou un comportement anormal est détecté par l'algorithme RLD) (réponse oui à l'étape test E30), les caractéristiques FEAT(iter) et le couple de décisions DEC_G(iter)=(DEC_RD(iter),DEC_RLD(iter)) sont fournies par le premier module 2A (étape 40) :
- au deuxième module 2B de détection d'intrusions pour application de la deuxième technique de détection d'intrusions D ; et
- au troisième module 2C de détection d'intrusions.
[0087] En outre, dans le mode de réalisation décrit ici, le module 2A fournit au module 2B les paramètres courant QG(iter) du réseau de neurones artificiel mis en œuvre par l'algorithme RLD.
[0088] Sinon (réponse non à l'étape test E30), l'indice d'itération iter est incrémenté (étape E50) et un nouveau sous-ensemble de données est analysé par le dispositif 2 de détection d'intrusions.
[0089] Comme mentionné précédemment, par analogie avec les réseaux GAN, la première technique de détection d'intrusions G joue donc ici en quelque sorte un rôle de générateur dans le sens où elle « génère » (ou plus précisément fournit) à la deuxième technique de détection d'intrusions D des attributs extraits de données qu'elle considère comme représentatives d'une attaque informatique. On note que les attributs FEAT(iter) ne sont pas nécessairement fournis directement par le premier module 2A de détection, mais sous son contrôle (il peut notamment envoyer un signal de contrôle au module de traitement 3 pour que ce dernier fournisse les attributs pertinents pour la deuxième technique de détection D dès lors qu'il a détecté une anomalie).
[0090] La réception des caractéristiques/attributs FEAT(iter) et de la décision DEC_G(iter) par le deuxième module 2B de détection active ce dernier et déclenche l'application par le module 2B de la deuxième technique de détection D aux caractéristiques FEAT(iter) du sous-ensemble de données DA- TA(iter) (étape E60). Conformément à l'invention, la deuxième technique de détection D utilise également comme entrée, en plus des caractéristiques FEAT(iter), la décision DEC_G(iter) fourni par le module 2A, résultat de l'application de la première technique de détection G sur le sous- ensemble de données DATA(iter).
[0091] Il résulte de l'application de la deuxième technique de détection D une décision DEC_D(iter). Cette décision DEC_D(iter) fournie par la deuxième technique de détection D indique ici si celle-ci a détecté ou pas un comportement anormal ou une attaque à partir des caractéristiques FEAT(iter) représentatives des données DATA(iter) et de la décision DEC_G(iter) que lui a fournies le module 2A. Comme mentionné précédemment pour la technique de détection G, cette décision peut prendre différentes formes selon l'algorithme implémenté par la technique de détection D. Dans l'exemple envisagé ici, la décision DEC_D(iter) prend la forme d'un nombre réel compris entre 0 et 1, une valeur proche de 0 indiquant la présomption d'un comportement anormal (et donc de la présence d'une attaque), une valeur proche de 1 indiquant au contraire un comportement proche de la normalité (et donc l'absence d'attaque).
[0092] La décision DEC_D(iter) est ensuite fournie par le module 2B au troisième module de détection 2C, éventuellement si besoin avec les caractéristiques des données DATA(iter) utilisées par la deuxième technique de détection D si celles-ci diffèrent de celles utilisées par la première technique de détection G (étape E70).
[0093] Ainsi, comme mentionné précédemment, par analogie avec les réseaux GAN, la deuxième technique de détection D joue en quelque sorte le rôle de discriminateur, puisqu'elle détermine à partir des entrées qui lui sont fournies par le générateur (i.e. le module 2A mettant en œuvre la technique de détection G) s'il s'agit ou non d'une attaque.
[0094] Suite à la réception de la décision DEC_D(iter), le module 2C applique la troisième technique de détection LF aux différentes entrées dont elle dispose, à savoir aux caractéristiques FEAT(iter) représentatives des données DATA(iter) et aux décisions DEC_G(iter)=(DEC_RD(iter),DEC_RLD(iter)) et DEC_D(iter) prises par les modules 2A et 2B à partir des données DATA(iter) (étape E80). La finalité de la troisième technique de détection LF est de fournir sa propre décision quant aux caractéristiques FEAT(iter) tout en tenant compte des décisions DEC_G(iter) et DEC_D(iter). Elle joue ainsi le rôle de fonction de pertes dans le sens où elle vise à corriger les « pertes » des techniques de détection G et D, autrement dit dans le domaine de la cyber-détection, des mauvaises détections effectuées par ces dernières. A cet effet, comme indiqué précédemment, la troisième fonction LF peut interagir ponctuellement ou régulièrement pour son apprentissage avec un expert via une interface prévue à cet effet (s'appuyant par exemple sur les moyens de communication 9 de l'objet connecté IoTD ou via une interface graphique appropriée).
