Auswahl der wissenschaftlichen Literatur zum Thema „Télécommunications – Trafic – Mesures de sûreté“

Nowadays, intrusion response is challenged by both attack sophistication and the complexity of target systems. In fact, Internet currently provides an exceptional facility to share resources and exploits between novice and skilled attackers. As a matter of fact, simply detecting or locally responding against attacks has proven to be insufficient. On the other hand, in order to keep pace with the growing need for more interactive and dynamic services, information systems are getting increasingly dependent upon modular and interdependent service architectures. In consequence, intrusions and responses often have drastic effects as their impacts spread through service dependencies. We argue in this thesis that service dependencies have multiple security implications. In the context of intrusion response, service dependencies can be used to find the proper enforcement points which are capable to support a specific response strategy. They can be also used in order to compute the impact of such responses in order to select the least costly response. In a first attempt to realize the thesis objectives, we explore graph-based service dependency models. We implement intrusion and response impacts as security flows that propagate within a directed graph. We introduce countermeasures as transformations to the dependency graph, and which have direct implications on the impact flows triggered by an intrusion. In a second step, we replace the analytic graph-based approach with a simulation-based approach using colored Petri nets. We develop for this purpose a new service dependency model that outperforms the initial graph-based models. It represents access permissions that apply to service dependencies. Attacker permissions are also implemented in this model by interfacing with attack graphs. We develop a simulation platform that tracks the propagation of intrusion impacts, response impacts, and the combined impacts for intrusion and response. We define a new response index, the return on response investment (RORI), that we evaluate for each response candidate with the aim to select the one that provides a maximal positive RORI index.

Les mesures de trafic permettent aux opérateurs de réseaux de réaliser plusieurs applications de surveillances telles que l’ingénierie du trafic, l’approvisionnement des ressources, la gestion de réseaux, et la détection d’anomalies. Cependant, les solutions existantes présentent plusieurs problèmes, à savoir le problème de scalabilité, le problème de la détection des changements dans le trafic du réseau, et le problème de la perte d’informations significatives sur le trafic. La principale conséquence de cette tendance est un désaccord entre les solutions de surveillance existantes et les besoins croissants des applications de gestion des réseaux ; Ainsi, l’amélioration des applications de surveillance présente un défi majeur et un énorme engagement pour les grands réseaux. Ce défi devient plus difficile avec la croissance remarquable de l’infrastructure d’Internet, l’hétérogénéité des comportements des utilisateurs et l’émergence d’une large variété d’applications réseau. Dans ce contexte, nous présentons la conception d’une architecture centralisée adaptative qui fournit une visibilité sur l’ensemble du réseau grâce à un système cognitif de surveillance de son trafic. Nous considérons les exigences suivantes dans la conception de notre système de surveillance de réseaux. La première souligne le fait que les vendeurs ne veulent pas mettre en œuvre des outils d’échantillonnage sophistiqués qui donne nt de bons résultats dans certaines circonstances. Ils veulent mettre en œuvre des solutions simples et robustes qui sont bien décrites par une certaine norme (i. E. S’Flow, NetFlow). Ainsi, nous décidons de concevoir une nouvelle solution qui utilise des techniques de surveillance existantes et tente de coordonner les responsabilités entre les différents moniteurs afin d’améliorer la précision globale des mesures. La deuxième exigence stipule que le système de surveillance devrait fournir des informations générales sur l’ensemble du réseau0. Pour ce faire, nous adaptons une approche centralisée qui offre une visibilité sur l’ensemble du réseau. Notre système combine les différentes mesures locales en vue d’atteindre le compromis entre l’amélioration de la précision des résultats et le respect des contraintes de surveillance. Et la dernière exigence indique que le système de surveillance devrait régler le problème de scalabilité et respecter les contraintes de surveillance. Par conséquent, notre système repose sur un module de configuration de réseau qui fournit une solution réactive capable de détecter les changements dans les conditions du réseau et d’adapter la configuration des moniteurs à l’état du réseau. De plus, ils évitent les détails et les oscillations inutiles dans le trafic afin de garder la consommation des ressources dans les limites souhaitées. Le module de reconfiguration du réseau utilise des outils locaux de surveillance et ajuste automatiquement et périodiquement leurs taux d’échantillonnage afin de coordonner les responsabilités et répartir le travail entre les différents moniteurs
