[go: up one dir, main page]

WO2007006994A2 - Static detection of anomalies in traffic concerning a service entity - Google Patents

Static detection of anomalies in traffic concerning a service entity Download PDF

Info

Publication number
WO2007006994A2
WO2007006994A2 PCT/FR2006/050669 FR2006050669W WO2007006994A2 WO 2007006994 A2 WO2007006994 A2 WO 2007006994A2 FR 2006050669 W FR2006050669 W FR 2006050669W WO 2007006994 A2 WO2007006994 A2 WO 2007006994A2
Authority
WO
WIPO (PCT)
Prior art keywords
volume component
service entity
model
volume
traffic
Prior art date
Application number
PCT/FR2006/050669
Other languages
French (fr)
Other versions
WO2007006994A3 (en
Inventor
Hervé SIBERT
Emmanuel Besson
Aline Gouget
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2007006994A2 publication Critical patent/WO2007006994A2/en
Publication of WO2007006994A3 publication Critical patent/WO2007006994A3/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Definitions

  • the present invention relates to the field of network security and flood denial of service attacks. More particularly, it relates to an anomaly detection in the traffic supported by a transmission link and relating to at least one service entity.
  • Telecommunications networks such as the Internet transmit data between different service entities via a common infrastructure.
  • a service entity connected to such a network responds to client terminal requests by providing them with a service, that is, by performing well-defined actions requested by the clients.
  • Service entities are, for example, a web server, a content or streaming server offering a download of multimedia files or broadcasting multimedia files, an e-mail server that relays messages, or a DNS domain name server that provides IP addresses corresponding to domain names.
  • These service entities are, in some cases, endpoints of the network and are located at customers of an operator, while other service entities, such as DNS servers, are managed by the operator of the network itself.
  • a denial of service attack is an attack that attempts to make a service entity unavailable.
  • denial of service attacks There are several types of denial of service attacks, for example specific queries that directly attack the service entity's operation by asking it to perform an action. "improper” .
  • flood denial-of-service type attacks consist in exceeding, and thus “flooding", the network capacity of the service entity or the transmission link through which the service entity is connected to the network. In both cases, volume characteristics of the network traffic to the service entity increase suddenly.
  • detection methods there are two major families of detection methods.
  • the first family is related to signature detections. It consists of continuously observing the traffic in the vicinity of a potential service entity, and comparing the observations with traffic patterns stored in memory and which characterize known attacks.
  • the detection methods of the first family are particularly suitable for intrusion detection and non-flood-based denial of service detection of service entities.
  • the invention further relates to the second family which relates to anomaly detections.
  • An anomaly is a traffic assessment that does not conform to a set of acceptable normal traffic evaluations. All eligible assessments are determined a priori using rules and expert knowledge. There are several types of rules, such as an access control list and security policies, set by the operator or the customer who owns a service entity. These rules define characteristics that normal traffic must satisfy or otherwise not satisfy. However, these rules are insufficient: The most sensitive service entities most targeted by cybercrime are also the most difficult to protect a priori; in particular, the traffic of service entities whose clients are not known in advance is treated, and the rules that can be set a priori are limited.
  • An attack can indeed comply with most rules set a priori in the form of the traffic that the attack sends to flood the service entity. To avoid this, it is necessary to fix in addition threshold type rules on volume components of the traffic. For good detection quality, these thresholds must take into account the traffic of the service entity in normal times, which implies a phase of learning of normal traffic by the detection method, the success of the attack being based the amount of attack traffic actually reached at the service entity for processing. If the rules are traffic thresholds, their effectiveness and relevance depends on the difference between these thresholds and the activity of the service at the time of the attack. It is therefore important that such rules take into account the activity of the service, and rules defined a priori are insufficient.
  • the detection of behavioral anomalies consists in modeling the activity of the service entity to be protected by observing it and modeling its behavior. Few known anomaly detection methods are specifically oriented towards flood attacks. Given evaluations and a behavioral model of the service entity, these methods use statistical variables to predict the next assessment (s). If the next effective evaluations deviate significantly from the predicted estimates, then an alert is reported. However, these anomaly detection methods also detect attacks other than flood attacks, inducing a loss of processing time by the security operator.
  • the purpose of the invention is to statically detect near a service entity to protect behavioral anomalies both in the traffic directed towards this service entity and in the traffic that comes from it, without necessarily having to use predetermined rules for normal traffic. nor a prediction of evaluations of statistical variables, so as to report very quickly and precisely a flood denial of service attack.
  • a method for detecting anomalies in the traffic supported by a transmission link and relating to a service entity, including previously a modeling of the normal activity of the service entity is characterized in that the model provides at least one model for a volume component of the traffic, each model comprising a validity period, statistical values relating to said volume component during said validity period and a compliance threshold dependent on the statistical values, said method comprising for minus a volume component assessment at a later date, a determination of a deviation of the assessed volume component from the volume component model and having a validity period that includes substantially the date of the assessment, and a determination of an alert value according to the deviation of at least one volume component.
  • the invention detects and characterizes a flood denial of service attack to protect the service entities of an operator or its customers for example.
  • the invention characterizes it by deviations of the assessed volume components that represent an abnormal dispersion of the assessed volume components compared to heterogeneities of the volume components in the normal and as a result of the averages of the volume components in these models.
  • the invention quantifies the anomaly to be detected by the alert value dependent on deviations of the volume components for the evaluation and previous evaluations thereof.
  • the invention makes it possible to detect an abnormal activity in the traffic of the service entity when the alert value exceeds a level predetermined alert.
  • the conformity of a volume component evaluation is assessed, contrary to the prior art, according to the date of this evaluation; it is thus possible to take advantage of the normal variation of the traffic over a certain period, for example during a day.
  • volume components may relate to the traffic destined for the service entity to be protected, or to the traffic originating from this entity, or both of these traffics at the same time.
  • the detection of behavioral abnormalities according to the invention is "static" in that it relies on stable periods of activity for the monitored service entity, and that it determines relevant models for the detection comprising values statistics relating to the volume components constituting static variables and therefore stationary over time.
  • the modeling comprises periodic evaluations of voluminal components relating to the service entity's traffic for several predetermined durations, a determination of periods of stable activity of the service entity recursively by determining statistical values. of each volume component and partitioning the values of the volume components during each predetermined time based on the statistical values into clusters of which the most heterogeneous is selected and partitioned into other clusters and so on until the last cluster selected have a heterogeneity below a predetermined heterogeneity threshold, and a determination of several statistical values and a compliance threshold for each of the volume components and for each of the clusters, each model thus gathering a cluster of evaluations of a respective volume component for a period of one year. period of validity.
  • the invention provides for updating of models to periodically replace current old models relating to the service entity with the service entity. updated models based on recent values of the volume components associated with the service entity.
  • the recent values of the evaluated volume components are purged of any value that has led to the signaling of an abnormal activity.
  • the invention also relates to a device for detecting anomalies in the traffic supported by a transmission link and relating to a service entity, the normal activity of the service entity being previously modeled, and a traffic probe including the device. to detect anomalies.
  • the device is characterized in that it comprises means for modeling the normal activity of the service entity by at least one model for a volume component of the traffic, each model comprising a period of validity, statistical values relating to said volume component during said validity period and a compliance threshold dependent on the statistical values, means for determining for at least one volume component evaluation at a later date, a deviation of the evaluated volume component from the volume component model and having a validity period substantially including the date of the evaluation, and a means for determining an alert value based on the deviation of at least one volume component.
  • the invention relates to a computer program adapted to be implemented in an anomaly detection device according to the invention.
  • the program comprises instructions which, when the program is loaded and executed in said device, perform the steps of the method of detecting anomalies according to the invention.
  • FIG. 1 is a schematic block diagram of a device for detecting static anomalies in an internet type network, according to the invention.
  • FIG. 2 is an algorithm of the static anomaly detection method according to the invention.
  • a device for detecting static anomalies DD is included in a traffic probe and serves substantially software-based agent for inhibiting attacks against SE service entities in a high speed packet telecommunication network RT managed by an operator according to the IP ("Internet Protocol").
  • IP Internet Protocol
  • Data is transmitted in a transmission link LT of the RT network constituting part of the Internet.
  • the data are, for example, contained in packets transmitted by TC client terminals and intended for SE service entities comprising web servers.
  • the transmission link LT is located near the service entities SE whose traffic is to be monitored by the probe so that the latter detects anomalies in the traffic which characterize abnormal behavior of the service entity clients, particularly attacks by flood of service entities.
  • the transmission link LT to which the probe is connected in listening according to FIG. 1 is located in the network RT at the point of entry of one or more service entities on the network, between the network RT and the network. last RO router of the network operator RT preceding a router connected to an service entity SE.
  • the probe is not connected to a client link between the RO router and the SE service entity whose traffic may already be congested due to the limited capacity of the client link.
  • the probe is cut-off to the transmission link LT to also remove abnormal packets for one or more monitored service entities.
  • the detection device DD reports an alert from the observation of the traffic relating to the entity or the service entities in the link LT so that the operator takes appropriate measures to counter an attack directed at the entity or service entities.
  • the probe issues alerts from listening to traffic at a point of the network RT.
  • the static detection device DD may be in the form of a computer or a workstation, or a local or distributed computer system.
  • the device DD comprises the following modules: a human-machine management interface HMI, local or remote, including including a keyboard and a screen, to activate the device automatically or manually by an operator and in particular to enter service entity identifiers and characteristics, select data for detection and read alerts; a service entity declaration module DEC for selecting a portion of the traffic to be monitored in the link LT which is intended for SE service entities to be protected; a MED mediated listening module according to Figure 1, or alternatively cut to the transmission link LT to evaluate volume components of traffic; a MOD modeling module that constructs normal activity models for the service entities to be protected based on traffic volume component values evaluated by the MED mediation module to produce models static behavior for each protected service entity and for each volume component; a DB database for recording models relating to the volume components of the service entities; an EXP expert module to introduce expert knowledge about the models relating
  • HMI human-machine management
  • the method of static detection of traffic anomalies is implemented in the detection device DD and comprises three main stages E1, E2 and E3, as shown in FIG. 2.
  • the steps E1, E2 and E3 comprise respectively sub-steps ElO to E12, E20 to E29 and E30 to E35.
  • Sub-stages are also indicated in FIG. 1 at the level of links between modules of the detection device DD intervening for the execution of these substeps.
  • the first step E1 includes a declaration of the service entities OS to be explicitly protected by the operator, which defines a set of services to be protected provided by these entities.
  • the second step E2 models the static activity of the service entities SE to be protected. She constructs behavioral models that reflect normal service entity activity as a result of normal use by their customers. Step E2 therefore considers the specificities of each of the service entities to be protected. Predetermined volume components for detecting anomalies are predetermined for each service entity to be protected. Then, the normal activity of each service entity is modeled according to the predetermined volume components that are evaluated in dependence on the actual traffic and stored in the DB database. This first modeling considers each "evaluation” or "aggregation of evaluations" as a point in a space having as dimension the number of volume components considered for a given service entity. Then, the activity of each service entity is "split" into several time models during which the activity of the service entity is considered stable, and which are associated with clusters (clouds) separated from points present in the service entity. dimension space P.
  • the third step E3 detects abnormal activity in the monitored traffic in the service entity LT link.
  • Step E3 tests whether the evaluations of the volume components of traffic correspond to models.
  • Step E3 can also test whether the appearance of the evaluations of the volume components in particular with respect to an order of evaluations in the models and time references, for example expressed in hours, days of the week and months, is admissible or not to using graphs defining permissible transitions or not between two models and data contained in the models produced in the modeling step E2.
  • the detection step E3 provides a vector of deviation from the modeled values.
  • the operator defines SE service entities that he wishes to protect in the declaration module DEC via the human-machine interface HMI.
  • the DEC module thus selects a portion of the traffic in the link LT which is intended for each declared service entity.
  • the operator explicitly defines service entities by entering identifiers and characteristics of the service entities to be protected transmitted to the DEC, or by entering identifiers of the service entities passed to the DEC that reads characteristics of the selected service entities in correspondence with the identifiers of the entities in a prerecorded list in a database in connection with the link LT.
  • the characteristics identifying a service entity are for example triplets.
  • the feature triple of a service entity includes a destination address or IP destination address class, a transport protocol, and a port.
  • Service entity identifiers may also be specialized, for example, the feature triplets themselves. For example, a declared service entity has a triplet of characteristics (IP destination address, T transport protocol (s), port (s)
  • IP destination address which is in the format 'wxyz / m', with w, x, y and z between 0 and 255, and m between 0 and 32, and possibly assigned a mask according to the notation CIDR
  • 159.151.254.0/25 means the address 159.151.254.0 at the address 159.151.254.127 since 2 32 - 2 25 -
  • "Supplementary" service entities may be implicitly declared as a result of the explicit declaration of the service entities to be protected.
  • An implicit supplementary service entity may be a service entity declared by default to cover attacks on specific protocols, such as undesirable traffic using the Internet Control Message Protocol (ICMP).
  • An implicit supplementary service entity may be constructed as a complement to at least one declared service entity having an IP address, and relating to traffic other than those relating to services hosted by the declared service entity but having said IP address. and for example different ports.
  • Complementary service entities are automatically inferred from the characteristics of the service entities declared to synthesize the LT link activity of the network that is not explicitly declared by the operator.
  • the supplementary service entities to be protected have characteristic triplets (IP destination address, T transport protocol (s), all ports except P) and (IP destination address, transport protocol (s) except T, port (s) ) P).
  • the declaration of service entities is automatic thanks to a listening of the traffic in the link LT by the declaration module DEC.
  • the DEC module is connected in listening mode according to FIG. 1.
  • the DEC module establishes a list of the service entities requested by the packets that pass in the link LT and classifies these service entities by frequency of appearance of the packets intended these entities, in order to obtain a pre-list of service entities. Then, this list is automatically reduced in order, for example, to keep in memory of the DEC module only the service entities requested by more than 1% of the packets, or is modified by the operator.
  • the list thus established is the list of service entities to be protected.
  • the modeling module MOD is initialized by receiving the list of identifiers of the service entities to be protected provided by the declaration module DEC.
  • the MOD module receives the list automatically at the sub-step ElI, or alternatively after validation of the operator via the HMI interface in the substep Ella.
  • the MOD modeling module For each service entity to be protected, the MOD modeling module associates default traffic evaluation parameters which are a granularity and a default list of volume components of traffic to, or possibly originating from, the service entity. SE service.
  • the granularity defines a service entity traffic evaluation period and may be a default value dependent on a feature of the service entity. For example, granularity is
  • the volume components of traffic in the default list are characteristics that can be read from network and transport layer information and aggregated as counter counts reset at each traffic evaluation period defined by granularity.
  • the volume components are for example: at the level of the IP network layer: the volumetry expressed by a traffic rate in bytes per second, the volubility expressed by a packet traffic rate per second, the connectivity expressed by a number of different source addresses in packets destined for the service entity, and fragmentation expressed as a fragmented packet rate as a function of the DF and MF bits in the flag field of the header of an IP packet; and at the Transmission Control Protocol (TCP) level: the connection opening expressed by a packet rate including a SYN control bit at "1", the "stress” expressed by a packet rate including a PUSH control bit at "1" indicating that the data is to be transferred to the upper layer, the urgency expressed by a packet rate including an urgency message control bit URG to "1", and the
