Academic literature on the topic 'Attaques par déni de service – Statistiques'

Les botnets, ou réseaux d’ordinateurs compromis par des pirates informatiques, représentent à l’heure actuelle la menace criminelle la plus sérieuse, servant de support à la fraude bancaire, aux attaques distribuées par déni de service (DDoS), ou encore à la fraude au clic. Au cours des dernières années, deux approches distinctes ont été privilégiées pour combattre ces botnets : d’une part, les services de police ont procédé à l’arrestation fortement médiatisée de quelques pirates de haut vol et au démantèlement de leurs infrastructures de commandement et de contrôle. D’autre part, dans certains pays, et notamment au Japon, en Corée du Sud, en Australie, mais aussi en Hollande ou en Allemagne, les gouvernements ont favorisé l’émergence de partenariats public-privé impliquant des fournisseurs d’accès et des entreprises de sécurité informatique. Dans une démarche régulatoire, ces initiatives visent à identifier les ordinateurs infectés, à notifier leurs propriétaires et à aider ces derniers à nettoyer leur machine. Cet article a donc pour objectif de comparer les deux approches (judiciarisation vs régulation), en essayant notamment d’évaluer les effets produits par chacune d’elles sur le niveau général de sécurité de l’écosystème numérique.

L'objet de cette thèse est la conception et le développement d'un système de détection des attaques DDoS volumétriques, intégré au sein d'une infrastructure en nuage (cloud). Cette nouvelle proposition vise à remplacer un système préexistant qui a été jugé peu adaptable et complexe à exploiter par les ingénieurs d'OVHcloud. Afin d'atteindre cet objectif, le travail de thèse est articulé autour de quatre axes majeurs.Tout d'abord, une revue exhaustive de la littérature scientifique est entreprise pour appréhender les problématiques associées à la détection des attaques volumétriques dans le contexte spécifique des environnements en nuage. Les attaques DDoS, depuis leur avènement au début des années 2000, n'ont cessé de gagner en sophistication et en ampleur. Les environnements tels que celui d'OVHcloud font l'objet de centaines d'attaques DDoS quotidiennes, dont certaines dépassent le seuil du téraoctet de trafic. Dans une première contribution, l'examen détaillé d'une année d'attaques visant l'infrastructure d'OVHcloud révèle que peu de travaux antérieurs tiennent compte de tels niveaux de volumétrie. Cette constatation initiale met en évidence la nécessité d'adapter les solutions de pointe existantes afin qu'elles puissent être appliquées dans des environnements à haute performance.Dans un second volet, il est démontré que les ensembles de données disponibles pour la recherche sont peu compatibles sur le plan statistique avec les conditions observées dans le cadre de cette étude. Les métriques largement utilisées dans la littérature scientifique ne parviennent pas à capturer la réalité quotidienne. Cette lacune génère des problématiques, tant du point de vue de la conception de solutions adaptées à ce contexte spécifique que de la reproductibilité des travaux de recherche. Du point de vue des hébergeurs, l'absence de jeux de données appropriés s'explique partiellement par les difficultés rencontrées par le milieu académique pour accéder aux infrastructures industrielles, majoritairement sous l'égide de grandes multinationales du secteur privé. Les considérations liées à la confidentialité des données à caractère personnel présentes dans de tels jeux de données constituent également un frein. C'est ainsi que dans un troisième apport significatif, une proposition de générateur de trafic est formulée, respectant les propriétés statistiques spécifiques à l'infrastructure cloud étudiée.Fort de cette compréhension accrue des problématiques internes aux fournisseurs de services en nuage pour la détection des attaques DDoS, ainsi que des défis liés à la reproduction de situations réelles, incluant à la fois le trafic nominal et les attaques, un quatrième et dernier volet, sous la forme d'un brevet industriel, est consacré à la description d'une architecture de système de détection des attaques DDoS volumétriques. Cette architecture doit permettre l'intégration d'algorithmes de détection, tout en restant maintenable par les experts métier. De plus, elle doit être conçue pour résoudre les problématiques relatives à la charge réseau générée par une infrastructure accueillant des millions de clients à travers le monde