Traffic measurement allows network operators to achieve several purposes such as traffic engineering, network resources provisioning and management, accounting and anomaly detection. However, existing solutions suffer from different problems namely the problem of scalability to high speeds, the problem of detecting changes in network conditions, and the problem of missing meaningful information in the traffic. The main consequence of this trend is an inherent disagreement between existing monitoring solutions and the increasing needs of management applications. Hence, increasing monitoring capabilities presents one of the most challenging issues and an enormous undertaking in a large network. This challenge becomes increasingly difficult to meet with the remarkable growth of the Internet infrastructure, the increasing heterogeneity of user’s behaviour and the emergence of a wide variety of network applications. In this context, we present the design of an adaptive centralized architecture that provides visibility over the entire network through a net-work-wide cognitive monitoring system. We consider the following important requirements in the design of our network-wide monitoring system. The first underscores the fact that the vendors do not want to implement sophisticated sampling schemes that give good results under certain circumstances. They want to implement simple and robust solutions that are well described by some form of a standard (i. E. SFlow, NetFlow). Thus, we decide to design a new solution that deals with existing monitoring techniques and tries to coordinate responsibilities between the different monitors in order to improve the overall accuracy. The second requirement stipulates that the monitoring system should provide general information of the entire network. To do so, we adopt a centralized approach that provides visibility over the entire network. Our system investigates the different local measurements and correlates their results in order to address the trade off between accuracy and monitoring constraints. Ands the last requirement indicates that the monitoring system should address the scalability problem and respect monitoring constraints. To this end, our system relies on a network configuration module hat provides a responsive solution able to detect changes in network conditions and adapt the different sampling rates to network state. At the same time it avoids unnecessary details and oscillations in the traffic in order to keep the resulting overhead within the desired bounds. The network reconfiguration module deals with local monitoring tools and adjusts automatically and periodically sampling rates in order to coordinate responsibilities and distribute the work between the different monitors

Au cours des dernières années, l'apparition de l'Internet a changé la façon dont les affaires sont menées partout dans le monde. Pour rester compétitives, les entreprises ont déployé du support informatique pour les processus métiers au fil des années. Dans ce contexte, les architectures orientées service (SOA) ont émergé comme la solution principale pour l'intégration des systèmes patrimoniaux avec les nouvelles technologies au coeur des grandes organisations. Les centres de traitement de données d'entreprise qui implémentent les concepts et solutions des SOA sont normalement déployés en suivant une architecture à deux niveaux où, pour libérer les serveurs de services des tâches computationnelles intensives (e.g., l'analyse syntaxique de documents XML) et pour effectuer de la protection de ressources, ces fonctions sont déchargées dans un cluster d'appliances qui implémentent des fonctions des réseaux orientées service (SON). Dans les centres de traitement, l'accès aux services est gouverné par des contrats de garantie de services (SLA), dont le but est de protéger les ressources du centre de traitement. Actuellement, les appliances SON sont utilisées pour protéger les ressources du centre de traitement en limitant l'accès (e.g., en contrôlant le trafic) aux services. Le provisionnement et l'optimisation de ressources sont des problèmes classiques de la gestion de la QoS. En outre, le contrôle de trafic est un problème très connu de l'ingénierie de trafic. Cependant, dans les centres de traitement orientés service le problème est fondamentalement diffèrent. Dans les réseaux classiques, les ressources protégée par la fonction de mise en conformité sont normalement la bande passante et la taille des mémoires tampon, dont les unités de mesure sont clairement définies et mesurées avec précision. Dans un centre de traitement, les métriques des ressources sont comprises pour la plupart dans un des types suivants: puissance de calcul et mémoire des serveurs d'application (CPU et RAM), capacité de stockage des serveurs de stockage (espace en disque dur), et la bande passante du réseau interne du centre de traitement. Une autre différence fondamentale est que, dans les réseaux dits "classiques", le