[0095] L'application de la technique de détection LF résulte en une décision DEC_LF(iter) indiquant si la technique de détection LF a détecté ou non une attaque à partir des caractéristiques FEAT(iter) et compte tenu des décisions DEC_G(iter) et DEC_D(iter). Cette décision DEC_LF(iter) est fournie par le module 2C au module 2B (étape E90), pour l'apprentissage de la technique de détection D.
[0096] On note que lors de l'étape E90, le module 2C peut fournir d'autres informations au module 2B destinées à être utilisées pour l'apprentissage de la technique de détection D, voire à être transmises ensuite par le module 2B au module 2A pour l'apprentissage de la technique de détection G (en variante, on peut envisager que le module 2C fournisse directement au module 2A les informations destinées à renforcer l'apprentissage de la technique de détection G). Notamment, si la décision du module 2C diffère de celle prise par le module 2B (respectivement par le module 2A) à partir des attributs FEAT(iter), le module 2C peut transmettre au module 2B des valeurs d'attributs à prendre en compte par la technique de détection D (respectivement par la technique de détection G) pour son apprentissage pour améliorer sa détection. Dans une variante, le module 2C peut également transmettre au module 2B des signatures de nouvelles attaques qui lui ont été fournies par des experts, ou de nouvelles règles à appliquer pour détecter un comportement anormal, ou de nouveaux attributs à considérer pour la détection, etc.
[0097] L'apprentissage de la technique de détection D mis en œuvre par le module 2B est réalisé, dans le mode de réalisation décrit ici, en utilisant un algorithme de descente de gradient (étape E100).
Plus précisément, le module 2B évalue à partir de la décision DEC_LF(iter), le taux X_D(iter) de décisions correctes prises par la technique de détection D, les décisions DEC_LF servant à cet effet de références comme bonnes décisions. Autrement dit, à l'itération iter, le taux X_D(iter) correspond au ratio du nombre de décisions DEC_D prises par la technique de détection D coïncidant avec les décisions DECJ.F prises par la technique de détection LF jusqu'à l'itération courante iter, et du nombre d'anomalies M remontées par le module 2A de détection.
[0098] L'algorithme de descente de gradient est appliqué aux paramètres (Miter) de la technique de détection D en vue de maximiser le taux X_D(iter) de décisions correctes ainsi estimé. Le module 2B peut à cet effet procéder par exemple comme décrit dans le document de D.P. Kingma et al. intitulé « Adam : A method for stochastic Optimization », 3rd International Conférence for Learning Représentations, 2015.
[0099] On note que d'autres critères peuvent être envisagés en remplacement ou en complément du taux de décisions correctes lors de l'apprentissage de la technique de décision D, comme par exemple, un taux de consommation minimal, une complexité de calcul minimale, etc. Par ailleurs ici, le module 2B disposant des paramètres QG(iter) de la technique de décision G, il peut utiliser ces paramètres pour mettre à jour le cas échéant les paramètres (Miter) de la technique de décision D, par exemple en définissant une fonction objectif à optimiser incluant tout ou partie des paramètres QG(iter) (ex. sous forme de contraintes à respecter). Cet échange entre les modules 2A et 2B des paramètres des réseaux de neurones artificiels qu'ils implémentent respectivement peut permettre d'accélérer l'apprentissage des techniques de détection D et G et de réduire leurs complexités respectives (par exemple si les paramètres QG(iter) font état d'un nombre de couches inférieur à celui utilisé par la technique de détection D, cette information peut être exploitée lors de l'apprentissage de la technique de détection D pour tenter de réduire le nombre de couches utilisés par son réseau de neurones artificiel dès lors que cela permet d'optimiser le taux de détections correctes).
[0100] Puis conformément à l'invention, la technique de décision D est de nouveau appliquée, après apprentissage (et mise à jour éventuelle des paramètres CMiter) lors de cet apprentissage), aux caractéristiques FEAT(iter) et une nouvelle décision DEC_D'(iter) résultant de cette application est générée par le module 2B (étape El 10). On note que les paramètres CMiter) éventuellement mis à jour lors de l'apprentissage effectué à l'étape E100 sont destinés à être utilisés à l'itération suivante iter+1 par la technique de détection D et sont ainsi stockés dans une variable notée CMiter+1).