The objective of this thesis is the conception and development of a system for detecting volumetric DDoS attacks, integrated within a cloud infrastructure. This novel proposition aims to supplant an existing system deemed to be inadequately adaptable and operationally complex for OVHcloud engineers. To achieve this objective, the thesis is structured around four primary axes.Firstly, a comprehensive review of the scientific literature is undertaken to apprehend the issues associated with detecting volumetric attacks within the specific context of cloud environments. Since their emergence in the early 2000s, DDoS attacks have continually increased in sophistication and magnitude. Environments such as OVHcloud are subjected to hundreds of daily DDoS attacks, with some exceeding the terabit traffic threshold. In a primary contribution, a detailed examination of a year's worth of attacks targeting the OVHcloud infrastructure reveals that few prior works take such levels of volume into account. This initial observation underscores the necessity of adapting existing state-of-the-art solutions for application in high-performance environments.In a secondary facet, it is demonstrated that the available datasets for research lack statistical compatibility with the observed conditions within this study's framework. Widely employed metrics in scientific literature fail to capture everyday realities. This shortfall generates issues both in terms of devising context-specific solutions and in reproducing research outcomes. From the perspective of hosting providers, the absence of suitable datasets is partially attributed to the difficulties faced by the academic community in accessing industrial infrastructures, predominantly under the purview of major private-sector multinationals. Considerations linked to the confidentiality of personally identifiable information within such datasets also impede progress. Thus, in a significant tertiary contribution, a traffic generator proposal is formulated, adhering to the specific statistical properties of the studied cloud infrastructure.Leveraging this heightened comprehension of the intrinsic challenges faced by cloud service providers in detecting DDoS attacks, as well as the obstacles posed by the replication of real-world scenarios, encompassing both normal traffic and attacks, a fourth and final facet, presented in the form of an industrial patent, is devoted to delineating an architecture for detecting volumetric DDoS attacks. This architecture must facilitate the integration of detection algorithms while remaining maintainable by domain experts. Furthermore, it should be designed to address issues pertaining to the network load engendered by an infrastructure accommodating millions of clients across the globe

Avec l’évolution des besoins d’utilisateurs, plusieurs technologies de réseaux sans fil ont été développées. Parmi ces technologies, nous trouvons les réseaux mobiles ad hoc (MANETs) qui ont été conçus pour assurer la communication dans le cas où le déploiement d’une infrastructure réseaux est coûteux ou inapproprié. Dans ces réseaux, le routage est une fonction primordiale où chaque entité mobile joue le rôle d’un routeur et participe activement dans le routage. Cependant, les protocoles de routage ad hoc tel qu’ils sont conçus manquent de contrôle de sécurité. Sur un chemin emprunté, un nœud malveillant peut violemment perturber le routage en bloquant le trafic. Dans cette thèse, nous proposons une solution de détection des nœuds malveillants dans un réseau MANET basée sur l’analyse comportementale à travers les filtres bayésiens et les chaînes de Markov. L’idée de notre solution est d’évaluer le comportement d’un nœud en fonction de ses échanges avec ses voisins d’une manière complètement décentralisée. Par ailleurs, un modèle stochastique est utilisé afin de prédire la nature de comportement d’un nœud et vérifier sa fiabilité avant d’emprunter un chemin. Notre solution a été validée via de nombreuses simulations sur le simulateur NS-2. Les résultats montrent que la solution proposée permet de détecter avec précision les nœuds malveillants et d’améliorer la qualité de services de réseaux MANETs
With the evolution of user requirements, many network technologies have been developed. Among these technologies, we find mobile ad hoc networks (MANETs) that were designed to ensure communication in situations where the deployment of a network infrastructure is expensive or inappropriate. In this type of networks, routing is an important function where each mobile entity acts as a router and actively participates in routing services. However, routing protocols are not designed with security in mind and often are very vulnerable to node misbehavior. A malicious node included in a route between communicating nodes may severely disrupt the routing services and block the network traffic. In this thesis, we propose a solution for detecting malicious nodes in MANETs through a behavior-based analysis and using Bayesian filters and Markov chains. The core idea of our solution is to evaluate the behavior of a node based on its interaction with its neighbors using a completely decentralized scheme. Moreover, a stochastic model is used to predict the nature of behavior of a node and verify its reliability prior to selecting a path. Our solution has been validated through extensive simulations using the NS-2 simulator. The results show that the proposed solution ensures an accurate detection of malicious nodes and improve the quality of routing services in MANETs