contrôle de trafic a une étendue locale, puisque le trafic prend la conformité d'une connexion simple. Dans un centre de traitement, les clients de service accèdent aux services à partir de multiples points d'entrée (p.ex., un cluster d'appliances SON). Ainsi, l'effet désiré est une mise en conformité "globale" du trafic. Le défi est donc faire respecter les contrats de service en agissant localement dans chaque point d'entrée. Cette thèse apporte trois contributions. D'abord nous proposons DoWSS, un algorithme dynamique basé sur des crédits pour la mise en conformité de trafic multipoint-à-point. À la différence des approches existantes basées sur des crédits, notre approche utilise une stratégie doublement pondérée pour l'affectation de crédits, en utilisant des poids basés sur la taille des requêtes de service. L'évaluation de DoWSS montre que ses performances sont optimales puisqu'il limite le nombre de requêtes au maximum permis par le contrat de service. Par la suite, nous affirmons que les appliances SON actuelles présentent des limitations architecturales qui les empêchent d'être utilisées efficacement pour la mise en conformité de trafic en présence d'hôtes de service multiples. Pour palier à ce problème, nous proposons MuST, une architecture interne pour les appliances SON appropriée pour la mise en conformité de trafic multi-service. L'évaluation des performances de notre approche montre qu'elle résout le problème de la mise en conformité de trafic multipoint-à-multipoint tout en poussant le système à être utilisé à sa capacité maximale. Finalement, actuellement les applications sont souvent déployées dans des centres de données géographiquement distribués. Les approches existantes pour la mise en conformité de trafic, lesquelles ont étés conçues spécifiquement pour des centres de données aménagés sur un même site, présentent des problèmes liés aux latences réseau quand ils sont utilisés dans des environnements géographiquement distribués. Pour palier à ce problème, nous proposons GeoDS, un approche pour la mise en conformité du trafic géographiquement distribué qui considère les délais de communication entre les entités qui forment le système. L'évaluation de ses performances montre qu'il est capable de résoudre efficacement le problème de la mise en conformité du trafic dans les environnements géographiquement distribués.

Il est évident aujourd'hui que le trafic Internet est bien plus complexe et irrégulier qu'escompté, ce qui nuit grandement à un fonctionnement efficace des réseaux, ainsi qu'à la garantie de niveaux de performances et de qualité de service (QdS) satisfaisants. En particulier, le comportement du réseau est surtout mis à mal lorsque le trafic contient des anomalies importantes. Différentes raisons peuvent être à la source de ces anomalies, comme les attaques de déni de service (DoS), les foules subites ou les opérations de maintenance ou de gestion des réseaux. De fait, la détection des anomalies dans les réseaux et leurs trafics est devenue un des sujets de recherche les plus chauds du moment. L'objectif de cette thèse a donc été de développer de nouvelles méthodes originales pour détecter, classifier et identifier les anomalies du trafic. La méthode proposée repose notamment sur la recherche de déviations significatives dans les statistiques du trafic par rapport à un trafic normal. La thèse a ainsi conduit à la conception et au développement de l'algorithme NADA : Network Anomaly Detection Algorithm. L'originalité de NADA - et qui garantit son efficacité - repose sur l'analyse du trafic selon 3 axes conjointement : une analyse multi-critères (octets, paquets, flux, ...), multi-échelles et selon plusieurs niveaux d'agrégations. A la suite, la classification repose sur la définition de signatures pour les anomalies de trafic. L'utilisation des 3 axes d'analyse permettent de détecter les anomalies indépendamment des paramètres de trafic affectés (analyse multi-critères), leurs durées (analyse multi-échelles), et leurs intensités (analyse multi-niveaux d'agrégation). Les mécanismes de détection et de classification d'anomalies proposés dans cette thèse peuvent ainsi être utilisés dans différents domaines de l'ingénierie et des opérations réseaux comme la sécurité des réseaux, l'ingénierie du trafic ou des réseaux superposés, pour citer quelques exemples. Une contribu tion importante de la thèse a trait à la méthode de validation et d'évaluation utilisée pour NADA. NADA a ainsi été validé sur une base de trace de trafic contenant des anomalies documentées, puis évalué sur les principales traces de trafic disponibles. Les résultats obtenus sont de très bonne facture, notamment lorsqu'ils sont comparés avec ceux obtenus par d'autres outils de détection d'anomalies. De plus, la qualité des résultats est indépendante du type de trafic analysé et du type d'anomalie. Il a été en particulier montré que NADA était capable de détecter et classifier efficacement les anomalies de faible intensité, qui sont apparues comme des composantes essentielles des attaques DOS. NADA apporte donc une contribution intéressante en matière de sécurité réseau.