[0101] La décision DEC_D'(iter) est fournie par le module 2B au module 2A, avec également ici les paramètres CMiter+1) de la technique de détection D mis à jour le cas échéant (étape E120). Si des informations destinées au module 2A (ex. nouveaux attributs, nouvelles signatures d'attaques, etc.) ont été fournies par le module 2C au module 2B lors de l'étape E90, ces informations sont également transmises lors de l'étape E120 au module 2A par le module 2B.
[0102] La décision DEC_D'(iter) et les paramètres CMiter+1) de la technique de détection D sont alors utilisés par le module 2A pour l'apprentissage de la technique de détection G, et plus spécifiquement ici pour l'apprentissage de l'algorithme RLD (étape E130). Cet apprentissage est réalisé ici de façon similaire à ce qui a été décrit précédemment pour la technique de détection D. L'algorithme RD peut être éventuellement mis à jour avec de nouvelles signatures fournies le cas échéant par le module 2C lors de l'étape E90.
[0103] Plus spécifiquement, pour l'apprentissage de l'algorithme RLD, le module 2A utilise un algorithme de descente de gradient optimisant le taux X_G(iter) de décisions correctes prises par la technique de détection G (on considère ici les décisions DEC_G combinant les décisions combinées des algorithmes RD et RLD), les décisions DEC_D' servant à cet effet de références comme bonnes décisions. Autrement dit, à l'itération iter, le taux X_G(iter) correspond au ratio du nombre de décisions DEC_G prises par la technique de détection G coïncidant avec les décisions DEC_D' prises par la technique de détection D après apprentissage jusqu'à l'itération courante iter, et du nombre d'anomalies/d'attaques M' détectées par le module 2B de détection.
[0104] L'algorithme de descente de gradient est appliqué aux paramètres QG(iter) de la technique de dé tection G (et plus spécifiquement ici du réseau de neurones implémentés par l'algorithme RLD) en vue de maximiser le taux X_G(iter) de décisions correctes ainsi estimé. Le module 2A peut à cet ef fet procéder par exemple comme décrit dans le document de D.P. Kingma et al. cité précédemment. D'autres critères peuvent être envisagés en remplacement ou en complément du taux de décisions correctes lors de l'apprentissage de la technique de décision G, comme par exemple, un taux de consommation minimal, une complexité de calcul minimale, etc. Par ailleurs ici, le module 2A dis posant des paramètres CMiter+l) de la technique de décision D, il peut utiliser ces paramètres pour mettre à jour le cas échéant les paramètres CMiter) de la technique de décision G, par exemple en définissant une fonction objectif à optimiser incluant tout ou partie des paramètres QG(iter) (ex. sous forme de contraintes à respecter). Cet échange des paramètres CMiter+l) peut permettre d'accélérer l'apprentissage de la technique de détection G comme décrit précédemment pour la technique de détection D et de réduire la complexité des techniques de détection D et G.
On note que les paramètres CMiter) éventuellement mis à jour lors de l'apprentissage effectué à l'étape E130 sont destinés à être utilisés à l'itération suivante iter+1 par la technique de détection G et sont ainsi stockés dans une variable notée CMiter+l).
[0105] Par ailleurs, dans le mode de réalisation décrit ici, si la décision DEC_D'(iter) indique la présence d'une anomalie dans le sous-ensemble de données DATA(iter) (par exemple une attaque est détec tée par la technique de décision D) (réponse oui à l'étape test E140), alors le module 2D d'alerte du dispositif 2 de détection d'intrusions notifie le centre d'opérations de sécurité 9 de l'anomalie détectée (étape E150). Ainsi, dans ce mode de réalisation, c'est la décision DEC_D'(iter) qui fait of fice de décision finale prise par le dispositif 2 de détection d'intrusions quant à la fiabilité des don nées DATA(iter).
[0106] En variante on peut envisager d'appliquer de nouveau après apprentissage la technique de détec tion G et d'utiliser comme décision finale la sortie de la technique de détection G.
[0107] Lors de la notification du centre d'opérations de sécurité 9, le module 2D d'alerte peut transmettre tout ou partie des informations suivantes :
- la décision DEC_D'(iter) ;
- les caractéristiques du sous-ensemble de données DATA(iter) présentant une anomalie ;
- les paramètres CMiter+l) et CMiter+l) des techniques de détection ;