Les attaques par déni de service distribué (DDoS, Distributed Denial of Service) consistent à limiter ou à empêcher l'accès à un service informatique. La disponibilité du service proposé par la victime est altérée soit par la consommation de la bande passante disponible sur son lien, soit à l'aide d'un nombre très important de requêtes dont le traitement surconsomme les ressources dont elle dispose. Le filtrage des DDoS constitue aujourd'hui encore un problème majeur pour les opérateurs. Le trafic illégitime ne comporte en effet que peu ou pas de différences par rapport au trafic légitime. Ces attaques peuvent ensuite tirer parti et attaquer des services disposés dans le réseau. L'approche présentée dans cette thèse se veut pragmatique et cherche à aborder ce problème suivant deux angles ; à savoir contenir l'aspect dynamique et distribué de ces attaques d'une part, et être capable de préserver le trafic légitime et le réseau d'autre part. Nous proposons dans ce but une architecture distribuée de défense comportant des nœuds de traitement associés aux routeurs des points de présence et d'interconnexion du réseau de l'opérateur. Ces nœuds introduisent dans le réseau, par le biais d'interfaces ouvertes, la programmabilité qui apporte la flexibilité et la dynamicité requises pour la résolution du problème. Des traitements de niveau réseau à applicatif sur les datagrammes sont ainsi possibles, et les filtrages sont alors exempts de dommages collatéraux. Un prototype de cette architecture permet de vérifier les concepts que nous présentons
The goal of Distributed Denial of Service attacks (DDoS) is to prevent legitimate users from using a service. The availability of the service is attacked by sending altered packets to the victim. These packets either consume a large part of networks bandwidth, or create an artificial consumption of victim’s key resources such as memory or CPU. DDoS’ filtering is still an important problem for network operators since illegitimate traffics look like legitimate traffics. The discrimination of both classes of traffics is a hard task. Moreover DDoS victims are not limited to end users (e. G. Web server). The network is likely to be attacked itself. The approach presented in this thesis is pragmatic. Firstly it seeks to control dynamic and distributed aspects of DDoS. Secondly it looks for protecting legitimate traffics and the network against collateral damages. Thus we propose a distributed infrastructure of defense based on nodes dedicated to the analysis and the filtering of the illegitimate traffic. Each node is associated with one POP router or interconnection router in order to facilitate its integration into the network. These nodes introduce the required programmability through open interfaces. The programmability offers applicative level packets processing, and thus treatments without collateral damages. A prototype has been developed. It validates our concepts

Composés d'appareils fortement limités en ressources (puissance de calcul, mémoire et énergie disponible) et qui communiquent par voie hertzienne, les réseaux de capteurs sans fil composent avec leurs faibles capacités pour déployer une architecture de communication de manière autonome, collecter des données sur leur environnement et les faire remonter jusqu'à l'utilisateur. Des « transports intelligents » à la surveillance du taux de pollution environnemental, en passant par la détection d'incendies ou encore l'« Internet des objets », ces réseaux sont aujourd'hui utilisés dans une multitude d'applications. Certaines d'entre elles, de nature médicale ou militaire par exemple, ont de fortes exigences en matière de sécurité. Les travaux de cette thèse se concentrent sur la protection contre les attaques dites par « déni de service », qui visent à perturber le fonctionnement normal du réseau. Ils sont basés sur l'utilisation de capteurs de surveillance, qui sont périodiquement renouvelés pour répartir la consommation en énergie. De nouveaux mécanismes sont introduits pour établir un processus de sélection efficace de ces capteurs, en optimisant la simplicité de déploiement (sélection aléatoire), la répartition de la charge énergétique (sélection selon l'énergie résiduelle) ou encore la sécurité du réseau (élection démocratique basée sur un score de réputation). Sont également fournis différents outils pour modéliser les systèmes obtenus sous forme de chaines de Markov à temps continu, de réseaux de Petri stochastiques (réutilisables pour des opérations de model checking) ou encore de jeux quantitatifs