L'objet de cette thèse est la conception et le développement d'un système de détection des attaques DDoS volumétriques, intégré au sein d'une infrastructure en nuage (cloud). Cette nouvelle proposition vise à remplacer un système préexistant qui a été jugé peu adaptable et complexe à exploiter par les ingénieurs d'OVHcloud. Afin d'atteindre cet objectif, le travail de thèse est articulé autour de quatre axes majeurs.Tout d'abord, une revue exhaustive de la littérature scientifique est entreprise pour appréhender les problématiques associées à la détection des attaques volumétriques dans le contexte spécifique des environnements en nuage. Les attaques DDoS, depuis leur avènement au début des années 2000, n'ont cessé de gagner en sophistication et en ampleur. Les environnements tels que celui d'OVHcloud font l'objet de centaines d'attaques DDoS quotidiennes, dont certaines dépassent le seuil du téraoctet de trafic. Dans une première contribution, l'examen détaillé d'une année d'attaques visant l'infrastructure d'OVHcloud révèle que peu de travaux antérieurs tiennent compte de tels niveaux de volumétrie. Cette constatation initiale met en évidence la nécessité d'adapter les solutions de pointe existantes afin qu'elles puissent être appliquées dans des environnements à haute performance.Dans un second volet, il est démontré que les ensembles de données disponibles pour la recherche sont peu compatibles sur le plan statistique avec les conditions observées dans le cadre de cette étude. Les métriques largement utilisées dans la littérature scientifique ne parviennent pas à capturer la réalité quotidienne. Cette lacune génère des problématiques, tant du point de vue de la conception de solutions adaptées à ce contexte spécifique que de la reproductibilité des travaux de recherche. Du point de vue des hébergeurs, l'absence de jeux de données appropriés s'explique partiellement par les difficultés rencontrées par le milieu académique pour accéder aux infrastructures industrielles, majoritairement sous l'égide de grandes multinationales du secteur privé. Les considérations liées à la confidentialité des données à caractère personnel présentes dans de tels jeux de données constituent également un frein. C'est ainsi que dans un troisième apport significatif, une proposition de générateur de trafic est formulée, respectant les propriétés statistiques spécifiques à l'infrastructure cloud étudiée.Fort de cette compréhension accrue des problématiques internes aux fournisseurs de services en nuage pour la détection des attaques DDoS, ainsi que des défis liés à la reproduction de situations réelles, incluant à la fois le trafic nominal et les attaques, un quatrième et dernier volet, sous la forme d'un brevet industriel, est consacré à la description d'une architecture de système de détection des attaques DDoS volumétriques. Cette architecture doit permettre l'intégration d'algorithmes de détection, tout en restant maintenable par les experts métier. De plus, elle doit être conçue pour résoudre les problématiques relatives à la charge réseau générée par une infrastructure accueillant des millions de clients à travers le monde
The objective of this thesis is the conception and development of a system for detecting volumetric DDoS attacks, integrated within a cloud infrastructure. This novel proposition aims to supplant an existing system deemed to be inadequately adaptable and operationally complex for OVHcloud engineers. To achieve this objective, the thesis is structured around four primary axes.Firstly, a comprehensive review of the scientific literature is undertaken to apprehend the issues associated with detecting volumetric attacks within the specific context of cloud environments. Since their emergence in the early 2000s, DDoS attacks have continually increased in sophistication and magnitude. Environments such as OVHcloud are subjected to hundreds of daily DDoS attacks, with some exceeding the terabit traffic threshold. In a primary contribution, a detailed examination of a year's worth of attacks targeting the OVHcloud infrastructure reveals that few prior works take such levels of volume into account. This initial observation underscores the necessity of adapting existing state-of-the-art solutions for application in high-performance environments.In a secondary facet, it is demonstrated that the available datasets for research lack statistical compatibility with the observed conditions within this study's framework. Widely employed metrics in scientific literature fail to capture everyday realities. This shortfall generates issues both in terms of devising context-specific solutions and in reproducing research outcomes. From the perspective of hosting providers, the absence of suitable datasets is partially