- au moins une anomalie détectée par la technique de détection LF non détectée par l'une au moins des techniques de détection D et G.
[0108] Bien entendu cette liste n'est pas exhaustive et d'autres informations peuvent être transmises au centre d'opérations de sécurité 9. En outre, d'autres entités tierces peuvent être notifiées de l'anomalie détectée comme par exemple des entités susceptibles de déclencher des actions de mi tigation pour stopper la progression de l'attaque détectée par le dispositif 2 de détection d'intrusions.
[0109] Dans le mode de réalisation décrit ici, la notification de l'étape E150 déclenche une vérification par le centre d'opérations de sécurité 9 de la validité (correction) de la décision DEC_D'(iter). A cet ef fet, le centre d'opérations de sécurité 9 peut appliquer par exemple une technique de détection d'intrusions plus puissante que celles appliquées par le dispositif 2 de détection d'intrusions, et/ou exploiter d'autres informations reçues d'autres objets IoTD connectés au réseau NW.
[0110] Si le centre d'opérations de sécurité 9 ne confirme pas l'anomalie reportée par la décision
DEC_D'(iter), dans le mode de réalisation décrit ici, il envoie à destination du dispositif 2 de détec tion d'intrusions diverses informations destinées à être utilisées par celui-ci pour l'apprentissage des techniques de détection G, D et/ou LF. De telles informations sont par exemple des attributs et/ou des signatures associé(e)s à des attaques non connues du dispositif 2 de détection d'intrusions, etc.
[OUI] Si la décision DEC_D'(iter) reflète un comportement normal du sous-ensemble de données DA- TA(iter) (réponse non à l'étape test E140), alors aucune notification n'est envoyée ici au centre d'opérations de sécurité.
[0112] L'indice d'itération iter est incrémenté (étape E50) et un nouveau sous-ensemble de données est analysé par le dispositif 2 de détection d'intrusions selon les étapes E10 à E150 qui viennent d'être décrites.
[0113] Ainsi, l'invention permet d'améliorer le taux de détection d'intrusions grâce à la collaboration des techniques de détection G, D et LF tout en préservant la confidentialité des informations exploitées pour la détection.
[0114] On note que dans le mode de réalisation qui a été décrit ici, on a considéré un contexte dans le quel le réseau NW comportait une pluralité d'objets connectés embarquant des dispositifs 2 de dé tection selon l'invention. L'invention s'applique bien entendu dans d'autres contextes, et en particu lier, le dispositif 2 de détection d'intrusions selon l'invention peut être intégré dans d'autres équi pements du réseau NW, comme par exemple dans des serveurs de calcul mobiles (ou serveurs MEC) situé en périphérie du réseau NW.
[0115] A titre illustratif, les figures 4 et 5 comparent les performances d'une technique de détection d'intrusions hybride telle que celle utilisée par le module de détection 2A dans le mode de réalisa tion qui vient d'être décrit, avec les performances du procédé de surveillance selon l'invention tel qu'il est mis en œuvre par le dispositif 2 de détection d'intrusion. Ces performances ont été obte nues par simulation.
[0116] Les performances présentées illustrent, en fonction des itérations (30 premières itérations sur la figure 4, et les 30 suivantes sur la figure 5), les valeurs obtenues (exprimées en pourcentage) pour une métrique M de précision de la détection définie comme suit :
[Mathl.]
Figure imgf000018_0001
où :
- N désigne le nombre d'attaques considérées lors de la simulation,
- a1 a2, bi et p2 sont des facteurs de pondération réels compris entre 0 et 1 avec a2 > ¾ et p2 > Pi. Pour la simulation envisagée ici, les valeurs suivantes ont été appliquées ¾ = 0.1, a2 = 0.4,
Pi = 0.25 et p2 = 0.65 ;
- D Known et DUnknown désignent respectivement le taux de détection d'attaques lorsque des attaques connues (i.e. avec lesquelles les techniques de détection ont été initialisées), respectivement inconnues, ont été simulées ;
- FKnownand Funknown désignent respectivement le taux de faux positifs lorsque des attaques connues, respectivement inconnues, ont été simulées.
[0117] Les figures 4 et 5 montrent que le procédé de surveillance selon l'invention améliore la métrique M de précision de la détection par rapport à une technique de détection hybride. Cette amélioration est d'autant plus importante que le nombre d'itérations augmente. Ceci est dû au renforcement de la détection et à l'amélioration de la précision de la détection obtenus grâce à la collaboration entre les techniques de détection G et D.

