(51) Int Cl.: H04L 29/06 (2006.01) G06F 21/55 (2013.01)



Documents pareils
TEPZZ A_T EP A1 (19) (11) EP A1 (12) DEMANDE DE BREVET EUROPEEN. (51) Int Cl.: G07F 7/08 ( ) G06K 19/077 (2006.

TEPZZ 6Z85Z5A T EP A2 (19) (11) EP A2 (12) DEMANDE DE BREVET EUROPEEN

EP A2 (19) (11) EP A2 (12) DEMANDE DE BREVET EUROPEEN. (43) Date de publication: Bulletin 2009/22

(51) Int Cl.: B23P 19/00 ( ) B23P 19/04 ( ) F01L 1/053 ( )

EP A1 (19) (11) EP A1 (12) DEMANDE DE BREVET EUROPEEN. (43) Date de publication: Bulletin 2009/25

EP A1 (19) (11) EP A1 (12) DEMANDE DE BREVET EUROPEEN. (43) Date de publication: Bulletin 2012/50

EP A1 (19) (11) EP A1 (12) DEMANDE DE BREVET EUROPEEN. (51) Int Cl.: H04L 12/58 ( )

TEPZZ 5 5 _9A_T EP A1 (19) (11) EP A1 (12) DEMANDE DE BREVET EUROPEEN

EP A1 (19) (11) EP A1 (12) DEMANDE DE BREVET EUROPEEN. (43) Date de publication: Bulletin 2011/26

EP A1 (19) (11) EP A1 (12) DEMANDE DE BREVET EUROPEEN. (43) Date de publication: Bulletin 2011/40

TEPZZ A_T EP A1 (19) (11) EP A1 (12) DEMANDE DE BREVET EUROPEEN

EP A1 (19) (11) EP A1 (12) DEMANDE DE BREVET EUROPEEN. (51) Int Cl.: H04L 29/06 ( ) H04L 29/12 ( )

Paiements transfrontaliers

EP A1 (19) (11) EP A1 (12) DEMANDE DE BREVET EUROPEEN. (43) Date de publication: Bulletin 2011/09

TEPZZ 8758_8A_T EP A1 (19) (11) EP A1 (12) DEMANDE DE BREVET EUROPEEN. (51) Int Cl.: A61K 33/00 ( ) A61P 25/06 (2006.

TEPZZ 65 Z4A_T EP A1 (19) (11) EP A1 (12) DEMANDE DE BREVET EUROPEEN. (51) Int Cl.: B01D 3/00 ( )

EP A1 (19) (11) EP A1 (12) DEMANDE DE BREVET EUROPEEN. (43) Date de publication: Bulletin 2011/21

Informations techniques et questions

TEPZZ 699Z A_T EP A1 (19) (11) EP A1 (12) DEMANDE DE BREVET EUROPEEN. (51) Int Cl.: H04W 12/06 ( ) H04L 29/06 (2006.

B o u r s e d e m o b i l i t é B E E p o u r l e s d é p a r t s e n

Je suis sous procédure Dublin qu est-ce que cela signifie?

ANNEX 1 ANNEXE RÈGLEMENT DÉLÉGUÉ (UE) N /.. DE LA COMMISSION

Guide SEPA Paramétrage Experts Solutions SAGE depuis 24 ans

*EP A1* EP A1 (19) (11) EP A1 (12) DEMANDE DE BREVET EUROPEEN. (43) Date de publication: Bulletin 2000/39

". TY convertisseur statique, et des condensateurs de filtrage.

J ai demandé l asile dans l Union européenne quel pays sera responsable de l analyse de ma demande?

Comment devenir référent? Comment le rester?

*EP A1* EP A1 (19) (11) EP A1 (12) DEMANDE DE BREVET EUROPEEN. (43) Date de publication: Bulletin 2003/37

Texte Agrégation limitée par diffusion interne

Innover à l'ère du numérique : ramener l'europe sur la bonne voie Présentation de J.M. Barroso,

3) Demandeur: FIVES-CAIL BABCOCK, Société anonyme 7 rue Montallvet F Parts Cedex 08 (FR)

ARRANGEMENT ET PROTOCOLE DE MADRID CONCERNANT L ENREGISTREMENT INTERNATIONAL DES MARQUES DEMANDE D ENREGISTREMENT INTERNATIONAL RELEVANT

COMMENT PAYEZ-VOUS? COMMENT VOUDRIEZ-VOUS PAYER?