attributed to the difficulties faced by the academic community in accessing industrial infrastructures, predominantly under the purview of major private-sector multinationals. Considerations linked to the confidentiality of personally identifiable information within such datasets also impede progress. Thus, in a significant tertiary contribution, a traffic generator proposal is formulated, adhering to the specific statistical properties of the studied cloud infrastructure.Leveraging this heightened comprehension of the intrinsic challenges faced by cloud service providers in detecting DDoS attacks, as well as the obstacles posed by the replication of real-world scenarios, encompassing both normal traffic and attacks, a fourth and final facet, presented in the form of an industrial patent, is devoted to delineating an architecture for detecting volumetric DDoS attacks. This architecture must facilitate the integration of detection algorithms while remaining maintainable by domain experts. Furthermore, it should be designed to address issues pertaining to the network load engendered by an infrastructure accommodating millions of clients across the globe

Nous nous intéressons dans cette thèse à des problèmes sensibles rencontrés par la détection d'intrusions à savoir le haut débit, les techniques d'évasion et les fausses alertes. Afin de soutenir le haut débit, nous procédons à une classification du trafic réseau ce qui permet de diviser la charge d'analyse sur plusieurs systèmes de détection d'intrusions et de sélectionner pour chaque classe du trafic la meilleure méthode de détection. Par ailleurs nous réduisons le temps de traitement de chaque paquet en organisant convenablement les règles de détection d'attaques stockées sur les systèmes de détection d'intrusions. Au cours de cette analyse nous proposons un filtrage à la volée de plusieurs signatures d'attaques. Ainsi, nous évitons le réassemblage du trafic qui était auparavant nécessaire pour résister aux techniques d'évasion. Par ailleurs nous assurons une analyse protocolaire avec des arbres de décisions ce qui accélère la détection des attaques et évite les inconvénients du filtrage brut de motifs telles que la génération abondante des faux positifs
In this dissertation we are interested by some bottlenecks that the intrusion detection faces, namely the high load traffic, the evasion techniques and the false alerts generation. In order to ensure the supervision of overloaded networks, we classify the traffic using Intrusion Detection Systems (IDS) characteristics and network security policies. Therefore each IDS supervises less IP traffic and uses less detection rules (with respect to traffics it analyses). In addition we reduce the packets time processing by a wise attack detection rules application. During this analysis we rely on a fly pattern matching strategy of several attack signatures. Thus we avoid the traffic reassembly previously used to deceive evasion techniques. Besides, we employ the protocol analysis with decision tree in order to accelerate the intrusion detection and reduce the number of false positives noticed when using a raw pattern matching method

La complexité croissante des cyberattaques, caractérisée par une diversification des techniques d'attaque, une expansion des surfaces d'attaque et une interconnexion croissante d'applications avec Internet, rend impérative la gestion du trafic réseau en milieu professionnel. Les entreprises de tous types collectent et analysent les flux réseau et les journaux de logs pour assurer la sécurité des données échangées et prévenir la compromission des systèmes d'information. Cependant, les techniques de collecte et de traitement des données du trafic réseau varient d'un jeu de données à l'autre, et les approches statiques de détection d'attaque présentent des limites d'efficacité et précision, de temps d'exécution et de scalabilité. Cette thèse propose des approches dynamiques de détection de cyberattaques liées au trafic réseau, en utilisant une ingénierie d'attributs basée sur les différentes phases de communication d'un flux réseau, couplée aux réseaux de neurones à convolution (1D-CNN) et leur feature detector. Cette double extraction permet ainsi une meilleure classification des flux réseau, une réduction du nombre d'attributs et des temps d'exécution des modèles donc une détection efficace des attaques. Les entreprises sont également confrontées à des cybermenaces qui évoluent constamment, et les attaques "zero-day", exploitant des vulnérabilités encore inconnues, deviennent de plus en plus fréquentes. La détection de ces attaques zero-day implique une veille technologique constante et une analyse minutieuse, mais coûteuse en temps, de l'exploitation de ces failles. Les