  • a volume component to be evaluated on a HyperText Transfer Protocol (HTTP) service is the number of requests on a specific method, such as the 'GET' method, the number of requests to CGI (Common Gateway Interface) pages, PHP (Personal). Home Page), a Java Server Page (JSP), or a 2xx, 3xx, 4xx, or 5xx error code returned by the server involving a return traffic measurement, or the version of the protocol used (0.9, 1.0, 1.1) .
  • HTTP HyperText Transfer Protocol
  • the operator can manually modify the list of solid components as well as any other evaluation parameter that has taken a default value, such as granularity.
  • the module MOD transmits a list of the service entities, possibly after validation of the operator, the MED mediation module of the DD device.
  • the service entity list shall include the identifier and characteristics of the service entity and the volume components of the traffic necessary for modeling to that from these volume components, the MOD module produces a model of static behavior of the service entity.
  • the mediation module MED extracts from each relevant packet captured in the link LT and intended for an identified service entity to protect, in particular the address of IP source, the IP destination address, the transport protocol field value, the source port, the destination port, the total packet length in bytes, the flag field with the fragmentation bits, and the TCP flag list , to evaluate the volume components.
  • the MED module For each service entity, the MED module comprises COM counters which respectively count, for example, bytes, packets, predetermined source addresses and predetermined control bits to express the volume components, and which are thus assigned to the evaluation. the volume components of the service entity.
  • the counters are reset regularly to the evaluation period according to the granularity, for example of the order of a few seconds, typically 10 seconds.
  • Each volume component evaluation is time stamped with the start date of the period.
  • the meter counts constitute values of the requested traffic volume components that are aggregated, formatted and provided by the MED module to the MOD module.
  • the volume components provided by the MED module are temporarily stored in an evaluation database included in the MOD module.
  • the MOD module processes a series of sets of volume component values that have been evaluated for a predetermined duration which is much greater than the granularity evaluation period adopted for the aggregation of the volume components. or else defined by the operator.
  • the predetermined duration for raising the volume components is between one week and at least one month.
  • the set of predetermined times during which the counts of the COM counters are read and supplied to the MOD module to perform the first modeling during the start of the detection device DD is called the learning phase. From these volume components evaluated during the learning phase for the service entities to be protected, the module MOD produces models of static behavior of each protected service entity, as explained below.
  • the module MOD recursively determines breaking points in the following sets of volume components during the learning phase, in order to determine periods of stable activity called clusters, in the substep E21.
  • the MOD modeling module defines periods of stable activity on which the clusters extend.
  • the modeling is based on a hybrid approach based on both an a priori definition and a posteriori definition of the behavior period of the clusters.
  • the assessed volume components are first grouped into distinct clusters according to their day of the week. Then for each day of the week, a partitioning analysis discovers the distinct periods of activity, with a high limit on the number of clusters thus discovered which are sufficiently distinct from one another. This limit is derived from the desired modeling finesse.
  • the number of possible clusters in a day can be limited to a minimum number, and / or the duration of each cluster at the time level can be limited to a minimum duration.
  • the recursion of the modeling includes for example a centering-reduction of each x of the volumetric components evaluated in the initial cluster of a day by determining statistical values of the volume component, such as the average of the evaluated values of the volume component and the the standard deviation of the volume component, and replacing each value of the volume component with an evaluation ratio of the difference between that value and the average of the standard deviation so that the average of the ratios relating to the volume component is null and their standard deviation equals 1. Euclidean distances between ratios of two evaluations for all volume components are determined.
  • the initial cluster is partitioned into clusters of which the most heterogeneous is partitioned into other clusters, and so on.
  • signed functions are evaluated each equal to a sum of the reports for all the volumic components relating to the assessments included in the cluster.
  • Each sign change in the time series of the signed functions related to the assessments included in the cluster is characterized by a product of the signed functions relating to two successive evaluations that is negative. The sign change indicates a separation breaking the series between the end of a new cluster and the beginning of a new next cluster in the cluster to be partitioned.
  • a heterogeneity is estimated equal to the sum of the squares of the Euclidean distances between the center of this new cluster and the reports relating to all the volume components and evaluations in this new cluster.
  • the cluster with the highest heterogeneity is then selected to be partitioned into clusters in order to select the most heterogeneous cluster as before, until the heterogeneity of a selected cluster is less than a threshold. predetermined heterogeneity.
  • the MOD module produces a set of clusters that include consecutively evaluated sets of volume components having permissible heterogeneity.
  • the preliminary recognition of stable behaviors thus separates the initial cluster of values of the volume components evaluated during the learning phase into the most homogeneous clusters possible.
  • Each cluster corresponds to a validity period included in a predetermined period such as a day. As a result, for a learning phase over several weeks, each day has a set of clusters.
  • the module MOD calculates statistical values, for example the mean ⁇ x , the standard deviation ⁇ x , the population equal to the number of components. evaluations in the cluster and a compliance threshold S x depending on the calculated previous statistical values.
  • the compliance threshold S x for a volume component x is for example equal to the sum of the average ⁇ x of the volume component and the product of the standard deviation ⁇ x of the volume component by the square root of the ratio of the heterogeneity of the cluster at the end of the partitioning on the number of evaluations in the cluster.
  • the MOD module gathers each cluster and each volume component x to produce a model which is a list including the identifier of the service entity, a validity period calculated from the start dates and end of assessments that are in the cluster, such as Monday between 9:00 am and 10:30 am, cluster granularity, model creation date, volume component designation x, and statistical values, such as mean ⁇ x and the standard deviation ⁇ x , relative to the volume component x in the cluster, and the compliance threshold S x depending on the statistical values preceding and relating to the volume component.
  • the cluster is thus defined by the data of the models of the different volume components, and the evaluations that led to its creation can be erased in the MOD module.
  • the templates of all the clusters are transferred to the DB database which stores them in the substep E24 and / or the expert module EXP described later in the substep E25.
  • the MOD modeling module includes a MAM model update sub-module that periodically reads the current old models relating to a given service entity in the DB to provide updated models replacing the current old models.
  • This model replacement is intended to reflect the potential evolution of customer usage for communication with SE protected service entities and thus the evolution of the actual LT link traffic between TC terminals and protected service entities.
  • the updating period may be a duration substantially equal to that of the learning phase.
  • the MOD module produces updated models based on recent values of the volumic components associated with the service entity, evaluated with the granularity defined in said current models and provided by the MED module since the last update, as in step E20.
  • Recent values of the volumetric components evaluated are first temporarily stored in the evaluation database and then purged of any value that led to the generation of an alert and therefore to the reporting of an activity.
  • abnormal of the service entity verifying that these recent values are consistent with existing old models, that is to say that they do not trigger an alert by applying a detecting function detailed below.
  • the purification can however be skipped by decision of the operator or according to the definition of different modes of updating: for example an "obsolete” mode for which the purification is skipped, and a "normal” mode for which the purification is performed.
  • the MAM submodule introduces the recently evaluated value of the volume component into the set of the volume component values of any associated model whose validity period substantially includes the evaluation date of the recent value of the volume component.
  • the statistical values of the volume component such as the mean, the dispersion represented by the standard deviation and the population, and the conformity threshold for the volume component associated with the model are updated by the submodule MAM according to the recent value of the volume component.
  • the MAM update submodule updates the statistical values including the compliance threshold by applying a weighting to the values of the volume component of the current old model.
  • Population weighting depends on the values of the volume component of the old model, which is a priori different from the population of the recently assessed volume component values due to the treatment.
  • the weighting in the submodule MAM depends on the creation date of the current old model to give less weight to the old model. current; for example, the "population" parameter is divided by a coefficient that increases with an age of the current old model.
  • the MOD module establishes an age of each registered model expressed in number of days, in association with the identifier of the service entity, the validity period (start and end times of a day of the week or of the month) and an integer phase code indicating whether the model is being built during the learning phase, in use for detection, or temporarily disabled, or has generated a recent alert.
  • the updated templates are transferred to the DB database, which records them as in substep E24 and / or the EXP expert module as in substep E25, to replace and delete the current old templates.
  • each modeling E23 is possibly introduced expert knowledge by the EXP expert module.
  • the expert module EXP processes the models transmitted by MOD module after the modeling and concerning a service entity or several service entities having common characteristics such as an IP address.
  • the EXP module creates, from the current models, advanced conformance schemes that are used in conjunction with the models in the E3 detection step.
  • the EXP module creates a PLC whose summits of the eligibility graph are the models relating to the service entity and the granularity and whose oriented edges of the eligibility graph form a rule base. For example, an edge between model states ETa and ETb is associated with a rule of the type "there is a transition from the state ETa to the state ETb if the validity period of the model associated with the state ETa immediately precedes the validity period associated with the ETb "state.
  • the operator can modify the PLC by adding other edges.
  • the resulting automaton is associated with each service entity model for granularity and is stored in the DB database at a substep E28.
  • the EXP module is activated only when the operator activates the detection module DET.
  • the EXP module then reads from the DB database the models associated with the evaluation parameters of the requested detection, and requires the modifications and validation of the eligibility graph by the operator, before sending the PLCs associated with the DET module to the substep E29.
  • the abnormal activity detection step E3 comprises initialization substeps E30 to E32 and comparison sub-steps to the models E33 to E35.
  • the DET anomaly detection module is activated either automatically after the substeps E24 and E25 of the learning phase, that is to say after the first modeling, or by the operator via the human interface. HMI machine. At the sub-stage
  • the DET module receives from the declaration module
  • the DET module reads in the DB database all the current models corresponding to the parameters, and if for a service entity no granularity is mentioned, the DET module calls in the database DB the current models and therefore the most recent for this service entity and reads their granularities.
  • the DET module has the list of service entities to protect and current models relevant for detection.
  • the DET module loads and stores all these current models in RAM.
  • the identifier and characteristics of the service entity and the traffic evaluation parameters of that entity necessary for the detection and contained in the templates shall, after modification and possible validation by the operator, subsequently applied by the DET module to the mediation module MED, in the substep E31.
  • the mediation module MED In response to the characteristics and parameters of the service entity, the mediation module MED periodically delivers to the detection module DET an evaluation of the traffic intended for the service entity, in the substep E32.
  • This assessment includes the counts of the COM meters that are assigned to the evaluation of the service entity's volumic components and that are periodically reset to the evaluation period according to the requested granularity for the service entity.
  • the valued components of the service entity have "instantaneous" values expressed by the accounts of the respective counters COM which are issued by the module MED to be processed by the DET detection module.
  • the DET module calls the current models relating to the volume components.
  • Each volume component may be associated with at least one current model of normal activity transferred from the base BD into the RAM.
  • the current model of normal activity is considered relevant if it has a validity period including the date of the evaluation with more or less a time window and therefore during which the evaluation was carried out within the time window.
  • the time window makes it possible to compensate for a normally normal traffic activity that intervenes in a manner substantially offset in time, and thus avoids false alarms.
  • the DET determines a deviation D x of the evaluation with respect to each relevant current activity model.
  • the deviation D x is for example the ratio between the distance (absolute value of the difference) between the instantaneous value x of the evaluated volume component and its mean ⁇ x in the model, and the distance (absolute value of the difference) between the compliance threshold S x in the model and the mean ⁇ x in the model.
  • the DET module also determines a DG global deviation as a function of the deviations for the assessed volume components, for example equal to the root mean square of the deviation values.
  • the DET module benefits from expert knowledge to reduce the number of false positives that should lead to alerts that are not.
  • the expert knowledge depends on the statistical values of close models, that is to say whose distance in the graph to said current model is small, such as the models separated from the current model by an edge, and whose validity periods are few away from the evaluation date of the deviation value of the volume component associated with the current model, so that the expert knowledge is used to refine, for example decrease, the deviation value.
  • the value of the compliance threshold S c of the model can for example be replaced by the greatest of the conformity thresholds in the models close to said current model.
  • the DET module groups the values of the deviations D x of the volume components and of the global deviation DG in an alert vector which thus represents the more or less pronounced similarity of the evaluation to current models relevant to this assessment.
  • the alert vector is delivered to the ALE alert module responsible for the output of alerts.
  • the ALE alert module determines a global alert value by examining said alert vector. If the global alert value exceeds a predetermined alert level, the ALE module reports abnormal activity in the service entity SE traffic by transmitting an alert to the operator via the HMI interface, and / or to an external device.
  • the transmitted alert is accompanied by the values of the volume components of the evaluation that triggered the alert, compliance thresholds relevant at the time of the evaluation, and a type of alert depending on the values of the deviations of the volume components.
  • the method of detecting anomalies according to the invention is provided to be able to detect anomalies relating to the traffic of several service entities supported by the transmission link.
  • each service entity is declared by a destination address, at least one transport protocol and at least one port and a list of volume components to be evaluated according to a predetermined evaluation period.
  • the invention described herein relates to a method and a computing device DD for detecting anomalies in the traffic supported by the transmission link and relating to one or more service entities SE.
  • the steps of the method of the invention are determined by the instructions of a computer program incorporated in the computing device.
  • the program comprises program instructions which, when said program is loaded and executed in the device, whose operation is then controlled by the execution of the program, carry out the steps of the method according to the invention.
  • the invention also applies to a computer program, including a computer program on or in an information carrier, adapted to implement the invention.
  • This program can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code such as in a form partially compiled, or in any other form desirable for implementing the method according to the invention.
  • the information carrier may be any entity or device capable of storing the program.
  • the medium may comprise storage means or recording medium, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or a USB key, or a magnetic recording means, for example a floppy disk or a hard disk.
  • the information medium may be a transmissible medium such as an electrical or optical signal, which may be conveyed via an electrical or optical cable, by radio or by other means.
  • the program according to the invention can in particular be downloaded to an Internet type network.
  • the information carrier may be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in carrying out the method according to the invention.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Traffic Control Systems (AREA)

Abstract

The invention concerns a device for fast detection of anomalies in the traffic (LT) concerning at least one service entity (SE) following an attack of denial of service by flooding, wherein a module (MOD) provides a model of the normal activity of the entity through models for volume components of the traffic. Each model comprises a period of validity, statistical values and a conformity threshold dependent on the statistical values. A module (DET) determines for at least one evaluation of volume component at a later date a deviation of the volumic component relative to the model of the volume component and having a period of validity including the evaluation date. A module (ALE) determines a global alarm based on the deviation of the volume components for evaluation and signals an abnormal activity if the global alarm value exceeds a predetermined alarm value.

