FR3106914A1 - Procédé de surveillance de données échangées sur un réseau et dispositif de détection d’intrusions - Google Patents
Procédé de surveillance de données échangées sur un réseau et dispositif de détection d’intrusions Download PDFInfo
- Publication number
- FR3106914A1 FR3106914A1 FR2000991A FR2000991A FR3106914A1 FR 3106914 A1 FR3106914 A1 FR 3106914A1 FR 2000991 A FR2000991 A FR 2000991A FR 2000991 A FR2000991 A FR 2000991A FR 3106914 A1 FR3106914 A1 FR 3106914A1
- Authority
- FR
- France
- Prior art keywords
- detection
- technique
- data
- iter
- detection technique
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 346
- 238000000034 method Methods 0.000 title claims abstract description 128
- 238000012544 monitoring process Methods 0.000 title claims abstract description 37
- 239000004233 Indanthrene blue RS Substances 0.000 claims abstract description 4
- 239000004148 curcumin Substances 0.000 claims abstract description 4
- 239000004173 sunset yellow FCF Substances 0.000 claims abstract description 3
- 238000004422 calculation algorithm Methods 0.000 claims description 41
- 238000013528 artificial neural network Methods 0.000 claims description 20
- 230000002787 reinforcement Effects 0.000 claims description 9
- 230000008569 process Effects 0.000 claims description 7
- 238000012706 support-vector machine Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 4
- 238000010801 machine learning Methods 0.000 claims description 4
- 239000004106 carminic acid Substances 0.000 claims description 3
- 239000001752 chlorophylls and chlorophyllins Substances 0.000 claims description 3
- 230000006399 behavior Effects 0.000 description 13
- 238000012550 audit Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 9
- 238000013459 approach Methods 0.000 description 7
- 230000008901 benefit Effects 0.000 description 7
- 210000002569 neuron Anatomy 0.000 description 7
- 206010000117 Abnormal behaviour Diseases 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000004088 simulation Methods 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 4
- 230000000116 mitigating effect Effects 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 208000009119 Giant Axonal Neuropathy Diseases 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 3
- 201000003382 giant axonal neuropathy 1 Diseases 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000035484 reaction time Effects 0.000 description 3
- 210000000225 synapse Anatomy 0.000 description 3
- 241000607056 Stenodus leucichthys Species 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 235000021183 entrée Nutrition 0.000 description 2
- 238000010237 hybrid technique Methods 0.000 description 2
- 238000003384 imaging method Methods 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- ORILYTVJVMAKLC-UHFFFAOYSA-N Adamantane Natural products C1C(C2)CC3CC1CC2C3 ORILYTVJVMAKLC-UHFFFAOYSA-N 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012804 iterative process Methods 0.000 description 1
- 238000004377 microelectronic Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 230000003014 reinforcing effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/088—Non-supervised learning, e.g. competitive learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- General Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Molecular Biology (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
Procédé de surveillance de données échangées sur un réseau et dispositif de détection d’intrusions
Le procédé comprend, pour au moins un sous-ensemble de données :
une première étape d’application (E20) audit sous-ensemble d’une première technique (G) de détection d’intrusions ;si une anomalie est détectée (E30) : une deuxième étape d’application (E60) d’une deuxième technique (D) de détection d’intrusions audit sous-ensemble ;une troisième étape d’application (E80) d’une troisième technique (LF) de détection d’intrusions audit sous-ensemble, utilisant des résultats des première et deuxième étapes d’application ;une étape d’utilisation (E100) d’un résultat de la troisième étape d’application pour un apprentissage de la deuxième technique ; une étape d’utilisation (E130) d’un résultat d’une application (E110) audit sous-ensemble de la deuxième technique après apprentissage pour un apprentissage de la première technique.
Figure 3
Description
L’invention se rapporte au domaine général des télécommunications.
Elle concerne plus particulièrement la surveillance de données échangées sur un réseau de communications, et notamment la détection d’intrusions ou d’attaques informatiques (encore appelées «cyber-attaques»). Dans la suite de la description, on utilise indifféremment les termes intrusion ou attaque.
Aucune limitation n’est attachée à la nature du réseau. L’invention s’applique toutefois de façon privilégiée aux réseaux mobiles, et notamment aux réseaux mobiles de cinquième génération ou réseaux mobiles 5G.
Les réseaux mobiles 5G, avec les techniques de communication avancées qu’ils mettent en œuvre et les capacités nouvelles qu’ils offrent en matière notamment de débits, de volumes d’information et de connexion, ouvrent des perspectives d’usage inédites qui posent de véritables challenges en termes de cyber sécurité. Au cours des années précédentes, de nombreuses techniques de détection d’intrusions (ou IDS pour «Intrusion Detection Systems» en anglais) ont été développées, s’appuyant sur des approches proactives permettant d’une part, d’anticiper et de réduire les vulnérabilités dans les systèmes informatiques, et d’autre part, de déclencher des actions de mitigation efficaces lorsque des intrusions sont détectées dans ces systèmes informatiques.
Les techniques de détection d’intrusions se fondent en général sur l’une ou l’autre des approches suivantes :
- l’utilisation de signatures d’attaques connues: on associe à chacune d’une pluralité d’attaques connues, un ensemble de valeurs de différentes caractéristiques de trafic (aussi parfois désignées par attributs dans la suite), représentatives du trafic de l’attaque considérée et permettant de le distinguer. Chaque ensemble de valeurs associé à une attaque constitue une signature de l’attaque. Les valeurs des mêmes caractéristiques de trafic sont déterminées pour les données surveillées, puis comparées aux signatures des attaques dont on dispose. Cette approche permet de limiter le taux de faux positifs détectés, c’est-à-dire d’ensembles de données identifiés comme étant associés à un trafic d’attaque alors qu’ils n’en sont pas. Toutefois, elle ne permet de détecter que des attaques déjà connues;
- l’utilisation d’un modèle de comportement normal des données pour détecter la présence d’anomalies: cette approche s’appuie sur la construction, par exemple au moyen d’un algorithme d’apprentissage automatique (ou «Machine Learning» en anglais) supervisé ou non supervisé, d’un modèle de comportement normal des données, en l’absence de cyber-attaques. Si les données surveillées ne sont pas conformes à ce modèle, une anomalie est détectée dans les données surveillées. L’avantage de cette approche est qu’elle offre la possibilité de détecter de nouvelles attaques. En revanche, elle présente un fort taux de faux positifs.
- l’utilisation de signatures d’attaques connues: on associe à chacune d’une pluralité d’attaques connues, un ensemble de valeurs de différentes caractéristiques de trafic (aussi parfois désignées par attributs dans la suite), représentatives du trafic de l’attaque considérée et permettant de le distinguer. Chaque ensemble de valeurs associé à une attaque constitue une signature de l’attaque. Les valeurs des mêmes caractéristiques de trafic sont déterminées pour les données surveillées, puis comparées aux signatures des attaques dont on dispose. Cette approche permet de limiter le taux de faux positifs détectés, c’est-à-dire d’ensembles de données identifiés comme étant associés à un trafic d’attaque alors qu’ils n’en sont pas. Toutefois, elle ne permet de détecter que des attaques déjà connues;
- l’utilisation d’un modèle de comportement normal des données pour détecter la présence d’anomalies: cette approche s’appuie sur la construction, par exemple au moyen d’un algorithme d’apprentissage automatique (ou «Machine Learning» en anglais) supervisé ou non supervisé, d’un modèle de comportement normal des données, en l’absence de cyber-attaques. Si les données surveillées ne sont pas conformes à ce modèle, une anomalie est détectée dans les données surveillées. L’avantage de cette approche est qu’elle offre la possibilité de détecter de nouvelles attaques. En revanche, elle présente un fort taux de faux positifs.
Pour remédier aux inconvénients précités, des techniques de détection dites hybrides, mettant en œuvre les deux approches, ont été proposées. Une telle technique de détection hybride est décrite par exemple dans l’article de A. Abduvaliyev et al. intitulé «Energy Efficient Hybrid Intrusion Detection System for Wireless Sensor Networks», International Conference on Electronics and Information Engineering, 2010.
Dans l’approche retenue dans cet article, les paquets de données sont d’abord inspectés par un module de détection d’anomalies. Si le module de détection d’anomalies détecte une intrusion, les paquets de données sont transmis pour analyse à un module de détection de signatures. Les conclusions du module de détection d’anomalies et du module de détection de signatures sont alors fournies à un module de décision qui, sur la base de ces conclusions, décide en appliquant un ensemble de règles prédéfinies s’il y a ou non intrusion (i.e. attaque).
Cette technique hybride conduit à une meilleure précision de la détection. Cette précision peut être améliorée encore davantage en faisant collaborer entre eux plusieurs systèmes de détection d’intrusion (ou systèmes IDS dans la suite), chaque système étant par exemple embarqué dans un nœud différent du réseau. Un tel système collaboratif est par exemple décrit, dans le contexte d’un réseau de capteurs sans fil, dans le document de H. Sedjelmaci et al. intitulé «Intrusion Detection Framework of Cluster-based Wireless Sensor Network», IEEE Symposium on Computers and Communications, 2012. Plus il y a de nœuds impliqués dans la collaboration, meilleure est la précision de la détection opérée.
Toutefois, une telle collaboration entre des systèmes IDS se fonde sur l’échange d’informations critiques entre les systèmes IDS (typiquement des informations sur les attaques détectées par les différents systèmes IDS), qui peuvent elles-mêmes faire l’objet d’attaques menaçant l’efficacité de cette collaboration.