Claims

Revendications
[Revendication 1] Procédé de surveillance de données échangées sur un réseau (NW), ledit procédé étant destiné à être mis en œuvre par un dispositif de détection d'intrusions (2) et comprenant, pour au moins un sous-ensemble de données (DATA(iter)) :
- une première étape d'application (E20) audit sous-ensemble d'une première technique (G) de détection d'intrusions ;
- si une anomalie est détectée dans ledit sous-ensemble (E30) : o une deuxième étape d'application (E60) d'une deuxième technique (D) de détection d'intrusions audit sous-ensemble ; o une troisième étape d'application (E80) d'une troisième technique (LF) de détection d'intrusions audit sous-ensemble, ladite troisième technique de détection utilisant des résultats (DEC_G(iter), DEC_D(iter)) des première et deuxième étapes d'application ; o une étape d'utilisation (E100) d'un résultat de la troisième étape d'application (DEC_LF(iter)) pour un apprentissage de la deuxième technique (D) de détection ; o une étape d'utilisation (E130) d'un résultat (DEC_D'(iter)) d'une application (El 10) audit sous-ensemble de la deuxième technique de détection après ledit apprentissage pour un apprentissage de la première technique (G) de détection.
[Revendication 2] Procédé de surveillance selon la revendication 1 dans lequel la première et/ou la deuxième et/ou la troisième technique de décision sont appliquées sur des caractéristiques (FEAT(DATA)) préalablement dérivées du sous-ensemble de données.
[Revendication 3] Procédé de surveillance selon la revendication 1 ou 2 dans lequel lesdites données (DATA(iter)) sont associées à une pluralité d'éléments surveillés par le dispositif du réseau.
[Revendication 4] Procédé de surveillance selon l'une quelconque des revendications 1 à 3 dans lequel :
- la première technique (G) de détection est une technique de détection hybride basée sur une technique (RD) utilisant des signatures d'attaques connues et sur une technique (RLD) de détection par renforcement ; et/ou
- au moins l'une parmi la deuxième et la troisième technique de détection (D,LF) est une technique de détection par apprentissage automatique.
[Revendication 5] Procédé de surveillance selon l'une quelconque des revendications 1 à 4 dans lequel au moins une technique de détection (G,D) parmi la première et la deuxième technique de détection utilise un réseau de neurones artificiel, et dans lequel l'apprentissage de cette technique de détection utilise un algorithme de descente de gradient pour mettre à jour des paramètres (Qc(iter), Qp(iter)) dudit réseau de neurones artificiel.
[Revendication 6] Procédé de surveillance selon l'une quelconque des revendications 1 à 5 dans lequel la première technique de détection et la deuxième technique de détection (G,D) utilisent des réseaux de neurones artificiels, et ledit procédé comprend en outre une étape d'échange (E40,E120) entre les première et deuxième techniques de détection de paramètres desdits réseaux de neurones artificiels, lesdits paramètres échangés étant pris en compte pour les apprentissages des première et deuxième techniques de détection.
[Revendication 7] Procédé de surveillance selon l'une quelconque des revendications 1 à 6 dans lequel la troisième technique de détection (LF) utilise une machine à vecteurs de support.
[Revendication 8] Procédé de surveillance selon l'une quelconque des revendications 1 à 7 dans lequel, si le résultat de l'application de la deuxième technique de détection après apprentissage indique une anomalie dans ledit sous-ensemble de données (E140), une étape de notification (E150) d'une entité tierce (9) de ladite anomalie.