Description

Détection statique d'anomalies dans le trafic relatif à une entité de serviceStatic detection of anomalies in traffic relating to a service entity
La présente invention se rapporte au domaine de la sécurité des réseaux et aux attaques de type déni de service par inondation. Plus particulièrement elle a trait à une détection d'anomalies dans le trafic supporté par une liaison de transmission et relatif à au moins une entité de service.The present invention relates to the field of network security and flood denial of service attacks. More particularly, it relates to an anomaly detection in the traffic supported by a transmission link and relating to at least one service entity.
Les réseaux de télécommunications, comme 1' internet, transmettent des données entre différentes entités de service, via une infrastructure commune. Une entité de service connectée à un tel réseau répond à des requêtes de terminaux de clients en leur fournissant un service, c'est-à-dire en effectuant des actions bien définies et demandées par les clients . Des entités de service sont par exemple un serveur web, un serveur de contenus ou de streaming proposant un téléchargement de fichiers multimédias ou diffusant des fichiers multimédias, un serveur de messagerie électronique qui relaie des messages, ou un serveur de noms de domaine DNS qui fournit des adresses IP correspondant à des noms de domaine. Ces entités de service sont, dans certains cas, des extrémités du réseau et sont localisées chez des clients d'un opérateur, tandis que d'autres entités de service, tels les serveurs DNS, sont gérées par l'opérateur du réseau lui-même. Une attaque par déni de service est une attaque qui vise à rendre indisponible une entité de service. Il existe plusieurs types d'attaques par déni de service, par exemple des requêtes spécifiques qui attaquent directement le fonctionnement de l'entité de service en lui demandant d'effectuer une action "non conforme" . Parmi les attaques par déni de service, les attaques de type déni de service par inondation consistent à dépasser, et donc à "inonder" la capacité réseau de l'entité de service ou de la liaison de transmission par laquelle l'entité de service est reliée au réseau. Dans les deux cas, des caractéristiques volumiques du trafic réseau à destination de l'entité de service augmentent soudainement . Afin de détecter les attaques par déni de service, il existe deux grandes familles de procédés de détection.Telecommunications networks, such as the Internet, transmit data between different service entities via a common infrastructure. A service entity connected to such a network responds to client terminal requests by providing them with a service, that is, by performing well-defined actions requested by the clients. Service entities are, for example, a web server, a content or streaming server offering a download of multimedia files or broadcasting multimedia files, an e-mail server that relays messages, or a DNS domain name server that provides IP addresses corresponding to domain names. These service entities are, in some cases, endpoints of the network and are located at customers of an operator, while other service entities, such as DNS servers, are managed by the operator of the network itself. . A denial of service attack is an attack that attempts to make a service entity unavailable. There are several types of denial of service attacks, for example specific queries that directly attack the service entity's operation by asking it to perform an action. "improper" . Among the denial of service attacks, flood denial-of-service type attacks consist in exceeding, and thus "flooding", the network capacity of the service entity or the transmission link through which the service entity is connected to the network. In both cases, volume characteristics of the network traffic to the service entity increase suddenly. In order to detect denial of service attacks, there are two major families of detection methods.
La première famille est relative aux détections par signature. Elle consiste à observer de manière continue le trafic à proximité d'une entité de service potentielle, et à comparer les observations avec des motifs de trafic conservés en mémoire et qui caractérisent des attaques connues. Les procédés de détection de la première famille sont particulièrement adaptés à la détection d'intrusion et la détection de dénis de service non basés sur l'inondation des entités de service.The first family is related to signature detections. It consists of continuously observing the traffic in the vicinity of a potential service entity, and comparing the observations with traffic patterns stored in memory and which characterize known attacks. The detection methods of the first family are particularly suitable for intrusion detection and non-flood-based denial of service detection of service entities.
L'invention concerne davantage la deuxième famille qui est relative aux détections d'anomalies. Une anomalie est une évaluation de trafic non conforme à un ensemble d'évaluations de trafic normal admissibles. L'ensemble des évaluations admissibles est déterminé a priori à l'aide de règles et de connaissances expertes. Il existe plusieurs types de règles telles qu'une liste de contrôle d'accès et des politiques de sécurité, fixées par l'opérateur ou le client qui possède une entité de service. Ces règles définissent des caractéristiques que le trafic normal doit satisfaire ou au contraire ne pas satisfaire. Cependant, ces règles sont insuffisantes : les entités de service les plus sensibles et les plus visées par la cyber-criminalité sont aussi les plus difficiles à protéger a priori ; en particulier, on traite le trafic d'entités de service dont les clients ne sont pas connus à l'avance, et les règles que l'on peut fixer a priori sont limitées. Une attaque peut en effet se conformer à la plupart des règles fixées a priori dans la forme du trafic que l'attaque envoie pour inonder l'entité de service. Pour éviter cela, il est nécessaire de fixer en plus des règles de type "seuil" sur des composantes volumiques du trafic. Pour une bonne qualité de détection, ces seuils doivent prendre en compte le trafic de l'entité de service en temps normal, ce qui implique une phase d'apprentissage du trafic normal par le procédé de détection, le succès de l'attaque étant fondé sur la quantité de trafic d'attaque effectivement parvenu à l'entité de service pour traitement. Si les règles sont des seuils de trafic, leur efficacité et leur pertinence dépend de la différence entre ces seuils et l'activité du service au moment de l'attaque. Il est donc important que de telles règles prennent en compte l'activité du service, et des règles définies a priori sont insuffisantes.The invention further relates to the second family which relates to anomaly detections. An anomaly is a traffic assessment that does not conform to a set of acceptable normal traffic evaluations. All eligible assessments are determined a priori using rules and expert knowledge. There are several types of rules, such as an access control list and security policies, set by the operator or the customer who owns a service entity. These rules define characteristics that normal traffic must satisfy or otherwise not satisfy. However, these rules are insufficient: The most sensitive service entities most targeted by cybercrime are also the most difficult to protect a priori; in particular, the traffic of service entities whose clients are not known in advance is treated, and the rules that can be set a priori are limited. An attack can indeed comply with most rules set a priori in the form of the traffic that the attack sends to flood the service entity. To avoid this, it is necessary to fix in addition threshold type rules on volume components of the traffic. For good detection quality, these thresholds must take into account the traffic of the service entity in normal times, which implies a phase of learning of normal traffic by the detection method, the success of the attack being based the amount of attack traffic actually reached at the service entity for processing. If the rules are traffic thresholds, their effectiveness and relevance depends on the difference between these thresholds and the activity of the service at the time of the attack. It is therefore important that such rules take into account the activity of the service, and rules defined a priori are insufficient.
La détection d'anomalies comportementales consiste à modéliser l'activité de l'entité de service à protéger en l'observant et en modélisant son comportement. Peu de procédés de détection d'anomalies connus sont orientés spécifiquement vers les attaques par inondation. Etant donné des évaluations et un modèle de comportement de l'entité de service, ces procédés font appel à des variables statistiques pour prédire la ou les prochaines évaluations . Si les prochaines évaluations effectives divergent significativement des évaluations prédites, alors une alerte est signalée. Cependant ces procédés de détection d'anomalies détectent également des attaques autres que les attaques par inondation, induisant une perte de temps de traitement par l'opérateur de sécurité.The detection of behavioral anomalies consists in modeling the activity of the service entity to be protected by observing it and modeling its behavior. Few known anomaly detection methods are specifically oriented towards flood attacks. Given evaluations and a behavioral model of the service entity, these methods use statistical variables to predict the next assessment (s). If the next effective evaluations deviate significantly from the predicted estimates, then an alert is reported. However, these anomaly detection methods also detect attacks other than flood attacks, inducing a loss of processing time by the security operator.
Par ailleurs sont connus des procédés de détection d'anomalies dédiés à la détection d'attaques par inondation. Mais leur coût est élevé et leurs algorithmes sont maintenus confidentiels. Certains de ces procédés de lutte contre les attaques par inondation sont conçus pour être installés au cœur de réseau et/ou se basent sur des informations basées sur un mécanisme de comptage installé dans des routeurs, lesquelles informations ne caractérisent que très grossièrement les attaques.Furthermore, methods for detecting anomalies dedicated to the detection of flood attacks are known. But their cost is high and their algorithms are kept confidential. Some of these methods for controlling flood attacks are designed to be installed at the core of the network and / or rely on information based on a counting mechanism installed in routers, which information only characterizes the attacks very roughly.
L'invention a pour objectif de détecter statiquement près d'une entité de service à protéger des anomalies comportementales aussi bien dans le trafic dirigé vers cette entité de service que dans le trafic qui en provient, sans recourir nécessairement à des règles prédéterminées pour trafic normal, ni à une prédiction d'évaluations de variables statistiques, de manière à signaler très rapidement et précisément une attaque de type déni de service par inondation.The purpose of the invention is to statically detect near a service entity to protect behavioral anomalies both in the traffic directed towards this service entity and in the traffic that comes from it, without necessarily having to use predetermined rules for normal traffic. nor a prediction of evaluations of statistical variables, so as to report very quickly and precisely a flood denial of service attack.
Pour atteindre cet objectif, un procédé pour détecter des anomalies dans le trafic supporté par une liaison de transmission et relatif à une entité de service, incluant préalablement une modélisation de l'activité normale de l'entité de service, est caractérisé en ce que la modélisation fournit au moins un modèle pour une composante volumique du trafic, chaque modèle comprenant une période de validité, des valeurs statistiques relatives à ladite composante volumique pendant ladite période de validité et un seuil de conformité dépendant des valeurs statistiques, ledit procédé comprenant pour au moins une évaluation de composante volumique à une date ultérieure, une détermination d'une déviation de la composante volumique évaluée par rapport au modèle relatif à la composante volumique et ayant une période de validité incluant sensiblement la date de l'évaluation, et une détermination d'une valeur d'alerte en fonction de la déviation d'au moins une composante volumique.To achieve this objective, a method for detecting anomalies in the traffic supported by a transmission link and relating to a service entity, including previously a modeling of the normal activity of the service entity, is characterized in that the model provides at least one model for a volume component of the traffic, each model comprising a validity period, statistical values relating to said volume component during said validity period and a compliance threshold dependent on the statistical values, said method comprising for minus a volume component assessment at a later date, a determination of a deviation of the assessed volume component from the volume component model and having a validity period that includes substantially the date of the assessment, and a determination of an alert value according to the deviation of at least one volume component.
L'invention détecte et caractérise une attaque de type déni de service par inondation afin de protéger les entités de service d'un opérateur ou de ses clients par exemple. Lorsqu'une attaque de type déni de service par inondation est détectée, l'invention la caractérise par des déviations des composantes volumiques évaluées qui représentent une dispersion anormale des composantes volumiques évaluées comparativement à des hétérogénéités des composantes volumiques dans les modèles d'activité normale et par suite aux moyennes des composantes volumiques dans ces modèles. L'invention quantifie ensuite l'anomalie à détecter par la valeur d'alerte dépendant des déviations des composantes volumiques pour l'évaluation et des évaluations précédentes à celle-ci .The invention detects and characterizes a flood denial of service attack to protect the service entities of an operator or its customers for example. When a flood denial of service attack is detected, the invention characterizes it by deviations of the assessed volume components that represent an abnormal dispersion of the assessed volume components compared to heterogeneities of the volume components in the normal and as a result of the averages of the volume components in these models. The invention then quantifies the anomaly to be detected by the alert value dependent on deviations of the volume components for the evaluation and previous evaluations thereof.
Ainsi, l'invention permet de détecter une activité anormale dans le trafic de l'entité de service lorsque la valeur d'alerte excède un niveau d'alerte prédéterminé. La conformité d'une évaluation de composante volumique est appréciée, contrairement à la technique antérieure, en fonction de la date de cette évaluation ; on peut ainsi avantageusement tenir compte de la variation normale du trafic sur une certaine période, par exemple au cours d'une journée .Thus, the invention makes it possible to detect an abnormal activity in the traffic of the service entity when the alert value exceeds a level predetermined alert. The conformity of a volume component evaluation is assessed, contrary to the prior art, according to the date of this evaluation; it is thus possible to take advantage of the normal variation of the traffic over a certain period, for example during a day.
On notera que, dans le cadre de l'invention, les évaluations de composantes volumiques peuvent porter sur le trafic à destination de l'entité de service à protéger, ou sur le trafic provenant de cette entité, ou sur ces deux trafics à la fois.It should be noted that, in the context of the invention, the evaluations of volume components may relate to the traffic destined for the service entity to be protected, or to the traffic originating from this entity, or both of these traffics at the same time. .
La détection d'anomalies comportementales selon l'invention est "statique" en ce sens qu'elle repose sur des périodes d'activité stables pour l'entité de service surveillée, et qu'elle détermine des modèles pertinents pour la détection comprenant des valeurs statistiques relatives aux composantes volumiques constituant des variables statiques et donc stationnaires dans le temps.The detection of behavioral abnormalities according to the invention is "static" in that it relies on stable periods of activity for the monitored service entity, and that it determines relevant models for the detection comprising values statistics relating to the volume components constituting static variables and therefore stationary over time.
Selon une réalisation préférée, la modélisation comprend des évaluations périodiques de composantes volumiques relatives au trafic de l'entité de service pendant plusieurs durées prédéterminées, une détermination de périodes d'activité stable de l'entité de service de manière récursive en déterminant des valeurs statistiques de chaque composante volumique et en partitionnant les valeurs des composantes volumiques pendant chaque durée prédéterminée en fonction des valeurs statistiques en des clusters dont le plus hétérogène est sélectionné et partitionné en d'autres clusters et ainsi de suite jusqu'à ce que le dernier cluster sélectionné ait une hétérogénéité inférieure à un seuil d'hétérogénéité prédéterminé, et une détermination de plusieurs valeurs statistiques et un seuil de conformité pour chacune des composantes volumiques et pour chacun des clusters, chaque modèle rassemblant ainsi un cluster d'évaluations d'une composante volumique respective pendant une période de validité respective. Selon des dispositions particulières, afin d'assurer une détection efficace des anomalies lorsque le trafic normal relatif à l'entité de service évolue, l'invention prévoit une actualisation de modèles pour remplacer périodiquement des modèles anciens courants relatifs à l'entité de service par des modèles actualisés en fonction de valeurs récentes des composantes volumiques associées à l'entité de service. Avantageusement, les valeurs récentes des composantes volumiques évaluées sont épurées de toute valeur ayant conduit au signalement d'une activité anormale.According to a preferred embodiment, the modeling comprises periodic evaluations of voluminal components relating to the service entity's traffic for several predetermined durations, a determination of periods of stable activity of the service entity recursively by determining statistical values. of each volume component and partitioning the values of the volume components during each predetermined time based on the statistical values into clusters of which the most heterogeneous is selected and partitioned into other clusters and so on until the last cluster selected have a heterogeneity below a predetermined heterogeneity threshold, and a determination of several statistical values and a compliance threshold for each of the volume components and for each of the clusters, each model thus gathering a cluster of evaluations of a respective volume component for a period of one year. period of validity. According to particular arrangements, in order to ensure effective detection of anomalies when the normal service entity traffic changes, the invention provides for updating of models to periodically replace current old models relating to the service entity with the service entity. updated models based on recent values of the volume components associated with the service entity. Advantageously, the recent values of the evaluated volume components are purged of any value that has led to the signaling of an abnormal activity.