L’invention propose une solution qui permet de remédier aux inconvénients précités de l’état de la technique tout en offrant une très grande précision de détection des intrusions (attaques informatiques) susceptibles de cibler différents éléments constitutifs d’un réseau. Aucune limitation n’est attachée à la nature de ces éléments: il peut s’agir de nœuds du réseau à proprement parler (c’est-à-dire de nœuds appartenant à l’infrastructure du réseau ou connectés à celui-ci pour bénéficier par exemple d’une connectivité), de ressources du réseau (ressources de mémoire, de calcul, ressources réseau, etc.), de protocoles de communications utilisés dans le réseau, etc.
Plus précisément, l’invention vise un procédé de surveillance de données échangées sur un réseau, ce procédé étant destiné à être mis en œuvre par un dispositif de détection d’intrusions et comprenant, pour au moins un sous-ensemble de données:
- une première étape d’application audit sous-ensemble d’une première technique de détection d’intrusions ;
- si une anomalie est détectée dans ledit sous-ensemble :
- une deuxième étape d’application d’une deuxième technique de détection d’intrusions audit sous-ensemble ;
- une troisième étape d’application d’une troisième technique de détection d’intrusions audit sous-ensemble, ladite troisième technique de détection utilisant des résultats des première et deuxième étapes d’application;
- une première étape d’utilisation d’un résultat de la troisième étape d’application pour un apprentissage de la deuxième technique de détection;
- une deuxième étape d’utilisation d’un résultat d’une application audit sous-ensemble de la deuxième technique de détection après ledit apprentissage pour un apprentissage de la première technique de détection.
Corrélativement, l’invention concerne également un dispositif de détection d’intrusions configuré pour surveiller des données échangées sur un réseau, ce dispositif comprenant des modules, activés pour au moins un sous-ensemble de données, ces modules comprenant:
- un premier module de détection d’intrusions, configuré pour appliquer audit sous-ensemble une première technique de détection d’intrusions ;
- des modules, activés si une anomalie est détectée par le premier module de détection dans ledit sous-ensemble, comprenant :
- un deuxième module de détection d’intrusions, configuré pour appliquer une deuxième technique de détection d’intrusions audit sous-ensemble ;
- un troisième module de détection d’intrusions, configuré pour appliquer une troisième technique de détection d’intrusions audit sous-ensemble, ladite troisième technique de détection utilisant des résultats fournis par les premier et deuxième modules de détection ;
Par application d’une technique de détection d’intrusions à des données, on entend au sens de l’invention que la technique de détection prend en entrée soit directement les données surveillées, soit des caractéristiques ou des attributs dérivé(e)s de ces données, comme par exemple des statistiques évaluées par une unité de traitement (externe ou non au dispositif de détection d’intrusions selon l’invention) à partir de ces données, etc.
On note par ailleurs que les données surveillées par le dispositif de détection d’intrusions selon l’invention peuvent être associées à un ou plusieurs éléments du réseau tels que précités pouvant faire l’objet d’attaques informatiques et surveillés par le dispositif de détection d’intrusions. Ces données sont par exemple des données réseau ou des données protocolaires transitant par le nœud du réseau hébergeant le dispositif de détection d’intrusions, et véhiculées dans des messages conformes à un ou plusieurs protocoles surveillés par le dispositif de détection d’intrusions (par exemple protocole HTTP2.0); en variante, il peut s’agir de données en provenance d’un préfixe ou d’une adresse IP cible surveillé(e) par le dispositif de détection d’intrusions, ou de données émises par le nœud hébergeant le dispositif de détection d’intrusions, etc.
Aucune limitation n’est attachée à la nature de l’anomalie déclenchant les deuxième et troisième étapes d’application et les première et deuxième étapes d’utilisation du procédé de surveillance selon l’invention (respectivement activant les deuxième et troisième modules de détection du dispositif selon l’invention). Il peut s’agir d’un comportement non conforme à un comportement jugé normal des données surveillées en l’absence d’intrusion comme d’une attaque détectée ciblant les données surveillées, etc.; la caractérisation de l’anomalie dépend des techniques de détection d’intrusion considérées pour mettre en œuvre l’invention.
L’invention propose ainsi un procédé itératif original, exécuté localement au sein d’un nœud du réseau hébergeant le dispositif de détection d’intrusions selon l’invention, et s’appuyant sur plusieurs techniques de détection d’intrusions configurées pour collaborer et communiquer entre elles en vue de renforcer leurs capacités de détection respectives, et doncin fine, de la détection globale opérée par le procédé. Un tel renforcement est permis notamment par les apprentissages mis en œuvre à chaque itération des première et deuxième techniques de détection. Les échanges entre les techniques de détection étant mis en œuvre localement au sein d’un même nœud/dispositif, on limite ainsi la vulnérabilité de ces échanges face à de potentielles attaques informatiques.
Les trois techniques de détection mises en œuvre conformément à l’invention jouent des rôles distincts et complémentaires.
Plus spécifiquement, l’inventeur s’est inspiré, pour définir ces rôles, du modèle des réseaux adverses génératifs (ou GANs pour Generative Adversarial Networks en anglais), bien connus dans le domaine de l’imagerie, qu’il a adapté de façon originale pour permettre une détection d’attaques informatiques efficace et sécurisée.
Pour mémoire, dans un réseau adverse génératif tel qu’utilisé en imagerie, deux réseaux, l’un dit générateur l’autre dit discriminateur, sont placés «en compétition» selon un scénario de théorie des jeux: le réseau générateur génère un échantillon (à savoir une image dans le domaine de l’imagerie), tandis que son «adversaire», le réseau discriminateur, essaye de détecter si un échantillon est réel ou s’il est le résultat du réseau générateur. L’apprentissage des deux réseaux est réalisé de façon conjointe et modélisé comme un jeu à somme nulle (i.e. le gain de l’un des réseaux constitue une perte pour l’autre réseau).
L’inventeur s’est inspiré de ce principe de la façon suivante. Dans le procédé selon l’invention, la première technique de détection joue en quelque sorte le rôle d’un réseau générateurde données «anormales». Elle analyse les données de trafic qui lui sont fournies (ou des caractéristiques représentatives et dérivées à partir de ces données) et détermine si celles-ci présentent une anomalie (par exemple, elles sont représentatives d’un trafic d’attaque ou ne correspondent pas à un comportement normal selon la nature de la première technique de détection). Le cas échéant et seulement dans ce cas, la deuxième technique de détection est activée, et sont fournies à la deuxième technique de détection les données ou les caractéristiques représentatives de ces données considérées par la première technique de détection comme présentant une anomalie (autrement dit, les attributs de l’anomalie détectée). Cette fourniture est par exemple réalisée directement par la première technique de détection elle-même. La deuxième technique de détection joue alors le rôle d’un discriminateur et décide, à partir de l’analyse des données «anormales» ou des caractéristiques qui lui ont été fournies, si celles-ci reflètent effectivement la présence d’une intrusion ou d’une attaque.
L’apprentissage des première et deuxième techniques de détection est réalisé en tenant compte «indirectement» des résultats délivrés par chacune de ces techniques. A cet effet, l’invention prévoit l’intervention d’une troisième technique de détection, appliquée sur les données considérées par la première technique de détection comme «anormales», cette troisième technique de détection disposant avantageusement des résultats issus des applications des première et deuxième techniques de détection. Cette troisième technique de détection agrège les résultats des deux autres techniques, les compare et utilise le résultat de cette comparaison en plus de sa propre analyse pour fournir sa propre qualification des données. Elle renvoie ensuite le résultat obtenu à la deuxième technique de détection, qui l’utilise pour son apprentissage et pour renforcer sa capacité de détection. La deuxième technique de détection est une nouvelle fois appliquée sur les données suite à cet apprentissage, et le résultat de cette application est fourni à la première technique de détection qui l’utilise à son tour pour son apprentissage. Le recours à une troisième technique de détection telle que proposé par l’invention permet ainsi de réduire les fausses détections effectuées par la première et/ou la deuxième technique de détection. En d’autres termes, la troisième technique de détection joue le rôle d’une fonction dite de perte qui vise à réduire les «pertes» des première et deuxième techniques de détection, c’est-à-dire dans un contexte de cyber-détection, les mauvaises détections opérées par celles-ci (qu’il s’agisse de faux positifs ou de faux négatifs).
Les applications successives des trois techniques de détection forment une itération du processus selon l’invention, chaque itération portant sur un ensemble de données surveillées distinct, et combinant des opérations de détection d’intrusions, de détection de «pertes» des première et deuxième techniques de détection et d’apprentissage des première et deuxième techniques de détection. Ce processus itératif permet ainsi, au fil des sous-ensembles de données traités, de renforcer la capacité de détection du dispositif selon l’invention, bien qu’opérant localement.
Dans un mode particulier de réalisation, si le résultat de l’application de la deuxième technique de détection après apprentissage indique une anomalie dans ledit sous-ensemble de données, le procédé comprend en outre une étape de notification d’une entité tierce de ladite anomalie.
Ainsi, on utilise le résultat généré suite à la deuxième application de la deuxième technique de détection pour décider de la présence ou non d’une intrusion et notifier le cas échéant une entité tierce. Ce résultat bénéficie avantageusement du retour de la troisième technique de détection.
Ce résultat peut être utilisé également pour déclencher des opérations de mitigation, etc., connues en soi, et non décrites en détail ici.
En variante, on peut appliquer une nouvelle fois la première technique de détection après apprentissage et utiliser le résultat de cette nouvelle application de la première technique de détection pour décider de notifier ou non l’entité tierce, déclencher des actions de mitigation, etc.