Memory and little energy available), communicating through electromagnetic transmissions. In spite of these limitations, sensors are able to self-deploy and to auto-organize into a network collecting, gathering and forwarding data about their environment to the user. Today those networks are used for many purposes: “intelligent transportation”, monitoring pollution level in the environment, detecting fires, or the “Internet of things” are some example applications involving sensors. Some of them, such as applications from medical or military domains, have strong security requirements. The work of this thesis focuses on protection against “denial of service” attacks which are meant to harm the good functioning of the network. It relies on the use of monitoring sensors: these sentinels are periodically renewed so as to better balance the energy consumption. New mechanisms are introduced so as to establish an efficient selection process for those sensors: the first one favors the ease of deployment (random selection), while the second one promotes load balancing (selection based on residual energy) and the last one is about better security (democratic election based on reputation scores). Furthermore, some tools are provided to model the system as continuous-time Markov chains, as stochastic Petri networks (which are reusable for model checking operations) or even as quantitative games

Le cloud computing, solution souple et peu couteuse, est aujourd'hui largement adopté pour la production à grande échelle de services IT. Toutefois, des utilisateurs malveillants tirent parti de ces caractéristiques pour bénéficier d'une plate-forme d'attaque prête à l'emploi dotée d'une puissance colossale. Parmi les plus grands bénéficiaires de cette conversion en vecteur d’attaque, les botclouds sont utilisés pour perpétrer des attaques de déni de service distribuées (DDoS) envers tout tiers connecté à Internet.Si les attaques de ce type, perpétrées par des botnets ont été largement étudiées par le passé, leur mode opératoire et leur contexte de mise en œuvre sont ici différents et nécessitent de nouvelles solutions. Pour ce faire, nous proposons dans le travail de thèse exposé dans ce manuscrit, une approche distribuée pour la détection à la source d'attaques DDoS perpétrées par des machines virtuelles hébergées dans un cloud public. Nous présentons tout d'abord une étude expérimentale qui a consisté à mettre en œuvre deux botclouds dans un environnement de déploiement quasi-réel hébergeant une charge légitime. L’analyse des données collectées permet de déduire des invariants comportementaux qui forment le socle d'un système de détection à base de signature, fondé sur une analyse en composantes principales. Enfin, pour satisfaire au support du facteur d'échelle, nous proposons une solution de distribution de notre détecteur sur la base d'un réseau de recouvrement pair à pair structuré qui forme une architecture hiérarchique d'agrégation décentralisée
Currently, cloud computing is a flexible and cost-effective solution widely adopted for the large-scale production of IT services. However, beyond a main legitimate usage, malicious users take advantage of these features in order to get a ready-to-use attack platform, offering a massive power. Among the greatest beneficiaries of this cloud conversion into an attack support, botclouds are used to perpetrate Distributed Denial of Service (DDoS) attacks toward any third party connected to the Internet.Although such attacks, when perpetrated by botnets, have been extensively studied in the past, their operations and their implementation context are different herein and thus require new solutions. In order to achieve such a goal, we propose in the thesis work presented in this manuscript, a distributed approach for a source-based detection of DDoS attacks perpetrated by virtual machines hosted in a public cloud. Firstly, we present an experimental study that consists in the implementation of two botclouds in a real deployment environment hosting a legitimate workload. The analysis of the collected data allows the deduction of behavioural invariants that form the basis of a signature based detection system. Then, we present in the following a detection system based on the identification of principal components of the deployed botclouds. Finally, in order to deal with the scalability issues, we propose a distributed solution of our detection system, which relies on a mesh peer-to- peer architecture resulting from the overlap of several overlay trees