solutions proposées garantissent pour la plupart la détection de certaines techniques d'attaque. Ainsi, nous proposons un framework de détection de ces attaques qui traite toute la chaîne d'attaque, de la phase de collecte des données à l'identification de tout type de zero-day, même dans un environnement en constante évolution. Enfin, face à l'obsolescence des jeux de données et techniques de génération de données existants pour la détection d'intrusion et à la nature figée, non évolutive, et non exhaustive des scénarios d'attaques récents, l'étude d'un générateur de données de synthèse adapté tout en garantissant la confidentialité des données est abordée. Les solutions proposées dans cette thèse optimisent la détection des techniques d'attaque connues et zero-day sur les flux réseau, améliorent la précision des modèles, tout en garantissant la confidentialité et la haute disponibilité des données et modèles avec une attention particulière sur l'applicabilité des solutions dans un réseau d'entreprise
The increasing complexity of cyberattacks, characterized by a diversification of attack techniques, an expansion of attack surfaces, and growing interconnectivity of applications with the Internet, makes network traffic management in a professional environment imperative. Companies of all types collect and analyze network flows and logs to ensure the security of exchanged data and prevent the compromise of information systems. However, techniques for collecting and processing network traffic data vary from one dataset to another, and static attack detection approaches have limitations in terms of efficiency and precision, execution time, and scalability. This thesis proposes dynamic approaches for detecting cyberattacks related to network traffic, using feature engineering based on the different communication phases of a network flow, coupled with convolutional neural networks (1D-CNN) and their feature detector. This double extraction allows for better classification of network flows, a reduction in the number of attributes and model execution times, and thus effective attack detection. Companies also face constantly evolving cyber threats, and "zero-day" attacks that exploit previously unknown vulnerabilities are becoming increasingly frequent. Detecting these zero-day attacks requires constant technological monitoring and thorough but time-consuming analysis of the exploitation of these vulnerabilities. The proposed solutions guarantee the detection of certain attack techniques. Therefore, we propose a detection framework for these attacks that covers the entire attack chain, from the data collection phase to the identification of any type of zero-day, even in a constantly evolving environment. Finally, given the obsolescence of existing datasets and data generation techniques for intrusion detection, and the fixed, non-evolving, and non-exhaustive nature of recent attack scenarios, the study of an adapted synthetic data generator while ensuring data confidentiality is addressed. The solutions proposed in this thesis optimize the detection of known and zero-day attack techniques on network flows, improve the accuracy of models, while ensuring the confidentiality and high availability of data and models, with particular attention to the applicability of the solutions in a company network

La première partie de cette thèse concerne une étude de robustesse des algorithmes de points intérieurs prédicteurs correcteurs, ainsi qu'une approche par décomposition de cette méthode pour la résolution de problèmes de multiflot. Dans la deuxième partie, nous nous intéressons au problème de sécurisation globale dont l'objectif est de déterminer un multiflot (qui transporte toute demande de son nud origine a son nud destination en respectant la loi de Kirchhoff) et l'investissement de moindre coût en capacité nominale et de réserve qui assure le routage nominal et garantit sa survie par reroutage global. Dans notre modèle les routages et les capacités sont fractionnables. PSG se formule alors comme un problème linéaire de grande taille avec plusieurs niveaux de couplage. Sa structure particulière appelle à l'emploi d'algorithmes de décomposition. Nous proposons quatre méthodes utilisant la technique de génération de colonnes. Les deux premières sont basées sur les techniques proximales. Leur tâche principale consiste en la résolution de sous problèmes quadratiques indépendants. Le troisième algorithme s'inspire de l'approche de points intérieurs décrite à la première partie. Pour finir, nous intégrons une procédure d'élimination de chemins dans une adaptation d'un solveur de points intérieurs. Nous reportons des résultats numériques obtenus en testant ces algorithmes sur des données réelles fournies par le CNET.