L’entité tierce notifiée peut être par exemple un centre d’opérations de sécurité auquel le dispositif peut demander de confirmer (ou d’infirmer) l’intrusion détectée.
A cet effet, le procédé peut comprendre notamment une étape de transmission à un centre d’opérations de sécurité d’au moins une information parmi :
- des caractéristiques d’au moins un sous-ensemble de données présentant une anomalie ;
- des paramètres de ladite première et/ou ladite deuxième technique de détection;
- au moins une anomalie détectée par la troisième technique de détection non détectée par la première et/ou la deuxième technique de détection.
Un tel centre d’opérations de sécurité dispose avantageusement d’une vue plus globale sur le réseau: il est généralement rattaché à plusieurs nœuds du réseau susceptibles de lui reporter chacun les différentes anomalies qu’ils détectent dans les données qu’ils surveillent et/ou qui transitent par eux. Au sens de l’invention, on entend par données transitant par un nœud ou un dispositif des données reçues et/ou émises par celui-ci.
En outre, un tel centre d’opérations de sécurité dispose souvent de davantage de ressources matérielles et/ou logicielles (mémoire, calcul, etc.) dédiées à la cyber-détection et peut ainsi mettre en œuvre des techniques de détection plus puissantes et performantes (par exemple s’appuyant sur des techniques d’apprentissage automatique) que les nœuds qui lui sont rattachés et lui reportent des anomalies, et éventuellement plus complexes.
En variante, d’autres entités peuvent être notifiées avec les informations précitées, en complément ou remplacement d’ un centre d’opérations de sécurité, comme par exemple des entités aptes à déclencher des actions de mitigation de l’attaque détectée par le dispositif de détection d’intrusions selon l’invention.
Dans un mode particulier de réalisation, le procédé selon l’invention comprend en outre une étape de réception, en provenance du centre d’opérations de sécurité, d’informations destinées à être utilisées par le dispositif de détection d’intrusions pour l’apprentissage des première, deuxième et/ou troisième techniques de détection.
Ce peut être le cas par exemple en cas de désaccord du centre d’opérations de sécurité avec l’anomalie reportée par le dispositif de détection d’intrusions selon l’invention, ou si de nouvelles attaques ont été détectées par le centre d’opérations de sécurité et ne lui ont pas été reportées par le dispositif de détection d’intrusions selon l’invention, ou encore si celui-ci dispose d’informations des attaques inconnues du dispositif de détection d’intrusions. Grâce à ces informations reçues du centre d’opérations de sécurité, on peut encore renforcer davantage les capacités de détection du dispositif de détection d’intrusions selon l’invention. En outre, cela permet de tenir compte indirectement des détections effectuées par d’autres nœuds du réseau.
Aucune limitation n’est attachée aux techniques de détection d’intrusions susceptibles d’être utilisées par le procédé et par le dispositif de détection d’intrusions selon l’invention. Préférentiellement, les première et deuxième techniques de détection d’intrusions mettent en œuvre au moins un algorithme d’apprentissage automatique.
Par exemple, dans un mode particulier de réalisation:
- la première technique de détection est une technique de détection hybride basée sur une technique utilisant des signatures d’attaques connues et sur une technique de détection par renforcement; et/ou
- au moins l’une parmi la deuxième et la troisième technique de détection est une technique de détection par apprentissage automatique.
Ce choix, s’appuyant à la fois sur une technique de détection hybride et sur des techniques de détection par apprentissage automatique permet d’obtenir une détection fiable. Via l’utilisation d’une première technique de détection hybride, on combine ainsi les avantages des techniques utilisant des signatures d’attaques (faible taux de faux positifs) et des techniques par renforcement (fort taux de détection).
Dans un mode particulier de réalisation, au moins une technique de détection parmi la première et la deuxième technique de détection utilise un réseau de neurones artificiel, et l’apprentissage de cette technique de détection utilise un algorithme de descente de gradient pour mettre à jour des paramètres de ce réseau de neurones artificiel.
L’algorithme de descente de gradient peut être configuré par exemple pour optimiser un taux de détection d’attaques par ladite technique de détection.
Cela permet d’augmenter la précision de détection du procédé selon l’invention. On note toutefois que d’autres critères d’optimisation peuvent être envisagés en remplacement ou en sus du taux de détection d’attaques. Ainsi, on peut également envisager de minimiser la consommation d’énergie liée à l’exécution des techniques de détection, de maximiser leur rapidité d’exécution, etc., suivant le contexte d’exécution de l’invention.
Dans un mode particulier de réalisation, la première technique de détection et la deuxième technique de détection utilisent des réseaux de neurones artificiels, et le procédé selon l’invention comprend en outreune étape d’échange entre les première et deuxième techniques de détection de paramètres desdits réseaux de neurones artificiels, lesdits paramètres échangés étant pris en compte pour les apprentissages des première et deuxième techniques de détection.
De tels paramètres peuvent être par exemple le nombre de couches utilisés par chacun des réseaux de neurones artificiels, le nombre de neurones sur chaque couche, les poids des synapses, les attributs considérés en entrée de chacun des réseaux (autrement dit les données ou les caractéristiques des données qu’ils considèrent pour effectuer leurs détections), etc. Ce mode de réalisation permet un apprentissage plus efficace et plus rapide des première et deuxième techniques de détection. En effet, les techniques de détection peuvent utiliser les paramètres échangés pour converger plus rapidement et améliorer leurs classifications respectives des anomalies qu’elles détectent dans les données qu’elles traitent. Elles peuvent adapter les attributs qu’elles considèrent (en supprimer ou en ajouter notamment) pour améliorer leurs détections respectives.
Dans un mode particulier de réalisation, la troisième technique de détection utilise une machine à vecteurs de support.
Un tel algorithme d’apprentissage automatique présente avantageusement un temps de réaction faible et une capacité de détection très efficace par rapport à d’autres algorithmes d’apprentissage automatique connus comme par exemple des réseaux de neurones profonds qui généralement sont plus complexes en termes de calcul et ont donc un temps de réaction plus lent.
Toutefois tous ces exemples d’algorithmes pour les première, deuxième et troisième techniques de détection ne sont donnés qu’à titre illustratif et bien entendu d’autres algorithmes peuvent être envisagés lors de la mise en œuvre de l’invention.
Comme mentionné précédemment, le dispositif de détection d’intrusions selon l’invention peut être avantageusement embarqué dans différents nœuds du réseau.
Ainsi, dans un mode particulier de réalisation, le dispositif de détection d’intrusions selon l’invention est intégré dans un objet connecté ou un équipement utilisateur auquel le réseau fournit une connectivité.
Dans un autre mode de réalisation, le dispositif de détection d’intrusions selon l’invention est intégré dans un serveur ou dans un autre équipement de calcul mobile (aussi couramment désigné par serveur MEC pour Mobile Edge Computing), situé en périphérie du réseau. Le recours à de tels équipements périphériques permet de collecter et de traiter des données à proximité des utilisateurs, et de réduire la latence par rapport à un traitement réalisé au niveau de l’infrastructure réseau à proprement parler. En outre, les équipements MEC disposent de davantage de ressources que les équipements utilisateurs ce qui permet d’avoir des techniques de détection plus précises et efficaces.
Bien entendu, l’invention peut être déployée simultanément pour encore plus d’efficacité au niveau de chacun des nœuds du réseau précitées (équipements utilisateurs, objets connectés, serveurs MEC, etc.).
Dans un mode particulier de réalisation de l’invention, le procédé de surveillance est mis en œuvre par un ordinateur.
L’invention vise également un programme d’ordinateur sur un support d’enregistrement, ce programme étant susceptible d’être mis en œuvre dans un ordinateur ou plus généralement dans un dispositif de détection conforme à l’invention et comporte des instructions adaptées à la mise en œuvre d’un procédé de surveillance tel que décrit ci-dessus.
Ce programme peut utiliser n’importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n’importe quelle autre forme souhaitable.
L’invention vise aussi un support d'information ou un support d’enregistrement lisibles par un ordinateur, et comportant des instructions du programme d'ordinateur mentionné ci-dessus.
Le support d'information ou d’enregistrement peut être n'importe quelle entité ou dispositif capable de stocker les programmes. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple un disque dur, ou une mémoire flash.
D'autre part, le support d'information ou d’enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par lien radio, par lien optique sans fil ou par d'autres moyens.
Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.
Alternativement, le support d'informations ou d’enregistrement peut être un circuit intégré dans lequel un programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé de surveillance, conforme à l’invention.
Selon un autre aspect, l’invention vise un système de surveillance de données échangées sur un réseau comprenant:
- au moins un dispositif de détection d’intrusions selon l’invention; et
- un centre d’opérations de sécurité, configuré pour traiter des informations transmises par ledit dispositif en relation avec les données surveillées par ledit dispositif et/ou les anomalies détectées par ledit dispositif dans ces données et/ou la configuration des techniques de détection utilisées par ledit dispositif pour surveiller lesdites données.
Le système bénéficie des mêmes avantages que le procédé de surveillance et le dispositif de détection d’intrusions selon l’invention, cités précédemment.
On peut également envisager, dans d'autres modes de réalisation, que le procédé de surveillance, le dispositif de détection d’intrusions et le système de surveillance selon l'invention présentent en combinaison tout ou partie des caractéristiques précitées.