Cette thèse s’inscrit dans le domaine de l’analyse et la modélisation du trafic Internet à l’échelle des flots. L’extraction en ligne des statistiques sur les flots est une tâche difficile à cause du très haut débit du trafic actuel. Nous nous sommes intéressés dans cette thèse à l’étude de deux classes d’algorithmes traitant en ligne le trafic Internet. Dans la première partie, nous avons conçu un nouvel algorithme basé sur les filtres de Bloom pour l’identification en ligne des grands flots. Le point fort de cet algorithme est l’adaptation automatique aux variations du trafic. Une application intéressante est la détection en ligne des attaques par déni de service. Nous avons donc développé une version de l’algorithme qui intègre les spécificités des attaques. L’expérimentation montre que cette nouvelle méthode est capable d’identifier quasiment toutes les sources de trafic anormal avec un délai très court. Nous avons aussi étudié la performance de l’algorithme d’identification en ligne des grands flots. La deuxième partie de la thèse est consacrée à l’étude de l’échantillonnage et des algorithmes d’inférence des caractéristiques du trafic d’origine. D’abord, en utilisant un résultat d’approximations poissonniennes, nous avons montré que les deux méthodes d’échantillonnage : déterministe et probabiliste donnent des résultats équivalents du point de vue composition du trafic échantillonné en flots. Ensuite, nous avons conçu un algorithme permettant d’estimer, par un calcul asymptotique, à partir du trafic échantillonné, le nombre de flots dans le trafic réel et la distribution de leur taille sur un intervalle de temps court

Les attaques cybernétiques causent une perte importante non seulement pour les utilisateurs finaux, mais aussi pour les fournisseurs de services Internet (FAI). Récemment, les clients des FAI ont été la cible numéro un de cyber-attaques telles que les attaques par déni de service distribué (DDoS). Ces attaques sont favorisées par la disponibilité généralisée outils pour lancer les attaques. Il y a donc un besoin crucial de contrer ces attaques par des mécanismes de défense efficaces. Les chercheurs ont consacré d’énormes efforts à la protection du réseau contre les cyber-attaques. Les méthodes de défense contiennent d’abord un processus de détection, complété par l’atténuation. Le manque d’automatisation dans tout le cycle de détection à l’atténuation augmente les dégâts causés par les cyber-attaques. Cela provoque des configurations manuelles de périphériques l’administrateur pour atténuer les attaques affectent la disponibilité du réseau. Par conséquent, il est nécessaire de compléter la boucle de sécurité avec un mécanisme efficace pour automatiser l’atténuation. Dans cette thèse, nous proposons un cadre d’atténuation autonome pour atténuer les attaques réseau qui visent les ressources du réseau, comme par les attaques exemple DDoS. Notre cadre fournit une atténuation collaborative entre le FAI et ses clients. Nous utilisons la technologie SDN (Software-Defined Networking) pour déployer le cadre d’atténuation. Le but de notre cadre peut se résumer comme suit : d’abord, les clients détectent les attaques et partagent les informations sur les menaces avec son fournisseur de services Internet pour effectuer l’atténuation à la demande. Nous développons davantage le système pour améliorer l’aspect gestion du cadre au niveau l’ISP. Ce système effectue l’extraction d’alertes, l’adaptation et les configurations d’appareils. Nous développons un langage de politique pour définir la politique de haut niveau qui se traduit par des règles OpenFlow. Enfin, nous montrons l’applicabilité du cadre par la simulation ainsi que la validation des tests. Nous avons évalué différentes métriques QoS et QoE (qualité de l’expérience utilisateur) dans les réseaux SDN. L’application du cadre démontre son efficacité non seulement en atténuant les attaques pour la victime, mais aussi en réduisant les dommages causés au trafic autres clients du FAI
Cyber attacks cause significant loss not only to end-users, but also Internet Service Providers (ISP). Recently, customers of the ISP have been the number one target of the cyber attacks such as Distributed Denial of Service attacks (DDoS). These attacks are encouraged by the widespread availability of tools to launch the attacks. So, there is a crucial need to counter these attacks (DDoS, botnet attacks, etc.) by effective defense mechanisms. Researchers have devoted huge efforts on protecting the network from cyber attacks. Defense methodologies first contains a detection process, completed by mitigation. Lack of automation in the whole cycle of detection to mitigation increase the damage caused by cyber attacks. It requires manual configurations of devices by the administrator to mitigate the attacks which cause the network downtime. Therefore, it is necessary to close the security loop with an efficient mechanism to automate the mitigation process. In this thesis, we propose an autonomic mitigation framework to mitigate attacks that target the network resources. Our framework provides a collaborative mitigation strategy between the ISP and its customers. The