L'invention concerne également un dispositif pour détecter des anomalies dans le trafic supporté par une liaison de transmission et relatif à une entité de service, l'activité normale de l'entité de service étant préalablement modélisée, et une sonde de trafic incluant le dispositif pour détecter des anomalies. Le dispositif est caractérisé en ce qu'il comprend un moyen pour modéliser l'activité normale de l'entité de service par au moins un modèle pour une composante volumique du trafic, chaque modèle comprenant une période de validité, des valeurs statistiques relatives à ladite composante volumique pendant ladite période de validité et un seuil de conformité dépendant des valeurs statistiques, un moyen pour déterminer pour au moins une évaluation de composante volumique à une date ultérieure, une déviation de la composante volumique évaluée par rapport au modèle relatif à la composante volumique et ayant une période de validité incluant sensiblement la date de l'évaluation, et un moyen pour déterminer une valeur d'alerte en fonction de la déviation d'au moins une composante volumique .The invention also relates to a device for detecting anomalies in the traffic supported by a transmission link and relating to a service entity, the normal activity of the service entity being previously modeled, and a traffic probe including the device. to detect anomalies. The device is characterized in that it comprises means for modeling the normal activity of the service entity by at least one model for a volume component of the traffic, each model comprising a period of validity, statistical values relating to said volume component during said validity period and a compliance threshold dependent on the statistical values, means for determining for at least one volume component evaluation at a later date, a deviation of the evaluated volume component from the volume component model and having a validity period substantially including the date of the evaluation, and a means for determining an alert value based on the deviation of at least one volume component.
Enfin, l'invention se rapporte à un programme d'ordinateur apte à être mis en œuvre dans un dispositif de détection d'anomalies selon l'invention. Le programme comprend des instructions qui, lorsque le programme est chargé et exécuté dans ledit dispositif, réalisent les étapes du procédé de détection d'anomalies selon l'invention.Finally, the invention relates to a computer program adapted to be implemented in an anomaly detection device according to the invention. The program comprises instructions which, when the program is loaded and executed in said device, perform the steps of the method of detecting anomalies according to the invention.
D'autres caractéristiques et avantages de la présente invention apparaîtront plus clairement à la lecture de la description suivante de plusieurs réalisations préférées de l'invention, données à titre d'exemples non limitatifs, en référence aux dessins annexés correspondants dans lesquels :Other features and advantages of the present invention will emerge more clearly on reading the following description of several preferred embodiments of the invention, given by way of non-limiting examples, with reference to the corresponding appended drawings in which:
- la figure 1 est un bloc-diagramme schématique d'un dispositif de détection d'anomalies statique dans un réseau de type internet, selon l'invention; et - la figure 2 est un algorithme du procédé de détection d'anomalies statique selon l'invention.FIG. 1 is a schematic block diagram of a device for detecting static anomalies in an internet type network, according to the invention; and FIG. 2 is an algorithm of the static anomaly detection method according to the invention.
En référence à la figure 1, un dispositif de détection d'anomalies statique DD selon l'invention est inclus dans une sonde de trafic et fait office d'agent essentiellement logiciel pour inhiber des attaques contre des entités de service SE dans un réseau de télécommunications par paquets à débit élevé RT géré par un opérateur selon le protocole IP ("Internet Protocol"). Des données sont transmises dans une liaison de transmission LT du réseau RT constituant une partie de l' internet. Les données sont par exemple contenues dans des paquets transmis par des terminaux de client TC et destinées aux entités de service SE comprenant des serveurs web. La liaison de transmission LT est située à proximité des entités de service SE dont le trafic est à surveiller par la sonde afin que celle-ci détecte des anomalies dans le trafic qui caractérisent des comportements anormaux des clients des entités de service, particulièrement des attaques par inondation des entités de service.With reference to FIG. 1, a device for detecting static anomalies DD according to the invention is included in a traffic probe and serves substantially software-based agent for inhibiting attacks against SE service entities in a high speed packet telecommunication network RT managed by an operator according to the IP ("Internet Protocol"). Data is transmitted in a transmission link LT of the RT network constituting part of the Internet. The data are, for example, contained in packets transmitted by TC client terminals and intended for SE service entities comprising web servers. The transmission link LT is located near the service entities SE whose traffic is to be monitored by the probe so that the latter detects anomalies in the traffic which characterize abnormal behavior of the service entity clients, particularly attacks by flood of service entities.
Par exemple, la liaison de transmission LT à laquelle la sonde est connectée en écoute selon la figure 1, est située dans le réseau RT au point d'entrée d'une ou plusieurs entités de service sur le réseau, entre le réseau RT et le dernier routeur RO de l'opérateur du réseau RT précédant un routeur relié à une entité de service SE. La sonde n'est pas connectée à une liaison du client entre le routeur RO et l'entité de service SE dont le trafic pourrait être déjà congestionné à cause de la capacité limitée de la liaison du client.For example, the transmission link LT to which the probe is connected in listening according to FIG. 1, is located in the network RT at the point of entry of one or more service entities on the network, between the network RT and the network. last RO router of the network operator RT preceding a router connected to an service entity SE. The probe is not connected to a client link between the RO router and the SE service entity whose traffic may already be congested due to the limited capacity of the client link.
En variante, la sonde est connectée en coupure à la liaison de transmission LT de manière également à retirer des paquets anormaux destinés à une ou plusieurs entités de service surveillées.Alternatively, the probe is cut-off to the transmission link LT to also remove abnormal packets for one or more monitored service entities.
Le dispositif de détection DD signale une alerte à partir de l'observation du trafic relatif à l'entité ou les entités de service dans la liaison LT afin que l'opérateur prenne des mesures adéquates pour contrer une attaque dirigée vers l'entité ou les entités de service.The detection device DD reports an alert from the observation of the traffic relating to the entity or the service entities in the link LT so that the operator takes appropriate measures to counter an attack directed at the entity or service entities.
Quelle que soit l ' implémentation de la sonde, limitée ou non au dispositif de détection statique de l'invention, la sonde émet des alertes à partir de l'écoute du trafic en un point du réseau RT.Whatever the implementation of the probe, limited or not to the static detection device of the invention, the probe issues alerts from listening to traffic at a point of the network RT.
Comme montré à la figure 1, le dispositif de détection statique DD peut être sous la forme d'un ordinateur ou d'une station de travail, ou d'un système informatique local ou réparti. En relation avec l'invention, le dispositif DD comprend les modules suivants : une interface homme - machine de management IHM, locale ou éloignée, incluant notamment un clavier et un écran, pour activer le dispositif automatiquement ou manuellement par un opérateur et saisir notamment des identificateurs et caractéristiques d'entité de service, sélectionner des données pour la détection et lire des alertes; un module de déclaration d'entité de service DEC pour sélectionner une partie du trafic à surveiller dans la liaison LT qui est destinée à des entités de service SE à protéger; un module de médiation MED connecté en écoute selon la figure 1, ou en coupure en variante, à la liaison de transmission LT afin d'évaluer des composantes volumiques de trafic; un module de modélisation MOD qui construit des modèles d'activité normale pour les entités de service à protéger en fonction de valeurs de composantes volumiques de trafic évaluées par le module de médiation MED afin de produire des modèles de comportement statique pour chaque entité de service protégée et pour chaque composante volumique; une base de données DB pour enregistrer des modèles relatifs aux composantes volumiques des entités de service; un module expert EXP pour introduire des connaissances expertes sur les modèles relatifs à chaque entité de service; un module de détection d'anomalies DET détectant des anomalies dans le trafic observé destiné aux entités de service à protéger, anomalies qui sont décelées sous forme de déviations anormales de composantes volumiques de trafic évaluées par le module de médiation MED par rapport à des modèles d'activité normale; et un module d'alerte ALE délivrant des alertes suite à des déviations anormales de composantes volumiques .As shown in FIG. 1, the static detection device DD may be in the form of a computer or a workstation, or a local or distributed computer system. In connection with the invention, the device DD comprises the following modules: a human-machine management interface HMI, local or remote, including including a keyboard and a screen, to activate the device automatically or manually by an operator and in particular to enter service entity identifiers and characteristics, select data for detection and read alerts; a service entity declaration module DEC for selecting a portion of the traffic to be monitored in the link LT which is intended for SE service entities to be protected; a MED mediated listening module according to Figure 1, or alternatively cut to the transmission link LT to evaluate volume components of traffic; a MOD modeling module that constructs normal activity models for the service entities to be protected based on traffic volume component values evaluated by the MED mediation module to produce models static behavior for each protected service entity and for each volume component; a DB database for recording models relating to the volume components of the service entities; an EXP expert module to introduce expert knowledge about the models relating to each service entity; a DET anomaly detection module detecting anomalies in the observed traffic destined for the service entities to be protected, which anomalies are detected in the form of abnormal deviations of traffic volume components evaluated by the MED mediation module with respect to models of normal activity; and an alert module ALE delivering alerts following abnormal deviations of volume components.
Le procédé de détection statique d'anomalies de trafic selon l'invention est mis en œuvre dans le dispositif de détection DD et comprend trois étapes principales El, E2 et E3, comme montré à la figure 2. Les étapes El, E2 et E3 comprennent respectivement des sous-étapes ElO à E12, E20 à E29 et E30 à E35. Des sous-étapes sont également indiquées dans la figure 1 au niveau de liens entre des modules du dispositif de détection DD intervenant pour l'exécution de ces sous-étapes. La première étape El comporte une déclaration des entités de service SE à protéger explicitement par l'opérateur, ce qui définit un ensemble de services à protéger dispensés par ces entités.The method of static detection of traffic anomalies according to the invention is implemented in the detection device DD and comprises three main stages E1, E2 and E3, as shown in FIG. 2. The steps E1, E2 and E3 comprise respectively sub-steps ElO to E12, E20 to E29 and E30 to E35. Sub-stages are also indicated in FIG. 1 at the level of links between modules of the detection device DD intervening for the execution of these substeps. The first step E1 includes a declaration of the service entities OS to be explicitly protected by the operator, which defines a set of services to be protected provided by these entities.
La deuxième étape E2 modélise l'activité statique des entités de service SE à protéger. Elle construit des modèles de comportement qui reflète une activité normale des entités de service suite à une utilisation normale de celles-ci par leurs clients. L'étape E2 considère donc des spécificités de chacune des entités de service à protéger. Des composantes volumiques prédéterminées pour la détection d'anomalies sont prédéterminées pour chaque entité de service à protéger. Puis, l'activité normale de chaque entité de service est modélisée selon les composantes volumiques prédéterminées qui sont évaluées en dépendance du trafic réel et conservées dans la base DB. Cette première modélisation considère chaque "évaluation" ou "agrégation d'évaluations" comme un point dans un espace ayant pour dimension le nombre de composantes volumiques considérées pour une entité de service donnée. Puis, l'activité de chaque entité de service est "découpée" en plusieurs modèles temporels pendant lesquels l'activité de l'entité de service est considérée comme stable, et qui sont associés à des clusters (nuages) séparés de points présents dans l'espace de dimension P.The second step E2 models the static activity of the service entities SE to be protected. She constructs behavioral models that reflect normal service entity activity as a result of normal use by their customers. Step E2 therefore considers the specificities of each of the service entities to be protected. Predetermined volume components for detecting anomalies are predetermined for each service entity to be protected. Then, the normal activity of each service entity is modeled according to the predetermined volume components that are evaluated in dependence on the actual traffic and stored in the DB database. This first modeling considers each "evaluation" or "aggregation of evaluations" as a point in a space having as dimension the number of volume components considered for a given service entity. Then, the activity of each service entity is "split" into several time models during which the activity of the service entity is considered stable, and which are associated with clusters (clouds) separated from points present in the service entity. dimension space P.
La troisième étape E3 détecte une activité anormale dans le trafic surveillé dans la liaison LT relatif aux entités de service. L'étape E3 teste si les évaluations des composantes volumiques de trafic correspondent bien à des modèles. L'étape E3 peut aussi tester si l'apparition des évaluations des composantes volumiques notamment par rapport à un ordre des évaluations dans les modèles et des repères temporels, par exemple exprimées en heure, jour de la semaine et mois, est admissible ou non à l'aide de graphes définissant des transitions admissibles ou non entre deux modèles et de données contenues dans les modèles produits à l'étape de modélisation E2. L'étape de détection E3 fournit un vecteur de déviation par rapport aux valeurs modélisées .The third step E3 detects abnormal activity in the monitored traffic in the service entity LT link. Step E3 tests whether the evaluations of the volume components of traffic correspond to models. Step E3 can also test whether the appearance of the evaluations of the volume components in particular with respect to an order of evaluations in the models and time references, for example expressed in hours, days of the week and months, is admissible or not to using graphs defining permissible transitions or not between two models and data contained in the models produced in the modeling step E2. The detection step E3 provides a vector of deviation from the modeled values.
A la première sous-étape ElO de l'étape de déclaration d'entité de service El, l'opérateur définit des entités de service SE qu'il souhaite protéger dans le module de déclaration DEC via l'interface homme - machine IHM. Le module DEC sélectionne ainsi une partie du trafic dans la liaison LT qui est destinée à chaque entité de service déclarée.At the first substep ElO of the service entity declaration step El, the operator defines SE service entities that he wishes to protect in the declaration module DEC via the human-machine interface HMI. The DEC module thus selects a portion of the traffic in the link LT which is intended for each declared service entity.