Les cyber-attaques pourraient engendrer des pertes qui sont de plus en plus importantes pour les utilisateurs finaux et les fournisseurs de service. Ces attaques sont, en outre, élevées par une myriade des ressources infectées et comptent surtout sur les réseaux pour être contrôlées, se propager ou endommager. Face à ces risques, il y a un besoin essentiel qui se manifeste dans la réponse à ces nombreuses attaques par des stratégies de défense efficaces. Malgré les multitudes efforts dévouées pour mettre en œuvre des techniques de défense complètes afin de se protéger contre les attaques réseaux; les approches proposées n’ont pas parvenus à satisfaire toutes les exigences. Les stratégies de défense impliquent un processus de détection complété par des actions de mitigation. Parallèlement à l’importance accordée à la conception des stratégies de détection, il est essentiel de fermer la boucle de sécurité avec des techniques efficaces permettant d’atténuer les impacts des différentes attaques. Dans cette thèse, nous proposons une technique pour réagir aux attaques qui abusent les ressources du réseau, par exemple, DDoS, botnet, distribution des vers, etc. La technique proposée s’appuie sur des approches de gestion du trafic et utilise le standard Multiprotocol Label Switching (MPLS) pour gérer le trafic diagnostiqué comme abusant du réseau, tout en invoquant les processus de détection. Les objectifs de notre technique peuvent être résumés comme suit: d’une part, fournir les moyens — par la qualité de service et schémas de routage — à séparer les flux suspects des légitimes, et d’autre part de prendre le contrôle des flux suspects. Nous bénéficions de l’extension du MPLS au niveau d’inter-domaine pour permettre une coopération entre les fournisseurs, permettant par suite la construction d’un mécanisme de défense à grande échelle. Nous développons un système afin de compléter les aspects de gestion de la technique proposée. Ce système effectue plusieurs tâches telles que l’extraction de données d’alerte, l’adaptation de la stratégie et la configuration des équipements. Nous modélisons le système en utilisant une approche de regroupement et un langage de politiques de sécurité afin de gérer de manière cohérente et automatique le contexte et l’environnement dans lequel la technique de mitigation est exécutée. Enfin, nous montrons l’applicabilité de la technique et du système à travers des différentes simulations tout en évaluant la qualité de service dans des réseaux MPLS. L’application de la technique a démontré son efficacité dans non seulement la mitigation des impacts des attaques mais aussi dans l’offre des avantages financiers aux acteurs de la chaîne de sécurité, à savoir les fournisseurs de service
Cyber attacks cause considerable losses not only for end-users but also service providers. They are fostered by myriad of infected resources and mostly rely on network resources for whether propagating, controlling or damaging. There is an essential need to address these numerous attacks by efficient defence strategies. Researchers have dedicated large resources without reaching a comprehensive method to protect from network attacks. Defence strategies involve first a detection process, completed by mitigation actions. Research on detection is more active than on mitigation. Yet, it is crucial to close the security loop with efficient technique to mitigate counter attacks and their effects. In this thesis, we propose a novel technique to react to attacks that misuse network resources, e.g., DDoS, Botnet, worm spreading, etc. Our technique is built upon network traffic management techniques. We use the Multiprotocol Label Switching (MPLS) technology to manage the traffic diagnosed to be part of a network misuse by detection processes. The goals of our technique can be summarized as follows: first to provide the means — via QoS and routing schemes — to segregate the suspicious flows from the legitimate traffic; and second, to take control over suspicious flows. We profit from the enhancement on the inter-domain MPLS to permit a cooperation among providers building a large-scale defence mechanism. We develop a system to complete the management aspects of the proposed technique. This system performs tasks such as alert data extraction, strategy adaptation and equipments configurations. We model the system using a clustering method and a policy language in order to consistently and automatically manage the mitigation context and environment in which the proposed technique is running. Finally, we show the applicability of the technique and the system through simulation. We evaluate and analyse the QoS and financial impacts inside MPLS networks. The application of the technique demonstrates its effectiveness and reliability in not only alleviating attacks but also providing financial benefits for the different players in the mitigation chain, i.e., service providers

Les travaux décrits dans ce mémoire portent sur la supervision du trafic dans le coeur de réseau, au niveau de la couche applicative. Nous illustrons l'intérêt de la supervision dans la couche 7 grâce à trois études qui montrent les bénéfices obtenus pour la sécurité et pour l'évaluation de modifications d'architecture du réseau. La première étude utilise l'épidémiologie, la science qui étudie les causes et la propagation des maladies. L'épidémiologie fournit des concepts et des méthodes pour analyser à quels risques potentiels d'infection les PC des clients ADSL sont exposés. La deuxième étude porte sur l'opportunité pour un opérateur d'installer des caches P2P dans son réseau. Enfin, la troisième étude porte sur l'opportunité pour un opérateur de réseau de coopérer avec les réseaux P2P à travers une interface de type P4P. Nous montrons donc dans ces travaux que la supervision applicative est un outil essentiel pour l'évaluation des protocoles et architectures mis en oeuvre dans les services Internet
Traffic monitoring at the application level: application to security and network engineering. The work presented in this document deals with traffic monitoring in the core network, at the application level. The benefits of traffic monitoring in the layer-7 is illustrated thanks to several studies