D’autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures:
la figure 1 représente, dans son environnement, un système de surveillanceselon l’invention dans un mode particulier de réalisation ;
la figure 2 représente l’architecture matérielle d’un dispositif de détection d’intrusions conforme à l’inventionappartenant au système de surveillance de la figure 1, dans un mode particulier de réalisation ;
la figure 3 illustre, sous forme d’ordinogramme, les principales étapes d’un procédé de surveillance selon l’invention, tel qu’il est mis en œuvre dans un mode particulier de réalisation par le dispositif de détection d’intrusions illustré à la figure 2;
la figure 4 compare les performances obtenues avec une technique de détection hybride et le procédé de surveillance selon l’invention pour un nombre d’itérations compris entre 1 et 30; et
la figure 5 compare les performances obtenues avec une technique de détection hybride et le procédé de surveillance selon l’invention pour un nombre d’itérations compris entre 30 et 60.
Description de l’invention
Lafigure 1représente, dans son environnement, un système de surveillance 1 conforme à l’invention, dans un mode particulier de réalisation.
Dans ce mode de réalisation, le système de surveillance 1 est configuré pour surveiller les données échangées sur un réseau NW comportant une pluralité de nœuds (i.e. d’éléments), cette pluralité de nœuds comptant notamment une pluralité d’objets connectés (référencés de façon générale par IoTD sur la figure 1 pour «Internet of Things Device») auxquels le réseau NW fournit une connectivité et en particulier un accès au réseau Internet. Par souci de simplification et de façon nullement limitative, on a représenté sur la figure 1 uniquement trois objets connectés IoTD.
Aucune limitation n’est attachée à la nature des objets connectés IoTD. Il peut s’agir par exemple de n’importe quels dispositifs configurés pour collecter (et éventuellement traiter) des données sur leur environnement, et transmettre ces données ou des informations extraites de ces données à diverses applications ou autres plateformes de service via le réseau NW. De tels dispositifs sont par exemple des capteurs de température, de pression ou de vitesse, des montres connectées, des drones, des véhicules connectés, etc. En variante, les objets connectés IoTD peuvent désigner d’autres types d’équipements, comme par exemple des équipements utilisateurs tels que des téléphones mobiles (ex. «smartphones»), des tablettes numériques, ou autres terminaux bénéficiant d’une connectivité via le réseau NW.
Chacun des objets connectés IoTD intègre, dans le mode de réalisation décrit ici, un dispositif 2 de détection d’intrusions conforme à l’invention, et configuré pour surveiller les données échangées sur le réseau NW transitant par cet objet connecté (ex. des données envoyées et/ou reçues par l’objet connecté en question). Dans le mode de réalisation décrit ici, chaque objet connecté IoTD a l’architecture matérielle d’un ordinateur telle que représentée sur lafigure 2, et chaque dispositif 2 de détection d’intrusions embarqué dans un objet connecté IoTD s’appuie sur les éléments de cette architecture matérielle pour mettre en œuvre le procédé de surveillance selon l’invention.
On note que le procédé de surveillance selon l’invention est itératif et appliqué ici à une pluralité de sous-ensembles des données surveillées par le dispositif 2 de détection d’intrusions, chaque itération correspondant au traitement effectué par le dispositif 2 de détection d’intrusions sur un sous-ensemble de données distinct. Par «appliquéà une pluralité de sous-ensemble de données», on entend, comme indiqué précédemment, que le procédé de surveillance est appliqué directement aux données surveillées par le dispositif 2 de détection, ou indirectement, sur des valeurs de caractéristiques ou d’attributs dérivées à partir de ces données surveillées, ces caractéristiques ou attributs pouvant être évalué(e)s et fourni(e)s en tout ou partie par une ou plusieurs entités externes au dispositif 2 de détection d’intrusions et à l’objet connecté IoTD hébergeant ce dispositif (non représentées sur la figure 1), ou par l’objet connecté IoTD au moyen d’un ou de plusieurs modules 3 de traitement de données prévus à cet effet. Sur la figure 1, le ou les modules 3 de traitement de données sont représentés extérieurs au dispositif 2 de détection d’intrusions, mais ils peuvent, en variante, être intégrés dans ce dispositif 2 de détection d’intrusions.
En référence à la figure 2, chaque objet connecté IoTD comprend notamment ici un processeur 4, une mémoire vive 5, une mémoire morte 6, une mémoire flash non volatile 7, ainsi que des moyens de communication 8 comprenant une ou plusieurs interfaces de communication lui permettant notamment de communiquer via le réseau NW.
La mémoire morte 6 de l’objet connecté IoTD est un support d’enregistrement conforme à l’invention, lisible par le processeur 4 et sur lequel est enregistré un programme d’ordinateur PROG selon l’invention, qui comporte des instructions définissant les principales étapes d’un procédé de surveillance conforme à l’invention. Le programme PROG définit de manière équivalente des modules fonctionnels du dispositif 2 de détection d’intrusions, qui s’appuient ou commandent entre autres les éléments matériels 4 à 8 cités précédemment, et qui sont activés de façon itérative, chaque itération ici correspondant au traitement d’un sous-ensemble de données distinct sélectionné parmi les données surveillées par le dispositif 2 de détection d’intrusion. On rappelle que les données surveillées peuvent être associées à un même élément de réseau ou à des éléments de réseau différents surveillés par le dispositif 2 de détection d’intrusion (protocole, adresse ou préfixe IP, etc.).
Les modules fonctionnels du dispositif 2 de détection d’intrusions comptent en particulier, comme illustré à la figure 1 pour l’un seulement des objets connectés IoTD par souci de simplification, un premier module 2A de détection d’intrusions, configuré pour appliquer au cours d’itérations successives à une pluralité de sous-ensembles de données, une première technique de détection d’intrusions, notée ici G (en référence à son rôle de «générateur» dans le dispositif 2 de détection d’intrusions, comme expliqué précédemment).
Dans le mode de réalisation décrit ici, la technique de détection d’intrusions G est une technique de détection hybride mettant en œuvre:
- d’une part, un algorithme RD mettant en œuvre une détection d’intrusions basée sur des signatures d’attaques déterminées (ou «Rule based Detection» en anglais), connue en soi; et
- d’autre part, un algorithme RLD mettant en œuvre une détection d’intrusions basée sur la reconnaissance d’un comportement anormal des données s’appuyant sur une technique d’apprentissage automatique par renforcement (ou «Reinforcement Learning based Detection» en anglais). L’algorithme RLD est ici non supervisé et peut être initialisé par exemple avec un jeu d’attributs et de décisions représentatifs de comportements anormaux (voire d’attaques) fournis par des experts. Il utilise un réseau de neurones artificiel (ou ANN pour «Artificial Neural Network» en anglais), connu en soi, défini par des paramètres notés QG. Ces paramètres comprennent notamment, les attributs des données fournis en entrée du réseau de neurones, le nombre de couches du réseau de neurones, les poids des synapses, etc.
Le premier module 2A de détection est configuré ici de telle sorte que si l’un au moins des algorithmes RD ou RLD détecte une anomalie dans le sous-ensemble de données qu’il étudie, on considère qu’une anomalie est détectée par la première technique de détection d’intrusions G et par le premier module 2A de détection. On rappelle ici que le terme anomalie est à considérer au sens large: il peut s’agir d’un comportement qui diffère d’un comportement normal attendu des données en l’absence de cyber-attaque, comme d’une attaque détectée par comparaison avec des signatures d’attaques déterminées.
Bien entendu, d’autres techniques de détection d’intrusions que celle qui vient d’être décrite peuvent être envisagées pour la technique G, qu’elles soient simples ou hybrides. Par exemple, on peut envisager la technique hybride décrite dans l’article de A. Abduvaliyev et al. précédemment introduit, ou une technique de détection hybride plus élaborée combinant au moyen de règles ou par l’intermédiaire d’un autre algorithme d’apprentissage automatique, les sorties des algorithmes RD et RLD. En variante, on peut envisager la technique d’apprentissage automatique par renforcement décrite dans le document de A. Servin et al. intitulé «Multi-Agent Reinforcement Learning for Intrusion Detection», European Symposium on Adaptive and Learning Agents and Multi-Agent Systems, Springer, 2008.
Le dispositif 2 de détection d’intrusions comprend une pluralité d’autres modules fonctionnels définis par les instructions du programme PROG et activés si (et seulement si ici) une anomalie est détectée par le premier module 2A de détection dans l’un des sous-ensembles de données qu’il analyse. Parmi ces modules fonctionnels figurent notamment :
- un deuxième module 2B de détection d’intrusions, configuré pour appliquer à ce sous-ensemble de données une deuxième technique de détection d’intrusions notée D (en référence à son rôle de «discriminateur» dans le dispositif 2 de détection d’intrusions, comme expliqué précédemment). Dans le mode de réalisation décrit ici, la deuxième technique D utilise un algorithme d’apprentissage automatique connu en soi. Cet algorithme d’apprentissage automatique s’appuie également sur un réseau de neurones artificiel dont les paramètres sont notés QD. Cet exemple n’est donné qu’à titre illustratif, et d’autres algorithmes peuvent être utilisés en variante; et
- un troisième module 2C de détection d’intrusions, configuré pour appliquer audit sous-ensemble de données une troisième technique de détection d’intrusions, notée LF (en référence à son rôle de «fonction de pertes» dans le dispositif 2 de détection d’intrusions, comme expliqué précédemment). Conformément à l’invention, la troisième technique de détection LF utilise également comme entrées les résultats fournis par les premier et deuxième modules de détection 2A et 2B (données et/ou attributs extraits de ces données et décisions des premier et deuxième modules de détection 2A et 2B). Dans le mode de réalisation décrit ici, la troisième technique LF utilise un algorithme d’apprentissage automatique multi-classes, et notamment une machine à vecteurs de support (ou SVM pour «Support Vector Machine» en anglais), connue en soi. L’apprentissage de la troisième technique LF est réalisé à partir des informations fournies au troisième module de détection 2C par les premier et deuxième modules de détection 2A et 2B. L’utilisation d’un algorithme SVM permet un temps de réaction faible et une détection efficace des attaques par rapport à des réseaux de neurones profonds. Toutefois, d’autres algorithmes d’apprentissage automatique peuvent bien entendu être envisagés en variante. On note que le troisième module 2C de détection peut être paramétré initialement ou à tout moment par un expert (via une interface idoine prévue à cet effet) avec de nouvelles signatures d’attaques et/ou de nouveaux attributs pour améliorer son efficacité.