Bundesdruckerei Berlin

Rank Xerox (UK) Business Services

La réglementation Mardi de la DGPR. sur les produits biocides 05/04/2011

Délégation Côte d Azur Formation Geslab 203 module dépenses 1

L3 informatique Réseaux : Configuration d une interface réseau

CONCOURS D ENTREE A L ECOLE DE 2007 CONCOURS EXTERNE. Cinquième épreuve d admissibilité STATISTIQUE. (durée : cinq heures)

M2 IAD UE MODE Notes de cours (3)

Canada-Inde Profil et perspective

Office de l harmonisation dans le marché intérieur (OHMI) Indications requises par l OHMI: Référence du déposant/représentant :

Les enfants ayant besoin d une protection internationale

Chapitre 2 Le problème de l unicité des solutions

LES EUROPEENS ET LES LANGUES

Notes explicatives concernant le formulaire d opposition

RFC 7011 : Specification of the IP Flow Information export (IPFIX) Protocol for the Exchange of Flow Information

îundesdruokerei Berlin

Introduction à l approche bootstrap

TABLE DES MATIERES. C Exercices complémentaires 42

Le commerce de détail en Europe : la diversité des tissus commerciaux

(51) Int Cl.: B60R 25/00 ( )

bcf.courrier@bcf.asso.fr site internet : ASSURANCE FRONTIÈRE CAHIER DES CHARGES

Gestion et Surveillance de Réseau

COMITÉ ADMINISTRATIF ET JURIDIQUE. Quarante-huitième session Genève, 20 et 21 octobre 2003

Computer Networking: A Top Down Approach Featuring the Internet, 2 nd edition. Jim Kurose, Keith Ross Addison-Wesley, July ENPC.

Sécurité des réseaux IPSec

Les actions internationales pour l enseignement supérieur Un objectif de coopération internationale entre pays programmes et partenaires

SOCLE COMMUN - La Compétence 3 Les principaux éléments de mathématiques et la culture scientifique et technologique

Souad EL Bernoussi. Groupe d Analyse Numérique et Optimisation Rabat http ://

Documentation Utilisateur

Formulaire de Candidature

Optimisation non linéaire Irène Charon, Olivier Hudry École nationale supérieure des télécommunications

Présentation du modèle OSI(Open Systems Interconnection)

Cours 1 : Introduction Ordinateurs - Langages de haut niveau - Application

Jouve, 18, rue Saint-Denis, PARIS

De la mesure à l analyse des risques

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Le modèle de Black et Scholes

DEMANDE DE BREVET EUROPEEN. PLASSERAUD 84, rue d'amsterdam, F Paris (FR)

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Annexe commune aux séries ES, L et S : boîtes et quantiles

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Introduction. Adresses

IPFIX (Internet Protocol Information export)

Focus sur les structures de l enseignement supérieur en Europe 2004/2005 Évolutions nationales dans le cadre du Processus de Bologne

NOTATIONS PRÉLIMINAIRES

Article. L influence de la méthode d échantillonnage et des intervieweurs sur la réalisation de l échantillon dans l Enquête sociale européenne

ANNEXE VI CONTRAT FINANCIER ERASMUS MOBILITE REGLES GENERALES D UTILISATION DES FONDS ERASMUS : EXTRAIT

Daniel POULIN DRT 3808 (version 2010) Faculté de droit, Université de Montréal

La programmation linéaire : une introduction. Qu est-ce qu un programme linéaire? Terminologie. Écriture mathématique

La Licence Mathématiques et Economie-MASS Université de Sciences Sociales de Toulouse 1

Qu est-ce qu une probabilité?

CONFIGURATION FIREWALL

CAPTEURS - CHAINES DE MESURES

Détection d'intrusions et analyse forensique

Algorithmique des Systèmes Répartis Protocoles de Communications

Exo7. Matrice d une application linéaire. Corrections d Arnaud Bodin.