L'opérateur définit explicitement des entités de service en saisissant des identificateurs et des caractéristiques des entités de service à protéger transmis au module DEC, ou bien en saisissant des identificateurs des entités de service transmis au module DEC qui lit des caractéristiques des entités de service sélectionnées en correspondance aux identificateurs des entités dans une liste préenregistrée dans une base en relation avec la liaison LT. Les caractéristiques identifiant une entité de service sont par exemple des triplets . Typiquement le triplet de caractéristiques d'une entité de service inclut une adresse de destination ou classe d'adresse de destination IP, un protocole de transport et un port. Les identificateurs d'entité de service peuvent aussi être spécialisés, par exemple être les triplets de caractéristiques eux- mêmes . Par exemple, une entité de service déclarée a pour triplet de caractéristiques (adresse de destination IP, protocole (s) de transport T, port (s)The operator explicitly defines service entities by entering identifiers and characteristics of the service entities to be protected transmitted to the DEC, or by entering identifiers of the service entities passed to the DEC that reads characteristics of the selected service entities in correspondence with the identifiers of the entities in a prerecorded list in a database in connection with the link LT. The characteristics identifying a service entity are for example triplets. Typically, the feature triple of a service entity includes a destination address or IP destination address class, a transport protocol, and a port. Service entity identifiers may also be specialized, for example, the feature triplets themselves. For example, a declared service entity has a triplet of characteristics (IP destination address, T transport protocol (s), port (s)
P) : une adresse de destination IP qui est au format 'w.x.y.z/m', avec w, x, y et z compris entre 0 et 255, et m compris entre 0 et 32, et éventuellement affectée d'un masque selon la notation CIDRP): an IP destination address which is in the format 'wxyz / m', with w, x, y and z between 0 and 255, and m between 0 and 32, and possibly assigned a mask according to the notation CIDR
(Classless Internet Domain Routing) ; par exemple:(Classless Internet Domain Routing); for example:
159.151.254.0/25 signifie de l'adresse 159.151.254.0 à l'adresse 159.151.254.127 puisque 232 - 225 -159.151.254.0/25 means the address 159.151.254.0 at the address 159.151.254.127 since 2 32 - 2 25 -
1 = 127; une liste de protocoles de transport qui est au format fpl;p2' avec pi, p2, ... des valeurs en nombre fini prises dans des mots-clés tels que 'tcp', 'udp', ' ip ' , 'icmp', la valeur 'ip' recouvrant à la fois 'tcp' et 'udp'; et une liste de ports qui est au format fpl;p2;p3- p4 ' avec pi, p2, p3, p4, ... des valeurs entières comprises entre 0 et 65535 et pouvant être incluses dans une plage de valeurs entières, par exemple '3200-3299', ou dans une liste de valeurs entières, par exemple '3200; 3202; 3208'.1 = 127; a list of transport protocols which is in the format f pl; p2 'with pi, p2, ... finite number values taken in key words such as' tcp ',' udp ',' ip ',' icmp ', the value' ip 'covering both' tcp 'and' udp '; and a list of ports which is in the format f p1; p3-p4 'with pi, p2, p3, p4, ... integer values between 0 and 65535 and which can be included in a range of integer values, for example example '3200-3299', or in a list of integer values, for example '3200;3202; 3208.
Des entités de service "complémentaires" peuvent être implicitement déclarées à la suite de la déclaration explicite des entités de service à protéger. Une entité de service complémentaire implicite peut être une entité de service déclarée par défaut afin de recouvrir des attaques sur des protocoles spécifiques, comme les trafics indésirables selon le protocole de paquet de commande 'icmp' (Internet Control Message Protocol) . Une entité de service complémentaire implicite peut être construite comme un complément à au moins une entité de service déclarée ayant une adresse IP, et relative à des trafics autres que ceux qui concernent des services hébergés par l'entité de service déclarée mais ayant ladite adresse IP et par exemple des ports différents ."Supplementary" service entities may be implicitly declared as a result of the explicit declaration of the service entities to be protected. An implicit supplementary service entity may be a service entity declared by default to cover attacks on specific protocols, such as undesirable traffic using the Internet Control Message Protocol (ICMP). An implicit supplementary service entity may be constructed as a complement to at least one declared service entity having an IP address, and relating to traffic other than those relating to services hosted by the declared service entity but having said IP address. and for example different ports.
Les entités de service "complémentaires" sont inférées automatiquement des caractéristiques des entités de service déclarées pour synthétiser l'activité de la liaison LT du réseau qui n'est pas explicitement déclarée par l'opérateur. Les entités de service complémentaires à protéger ont des triplets de caractéristiques (adresse de destination IP, protocole (s) de transport T, tous ports sauf P) et (adresse de destination IP, protocole (s) de transport sauf T, port (s) P) ."Complementary" service entities are automatically inferred from the characteristics of the service entities declared to synthesize the LT link activity of the network that is not explicitly declared by the operator. The supplementary service entities to be protected have characteristic triplets (IP destination address, T transport protocol (s), all ports except P) and (IP destination address, transport protocol (s) except T, port (s) ) P).
En variante, à une étape ElOa pouvant être conjointe à l'étape ElO ou la remplacer pour certaines entités de service, la déclaration d'entités de service est automatique grâce à une écoute du trafic dans la liaison LT par le module de déclaration DEC. Dans cette variante, le module DEC est connecté en écoute selon la figure 1. Le module DEC établit une liste des entités de service demandées par les paquets qui passent dans la liaison LT et classe ces entités de service par fréquence d'apparition des paquets destinés à ces entités, afin d'obtenir une pré-liste des entités de service. Ensuite, cette liste est réduite automatiquement afin par exemple de ne conserver en mémoire du module DEC que les entités de service demandées par plus de 1% des paquets, ou bien est modifiée par l'opérateur. La liste ainsi établie est la liste des entités de service à protéger.As a variant, at a step ElOa that can be joint to the step ElO or replace it for certain service entities, the declaration of service entities is automatic thanks to a listening of the traffic in the link LT by the declaration module DEC. In this variant, the DEC module is connected in listening mode according to FIG. 1. The DEC module establishes a list of the service entities requested by the packets that pass in the link LT and classifies these service entities by frequency of appearance of the packets intended these entities, in order to obtain a pre-list of service entities. Then, this list is automatically reduced in order, for example, to keep in memory of the DEC module only the service entities requested by more than 1% of the packets, or is modified by the operator. The list thus established is the list of service entities to be protected.
Après l'étape ElO ou ElOa, les entités de service à protéger par le dispositif DD sont bien identifiées . Le module de modélisation MOD est initialisé en recevant la liste des identificateurs des entités de service à protéger fournie par le module de déclaration DEC. Le module MOD reçoit la liste automatiquement à la sous-étape ElI, ou en variante après validation de l'opérateur via l'interface IHM à la sous-étape Ella.After the step ElO or ElOa, the service entities to be protected by the device DD are well identified. The modeling module MOD is initialized by receiving the list of identifiers of the service entities to be protected provided by the declaration module DEC. The MOD module receives the list automatically at the sub-step ElI, or alternatively after validation of the operator via the HMI interface in the substep Ella.
A chaque entité de service à protéger, le module de modélisation MOD associe des paramètres d'évaluation de trafic par défaut qui sont une granularité et une liste par défaut de composantes volumiques de trafic à destination, ou éventuellement en provenance, de l'entité de service SE.For each service entity to be protected, the MOD modeling module associates default traffic evaluation parameters which are a granularity and a default list of volume components of traffic to, or possibly originating from, the service entity. SE service.
La granularité définit une période d'évaluation du trafic de l'entité de service et peut être une valeur par défaut dépendant d'une caractéristique de l'entité de service. Par exemple, la granularité estThe granularity defines a service entity traffic evaluation period and may be a default value dependent on a feature of the service entity. For example, granularity is
10 secondes si le port P de l'entité de service est10 seconds if the P port of the service entity is
80 (HTTP) , ou 1 minute si le port est 23 (Telnet) . Les composantes volumiques de trafic dans la liste par défaut correspondent à des caractéristiques pouvant être relevées à partir d'informations des couches de réseau et de transport et agrégées sous forme de comptes de compteurs remis à zéro à chaque période d'évaluation de trafic définie par la granularité. Les composantes volumiques sont par exemple : au niveau de la couche de réseau IP : la volumétrie exprimée par un débit de trafic en octets par seconde, la volubilité exprimée par un débit de trafic en paquets par seconde, la connexité exprimée par un nombre d'adresses de source différentes dans des paquets destinés à l'entité de service, et la fragmentation exprimée par un taux de paquets fragmentés en fonction des bits DF et MF dans le champ drapeau de l'entête d'un paquet IP; et au niveau de la couche de transport TCP ("Transmission Control Protocol", mots anglais signifiant "Protocole de Commande de Transmission") : l'ouverture de connexion exprimée par un taux de paquets incluant un bit de contrôle SYN à "1", le "stress" exprimé par un taux de paquets incluant un bit de contrôle PUSH à "1" indiquant que les données sont à transférer à la couche supérieure, l'urgence exprimée par un taux de paquets incluant un bit de contrôle de message urgent URG à "1", et la volatilité exprimée par un nombre de ports différents sollicités.80 (HTTP), or 1 minute if the port is 23 (Telnet). The volume components of traffic in the default list are characteristics that can be read from network and transport layer information and aggregated as counter counts reset at each traffic evaluation period defined by granularity. The volume components are for example: at the level of the IP network layer: the volumetry expressed by a traffic rate in bytes per second, the volubility expressed by a packet traffic rate per second, the connectivity expressed by a number of different source addresses in packets destined for the service entity, and fragmentation expressed as a fragmented packet rate as a function of the DF and MF bits in the flag field of the header of an IP packet; and at the Transmission Control Protocol (TCP) level: the connection opening expressed by a packet rate including a SYN control bit at "1", the "stress" expressed by a packet rate including a PUSH control bit at "1" indicating that the data is to be transferred to the upper layer, the urgency expressed by a packet rate including an urgency message control bit URG to "1", and the volatility expressed by a number of different ports solicited.
A la liste par défaut de composantes volumiques de trafic peut être ajoutée une liste d'autres composantes volumiques spécifiques qui dépendent de l'entité de service, comme des grandeurs propres à un protocole applicatif utilisé. Par exemple une composante volumique à évaluer sur un service HTTP (HyperText Transfer Protocol) est le nombre de requêtes sur une méthode spécifique, comme la méthode 'GET', le nombre de requêtes vers des pages CGI (Common Gateway Interface) , PHP (Personal Home Page) , JSP (Java Server Page), ou un code d'erreur de type 2xx, 3xx, 4xx ou 5xx renvoyé par le serveur impliquant une mesure du trafic retour, ou la version du protocole utilisée (0.9, 1.0, 1.1).To the default list of traffic volume components can be added a list of other specific volumic components that depend on the service entity, such as quantities specific to an application protocol used. For example, a volume component to be evaluated on a HyperText Transfer Protocol (HTTP) service is the number of requests on a specific method, such as the 'GET' method, the number of requests to CGI (Common Gateway Interface) pages, PHP (Personal). Home Page), a Java Server Page (JSP), or a 2xx, 3xx, 4xx, or 5xx error code returned by the server involving a return traffic measurement, or the version of the protocol used (0.9, 1.0, 1.1) .
Cependant à la sous-étape Ella, via l'interface IHM, l'opérateur peut modifier manuellement la liste de composantes volumiques ainsi que tout autre paramètre d'évaluation qui a pris une valeur par défaut, comme la granularité.However, in the sub-step Ella, via the HMI interface, the operator can manually modify the list of solid components as well as any other evaluation parameter that has taken a default value, such as granularity.
A la sous-étape E12, le module MOD transmet une liste des entités de service, éventuellement après validation de l'opérateur, au module de médiation MED du dispositif DD. Pour l'activité normale de chaque entité de service à protéger que le module MOD doit modéliser, la liste d'entités de service comprend l'identificateur et les caractéristiques de l'entité de service et les composantes volumiques de trafic nécessaires à la modélisation afin qu'à partir de ces composantes volumiques, le module MOD produise un modèle de comportement statique de l'entité de service.In the substep E12, the module MOD transmits a list of the service entities, possibly after validation of the operator, the MED mediation module of the DD device. For the normal activity of each service entity to be protected that the MOD must model, the service entity list shall include the identifier and characteristics of the service entity and the volume components of the traffic necessary for modeling to that from these volume components, the MOD module produces a model of static behavior of the service entity.
Au début E20 de l'étape de modélisation d'activité d'entité de service E2, le module de médiation MED extrait de chaque paquet pertinent capturé dans la liaison LT et destiné à une entité de service identifiée à protéger, notamment l'adresse de source IP, l'adresse de destination IP, la valeur du champ de protocole de transport, le port source, le port destination, la longueur totale du paquet en octets, le champ drapeau avec les bits de fragmentation, et la liste des drapeaux TCP, afin d'évaluer les composantes volumiques.At the beginning E20 of the service entity activity modeling step E2, the mediation module MED extracts from each relevant packet captured in the link LT and intended for an identified service entity to protect, in particular the address of IP source, the IP destination address, the transport protocol field value, the source port, the destination port, the total packet length in bytes, the flag field with the fragmentation bits, and the TCP flag list , to evaluate the volume components.
Pour chaque entité de service, le module MED comprend des compteurs COM qui respectivement comptent par exemple des octets, des paquets, des adresses de source prédéterminées et des bits de contrôle prédéterminés pour exprimer les composantes volumiques, et qui sont ainsi assignés à l'évaluation des composantes volumiques de l'entité de service. Les compteurs sont réinitialisés régulièrement à la période d'évaluation selon la granularité, par exemple de l'ordre de quelques secondes, typiquement 10 secondes. Chaque évaluation des composantes volumiques est horodatée avec la date de début de la période. Au cours de la sous-étape E20 et à l'expiration de chaque période d'évaluation, les comptes des compteurs constituent des valeurs des composantes volumiques de trafic demandées qui sont agrégées, formatées et fournies par le module MED au module MOD.For each service entity, the MED module comprises COM counters which respectively count, for example, bytes, packets, predetermined source addresses and predetermined control bits to express the volume components, and which are thus assigned to the evaluation. the volume components of the service entity. The counters are reset regularly to the evaluation period according to the granularity, for example of the order of a few seconds, typically 10 seconds. Each volume component evaluation is time stamped with the start date of the period. During substep E20 and at At the end of each evaluation period, the meter counts constitute values of the requested traffic volume components that are aggregated, formatted and provided by the MED module to the MOD module.
Les composantes volumiques fournies par le module MED sont conservées temporairement dans une base d'évaluations incluse dans le module MOD. Pour une entité de service donnée, le module MOD traite une suite d'ensembles de valeurs de composantes volumiques qui ont été évaluées pendant une durée prédéterminée qui est très supérieure à la période d'évaluation de granularité retenue pour l'agrégation des composantes volumiques, ou bien définie par l'opérateur. En particulier, les modèles étant établis avec une période de validité de l'ordre de l'heure dans la journée, voire de la journée dans le mois, la durée prédéterminée pour relever les composantes volumiques est comprise entre une semaine et au moins un mois. L'ensemble des durées prédéterminées pendant lesquelles les comptes des compteurs COM sont lus et fournis au module MOD pour effectuer la première modélisation lors de la mise en marche du dispositif de détection DD s'appelle phase d'apprentissage. A partir de ces composantes volumiques évaluées pendant la phase d'apprentissage pour les entités de service à protéger, le module MOD produit des modèles de comportement statique de chaque entité de service protégée, comme expliqué ci- après .The volume components provided by the MED module are temporarily stored in an evaluation database included in the MOD module. For a given service entity, the MOD module processes a series of sets of volume component values that have been evaluated for a predetermined duration which is much greater than the granularity evaluation period adopted for the aggregation of the volume components. or else defined by the operator. In particular, since the models are established with a period of validity of the order of the hour in the day, or even of the day in the month, the predetermined duration for raising the volume components is between one week and at least one month. . The set of predetermined times during which the counts of the COM counters are read and supplied to the MOD module to perform the first modeling during the start of the detection device DD is called the learning phase. From these volume components evaluated during the learning phase for the service entities to be protected, the module MOD produces models of static behavior of each protected service entity, as explained below.