Conformément à l’invention, le deuxième module de détection 2B est configuré pour utiliser, à chaque itération, un résultat fourni par le troisième module de détection 2C pour un apprentissage de la deuxième technique de détection D, et le premier module de détection 2A est en outre configuré pour utiliser, durant ladite itération, pour un apprentissage de la première technique de détection G, un résultat d’une application audit sous-ensemble de données de la deuxième technique de détection D, après réalisation de l’apprentissage par le deuxième module de détection 2B. La façon dont les trois modules de détection d’intrusions 2A, 2B et 2C collaborent entre eux lors de chaque itération est décrit plus en détail ultérieurement.
Dans le mode de réalisation décrit ici, le dispositif 2 de détection d’intrusions comprend un autre module fonctionnel désigné dans la suite de la description par module 2D d’alerte, configuré pour notifier une anomalie détectée dans au moins un sous-ensemble de données traité par le dispositif 2 de détection d’intrusions, à au moins une entité tierce. Le module 2D d’alerte s’appuie sur les moyens de communication 9 de l’objet connecté IoTD via le réseau NW.
Dans le mode de réalisation décrit ici, le module 2D d’alerte est configuré pour notifier un centre d’opérations de sécurité 8 (aussi désigné par SOC 8) supervisant une pluralité de nœuds distincts du réseau NW et en particulier les objets connectés IoTD. De façon connue, un tel centre d’opérations de sécurité gère la sécurité du réseau NW (et éventuellement d’autres réseaux) en s’appuyant à cet effet, sur divers outils de collecte, de corrélation d'événements, d’analyse des activités sur les réseaux et sur les différents éléments qui les composent (ex. bases de données, applications, serveurs, équipements utilisateurs, etc.), ainsi que sur l’expertise d’analystes et de spécialistes en sécurité. Il peut en outre disposer de moyens d'intervention à distance. Autrement dit, il s’agit d’une entité de confiance dotée d’une grande expertise et permettant une détection précise et fiable des intrusions dans le réseau NW. Un tel centre d’opérations de sécurité 8 peut en outre déclencher si besoin des actions de mitigation des attaques détectées dans le réseau NW.
Le centre d’opérations de sécurité 8 est configuré ici pour gérer les alertes remontées par les différents nœuds du réseauNW, et plus particulièrement, pour traiter les informations transmises par les modules 2D d’alerte des dispositifs 2 de détection d’intrusions selon l’invention embarqués dans des nœuds du réseau NW, en relation avec les données surveillées par les dispositifs 2 de détection d’intrusions et/ou les anomalies détectées par ceux-ci dans ces données et/ou la configuration des techniques de détection G, D et/ou LF utilisées par ceux-ci pour surveiller ces données.
Nous allons maintenant décrire, en référence à lafigure 3, les principales étapes du procédé de surveillance selon l’invention, telles qu’elles sont mises en œuvre, dans un mode particulier de réalisation, par le dispositif 2 de détection d’intrusions embarqué dans chacun des objets connectés IoTD du système 1 de surveillance de la figure 1.
Les étapes qui sont décrites ci-après sont mises en œuvre itérativement pour chaque sous-ensemble de données DATA(iter) transitant par l’objet connecté IoTD hébergeant ce dernier et analysé par le dispositif 2 de détection d’intrusions (étape E00 d’initialisation à 1 d’un indice d’itération iter, et étape E50 d’incrémentation de cet indice iter).
On suppose ici que le (ou les) module(s) de traitement de données 3 extrai(en)t et/ou estime(nt) à partir du sous-ensemble de données DATA(iter) les valeurs FEAT(iter) des caractéristiques ou attributs pris en compte par le dispositif 2 de détection d’intrusions. Ces caractéristiques ou attributs sont ceux qui sont utilisés par les techniques de détection d’intrusions mises en œuvre dans les premier, deuxième et troisième modules de détection 2A, 2B et 2C pour analyser le sous-ensemble de données DATA(iter) et déterminer si celui-ci correspond à un comportement normal ou reflète la présence d’une attaque informatique.
On note que ce ne sont pas nécessairement les mêmes caractéristiques qui sont prises en compte par les différents modules de détection. On suppose toutefois ici, par souci de simplification que les mêmes (valeurs de) caractéristiques FEAT(iter) sont fournies en entrée de chacun des modules de détection, libres à chacun d’entre eux de ne sélectionner que celles qui sont pertinentes pour sa détection.
Les caractéristiques FEAT(iter) peuvent être estimées à un instant donné ou sur une période de temps donnée correspondant au sous-ensemble de données DATA(iter) considéré. A titre d’exemples, de telles caractéristiques peuvent être un nombre de paquets perdus, une qualité du signal reçue par l’objet connecté IoTD, un temps de communication, un nombre de connexions de l’objet connecté IoTD ayant échoué, un nombre de paquets «inutiles» émis ou transitant par l’objet connecté IoTD, un nombre de connexions erronées sur un site, etc. La façon dont sont acquises ces caractéristiques est connue de l’homme du métier et n’est pas décrite en détail ici. Comme mentionné précédemment, en variante, ces caractéristiques FEAT peuvent être fournies au(x) module(s) de traitement par des entités externes à l’objet connecté IoTD.
Les caractéristiques FEAT(iter) sont fournies au dispositif 2 de détection d’intrusions et plus particulièrement au premier module 2A de détection d’intrusions pour application de la première technique de détection d’intrusions G (E10).
Dans le mode de réalisation décrit ici, la première technique de détection d’intrusions G étant hybride, le module 2A applique séquentiellement ou en parallèle sur les caractéristiques FEAT(iter) les algorithmes RD et RLD (étape E20). Chacun de ces algorithmes fournit une décision quant à la présence ou non d’une attaque au vu des caractéristiques FEAT(iter) analysées. Plus précisément ici, l’algorithme RD indique dans sa décision notée DEC_RD(iter) si, au vu des signatures d’attaques connues dont il dispose, les caractéristiques FEAT(iter) correspondent à l’une d’entre elles, et l’algorithme RLD indique dans sa décision DEC_RLD(iter) si les caractéristiques FEAT(iter) correspondent ou non à un comportement normal.
On note que les décisions DEC_RD(iter) et DEC_RLD(iter) peuvent prendre différentes formes selon les algorithmes à l’origine de ces décisions. Ainsi, à titre illustratif, dans l’exemple envisagé ici, la décision DEC_RD(iter) peut comprendre un élément binaire, égal à 0 si aucune attaque n’a été détectée ou à 1 si une attaque a été détectée, et lorsqu’une attaque a été détectée, inclure des informations sur cette attaque comme notamment le nom de l’attaque, les ressources affectées, etc. La décision DEC_RLD(iter) peut prendre la forme d’un nombre réel compris entre 0 et 1, une valeur proche de 0 indiquant la présomption d’un comportement anormal (et donc de la présence d’une attaque), une valeur proche de 1 indiquant au contraire un comportement proche de la normalité (et donc l’absence d’attaque).
Le couple formé des décisions DEC_RD(iter) et DEC_RLD(iter) constitue un résultat DEC_G(iter) de l’application de la technique de détection G au sens de l’invention.
Si l’une et/ou l’autre des décisions DEC_RD(iter) et/ou DEC_RLD(iter) fait état de la présence d’une anomalie dans les données DATA(iter) (c’est-à-dire dans l’exemple envisagé ici, si une attaque est détectée par l’algorithme RD et/ou un comportement anormal est détecté par l’algorithme RLD) (réponse oui à l’étape test E30), les caractéristiques FEAT(iter) et le couple de décisions DEC_G(iter)=(DEC_RD(iter),DEC_RLD(iter)) sont fournies par le premier module 2A(étape 40) :
- au deuxième module 2B de détection d’intrusions pour application de la deuxième technique de détection d’intrusions D; et
- au troisième module 2C de détection d’intrusions.
En outre, dans le mode de réalisation décrit ici, le module 2A fournit au module 2B les paramètres courant QG(iter) du réseau de neurones artificiel mis en œuvre par l’algorithme RLD.
Sinon (réponse non à l’étape test E30), l’indice d’itération iter est incrémenté (étape E50) et un nouveau sous-ensemble de données est analysé par le dispositif 2 de détection d’intrusions.
Comme mentionné précédemment, par analogie avec les réseaux GAN, la première technique de détection d’intrusions G joue donc ici en quelque sorte un rôle de générateur dans le sens où elle «génère» (ou plus précisément fournit) à la deuxième technique de détection d’intrusions D des attributs extraits de données qu’elle considère comme représentatives d’une attaque informatique. On note que les attributs FEAT(iter) ne sont pas nécessairement fournis directement par le premier module 2A de détection, mais sous son contrôle (il peut notamment envoyer un signal de contrôle au module de traitement 3 pour que ce dernier fournisse les attributs pertinents pour la deuxième technique de détection D dès lors qu’il a détecté une anomalie).