[Revendication 9] Procédé de surveillance selon l'une quelconque des revendications 1 à 8 comprenant une étape de transmission (E150) à un centre d'opérations de sécurité (9) d'au moins une information parmi :
- des caractéristiques d'au moins un sous-ensemble de données présentant une anomalie ;
- des paramètres de ladite première et/ou ladite deuxième technique de détection ;
- au moins une anomalie détectée par la troisième technique de détection non détectée par la première et/ou la deuxième technique de détection.
[Revendication 10] Procédé de surveillance selon la revendication 9 comprenant une étape de réception, en provenance du centre d'opérations de sécurité (9), d'informations destinées à être utilisées par le dispositif pour l'apprentissage des première, deuxième et/ou troisième techniques de détection.
[Revendication 11] Dispositif (2) de détection d'intrusions configuré pour surveiller des données échangées sur un réseau (NW), ledit dispositif comprenant des modules, activés pour au moins un sous-ensemble de données, lesdits modules comprenant :
- un premier module (2A) de détection d'intrusions, configuré pour appliquer audit sous-ensemble une première technique de détection d'intrusions ;
- des modules, activés si une anomalie est détectée par le premier module de détection dans ledit sous-ensemble, comprenant : o un deuxième module (2B) de détection d'intrusions, configuré pour appliquer une deuxième technique de détection d'intrusions audit sous-ensemble ; o un troisième module (2C) de détection d'intrusions, configuré pour appliquer une troisième technique de détection d'intrusions audit sous-ensemble, ladite troisième technique de détection utilisant des résultats fournis par les premier et deuxième modules de détection ; le deuxième module de détection étant en outre configuré pour utiliser un résultat fourni par le troisième module de détection pour un apprentissage de la deuxième technique de détection, et le premier module de détection étant en outre configuré pour utiliser, pour un apprentissage de la première technique de détection, un résultat d'une application audit sous-ensemble de la deuxième technique de détection après ledit apprentissage par le deuxième module de détection.
[Revendication 12] Dispositif (2) selon la revendication 11 intégré dans un objet connecté (IoTD) ou dans un équipement utilisateur auquel ledit réseau fournit une connectivité ou dans un serveur de calcul mobile situé en périphérie du réseau.
[Revendication 13] Système (1) de surveillance de données échangées sur un réseau comprenant :
- au moins un dispositif (2) de détection d'intrusions selon la revendication 11 ou 12 ; et
- un centre d'opérations de sécurité (9), configuré pour traiter des informations transmises par ledit dispositif de détection d'intrusions en relation avec les données surveillées par ledit dispositif et/ou les anomalies détectées par ledit dispositif dans ces données et/ou la configuration des techniques de détection utilisées par ledit dispositif pour surveiller lesdites données.
[Revendication 14] Programme d'ordinateur comportant des instructions pour l'exécution d'un procédé de surveillance selon l'une quelconque des revendications 1 à 10, lorsque ledit programme est exécuté par un ordinateur.
PCT/FR2021/050157 2020-01-31 2021-01-28 Procede de surveillance de donnees echangees sur un reseau et dispositif de detection d'intrusions WO2021152262A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FRFR2000991 2020-01-31
FR2000991A FR3106914B1 (fr) 2020-01-31 2020-01-31 Procédé de surveillance de données échangées sur un réseau et dispositif de détection d’intrusions