Pour modéliser le comportement du trafic à destination de l'entité de service donnée SE et ainsi l'activité normale de celle-ci, le module MOD détermine récursivement des points de rupture dans la suite d'ensembles de composantes volumiques pendant la phase d'apprentissage, afin de déterminer des périodes d'activité stable appelées clusters, à la sous-étape E21. Pour chaque entité de service, le module de modélisation MOD définit des périodes d'activité stable sur lesquelles les clusters s ' étendent .To model the behavior of the traffic destined for the given service entity SE and thus the normal activity thereof, the module MOD recursively determines breaking points in the following sets of volume components during the learning phase, in order to determine periods of stable activity called clusters, in the substep E21. For each service entity, the MOD modeling module defines periods of stable activity on which the clusters extend.
Par exemple, la modélisation est fondée sur une approche hybride reposant à la fois sur une définition a priori et une définition a posteriori de la période de comportement des clusters. Les composantes volumiques évaluées sont d'abord regroupées a priori en clusters distincts en fonction de leur jour de semaine. Puis pour chaque jour de la semaine, une analyse par partitionnement découvre les périodes d'activité distinctes, avec une limite élevée sur le nombre de clusters ainsi découverts qui sont suffisamment distincts les uns des autres. Cette limite découle de la finesse de modélisation souhaitée. Ainsi, le nombre de clusters possibles dans un jour peut être limité à un nombre minimum, et/ou la durée de chaque cluster au niveau temporel peut être limitée à une durée minimum.For example, the modeling is based on a hybrid approach based on both an a priori definition and a posteriori definition of the behavior period of the clusters. The assessed volume components are first grouped into distinct clusters according to their day of the week. Then for each day of the week, a partitioning analysis discovers the distinct periods of activity, with a high limit on the number of clusters thus discovered which are sufficiently distinct from one another. This limit is derived from the desired modeling finesse. Thus, the number of possible clusters in a day can be limited to a minimum number, and / or the duration of each cluster at the time level can be limited to a minimum duration.
La récursivité de la modélisation comprend par exemple un centrage - réduction de chacune x des composantes volumiques évaluées dans le cluster initial d'une journée en déterminant des valeurs statistiques de la composante volumique, comme la moyenne des valeurs évaluées de la composante volumique et l'écart-type de la composante volumique, et en remplaçant chaque valeur de la composante volumique par un rapport d'évaluation de la différence entre ladite valeur et la moyenne sur l'écart-type afin que la moyenne des rapports relatifs à la composante volumique soit nulle et leur écart-type soit égal à 1. Des distances euclidiennes entre des rapports de deux évaluations pour toutes les composantes volumiques sont déterminées .The recursion of the modeling includes for example a centering-reduction of each x of the volumetric components evaluated in the initial cluster of a day by determining statistical values of the volume component, such as the average of the evaluated values of the volume component and the the standard deviation of the volume component, and replacing each value of the volume component with an evaluation ratio of the difference between that value and the average of the standard deviation so that the average of the ratios relating to the volume component is null and their standard deviation equals 1. Euclidean distances between ratios of two evaluations for all volume components are determined.
Puis de manière récursive, le cluster initial est partitionné en des clusters dont le plus hétérogène est partitionné en d'autres clusters, et ainsi de suite. Pour chaque cluster à partitionner, des fonctions signées sont évaluées chacune égale à une somme des rapports pour toutes les composantes volumiques relatives aux évaluations incluses dans le cluster. Chaque changement de signe dans la série chronologique des fonctions signées relatives aux évaluations incluses dans le cluster est caractérisé par un produit des fonctions signées relatives à deux évaluations successives qui est négatif. Le changement de signe indique une séparation rompant la série entre la fin d'un nouveau cluster et le début d'un nouveau cluster suivant dans le cluster à partitionner. Pour chaque nouveau cluster, une hétérogénéité est estimée égale à la somme des carrés des distances euclidiennes entre le centre de ce nouveau cluster et les rapports relatifs à toutes les composantes volumiques et aux évaluations dans ce nouveau cluster. Le cluster ayant l'hétérogénéité la plus élevée est alors sélectionné pour être partitionné en des clusters afin d'y sélectionner comme précédemment le cluster le plus hétérogène, jusqu'à ce que l'hétérogénéité d'un cluster sélectionné soit inférieure à un seuil d'hétérogénéité prédéterminé.Then recursively, the initial cluster is partitioned into clusters of which the most heterogeneous is partitioned into other clusters, and so on. For each cluster to be partitioned, signed functions are evaluated each equal to a sum of the reports for all the volumic components relating to the assessments included in the cluster. Each sign change in the time series of the signed functions related to the assessments included in the cluster is characterized by a product of the signed functions relating to two successive evaluations that is negative. The sign change indicates a separation breaking the series between the end of a new cluster and the beginning of a new next cluster in the cluster to be partitioned. For each new cluster, a heterogeneity is estimated equal to the sum of the squares of the Euclidean distances between the center of this new cluster and the reports relating to all the volume components and evaluations in this new cluster. The cluster with the highest heterogeneity is then selected to be partitioned into clusters in order to select the most heterogeneous cluster as before, until the heterogeneity of a selected cluster is less than a threshold. predetermined heterogeneity.
Le module MOD produit un ensemble de clusters qui comprennent des ensembles de composantes volumiques évaluées consécutivement ayant une hétérogénéité admissible. La reconnaissance préliminaire des comportements stables sépare ainsi le cluster initial des valeurs des composantes volumiques évaluées en phase d'apprentissage en des clusters les plus homogènes possibles. Chaque cluster correspond à une période de validité incluse dans une période prédéterminée telle qu'une journée. En conséquence, pour une phase apprentissage sur plusieurs semaines, chaque journée dispose d'un ensemble de clusters .The MOD module produces a set of clusters that include consecutively evaluated sets of volume components having permissible heterogeneity. The preliminary recognition of stable behaviors thus separates the initial cluster of values of the volume components evaluated during the learning phase into the most homogeneous clusters possible. Each cluster corresponds to a validity period included in a predetermined period such as a day. As a result, for a learning phase over several weeks, each day has a set of clusters.
A la sous-étape E22, pour chacun des clusters ainsi déterminés et pour chacune x des composantes volumiques, le module MOD calcule des valeurs statistiques, par exemple la moyenne μx, l'écart-type σx, la population égale au nombre d'évaluations dans le cluster et un seuil de conformité Sx dépendant des valeurs statistiques précédentes calculées. Le seuil de conformité Sx pour une composante volumique x est par exemple égal à la somme de la moyenne μx de la composante volumique et du produit de l'écart-type σx de la composante volumique par la racine carrée du rapport de l'hétérogénéité du cluster à la fin du partitionnement sur le nombre d'évaluations dans le cluster.In sub-step E22, for each of the clusters thus determined and for each x of the volume components, the module MOD calculates statistical values, for example the mean μ x , the standard deviation σ x , the population equal to the number of components. evaluations in the cluster and a compliance threshold S x depending on the calculated previous statistical values. The compliance threshold S x for a volume component x is for example equal to the sum of the average μ x of the volume component and the product of the standard deviation σ x of the volume component by the square root of the ratio of the heterogeneity of the cluster at the end of the partitioning on the number of evaluations in the cluster.
Finalement à la sous-étape E23, le module MOD rassemble chaque cluster et chaque composante volumique x pour produire un modèle qui est une liste comprenant l'identificateur de l'entité de service, une période de validité calculée à partir des dates de début et de fin des évaluations qui se trouvent dans le cluster, par exemple le lundi entre 9 h et 10 h 30, la granularité dans le cluster, la date de création du modèle, la désignation de la composante volumique x et les valeurs statistiques, comme la moyenne μx et l'écart-type σx, relatives à la composante volumique x dans le cluster, et le seuil de conformité Sx dépendant des valeurs statistiques précédentes et relatif à la composante volumique. Le cluster est ainsi défini par les données des modèles des différentes composantes volumiques, et les évaluations qui ont présidé à sa création peuvent être effacées dans le module MOD. Les modèles de tous les clusters sont transférés à la base de données DB qui les enregistre à la sous-étape E24 et/ou au module expert EXP décrit plus loin à la sous-étape E25.Finally, in the substep E23, the MOD module gathers each cluster and each volume component x to produce a model which is a list including the identifier of the service entity, a validity period calculated from the start dates and end of assessments that are in the cluster, such as Monday between 9:00 am and 10:30 am, cluster granularity, model creation date, volume component designation x, and statistical values, such as mean μ x and the standard deviation σ x , relative to the volume component x in the cluster, and the compliance threshold S x depending on the statistical values preceding and relating to the volume component. The cluster is thus defined by the data of the models of the different volume components, and the evaluations that led to its creation can be erased in the MOD module. The templates of all the clusters are transferred to the DB database which stores them in the substep E24 and / or the expert module EXP described later in the substep E25.
Le module de modélisation MOD comprend un sous- module d'actualisation de modèles MAM qui périodiquement lit les modèles anciens courants relatifs à une entité de service donnée dans la base DB pour fournir des modèles actualisés remplaçant les modèles anciens courants . Ce remplacement de modèles vise à refléter l'évolution potentielle des usages des clients en matière de communication avec les entités de service protégées SE et donc l'évolution du trafic réel dans la liaison LT entre les terminaux TC et les entités de service protégées. La période d'actualisation peut être une durée sensiblement égale à celle de la phase d'apprentissage.The MOD modeling module includes a MAM model update sub-module that periodically reads the current old models relating to a given service entity in the DB to provide updated models replacing the current old models. This model replacement is intended to reflect the potential evolution of customer usage for communication with SE protected service entities and thus the evolution of the actual LT link traffic between TC terminals and protected service entities. The updating period may be a duration substantially equal to that of the learning phase.
Pour une actualisation de modèles E26 répétant au moins les sous-étape E20 à E25, le module MOD produit des modèles actualisés en fonction de valeurs récentes des composantes volumiques associées à l'entité de service, évaluées avec la granularité définie dans lesdits modèles courants et fournies par le module MED depuis la dernière actualisation, comme à l'étape E20. Les valeurs récentes des composantes volumiques évaluées sont d'abord conservées temporairement dans la base d'évaluations, puis épurées de toute valeur ayant conduit à la génération d'une alerte et donc au signalement d'une activité anormale de l'entité de service, en vérifiant que ces valeurs récentes sont conformes aux modèles anciens existants, c'est-à-dire qu'elles ne déclenchent pas d'alerte en leur appliquant une fonction de détection détaillée plus loin.For an update of E26 models repeating at least substeps E20 to E25, the MOD module produces updated models based on recent values of the volumic components associated with the service entity, evaluated with the granularity defined in said current models and provided by the MED module since the last update, as in step E20. Recent values of the volumetric components evaluated are first temporarily stored in the evaluation database and then purged of any value that led to the generation of an alert and therefore to the reporting of an activity. abnormal of the service entity, verifying that these recent values are consistent with existing old models, that is to say that they do not trigger an alert by applying a detecting function detailed below.
L'épuration peut cependant être sautée par décision de l'opérateur ou conformément à la définition de différents modes d'actualisation : par exemple un mode "obsolète" pour lequel l'épuration est sautée, et un mode "normal" pour lequel l'épuration est exécutée.The purification can however be skipped by decision of the operator or according to the definition of different modes of updating: for example an "obsolete" mode for which the purification is skipped, and a "normal" mode for which the purification is performed.
Ensuite, le sous-module MAM introduit la valeur récemment évaluée de la composante volumique dans l'ensemble des valeurs de la composante volumique de tout modèle associé dont la période de validité inclut sensiblement la date d'évaluation de la valeur récente de la composante volumique. Les valeurs statistiques de la composante volumique, comme la moyenne, la dispersion représentée par l'écart-type et la population, et le seuil de conformité relatifs à la composante volumique associée au modèle sont actualisés par le sous-module MAM en fonction de la valeur récente de la composante volumique.Then, the MAM submodule introduces the recently evaluated value of the volume component into the set of the volume component values of any associated model whose validity period substantially includes the evaluation date of the recent value of the volume component. . The statistical values of the volume component, such as the mean, the dispersion represented by the standard deviation and the population, and the conformity threshold for the volume component associated with the model are updated by the submodule MAM according to the recent value of the volume component.
De préférence le sous-module d'actualisation de modèles MAM actualise les valeurs statistiques y compris le seuil de conformité en appliquant une pondération aux valeurs de la composante volumique du modèle ancien courant . La pondération dépend de la population des valeurs de la composante volumique du modèle ancien qui est a priori différente de la population des valeurs de composante volumique récemment évaluées, à cause de l'épuration. Avantageusement, la pondération dans le sous-module MAM dépend de la date de création du modèle ancien courant pour conférer moins de poids au modèle ancien courant; par exemple, le paramètre "population" est divisé par un coefficient qui croit avec un âge du modèle ancien courant .Preferably, the MAM update submodule updates the statistical values including the compliance threshold by applying a weighting to the values of the volume component of the current old model. Population weighting depends on the values of the volume component of the old model, which is a priori different from the population of the recently assessed volume component values due to the treatment. Advantageously, the weighting in the submodule MAM depends on the creation date of the current old model to give less weight to the old model. current; for example, the "population" parameter is divided by a coefficient that increases with an age of the current old model.
En conséquence le module MOD établit un âge de chaque modèle enregistré exprimé en nombre de jours, en association à l'identificateur de l'entité de service, à la période de validité (heures de début et fin d'un jour de la semaine ou du mois) et à un code entier de phase indiquant si le modèle est en cours de construction pendant la phase apprentissage, en cours d'utilisation pour la détection, ou invalide temporairement, ou encore a généré une alerte récente .Consequently, the MOD module establishes an age of each registered model expressed in number of days, in association with the identifier of the service entity, the validity period (start and end times of a day of the week or of the month) and an integer phase code indicating whether the model is being built during the learning phase, in use for detection, or temporarily disabled, or has generated a recent alert.
Après l'actualisation, les modèles actualisés sont transférés à la base DB qui les enregistre comme à la sous-étape E24 et/ou au module expert EXP comme à la sous-étape E25, pour remplacer et supprimer les modèles anciens courants .After updating, the updated templates are transferred to the DB database, which records them as in substep E24 and / or the EXP expert module as in substep E25, to replace and delete the current old templates.