La réception des caractéristiques/attributs FEAT(iter) et de la décision DEC_G(iter) par le deuxième module 2B de détection active ce dernier et déclenche l’application par le module 2B de la deuxième technique de détection D aux caractéristiques FEAT(iter) du sous-ensemble de données DATA(iter) (étape E60). Conformément à l’invention, la deuxième technique de détection D utilise également comme entrée, en plus des caractéristiques FEAT(iter), la décision DEC_G(iter) fourni par le module 2A, résultat de l’application de la première technique de détection G sur le sous-ensemble de données DATA(iter).
Il résulte de l’application de la deuxième technique de détection D une décision DEC_D(iter). Cette décision DEC_D(iter) fournie par la deuxième technique de détection D indique ici si celle-ci a détecté ou pas un comportement anormal ou une attaque à partir des caractéristiques FEAT(iter) représentatives des données DATA(iter) et de la décision DEC_G(iter) que lui a fournies le module 2A. Comme mentionné précédemment pour la technique de détection G, cette décision peut prendre différentes formes selon l’algorithme implémenté par la technique de détection D. Dans l’exemple envisagé ici, la décision DEC_D(iter) prend la forme d’un nombre réel compris entre 0 et 1, une valeur proche de 0 indiquant la présomption d’un comportement anormal (et donc de la présence d’une attaque), une valeur proche de 1 indiquant au contraire un comportement proche de la normalité (et donc l’absence d’attaque).
La décision DEC_D(iter) est ensuite fournie par le module 2B au troisième module de détection 2C, éventuellement si besoin avec les caractéristiques des données DATA(iter) utilisées par la deuxième technique de détection D si celles-ci diffèrent de celles utilisées par la première technique de détection G (étape E70).
Ainsi, comme mentionné précédemment, par analogie avec les réseaux GAN, la deuxième technique de détection D joue en quelque sorte le rôle de discriminateur, puisqu’elle détermine à partir des entrées qui lui sont fournies par le générateur (i.e. le module 2A mettant en œuvre la technique de détection G) s’il s’agit ou non d’une attaque.
Suite à la réception de la décision DEC_D(iter), le module 2C applique la troisième technique de détection LF aux différentes entrées dont elle dispose, à savoir aux caractéristiques FEAT(iter) représentatives des données DATA(iter) et aux décisions DEC_G(iter)=(DEC_RD(iter),DEC_RLD(iter)) et DEC_D(iter) prises par les modules 2A et 2B à partir des données DATA(iter) (étape E80). La finalité de la troisième technique de détection LF est de fournir sa propre décision quant aux caractéristiques FEAT(iter) tout en tenant compte des décisions DEC_G(iter) et DEC_D(iter). Elle joue ainsi le rôle de fonction de pertes dans le sens où elle vise à corriger les «pertes» des techniques de détection G et D, autrement dit dans le domaine de la cyber-détection, des mauvaises détections effectuées par ces dernières. A cet effet, comme indiqué précédemment, la troisième fonction LF peut interagir ponctuellement ou régulièrement pour son apprentissage avec un expert via une interface prévue à cet effet (s’appuyant par exemple sur les moyens de communication 9 de l’objet connecté IoTD ou via une interface graphique appropriée).
L’application de la technique de détection LF résulte en une décision DEC_LF(iter) indiquant si la technique de détection LF a détecté ou non une attaque à partir des caractéristiques FEAT(iter) et compte tenu des décisions DEC_G(iter) et DEC_D(iter). Cette décision DEC_LF(iter) est fournie par le module 2C au module 2B (étape E90), pour l’apprentissage de la technique de détection D.
On note que lors de l’étape E90, le module 2C peut fournir d’autres informations au module 2B destinées à être utilisées pour l’apprentissage de la technique de détection D, voire à être transmises ensuite par le module 2B au module 2A pour l’apprentissage de la technique de détection G (en variante, on peut envisager que le module 2C fournisse directement au module 2A les informations destinées à renforcer l’apprentissage de la technique de détection G). Notamment, si la décision du module 2C diffère de celle prise par le module 2B (respectivement par le module 2A) à partir des attributs FEAT(iter), le module 2C peut transmettre au module 2B des valeurs d’attributs à prendre en compte par la technique de détection D (respectivement par la technique de détection G) pour son apprentissage pour améliorer sa détection. Dans une variante, le module 2C peut également transmettre au module 2B des signatures de nouvelles attaques qui lui ont été fournies par des experts, ou de nouvelles règles à appliquer pour détecter un comportement anormal, ou de nouveaux attributs à considérer pour la détection, etc.
L’apprentissage de la technique de détection D mis en œuvre par le module 2B est réalisé, dans le mode de réalisation décrit ici, en utilisant un algorithme de descente de gradient (étape E100). Plus précisément, le module 2B évalue à partir de la décision DEC_LF(iter), le taux X_D(iter) de décisions correctes prises par la technique de détection D, les décisions DEC_LF servant à cet effet de références comme bonnes décisions. Autrement dit, à l’itération iter, le taux X_D(iter) correspond au ratio du nombre de décisions DEC_D prises par la technique de détection D coïncidant avec les décisions DEC_LF prises par la technique de détection LF jusqu’à l’itération courante iter, et du nombre d’anomalies M remontées par le module 2A de détection.
L’algorithme de descente de gradient est appliqué aux paramètres QD(iter) de la technique de détection D en vue de maximiser le taux X_D(iter) de décisions correctes ainsi estimé. Le module 2B peut à cet effet procéder par exemple comme décrit dans le document de D.P. Kingma et al. intitulé «Adam: A method for stochastic Optimization», 3rd International Conference for Learning Representations, 2015.
On note que d’autres critères peuvent être envisagés en remplacement ou en complément du taux de décisions correctes lors de l’apprentissage de la technique de décision D, comme par exemple, un taux de consommation minimal, une complexité de calcul minimale, etc. Par ailleurs ici, le module 2B disposant des paramètres QG(iter) de la technique de décision G, il peut utiliser ces paramètres pour mettre à jour le cas échéant les paramètres QD(iter) de la technique de décision D, par exemple en définissant une fonction objectif à optimiser incluant tout ou partie des paramètres QG(iter) (ex. sous forme de contraintes à respecter). Cet échange entre les modules 2A et 2B des paramètres des réseaux de neurones artificiels qu’ils implémentent respectivement peut permettre d’accélérer l’apprentissage des techniques de détection D et G et de réduire leurs complexités respectives (par exemple si les paramètres QG(iter) font état d’un nombre de couches inférieur à celui utilisé par la technique de détection D, cette information peut être exploitée lors de l’apprentissage de la technique de détection D pour tenter de réduire le nombre de couches utilisés par son réseau de neurones artificiel dès lors que cela permet d’optimiser le taux de détections correctes).
Puis conformément à l’invention, la technique de décision D est de nouveau appliquée, après apprentissage (et mise à jour éventuelle des paramètres QD(iter) lors de cet apprentissage), aux caractéristiques FEAT(iter) et une nouvelle décision DEC_D’(iter) résultant de cette application est générée par le module 2B (étape E110). On note que les paramètres QD(iter) éventuellement mis à jour lors de l’apprentissage effectué à l’étape E100 sont destinés à être utilisés à l’itération suivante iter+1 par la technique de détection D et sont ainsi stockés dans une variable notée QD(iter+1).
La décision DEC_D’(iter) est fournie par le module 2B au module 2A, avec également ici les paramètres QD(iter+1) de la technique de détection D mis à jour le cas échéant (étape E120). Si des informations destinées au module 2A (ex. nouveaux attributs, nouvelles signatures d’attaques, etc.) ont été fournies par le module 2C au module 2B lors de l’étape E90, ces informations sont également transmises lors de l’étape E120 au module 2A par le module 2B.
La décision DEC_D’(iter) et les paramètres QD(iter+1) de la technique de détection D sont alors utilisés par le module 2A pour l’apprentissage de la technique de détection G, et plus spécifiquement ici pour l’apprentissage de l’algorithme RLD (étape E130). Cet apprentissage est réalisé ici de façon similaire à ce qui a été décrit précédemment pour la technique de détection D. L’algorithme RD peut être éventuellement mis à jour avec de nouvelles signatures fournies le cas échéant par le module 2C lors de l’étape E90.
Plus spécifiquement, pour l’apprentissage de l’algorithme RLD, le module 2A utilise un algorithme de descente de gradient optimisant le taux X_G(iter) de décisions correctes prises par la technique de détection G (on considère ici les décisions DEC_G combinant les décisions combinées des algorithmes RD et RLD), les décisions DEC_D’ servant à cet effet de références comme bonnes décisions. Autrement dit, à l’itération iter, le taux X_G(iter) correspond au ratio du nombre de décisions DEC_G prises par la technique de détection G coïncidant avec les décisions DEC_D’ prises par la technique de détection D après apprentissage jusqu’à l’itération courante iter, et du nombre d’anomalies/d’attaques M’ détectées par le module 2B de détection.