Publications (1)

Publication Number Publication Date
WO2021152262A1 true WO2021152262A1 (fr) 2021-08-05

Family

ID=71111512

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2021/050157 WO2021152262A1 (fr) 2020-01-31 2021-01-28 Procede de surveillance de donnees echangees sur un reseau et dispositif de detection d'intrusions

Country Status (2)

Country Link
FR (1) FR3106914B1 (fr)
WO (1) WO2021152262A1 (fr)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11516670B2 (en) 2020-07-06 2022-11-29 T-Mobile Usa, Inc. Security system for vulnerability-risk-threat (VRT) detection
US11622273B2 (en) 2020-07-06 2023-04-04 T-Mobile Usa, Inc. Security system for directing 5G network traffic
US11743729B2 (en) 2020-07-06 2023-08-29 T-Mobile Usa, Inc. Security system for managing 5G network traffic
US11770713B2 (en) * 2020-07-06 2023-09-26 T-Mobile Usa, Inc. Distributed security system for vulnerability-risk-threat (VRT) detection
US11800361B2 (en) 2020-07-06 2023-10-24 T-Mobile Usa, Inc. Security system with 5G network traffic incubation

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019129915A1 (fr) * 2017-12-29 2019-07-04 Nokia Solutions And Networks Oy Plateforme de défense et de filtrage intelligente pour trafic de réseau

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019129915A1 (fr) * 2017-12-29 2019-07-04 Nokia Solutions And Networks Oy Plateforme de défense et de filtrage intelligente pour trafic de réseau

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
A. ABDUVALIYEV ET AL.: "Energy Efficient Hybrid Intrusion De-tection System for Wireless Sensor Networks", INTERNATIONAL CONFÉRENCE ON ELECTRONICS AND INFORMATION ENGINEERING, 2010
A. SERVIN ET AL.: "European Symposium on Adaptive and Learning Agents and Multi-Agent Systems", 2008, SPRINGER, article "Multi-Agent Reinforcement Learning for Intrusion Détection"
CHIBA ZOUHAIR ET AL: "Intelligent approach to build a Deep Neural Network based IDS for cloud environment using combination of machine learning algorithms", COMPUTERS & SECURITY, ELSEVIER SCIENCE PUBLISHERS. AMSTERDAM, NL, vol. 86, 28 June 2019 (2019-06-28), pages 291 - 317, XP085765846, ISSN: 0167-4048, [retrieved on 20190628], DOI: 10.1016/J.COSE.2019.06.013 *
H. SEDJELMACI ET AL.: "Intrusion Détection Framework of Cluster-based Wireless Sensor Network", IEEE SYMPOSIUM ON COMPUTERS AND COMMUNICATIONS, 2012