implementation relies on Software-Defined Networking (SDN) technology to deploy the mitigation framework. The contribution of our framework can be summarized as follows: first the customers detect the attacks and share the threat information with its ISP to perform the on-demand mitigation. We further develop the system to improve the management aspect of the framework at the ISP side. This system performs the alert extraction, adaptation and device configurations. We develop a policy language to define the high level policy which is translated into OpenFlow rules. Finally, we show the applicability of the framework through simulation as well as testbed validation. We evaluate different QoS and QoE (quality of user experience) metrics in SDN networks. The application of the framework demonstrates its effectiveness in not only mitigating attacks for the victim, but also reducing the damage caused to traffic of other customers of the ISP

La sécurité des circuits intégrés pour l’IoT est généralement incompatible avec la faible consommation énergétique attendue de ces circuits. Cette thèse a donc pour but de proposer de nouvelles manières de concilier sécurité et efficacité énergétique pour les circuits intégrés.Dans un premier temps, la sécurisation d’un mécanisme de gestion de l’énergie est étudiée. Les radios de réveil permettent de gérer la sortie de veille d’objets connectés, en réveillant un tel objet lors de la réception d’un code de réveil spécifique, mais elles sont vulnérables aux attaques par déni de sommeil, qui consistent à réveiller constamment l’objet en répétant un même code de réveil de sorte à vider sa batterie. Une nouvelle manière de générer des codes de réveils est proposée, qui permet de contrer efficacement ces attaques avec un coût négligeable en énergie.Dans un second temps, l’efficacité énergétique des contre-mesures contre les attaques matérielles est améliorée à travers deux approches différentes. Une nouvelle contre-mesure mixte, ayant une consommation énergétique plus faible que les protections mixtes existantes, est proposée ; elle consiste en un lissage algorithmique de la consommation offrant une détection intrinsèque des fautes. L’implémentation adaptative de contre-mesures matérielles est également proposée ; elle consiste à moduler le niveau de protection fourni par ces contre-mesures au cours du fonctionnement d’un algorithme protégé, afin d’optimiser la sécurité et la consommation énergétique. Une évaluation de la sécurité des contre-mesures montre qu’elles fournissent une protection efficace contre les attaques matérielles existantes
The goal of this work is to propose new methods that provide both a high security and a high energy efficiency for integrated circuits for the IoT.On the one side, we study the security of a mechanism dedicated to energy management. Wake-up radios trigger the wake-up of integrated circuits upon receipt of specific wake-up tokens, but they are vulnerable to denial-of-sleep attacks, during which an attacker replays such a token indefinitely to wake-up a circuit and deplete its battery. We propose a new method to generate unpredictable wake-up tokens at each wake-up, which efficiently prevents these attacks at the cost of a negligible energy overhead.On the other side, we improve on the energy efficiency of hardware countermeasures against fault and side-channel attacks, with two different approaches. First, we present a new combined countermeasure, which increases by four times the power consumption compared to an unprotected implementation, introduces no performance overhead, and requires less than 8 bits of randomness. Therefore, it has a lower energy overhead than existing combined protections. It consists in an algorithm-level power balancing that inherently detects faults. Then, we propose an adaptive implementation of hardware countermeasures, which consists in applying or removing these countermeasures on demand, during the execution of the protected algorithm, in order to tune the security level and the energy consumption. A security evaluation of all the proposed countermeasures indicates that they provide an efficient protection against existing hardware attacks