L’algorithme de descente de gradient est appliqué aux paramètres QG(iter) de la technique de détection G (et plus spécifiquement ici du réseau de neurones implémentés par l’algorithme RLD) en vue de maximiser le taux X_G(iter) de décisions correctes ainsi estimé. Le module 2A peut à cet effet procéder par exemple comme décrit dans le document de D.P. Kingma et al. cité précédemment. D’autres critères peuvent être envisagés en remplacement ou en complément du taux de décisions correctes lors de l’apprentissage de la technique de décision G, comme par exemple, un taux de consommation minimal, une complexité de calcul minimale, etc. Par ailleurs ici, le module 2A disposant des paramètres QD(iter+1) de la technique de décision D, il peut utiliser ces paramètres pour mettre à jour le cas échéant les paramètres QG(iter) de la technique de décision G, par exemple en définissant une fonction objectif à optimiser incluant tout ou partie des paramètres QG(iter) (ex. sous forme de contraintes à respecter). Cet échange des paramètres QD(iter+1) peut permettre d’accélérer l’apprentissage de la technique de détection G comme décrit précédemment pour la technique de détection D et de réduire la complexité des techniques de détection D et G. On note que les paramètres QG(iter) éventuellement mis à jour lors de l’apprentissage effectué à l’étape E130 sont destinés à être utilisés à l’itération suivante iter+1 par la technique de détection G et sont ainsi stockés dans une variable notée QG(iter+1).
Par ailleurs, dans le mode de réalisation décrit ici, si la décision DEC_D’(iter) indique la présence d’une anomalie dans le sous-ensemble de données DATA(iter) (par exemple une attaque est détectée par la technique de décision D) (réponse oui à l’étape test E140), alors le module 2D d’alerte du dispositif 2 de détection d’intrusions notifie le centre d’opérations de sécurité 9 de l’anomalie détectée (étape E150). Ainsi, dans ce mode de réalisation, c’est la décision DEC_D’(iter) qui fait office de décision finale prise par le dispositif 2 de détection d’intrusions quant à la fiabilité des données DATA(iter).
En variante on peut envisager d’appliquer de nouveau après apprentissage la technique de détection G et d’utiliser comme décision finale la sortie de la technique de détection G.
Lors de la notification du centre d’opérations de sécurité 9, le module 2D d’alerte peut transmettre tout ou partie des informations suivantes:
- la décision DEC_D’(iter);
- les caractéristiques du sous-ensemble de données DATA(iter) présentant une anomalie ;
- les paramètres QD(iter+1) et QG(iter+1) des techniques de détection;
- au moins une anomalie détectée par la technique de détection LF non détectée par l’une au moins des techniques de détection D et G.
Bien entendu cette liste n’est pas exhaustive et d’autres informations peuvent être transmises au centre d’opérations de sécurité 9. En outre, d’autres entités tierces peuvent être notifiées de l’anomalie détectée comme par exemple des entités susceptibles de déclencher des actions de mitigation pour stopper la progression de l’attaque détectée par le dispositif 2 de détection d’intrusions.
Dans le mode de réalisation décrit ici, la notification de l’étape E150 déclenche une vérification par le centre d’opérations de sécurité 9 de la validité (correction) de la décision DEC_D’(iter). A cet effet, le centre d’opérations de sécurité 9 peut appliquer par exemple une technique de détection d’intrusions plus puissante que celles appliquées par le dispositif 2 de détection d’intrusions, et/ou exploiter d’autres informations reçues d’autres objets IoTD connectés au réseau NW.
Si le centre d’opérations de sécurité 9 ne confirme pas l’anomalie reportée par la décision DEC_D’(iter), dans le mode de réalisation décrit ici, il envoie à destination du dispositif 2 de détection d’intrusions diverses informations destinées à être utilisées par celui-ci pour l’apprentissage des techniques de détection G, D et/ou LF. De telles informations sont par exemple des attributs et/ou des signatures associé(e)s à des attaques non connues du dispositif 2 de détection d’intrusions, etc.
Si la décision DEC_D’(iter) reflète un comportement normal du sous-ensemble de données DATA(iter) (réponse non à l’étape test E140), alors aucune notification n’est envoyée ici au centre d’opérations de sécurité.
L’indice d’itération iter est incrémenté (étape E50) et un nouveau sous-ensemble de données est analysé par le dispositif 2 de détection d’intrusions selon les étapes E10 à E150 qui viennent d’être décrites.
Ainsi, l’invention permet d’améliorer le taux de détection d’intrusions grâce à la collaboration des techniques de détection G, D et LF tout en préservant la confidentialité des informations exploitées pour la détection.
On note que dans le mode de réalisation qui a été décrit ici, on a considéré un contexte dans lequel le réseau NW comportait une pluralité d’objets connectés embarquant des dispositifs 2 de détection selon l’invention. L’invention s’applique bien entendu dans d’autres contextes, et en particulier, le dispositif 2 de détection d’intrusions selon l’invention peut être intégré dans d’autres équipements du réseau NW, comme par exemple dans des serveurs de calcul mobiles (ou serveurs MEC) situé en périphérie du réseau NW.
A titre illustratif, lesfigures 4 et 5comparent les performances d’une technique de détection d’intrusions hybride telle que celle utilisée par le module de détection 2A dans le mode de réalisation qui vient d’être décrit, avec les performances du procédé de surveillance selon l’invention tel qu’il est mis en œuvre par le dispositif 2 de détection d’intrusion. Ces performances ont été obtenues par simulation.
Les performances présentées illustrent, en fonction des itérations (30 premières itérations sur la figure 4, et les 30 suivantes sur la figure 5), les valeurs obtenues (exprimées en pourcentage) pour une métrique M de précision de la détection définie comme suit: où:
- N désigne le nombre d’attaques considérées lors de la simulation,
-
-
-
Les figures 4 et 5 montrent que le procédé de surveillance selon l’invention améliore la métrique M de précision de la détection par rapport à une technique de détection hybride. Cette amélioration est d’autant plus importante que le nombre d’itérations augmente. Ceci est dû au renforcement de la détection et à l’amélioration de la précision de la détection obtenus grâce à la collaboration entre les techniques de détection G et D.
Claims (14)
- Procédé de surveillance de données échangées sur un réseau (NW), ledit procédé étant destiné à être mis en œuvre par un dispositif de détection d’intrusions (2) et comprenant, pour au moins un sous-ensemble de données (DATA(iter)):
- une première étape d’application (E20) audit sous-ensemble d’une première technique (G) de détection d’intrusions ;
- si une anomalie est détectée dans ledit sous-ensemble (E30) :
- une deuxième étape d’application (E60) d’une deuxième technique (D) de détection d’intrusions audit sous-ensemble ;
- une troisième étape d’application (E80) d’une troisième technique (LF) de détection d’intrusions audit sous-ensemble, ladite troisième technique de détection utilisant des résultats (DEC_G(iter), DEC_D(iter)) des première et deuxième étapes d’application;
- une étape d’utilisation (E100) d’un résultat de la troisième étape d’application (DEC_LF(iter)) pour un apprentissage de la deuxième technique (D) de détection;
- une étape d’utilisation (E130) d’un résultat (DEC_D’(iter)) d’une application (E110) audit sous-ensemble de la deuxième technique de détection après ledit apprentissage pour un apprentissage de la première technique (G) de détection.
- Procédé de surveillance selon la revendication 1 dans lequel la première et/ou la deuxième et/ou la troisième technique de décision sont appliquées sur des caractéristiques (FEAT(DATA)) préalablement dérivées du sous-ensemble de données.
- Procédé de surveillance selon la revendication 1 ou 2 dans lequel lesdites données (DATA(iter)) sont associées à une pluralité d’éléments surveillés par le dispositif du réseau.
- Procédé de surveillance selon l’une quelconque des revendications 1 à 3 dans lequel:
- la première technique (G) de détection est une technique de détection hybride basée sur une technique (RD) utilisant des signatures d’attaques connues et sur une technique (RLD) de détection par renforcement; et/ou
- au moins l’une parmi la deuxième et la troisième technique de détection (D,LF) est une technique de détection par apprentissage automatique.
- Procédé de surveillance selon l’une quelconque des revendications 1 à 4 dans lequel au moins une technique de détection (G,D) parmi la première et la deuxième technique de détection utilise un réseau de neurones artificiel, et dans lequel l’apprentissage de cette technique de détection utilise un algorithme de descente de gradient pour mettre à jour des paramètres (QG(iter), QD(iter)) dudit réseau de neurones artificiel.
- Procédé de surveillance selon l’une quelconque des revendications 1 à 5 dans lequella première technique de détection et la deuxième technique de détection (G,D) utilisent des réseaux de neurones artificiels, et ledit procédé comprend en outreune étape d’échange (E40,E120) entre les première et deuxième techniques de détection de paramètres desdits réseaux de neurones artificiels, lesdits paramètres échangés étant pris en compte pour les apprentissages des première et deuxième techniques de détection.
- Procédé de surveillance selon l’une quelconque des revendications 1 à 6 dans lequel la troisième technique de détection (LF) utilise une machine à vecteurs de support.
- Procédé de surveillance selon l’une quelconque des revendications 1 à 7 dans lequel, si le résultat de l’application de la deuxième technique de détection après apprentissage indique une anomalie dans ledit sous-ensemble de données (E140), une étape de notification (E150) d’une entité tierce (9) de ladite anomalie.
- Procédé de surveillance selon l’une quelconque des revendications 1 à 8 comprenant une étape de transmission (E150) à un centre d’opérations de sécurité (9) d’au moins une information parmi :
- des caractéristiques d’au moins un sous-ensemble de données présentant une anomalie ;
- des paramètres de ladite première et/ou ladite deuxième technique de détection;
- au moins une anomalie détectée par la troisième technique de détection non détectée par la première et/ou la deuxième technique de détection.