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11516670B2 (en) 2020-07-06 2022-11-29 T-Mobile Usa, Inc. Security system for vulnerability-risk-threat (VRT) detection
US11622273B2 (en) 2020-07-06 2023-04-04 T-Mobile Usa, Inc. Security system for directing 5G network traffic
US11743729B2 (en) 2020-07-06 2023-08-29 T-Mobile Usa, Inc. Security system for managing 5G network traffic
US11770713B2 (en) * 2020-07-06 2023-09-26 T-Mobile Usa, Inc. Distributed security system for vulnerability-risk-threat (VRT) detection
US11800361B2 (en) 2020-07-06 2023-10-24 T-Mobile Usa, Inc. Security system with 5G network traffic incubation

Also Published As

Publication number Publication date
FR3106914A1 (fr) 2021-08-06
FR3106914B1 (fr) 2022-10-28

Similar Documents

Publication Publication Date Title
WO2021152262A1 (fr) Procede de surveillance de donnees echangees sur un reseau et dispositif de detection d'intrusions
Asad et al. Deepdetect: detection of distributed denial of service attacks using deep learning
US11237897B2 (en) Detecting and responding to an anomaly in an event log
EP3479285B1 (fr) Procédé et dispositif de surveillance de la sécurité d'un système d'information
EP3997633A1 (fr) Génération automatisée de modèles d'apprentissage automatique pour l'évaluation de réseaux
Labonne Anomaly-based network intrusion detection using machine learning
EP3957045A1 (fr) Procede et dispositif de traitement d'un message d'alerte notifiant une anomalie detectee dans un trafic emis via un reseau
Aiello et al. Profiling DNS tunneling attacks with PCA and mutual information
WO2011114060A2 (fr) Procédé d'identification d'un protocole à l'origine d'un flux de données
US20210306350A1 (en) Learning of malicious behavior vocabulary and threat detection through behavior matching
Malliga et al. A comprehensive review of deep learning techniques for the detection of (distributed) denial of service attacks
EP4021051A1 (fr) Procede d'apprentissage collaboratif entre une pluralite de noeuds d'un reseau d'un modele de detection d'anomalies
Gandhi et al. Comparing machine learning and deep learning for IoT botnet detection
Kayyidavazhiyil Intrusion detection using enhanced genetic sine swarm algorithm based deep meta-heuristic ANN classifier on UNSW-NB15 and NSL-KDD dataset
EP4242926A1 (fr) Systèmes et procédés de sécurisation de systèmes d'intelligence artificielle pour systèmes informatiques périphériques
EP4009584A1 (fr) Procédé de détermination de classifieurs pour la détection d'attaques dans un réseau de communication, dispositif de détermination associé
Saini et al. A hybrid ensemble machine learning model for detecting APT attacks based on network behavior anomaly detection
WO2019115173A1 (fr) Dispositif et procede de controle de sondes permettant la detection d'intrusions sur un reseau
Kourtis et al. Leveraging Deep Learning for Network Anomaly Detection
WO2021245361A1 (fr) Procédé de détection d'anomalies dans un réseau de communication, procédé de coordination de détection d'anomalies, dispositifs, équipement routeur, système de gestion d'anomalies et programmes d'ordinateur correspondants
Bahlali Anomaly-Based Network Intrusion Detection System: A Machine Learning Approach
EP3835985A1 (fr) Procédé de surveillance de données transitant par un équipement utilisateur
EP4009209A1 (fr) Procédé de détermination de quantités pour la détection d'attaques dans un réseau de communication, dispositif de détermination associé
FR3123527A1 (fr) Procédé de surveillance d’un réseau, dispositif et système associés
Holman et al. Toward home area network hygiene: device classification and intrusion detection for encrypted communications

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21706353

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 21706353

Country of ref document: EP

Kind code of ref document: A1