Cette thèse s'inscrit dans le domaine de l'analyse et la modélisation du trafic Internet à l'échelle des flots. Les informations sur les flots (surtout les grands flots) sont très utiles dans différents domaines comme l'ingénierie du trafic, la supervision du réseau et la sécurité. L'extraction en ligne des statistiques sur les flots est une tâche difficile à cause du très haut débit du trafic actuel. Nous nous sommes intéressés dans cette thèse à l'étude de deux classes d'algorithmes traitant en ligne le trafic Internet. Dans la première partie, nous avons conçu un nouvel algorithme basé sur les filtres de Bloom pour l'identification en ligne des grands flots. Le point fort de cet algorithme est l'adaptation automatique aux variations du trafic. Une application intéressante est la détection en ligne des attaques par déni de service. Nous avons donc développé une version de l'algorithme qui intègre les spécificités des attaques. L'expérimentation en ligne montre que cette nouvelle méthode est capable d'identifier quasiment toutes les sources de trafic anormal avec un délai très court. Nous avons aussi étudié la performance de l'algorithme d'identification en ligne des grands flots. En considérant un modèle simplifié, nous avons pu approcher l'erreur générée par cet algorithme sur l'estimation du nombre de grands flots. Cette étude a permis en particulier d'évaluer l'impact des différents paramètres de l'algorithme sur sa performance. Les algorithmes présentés dans la première partie s'appliquent sur la totalité du trafic, ce qui n'est pas toujours possible car dans certains cas, on ne dispose que du trafic échantillonné. La deuxième partie de la thèse est consacrée à l'étude de l'échantillonnage et des algorithmes d'inférence des caractéristiques du trafic d'origine. D'abord, en utilisant un résultat d'approximations poissonniennes, nous avons montré que les deux méthodes d'échantillonnage: déterministe et probabiliste donnent des résultats équivalents du point de vue composition du trafic échantillonné en flots. Ensuite, nous avons conçu un algorithme permettant d'estimer, par un calcul asymptotique, à partir du trafic échantillonné, le nombre de flots dans le trafic réel et la distribution de leur taille sur un intervalle de temps court. Ceci permet de faire l'hypothèse à priori que cette distribution suit une loi de Pareto. Cette hypothèse a été validée sur des traces de trafic de différentes natures.

Le but de cette thèse est de concevoir et mettre en œuvre une stratégie de renseignement sur les menaces cyber afin de soutenir les décisions stratégiques. L'alerte précoce et la détection des violations sont décisives, ce qui signifie que l'accent de la cyber sécurité a évolué vers l'intelligence des menaces. Pour cette raison, nous avons créé, analysé, mis en œuvre et testé deux solutions. La première solution agit comme un mécanisme prédictif et proactif. C'est un nouveau cadre utilisé pour analyser et évaluer quantitativement les vulnérabilités associées à un réseau de villes intelligentes. Cette solution utilise le modèle de chaîne de Markov pour déterminer le niveau de gravité de vulnérabilité le plus élevé d'un chemin d'attaque potentiel du réseau. Le niveau de gravité élevé amènera l'administrateur système à appliquer des mesures de sécurité appropriées à priori aux attaques. La deuxième solution agit comme un mécanisme défensif ou auto-protecteur. Ce cadre atténue les attaques par disponibilité zero-day basées sur Identification, Heuristics et Load Balancer dans un délai raisonnable. Ce mécanisme défensif a été proposé principalement pour atténuer les attaques par déni de service distribué (DDoS) car elles sont considérées comme l'une des attaques de disponibilité les plus sévères qui pourraient paralyser le réseau de la ville intelligente et provoquer une panne complète. Cette solution repose sur deux équilibreurs de charge dans lesquels le premier utilise une approche heuristique et le second agit comme une sauvegarde pour produire une solution dans un délai raisonnable
The purpose of this thesis is to design and implement a cyber-threat intelligence strategy to support strategic decisions. Early warning and detection of breaches are decisive to being in a state of readiness, meaning that the emphasis of cybersecurity has changed to threat intelligence. For that reason, we created, analyzed, implemented, and tested two solutions. The first solution acts as a predictive and proactive mechanism. It is a novel framework used to analyze and evaluate quantitatively the vulnerabilities associated with a smart city network. This solution uses the Markov Chain Model to determine the highest vulnerability severity level of a potential attack path in the attacks graph of the network. High severity level of a potential attack path will lead the system administrator to apply appropriate security measures a priori to attacks occurrence. The second solution acts as a defensive or self-protective mechanism. This framework mitigates the zero-day availability attacks based on Identification, Heuristics and Load Balancer in a reasonable time frame. This defensive mechanism has been proposed mainly to mitigate Distributed Denial of Service (DDoS) attacks since they are considered one of the most severe availability attacks that could paralyze the smart city’s network and cause complete black out. This solution relies on two load balancers in which the first one uses a heuristic approach, and the second acts as a backup to produce a solution in a reasonable time frame