- Procédé de surveillance selon la revendication 9 comprenant une étape de réception, en provenance du centre d’opérations de sécurité (9), d’informations destinées à être utilisées par le dispositif pour l’apprentissage des première, deuxième et/ou troisième techniques de détection.
- Dispositif (2) de détection d’intrusions configuré pour surveiller des données échangées sur un réseau (NW), ledit dispositif comprenant des modules, activés pour au moins un sous-ensemble de données, lesdits modules comprenant:
- un premier module (2A) de détection d’intrusions, configuré pour appliquer audit sous-ensemble une première technique de détection d’intrusions ;
- des modules, activés si une anomalie est détectée par le premier module de détection dans ledit sous-ensemble, comprenant :
- un deuxième module (2B) de détection d’intrusions, configuré pour appliquer une deuxième technique de détection d’intrusions audit sous-ensemble ;
- un troisième module (2C) de détection d’intrusions, configuré pour appliquer une troisième technique de détection d’intrusions audit sous-ensemble, ladite troisième technique de détection utilisant des résultats fournis par les premier et deuxième modules de détection ;
- Dispositif (2) selon la revendication 11 intégré dans un objet connecté (IoTD) ou dans un équipement utilisateur auquel ledit réseau fournit une connectivité ou dans un serveur de calcul mobile situé en périphérie du réseau.
- Système (1) de surveillance de données échangées sur un réseau comprenant:
- au moins un dispositif (2) de détection d’intrusions selon la revendication 11 ou 12; et
- un centre d’opérations de sécurité (9), configuré pour traiter des informations transmises par ledit dispositif de détection d’intrusions en relation avec les données surveillées par ledit dispositif et/ou les anomalies détectées par ledit dispositif dans ces données et/ou la configuration des techniques de détection utilisées par ledit dispositif pour surveiller lesdites données.
- Programme d’ordinateur comportant des instructions pour l’exécution d’un procédé de surveillance selon l’une quelconque des revendications 1 à 10, lorsque ledit programme est exécuté par un ordinateur.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR2000991A FR3106914B1 (fr) | 2020-01-31 | 2020-01-31 | Procédé de surveillance de données échangées sur un réseau et dispositif de détection d’intrusions |
| PCT/FR2021/050157 WO2021152262A1 (fr) | 2020-01-31 | 2021-01-28 | Procede de surveillance de donnees echangees sur un reseau et dispositif de detection d'intrusions |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR2000991A FR3106914B1 (fr) | 2020-01-31 | 2020-01-31 | Procédé de surveillance de données échangées sur un réseau et dispositif de détection d’intrusions |
| FR2000991 | 2020-01-31 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR3106914A1 true FR3106914A1 (fr) | 2021-08-06 |
| FR3106914B1 FR3106914B1 (fr) | 2022-10-28 |
Family
ID=71111512
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR2000991A Active FR3106914B1 (fr) | 2020-01-31 | 2020-01-31 | Procédé de surveillance de données échangées sur un réseau et dispositif de détection d’intrusions |
Country Status (2)
| Country | Link |
|---|---|
| FR (1) | FR3106914B1 (fr) |
| WO (1) | WO2021152262A1 (fr) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11622273B2 (en) | 2020-07-06 | 2023-04-04 | T-Mobile Usa, Inc. | Security system for directing 5G network traffic |
| US11800361B2 (en) | 2020-07-06 | 2023-10-24 | T-Mobile Usa, Inc. | Security system with 5G network traffic incubation |
| US11516670B2 (en) | 2020-07-06 | 2022-11-29 | T-Mobile Usa, Inc. | Security system for vulnerability-risk-threat (VRT) detection |
| US11770713B2 (en) * | 2020-07-06 | 2023-09-26 | T-Mobile Usa, Inc. | Distributed security system for vulnerability-risk-threat (VRT) detection |
| US11743729B2 (en) | 2020-07-06 | 2023-08-29 | T-Mobile Usa, Inc. | Security system for managing 5G network traffic |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019129915A1 (fr) * | 2017-12-29 | 2019-07-04 | Nokia Solutions And Networks Oy | Plateforme de défense et de filtrage intelligente pour trafic de réseau |
-
2020
- 2020-01-31 FR FR2000991A patent/FR3106914B1/fr active Active
-
2021
- 2021-01-28 WO PCT/FR2021/050157 patent/WO2021152262A1/fr active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019129915A1 (fr) * | 2017-12-29 | 2019-07-04 | Nokia Solutions And Networks Oy | Plateforme de défense et de filtrage intelligente pour trafic de réseau |
Non-Patent Citations (5)
| Title |
|---|
| A. ABDUVALIYEV ET AL.: "Energy Efficient Hybrid Intrusion Détection System for Wireless Sensor Networks", INTERNATIONAL CONFÉRENCE ON ELECTRONICS AND INFORMATION ENGINEERING, 2010 |
| A. SERVIN ET AL.: "European Symposium on Adaptive and Learning Agents and Multi-Agent Systems", 2008, SPRINGER, article "Multi-Agent Reinforcement Learning for Intrusion Détection" |
| CHIBA ZOUHAIR ET AL: "Intelligent approach to build a Deep Neural Network based IDS for cloud environment using combination of machine learning algorithms", COMPUTERS & SECURITY, ELSEVIER SCIENCE PUBLISHERS. AMSTERDAM, NL, vol. 86, 28 June 2019 (2019-06-28), pages 291 - 317, XP085765846, ISSN: 0167-4048, [retrieved on 20190628], DOI: 10.1016/J.COSE.2019.06.013 * |
| D.P. KINGMA ET AL.: "Adam : A method for stochastic Opti-mization", 3RD INTERNATIONAL CONFÉRENCE FOR LEARNING REPRESENTATIONS, 2015 |
| H. SEDJELMACI ET AL.: "Intrusion Détection Framework of Cluster-based Wireless Sensor Network", IEEE SYMPOSIUM ON COMPUTERS AND COMMUNICATIONS, 2012 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021152262A1 (fr) | 2021-08-05 |
| FR3106914B1 (fr) | 2022-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| FR3106914A1 (fr) | Procédé de surveillance de données échangées sur un réseau et dispositif de détection d’intrusions | |
| EP3479285B1 (fr) | Procédé et dispositif de surveillance de la sécurité d'un système d'information | |
| EP3957045A1 (fr) | Procede et dispositif de traitement d'un message d'alerte notifiant une anomalie detectee dans un trafic emis via un reseau | |
| Ortet Lopes et al. | Towards effective detection of recent DDoS attacks: A deep learning approach | |
| EP2548337B1 (fr) | Procédé d'identification d'un protocole à l'origine d'un flux de données | |
| Labonne | Anomaly-based network intrusion detection using machine learning | |
| EP4021051A1 (fr) | Procede d'apprentissage collaboratif entre une pluralite de noeuds d'un reseau d'un modele de detection d'anomalies | |
| Aiello et al. | Profiling DNS tunneling attacks with PCA and mutual information | |
| Saini et al. | A hybrid ensemble machine learning model for detecting APT attacks based on network behavior anomaly detection | |
| EP4009584A1 (fr) | Procédé de détermination de classifieurs pour la détection d'attaques dans un réseau de communication, dispositif de détermination associé | |
| WO2019115173A1 (fr) | Dispositif et procede de controle de sondes permettant la detection d'intrusions sur un reseau | |
| EP4162652A1 (fr) | Procédé de détection d'anomalies dans un réseau de communication, procédé de coordination de détection d'anomalies, dispositifs, équipement routeur, système de gestion d'anomalies et programmes d'ordinateur correspondants | |
| EP3835985A1 (fr) | Procédé de surveillance de données transitant par un équipement utilisateur | |
| Laabid | Botnet command & control detection in iot networks | |
| FR3123527A1 (fr) | Procédé de surveillance d’un réseau, dispositif et système associés | |
| WO2019122241A1 (fr) | Procédé de construction automatique de scénarios d'attaques informatiques, produit programme d'ordinateur et système de construction associés | |
| EP4009209A1 (fr) | Procédé de détermination de quantités pour la détection d'attaques dans un réseau de communication, dispositif de détermination associé | |
| FR3003663A1 (fr) | Procede de determination automatique de causes de dysfonctionnement d'un systeme compose d'une pluralite de composants materiels ou logiciels | |
| Lange et al. | Using a deep understanding of network activities for security event management | |
| EP4113898A1 (fr) | Procédé et système d authentification par un équipement vérificateur d'un dispositif à authentifier équipé d'un circuit puf | |
| EP4298814A1 (fr) | Procedes de commande d'un dispositif de protection d'un element d'un reseau, entite de commande et dispositif de protection | |
| EP2464068B1 (fr) | Système de gestion globale de filtrage personnalisé basé sur un circuit d'échange d'informations sécurisé et procédé associé | |
| FR2917556A1 (fr) | Detection d'anomalie dans le trafic d'entites de service a travers un reseau de paquets | |
| FR3118228A1 (fr) | Méthode d’apprentissage automatique par renforcement d’une réaction en réponse à une anomalie dans un réseau informatique | |
| EP3471346A1 (fr) | Procede de generation de requetes pour la segmentation de la surveillance d'un reseau d'interconnexion et materiel associe |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PLFP | Fee payment |
Year of fee payment: 2 |
|
| PLSC | Publication of the preliminary search report |
Effective date: 20210806 |
|
| PLFP | Fee payment |
Year of fee payment: 3 |
|
| PLFP | Fee payment |
Year of fee payment: 4 |
|
| PLFP | Fee payment |
Year of fee payment: 5 |