A la fin de chaque modélisation E23 sont éventuellement introduites des connaissances expertes par le module expert EXP. A une sous-étape E27 succédant à la sous-étape E25, le module expert EXP traite les modèles transmis par module MOD après la modélisation et concernant une entité de service ou plusieurs entités de service ayant des caractéristiques communes comme par exemple une adresse IP. Le module EXP crée, à partir des modèles courants, des schémas de conformité avancés qui sont utilisés conjointement aux modèles dans l'étape de détection E3.At the end of each modeling E23 are possibly introduced expert knowledge by the EXP expert module. At a substep E27 succeeding the substep E25, the expert module EXP processes the models transmitted by MOD module after the modeling and concerning a service entity or several service entities having common characteristics such as an IP address. The EXP module creates, from the current models, advanced conformance schemes that are used in conjunction with the models in the E3 detection step.
Par exemple, pour chaque entité de service et chaque granularité, le module EXP crée un automate dont les sommets du graphe d'admissibilité sont les modèles relatifs à l'entité de service et la granularité et dont les arêtes orientées du graphe d'admissibilité constituent une base de règles. Par exemple une arête entre des états de modèle ETa et ETb est associée à une règle du type "il y a une transition de l'état ETa vers l'état ETb si la période de validité du modèle associé à l'état ETa précède immédiatement la période de validité associée à l'état ETb". A travers l'interface homme - machine IHM, l'opérateur peut modifier l'automate en ajoutant d'autres arêtes. L'automate ainsi obtenu est associé à chaque modèle de l'entité de service pour la granularité et est enregistré dans la base de données DB à une sous-étape E28.For example, for each service entity and each granularity, the EXP module creates a PLC whose summits of the eligibility graph are the models relating to the service entity and the granularity and whose oriented edges of the eligibility graph form a rule base. For example, an edge between model states ETa and ETb is associated with a rule of the type "there is a transition from the state ETa to the state ETb if the validity period of the model associated with the state ETa immediately precedes the validity period associated with the ETb "state. Through the HMI man - machine interface, the operator can modify the PLC by adding other edges. The resulting automaton is associated with each service entity model for granularity and is stored in the DB database at a substep E28.
Alternativement à la sous-étape E27, le module EXP n'est activé que lorsque l'opérateur active le module de détection DET. Le module EXP lit alors dans la base DB les modèles associés aux paramètres d'évaluation de la détection demandée, et requiert les modifications et la validation du graphe d'admissibilité par l'opérateur, avant d'envoyer les automates associés au module DET à la sous-étape E29.As an alternative to substep E27, the EXP module is activated only when the operator activates the detection module DET. The EXP module then reads from the DB database the models associated with the evaluation parameters of the requested detection, and requires the modifications and validation of the eligibility graph by the operator, before sending the PLCs associated with the DET module to the substep E29.
L'étape de détection d'activité anormale E3 comprend des sous-étapes d'initialisation E30 à E32 et des sous-étapes de comparaison aux modèles E33 à E35.The abnormal activity detection step E3 comprises initialization substeps E30 to E32 and comparison sub-steps to the models E33 to E35.
Le module de détection d'anomalies DET est activé soit automatiquement après les sous-étapes E24 et E25 de la phase d'apprentissage, c'est-à-dire après la première modélisation, soit par l'opérateur via l'interface homme - machine IHM. A la sous-étapeThe DET anomaly detection module is activated either automatically after the substeps E24 and E25 of the learning phase, that is to say after the first modeling, or by the operator via the human interface. HMI machine. At the sub-stage
E30, le module DET reçoit du module de déclarationE30, the DET module receives from the declaration module
DEC et/ou de l'opérateur via l'interface IHM la liste des identificateurs et caractéristiques des entités de service à protéger, et éventuellement la liste des paramètres d'évaluation, notamment la granularité des évaluations, pour chaque entité de service. Le module DET lit dans la base de données DB tous les modèles courants correspondant aux paramètres, et si pour une entité de service aucune granularité n'est mentionnée, le module DET appelle dans la base DB les modèles courants et donc les plus récents pour cette entité de service et lit leurs granularités . Ainsi, le module DET dispose de la liste des entités de service à protéger et des modèles courants pertinents pour la détection. Le module DET charge et conserve en mémoire vive tous ces modèles courants .DEC and / or the operator via the HMI interface the list of identifiers and characteristics of the service entities to be protected, and possibly the list of evaluation parameters, including granularity of assessments, for each service entity. The DET module reads in the DB database all the current models corresponding to the parameters, and if for a service entity no granularity is mentioned, the DET module calls in the database DB the current models and therefore the most recent for this service entity and reads their granularities. Thus, the DET module has the list of service entities to protect and current models relevant for detection. The DET module loads and stores all these current models in RAM.
Pour chaque entité de service SE que le dispositif DD doit protéger, l'identificateur et les caractéristiques de l'entité de service et les paramètres d'évaluation de trafic de cette entité nécessaires à la détection et contenus dans les modèles sont, après modification et validation éventuelles par l'opérateur, appliqués ensuite par le module DET au module de médiation MED, à la sous- étape E31.For each SE service entity that the DD shall protect, the identifier and characteristics of the service entity and the traffic evaluation parameters of that entity necessary for the detection and contained in the templates shall, after modification and possible validation by the operator, subsequently applied by the DET module to the mediation module MED, in the substep E31.
En réponse aux caractéristiques et paramètres de l'entité de service, le module de médiation MED délivre périodiquement au module de détection DET une évaluation du trafic destiné à l'entité de service, à la sous-étape E32. Cette évaluation comprend les comptes des compteurs COM qui sont assignés à l'évaluation des composantes volumiques de l'entité de service et qui sont réinitialisés régulièrement à la période d'évaluation selon la granularité demandée pour l'entité de service.In response to the characteristics and parameters of the service entity, the mediation module MED periodically delivers to the detection module DET an evaluation of the traffic intended for the service entity, in the substep E32. This assessment includes the counts of the COM meters that are assigned to the evaluation of the service entity's volumic components and that are periodically reset to the evaluation period according to the requested granularity for the service entity.
Les composantes volumiques évaluées de l'entité de service ont des valeurs "instantanées" exprimées par les comptes des compteurs respectifs COM qui sont délivrés par le module MED pour être traités par le module de détection DET. Suite à l'évaluation, le module DET appelle les modèles courants relatifs aux composantes volumiques . Chaque composante volumique peut être associée à au moins un modèle courant d'activité normale transféré de la base BD dans la mémoire vive. Le modèle courant d'activité normale est considéré comme pertinent s'il a une période de validité incluant la date de l'évaluation avec plus ou moins une fenêtre temporelle et donc pendant laquelle l'évaluation a été réalisée à la fenêtre temporelle près . La fenêtre temporelle permet de pallier une activité de trafic a priori normale qui intervient de manière sensiblement décalée dans le temps, et ainsi évite des fausses alertes. A la sous-étape E33, pour chaque composante volumique x, le module DET détermine une déviation Dx de l'évaluation par rapport à chaque modèle d'activité courant pertinent. La déviation Dx est par exemple le rapport entre la distance (valeur absolue de la différence) entre la valeur instantanée x de la composante volumique évaluée et sa moyenne μx dans le modèle, et la distance (valeur absolue de la différence) entre le seuil de conformité Sx dans le modèle et la moyenne μx dans le modèle. Le module DET détermine aussi une déviation globale DG en fonction des déviations pour les composantes volumiques évaluées, par exemple égale à la moyenne quadratique des valeurs des déviations .The valued components of the service entity have "instantaneous" values expressed by the accounts of the respective counters COM which are issued by the module MED to be processed by the DET detection module. Following the evaluation, the DET module calls the current models relating to the volume components. Each volume component may be associated with at least one current model of normal activity transferred from the base BD into the RAM. The current model of normal activity is considered relevant if it has a validity period including the date of the evaluation with more or less a time window and therefore during which the evaluation was carried out within the time window. The time window makes it possible to compensate for a normally normal traffic activity that intervenes in a manner substantially offset in time, and thus avoids false alarms. In substep E33, for each volume component x, the DET determines a deviation D x of the evaluation with respect to each relevant current activity model. The deviation D x is for example the ratio between the distance (absolute value of the difference) between the instantaneous value x of the evaluated volume component and its mean μ x in the model, and the distance (absolute value of the difference) between the compliance threshold S x in the model and the mean μ x in the model. The DET module also determines a DG global deviation as a function of the deviations for the assessed volume components, for example equal to the root mean square of the deviation values.
Si des connaissances expertes ont été introduites selon la sous-étape E29, le module DET bénéficie des connaissances expertes pour réduire le nombre de faux positifs qui devraient conduire à des alertes qui n'en sont pas. Par exemple, lorsqu'un graphe d'admissibilité a été créé par le module expert EXP comme décrit à la sous-étape E27, les connaissances expertes dépendent des valeurs statistiques de modèles proches, c'est-à-dire dont la distance dans le graphe audit modèle courant est faible, comme par exemple les modèles séparés du modèle courant par une arête, et dont les périodes de validité sont peu éloignées de la date d'évaluation de la valeur de déviation de la composante volumique associée au modèle courant, afin que les connaissances expertes soient utilisées pour affiner, par exemple diminuer, la valeur de déviation. Pour le calcul du rapport entre les distances pour la valeur de déviation Dx, la valeur du seuil de conformité Sc du modèle peut être par exemple remplacée par le plus grand des seuils de conformité dans les modèles proches dudit modèle courant.If expert knowledge has been introduced according to substep E29, the DET module benefits from expert knowledge to reduce the number of false positives that should lead to alerts that are not. For example, when an eligibility graph has been created by the expert module EXP as described in substep E27, the expert knowledge depends on the statistical values of close models, that is to say whose distance in the graph to said current model is small, such as the models separated from the current model by an edge, and whose validity periods are few away from the evaluation date of the deviation value of the volume component associated with the current model, so that the expert knowledge is used to refine, for example decrease, the deviation value. For calculating the ratio between the distances for the deflection value D x , the value of the compliance threshold S c of the model can for example be replaced by the greatest of the conformity thresholds in the models close to said current model.
Puis à la sous-étape E34, pour chaque évaluation, le module DET regroupe les valeurs des déviations Dx d es composantes volumiques et de la déviation globale DG dans un vecteur d'alerte qui représente ainsi la similarité plus ou moins prononcée de l'évaluation aux modèles courants pertinents pour cette évaluation. Le vecteur d'alerte est délivré au module d'alerte ALE chargé de la sortie des alertes . Finalement à la sous-étape E35, le module d'alerte ALE détermine une valeur d'alerte globale en examinant ledit vecteur d'alerte. Si la valeur d'alerte globale excède un niveau d'alerte prédéterminé, le module ALE signale une activité anormale dans le trafic de l'entité de service SE en transmettant une alerte pour l'opérateur via l'interface IHM, et/ou vers un dispositif externe. L'alerte transmise est accompagnée des valeurs des composantes volumiques de l'évaluation qui a déclenché l'alerte, des seuils de conformité pertinents au moment de l'évaluation, et d'un type d'alerte dépendant des valeurs des déviations des composantes volumiques .Then, in substep E34, for each evaluation, the DET module groups the values of the deviations D x of the volume components and of the global deviation DG in an alert vector which thus represents the more or less pronounced similarity of the evaluation to current models relevant to this assessment. The alert vector is delivered to the ALE alert module responsible for the output of alerts. Finally in substep E35, the ALE alert module determines a global alert value by examining said alert vector. If the global alert value exceeds a predetermined alert level, the ALE module reports abnormal activity in the service entity SE traffic by transmitting an alert to the operator via the HMI interface, and / or to an external device. The transmitted alert is accompanied by the values of the volume components of the evaluation that triggered the alert, compliance thresholds relevant at the time of the evaluation, and a type of alert depending on the values of the deviations of the volume components.
En pratique, le procédé de détection d'anomalies selon l'invention est prévu pour pouvoir détecter des anomalies relatives au trafic de plusieurs entités de service supporté par la liaison de transmission. Préalablement, chaque entité de service est déclarée par une adresse de destination, au moins un protocole de transport et au moins un port et une liste de composantes volumiques à évaluer selon une période d' évaluations prédéterminée .In practice, the method of detecting anomalies according to the invention is provided to be able to detect anomalies relating to the traffic of several service entities supported by the transmission link. Previously, each service entity is declared by a destination address, at least one transport protocol and at least one port and a list of volume components to be evaluated according to a predetermined evaluation period.
L'invention décrite ici concerne un procédé et un dispositif informatique DD pour détecter des anomalies dans le trafic supporté par la liaison de transmission et relatif à une ou plusieurs entités de service SE. Selon une implémentation préférée, les étapes du procédé de l'invention sont déterminées par les instructions d'un programme d'ordinateur incorporé dans le dispositif informatique. Le programme comporte des instructions de programme qui, lorsque ledit programme est chargé et exécuté dans le dispositif, dont le fonctionnement est alors commandé par l'exécution du programme, réalisent les étapes du procédé selon l'invention.The invention described herein relates to a method and a computing device DD for detecting anomalies in the traffic supported by the transmission link and relating to one or more service entities SE. According to a preferred implementation, the steps of the method of the invention are determined by the instructions of a computer program incorporated in the computing device. The program comprises program instructions which, when said program is loaded and executed in the device, whose operation is then controlled by the execution of the program, carry out the steps of the method according to the invention.
En conséquence, l'invention s'applique également à un programme d'ordinateur, notamment un programme d'ordinateur sur ou dans un support d'informations, adapté à mettre en œuvre l'invention. Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable pour implémenter le procédé selon l'invention.Accordingly, the invention also applies to a computer program, including a computer program on or in an information carrier, adapted to implement the invention. This program can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code such as in a form partially compiled, or in any other form desirable for implementing the method according to the invention.
Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage ou support d'enregistrement, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore une clé USB, ou encore un moyen d'enregistrement magnétique, par exemple une disquette (floppy dise) ou un disque dur.The information carrier may be any entity or device capable of storing the program. For example, the medium may comprise storage means or recording medium, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or a USB key, or a magnetic recording means, for example a floppy disk or a hard disk.
D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type internet .On the other hand, the information medium may be a transmissible medium such as an electrical or optical signal, which may be conveyed via an electrical or optical cable, by radio or by other means. The program according to the invention can in particular be downloaded to an Internet type network.
Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé selon 1 ' invention . Alternatively, the information carrier may be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in carrying out the method according to the invention.

Claims

REVENDICATIONS
1 - Procédé pour détecter des anomalies dans le trafic supporté par une liaison de transmission (LT) et relatif à une entité de service (SE) , incluant préalablement une modélisation de l'activité normale de l'entité de service, caractérisé en ce que la modélisation (E2) fournit au moins un modèle pour une composante volumique du trafic, chaque modèle comprenant une période de validité, des valeurs statistiques relatives à ladite composante volumique pendant ladite période de validité et un seuil de conformité dépendant des valeurs statistiques, ledit procédé comprenant pour au moins une évaluation de composante volumique à une date ultérieure, une détermination (E31 - E33) d'une déviation de la composante volumique évaluée par rapport au modèle relatif à la composante volumique et ayant une période de validité incluant sensiblement la date de l'évaluation, et une détermination (E34, E35) d'une valeur d'alerte en fonction de la déviation d'au moins une composante volumique .1 - Method for detecting anomalies in the traffic supported by a transmission link (LT) and relating to a service entity (SE), including previously a modeling of the normal activity of the service entity, characterized in that the modeling (E2) provides at least one model for a volume component of the traffic, each model comprising a validity period, statistical values relating to said volume component during said validity period and a compliance threshold depending on the statistical values, said method comprising for at least one volume component evaluation at a later date, a determination (E31 - E33) of a deviation of the assessed volume component from the volume component model and having a validity period substantially including the date of the evaluation, and a determination (E34, E35) of an alert value according to the deviation of at least a volume component.
2 - Procédé conforme à la revendication 1, selon lequel la déviation de la composante volumique dans un modèle est le rapport entre la distance entre la composante volumique évaluée et la moyenne de la composante volumique dans le modèle, et la distance entre le seuil de conformité dans le modèle et la moyenne .The method according to claim 1, wherein the deviation of the volume component in a model is the ratio between the distance between the evaluated volume component and the average of the volume component in the model, and the distance between the compliance threshold. in the model and the average.
3 - Procédé conforme à la revendication 1 ou 2, selon lequel la modélisation comprend des évaluations périodiques (E20) de composantes volumiques relatives au trafic de l ' entité de service (SE) pendant plusieurs durées prédéterminées, une détermination de périodes d'activité stable de l'entité de service de manière récursive en déterminant (E21) des valeurs statistiques de chaque composante volumique et en partitionnant les valeurs des composantes volumiques pendant chaque durée prédéterminée en fonction des valeurs statistiques en des clusters dont le plus hétérogène est sélectionné et partitionné en d'autres clusters et ainsi de suite jusqu'à ce que le dernier cluster sélectionné ait une hétérogénéité inférieure à un seuil d'hétérogénéité prédéterminé, et une détermination (E22) de plusieurs valeurs statistiques et un seuil de conformité pour chacune des composantes volumiques et pour chacun des clusters, chaque modèle rassemblant ainsi un cluster d'évaluations d'une composante volumique respective pendant une période de validité respective.3 - Process according to claim 1 or 2, wherein the modeling comprises periodical evaluations (E20) of voluminal components relating to the service entity (SE) traffic for a plurality of predetermined periods, determining recursively stable service activity periods of the service entity by determining (E21) values statistics of each volume component and partitioning the values of the volume components during each predetermined time based on the statistical values into clusters of which the most heterogeneous is selected and partitioned into other clusters and so on until the last cluster selected has a heterogeneity less than a predetermined heterogeneity threshold, and a determination (E22) of several statistical values and a compliance threshold for each of the volume components and for each of the clusters, each model thus gathering a cluster of evaluations of a respective volume component during a period of e respective validity.
4 - Procédé conforme à la revendication 3, selon lequel le seuil de conformité pour une composante volumique et un cluster est égal à la somme de la moyenne de la composante volumique et du produit de l'écart-type de la composante volumique par la racine carrée du rapport de l'hétérogénéité du cluster sur le nombre d'évaluations dans le cluster.4 - Process according to claim 3, wherein the compliance threshold for a volume component and a cluster is equal to the sum of the average of the volume component and the product of the standard deviation of the volume component by the root. square ratio of cluster heterogeneity on the number of assessments in the cluster.
5 - Procédé conforme à l'une quelconque des revendications 1 à 4, selon lequel la déviation de chaque composante volumique est affinée par des connaissances expertes (E27) comprenant au moins une valeur parmi lesdites valeurs statistiques et lesdits seuils de conformité de modèles dont les périodes de validité sont peu éloignées de la date d'évaluation de la valeur de déviation.5 - Process according to any one of claims 1 to 4, wherein the deviation of each volume component is refined by expert knowledge (E27) comprising at least one of said statistical values and said Conformance thresholds for models whose validity periods are not far from the valuation date of the deviation value.
6 - Procédé conforme à l'une quelconque des revendications 1 à 5, comprenant une actualisation de modèles (E26) pour remplacer périodiquement des modèles anciens courants relatifs à l'entité de service par des modèles actualisés en fonction de valeurs récentes des composantes volumiques associées à l'entité de service.The method according to any one of claims 1 to 5, comprising updating models (E26) to periodically replace current old models relating to the service entity with updated models based on recent values of the associated volume components. to the service entity.
7 - Procédé conforme à la revendication 6, comprenant une épuration des valeurs récentes des composantes volumiques évaluées de toute valeur ayant conduit au signalement d'une activité anormale.7 - Process according to claim 6, comprising a purification of the recent values of the assessed volume components of any value that led to the report of an abnormal activity.
8 - Procédé conforme à la revendication 6 ou 1, selon lequel les valeurs statistiques et le seuil de conformité dans un modèle sont actualisés en appliquant une pondération dépendant d'une date de création du modèle aux valeurs de la composante volumique du modèle.The method according to claim 6 or 1, wherein the statistical values and conformance threshold in a model are updated by applying model-dependent weighting to the values of the model's volume component.
9 - Procédé conforme à l'une quelconque des revendications 1 à 8, détectant des anomalies relatives au trafic de plusieurs entités de service (SE) supporté par la liaison de transmission (LT) , et comprenant préalablement une déclaration de chaque entité de service par une adresse de destination, au moins un protocole de transport et au moins un port et une liste de composantes volumiques à évaluer selon une période d'évaluations prédéterminée. 10 - Dispositif (DD) pour détecter des anomalies dans le trafic supporté par une liaison de transmission (LT) et relatif à une entité de service (SE), l'activité normale de l'entité de service étant préalablement modélisée, caractérisé en ce qu'il comprend un moyen (MOD) pour modéliser l'activité normale de l'entité de service par au moins un modèle pour une composante volumique du trafic, chaque modèle comprenant une période de validité, des valeurs statistiques relatives à ladite composante volumique pendant ladite période de validité et un seuil de conformité dépendant des valeurs statistiques, un moyen (DET) pour déterminer pour au moins une évaluation de composante volumique à une date ultérieure, une déviation de la composante volumique évaluée par rapport au modèle relatif à la composante volumique et ayant une période de validité incluant sensiblement la date de l'évaluation, et un moyen (ALE) pour déterminer une valeur d'alerte en fonction de la déviation d'au moins une composante volumique.9 - Method according to any one of claims 1 to 8, detecting anomalies relating to the traffic of several service entities (SE) supported by the transmission link (LT), and previously comprising a declaration of each service entity by a destination address, at least one transport protocol and at least one port and a list of volume components to be evaluated according to a predetermined evaluation period. 10 - Device (DD) for detecting anomalies in the traffic supported by a transmission link (LT) and relating to a service entity (SE), the normal activity of the service entity being previously modeled, characterized in that it comprises a means (MOD) for modeling the normal activity of the service entity by at least one model for a volume component of the traffic, each model comprising a period of validity, statistical values relating to the said volume component during said period of validity and a compliance threshold dependent on the statistical values, means (DET) for determining for at least one volume component evaluation at a later date, a deviation of the evaluated volume component from the volume component model and having a validity period substantially including the date of the evaluation, and means (ALE) for determining an alert value based on the deviation of at least one volume component.
11 - Sonde de trafic incluant un dispositif (DD) conforme à la revendication 10 pour détecter des anomalies .11 - Traffic probe including a device (DD) according to claim 10 for detecting anomalies.
12 - Programme d'ordinateur apte à être mis en œuvre dans un dispositif (DD) pour détecter des anomalies dans le trafic supporté par une liaison de transmission (LT) et relatif à une entité de service12 - Computer program capable of being implemented in a device (DD) for detecting anomalies in the traffic supported by a transmission link (LT) and relating to a service entity
(SE), l'activité normale de l'entité de service étant préalablement modélisée, ledit programme comprenant des instructions qui, lorsque le programme est chargé et exécuté dans ledit dispositif, réalisent les étapes consistant à: modéliser (E2) l'activité normale de l'entité de service par au moins un modèle pour une composante volumique du trafic, chaque modèle comprenant une période de validité, des valeurs statistiques relatives à ladite composante volumique pendant ladite période de validité et un seuil de conformité dépendant des valeurs statistiques, déterminer (E31 - E33) pour au moins une évaluation de composante volumique à une date ultérieure, une déviation de la composante volumique évaluée par rapport au modèle relatif à la composante volumique et ayant une période de validité incluant sensiblement la date de l'évaluation, et déterminer (E34, E35) une valeur d'alerte en fonction de la déviation d'au moins une composante volumique . (SE), the normal activity of the service entity being previously modeled, said program including instructions which, when the program is loaded and executed in said device, perform the steps of: modeling (E2) the normal activity of the service entity by at least one model for a volume component of the traffic, each model comprising a validity period, relative statistical values to said volume component during said validity period and a compliance threshold dependent on the statistical values, determining (E31 - E33) for at least one volume component evaluation at a later date, a deviation of the evaluated volume component from the relative model to the volume component and having a validity period substantially including the date of the evaluation, and determining (E34, E35) an alert value as a function of the deviation of at least one volume component.
PCT/FR2006/050669 2005-07-07 2006-07-04 Static detection of anomalies in traffic concerning a service entity WO2007006994A2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0552098 2005-07-07
FR0552098A FR2888438A1 (en) 2005-07-07 2005-07-07 STATIC DETECTION OF ANOMALIES IN TRAFFIC RELATING TO A SERVICE ENTITY

Publications (2)

Publication Number Publication Date
WO2007006994A2 true WO2007006994A2 (en) 2007-01-18
WO2007006994A3 WO2007006994A3 (en) 2007-03-22

Family

ID=36143744

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2006/050669 WO2007006994A2 (en) 2005-07-07 2006-07-04 Static detection of anomalies in traffic concerning a service entity

Country Status (2)

Country Link
FR (1) FR2888438A1 (en)
WO (1) WO2007006994A2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7424619B1 (en) * 2001-10-11 2008-09-09 The Trustees Of Columbia University In The City Of New York System and methods for anomaly detection and adaptive learning
US8443441B2 (en) 2001-08-16 2013-05-14 The Trustees Of Columbia University In The City Of New York System and methods for detecting malicious email transmission
US8544087B1 (en) 2001-12-14 2013-09-24 The Trustess Of Columbia University In The City Of New York Methods of unsupervised anomaly detection using a geometric framework

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9306966B2 (en) 2001-12-14 2016-04-05 The Trustees Of Columbia University In The City Of New York Methods of unsupervised anomaly detection using a geometric framework
US7225343B1 (en) 2002-01-25 2007-05-29 The Trustees Of Columbia University In The City Of New York System and methods for adaptive model generation for detecting intrusions in computer systems

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050125195A1 (en) * 2001-12-21 2005-06-09 Juergen Brendel Method, apparatus and sofware for network traffic management

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050125195A1 (en) * 2001-12-21 2005-06-09 Juergen Brendel Method, apparatus and sofware for network traffic management

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
LAZAREVIC, A., ERTOZ, L., OZGUR, A, SRIVASTAVA, J., KUMAR, V.: "A Comparative Study of Anomaly Detection Schemes in Network Intrusion Detection" PROCEEDINGS OF THIRD SIAM CONFERENCE ON DATA MINING, SAN FRANCISCO, [Online] 1 mars 2003 (2003-03-01), XP002379529 Extrait de l'Internet: URL:http://www.cs.umn.edu/research/minds/p apers/siam2003.pdf> [extrait le 2006-05-03] *
NONG YE ET AL: "An anomaly detection technique based on a chi-square statistic for detecting intrusions into information systems" QUALITY AND RELIABILITY ENGINEERING INTERNATIONAL WILEY UK, [Online] vol. 17, no. 2, mars 2001 (2001-03), pages 105-112, XP002379530 ISSN: 0748-8017 Extrait de l'Internet: URL:http://www3.http://www3.interscience.w iley.com/cgi-bin/abstract/78003294/ABSTRAC T?CRETRY=1&SRETRY=0> [extrait le 2006-05-03] *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8443441B2 (en) 2001-08-16 2013-05-14 The Trustees Of Columbia University In The City Of New York System and methods for detecting malicious email transmission
US7424619B1 (en) * 2001-10-11 2008-09-09 The Trustees Of Columbia University In The City Of New York System and methods for anomaly detection and adaptive learning
US8544087B1 (en) 2001-12-14 2013-09-24 The Trustess Of Columbia University In The City Of New York Methods of unsupervised anomaly detection using a geometric framework

Also Published As

Publication number Publication date
WO2007006994A3 (en) 2007-03-22
FR2888438A1 (en) 2007-01-12

Similar Documents

Publication Publication Date Title
EP1463238B1 (en) Device for local management of security processes of a telecommunication network equipment
EP3957045A1 (en) Method and device for processing an alert message indicating the detection of an anomaly in traffic transmitted via a network
EP2023533A1 (en) Method and system for classifying IP network traffic
EP1367769A1 (en) System and method for classification of alarm messages due to a violation of a service level agreement in a telecommunication network
WO2007006994A2 (en) Static detection of anomalies in traffic concerning a service entity
EP2061194A1 (en) Method and system for managing communication
EP2090021B1 (en) Method for monitoring a plurality of equipments in a communication network
EP2211504A1 (en) Method for cooperative classification of IP traffic flows
WO2007006995A2 (en) Dynamic detection of anomalies in the traffic concerning a service entity
EP2353272B1 (en) Method for characterising entities at the origin of fluctuations in a network traffic
FR2964280A1 (en) EVENT CENTRALIZATION METHOD FOR MULTI-LEVEL HIERARCHICAL INFORMATION SYSTEM
FR3105486A1 (en) Method for detecting malicious behavior in a communication network, device, equipment for accessing said network, method for detecting a distributed attack in said network, device, node equipment and corresponding computer programs
WO2007020361A2 (en) Establishment of alerts by means of the detection of static and dynamic anomalies in the traffic of a service entity
FR2834409A1 (en) SYSTEM FOR MANAGING TRANSPORT NETWORKS BASED ON THE ANALYSIS OF TRENDS OF DATA ACQUIRED ON THE NETWORK
EP3539259B1 (en) Method and device for updating a predictive model of a variable relating to a mobile terminal
WO2006103337A1 (en) Method for monitoring a table of adaptive flows and directing a flood attack of a wideband packet data transmission network and corresponding analyzing equipment
EP2838241B1 (en) Method for detecting suspicious events in a file for collecting information relating to a data stream; associated recording medium and system
EP3869368A1 (en) Method and device for detecting anomalies
WO2020221779A1 (en) Methods and devices for measuring reputation in a communication network
EP1372295A1 (en) Device and method for controlling profiles, namely of data-flows, in a communications network
WO2007125235A2 (en) Identifying nodes in a network
FR2917556A1 (en) DETECTION OF ANOMALY IN THE TRAFFIC OF SERVICE ENTITIES THROUGH A PACKET NETWORK
EP2464068B1 (en) System for overall management of personalised filtering based on a secured information exchange circuit and related method
WO2006123036A1 (en) Method for the tree structure representation of a group of digital data streams, the associated tree structure and method and system for the detection of a flood attack
FR3044195A1 (en) METHOD AND DEVICE FOR PROCESSING A NON-LEGITIMATE ANNOUNCEMENT OF AN IP ADDRESS BLOCK

Legal Events

Date Code Title Description
NENP Non-entry into the national phase

Ref country code: DE

WWW Wipo information: withdrawn in national office

Country of ref document: DE

122 Ep: pct application non-entry in european phase

Ref document number: 06779010

Country of ref document: EP

Kind code of ref document: A2