Chapitre 7. Statistique des échantillons gaussiens. 7.1 Projection de vecteurs gaussiens

Plan. Programmation Internet Cours 3. Organismes de standardisation

EP A1 (19) (11) EP A1 (12) DEMANDE DE BREVET EUROPEEN. (43) Date de publication: Bulletin 2010/05

Vue d'ensemble de NetFlow. Gestion et Supervision de Réseau

Sécurité des patients et qualité des soins de santé Rapport

Infocus < >

Théorème du point fixe - Théorème de l inversion locale

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Méthodes de quadrature. Polytech Paris-UPMC. - p. 1/48

Service de sécurité géré du gouvernement du Canada (SSGGC) Annexe A-7 : Énoncé des travaux Gestion des informations et des événements de sécurité

FTPS AVEC UNE APPLIANCE FAST360 EN COUPURE. Table des matières

Transcription:

(19) TEPZZ 8 8 4_A_T (11) EP 2 838 241 A1 (12) DEMANDE DE BREVET EUROPEEN (43) Date de publication: 18.02.1 Bulletin 1/08 (1) Int Cl.: H04L 29/06 (06.01) G06F 21/ (13.01) (21) Numéro de dépôt: 141781.4 (22) Date de dépôt: 2.07.14 (84) Etats contractants désignés: AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR Etats d extension désignés: BA ME () Priorité: 31.07.13 FR 11843 (71) Demandeur: Thales 920 Neuilly Sur Seine (FR) Mabiala, Yves 92622 Gennevilliers Cedex (FR) Sans, Stéphane 92622 Gennevilliers Cedex (FR) Chollon, Laurent 92622 Gennevilliers Cedex (FR) (74) Mandataire: Blot, Philippe Robert Emile Cabinet Lavoix 2, place d Estienne d Orves 7441 Paris Cedex 09 (FR) (72) Inventeurs: Huyot, Benoît 92622 Gennevilliers Cedex (FR) (4) Procédé de détection d évènements suspects dans un fichier de collecte d informations relatives à un flux de données ; support d enregistrement et système associés. (7) Procédé de détection d évènements suspects dans un fichier d évènements généré par un composant logiciel de collecte d informations relatives à un flux de données circulant sur un réseau de communications IP, un évènement étant caractérisé par une pluralité de paramètres, caractérisé en ce qu il comporte une étape d estimation d une probabilité (P) d occurrence d un évènement (X) à partir d un échantillon constitué des évènements (X(n)) du fichier, et une étape d association d une alerte à un évènement particulier du fichier lorsque ledit évènement particulier respecte une règle d alerte fondée sur la valeur de la probabilité d occurrence dudit évènement particulier calculée en utilisant la probabilité d occurrence estimée. EP 2 838 241 A1 Printed by Jouve, 7001 PARIS (FR)

Description 1 2 3 4 [0001] L invention a pour domaine celui de la sécurité des réseaux de communication, et plus particulièrement des réseaux de communication IP, tels qu un réseau local d entreprise. [0002] Dans le présent document, par «paquet de données», on entend un datagramme transmis sur le réseau de communication surveillé. Un paquet comporte une partie d entête, contenant des données permettant l acheminement du paquet depuis un émetteur vers un destinataire à travers le réseau, ainsi qu une partie de charge utile, contenant les données d application, ou message, que l émetteur souhaite partager avec le destinataire. [0003] Dans le présent document, par «session», on entend l ensemble des paquets de données échangés, selon un même protocole (FTP, HTTP, etc.), entre une première machine (identifiée par une adresse IP et un port) et une seconde machine (identifiée par une adresse IP et un port). [0004] Dans ce domaine, on connait des composants logiciels de surveillance du réseau, tels que des systèmes de détection d intrusion, aussi dénommés systèmes IDS (selon l acronyme anglais «Intrusion Detection System»). Un tel composant est paramétré par l éditeur, qui y incorpore un certain nombre de règles d alerte de base, ainsi que par l opérateur, qui définit des règles d alerte spécifiques. Lorsque le composant détecte qu un évènement capturé sur le réseau surveillé satisfait à l ensemble des critères d une règle d alerte, il consigne l évènement suspect dans une table d une base de données. Un exemple d un tel composant de surveillance est donné par le logiciel libre SNORT. [000] On connait également des composants logiciels de collecte d informations relatives au flux de données circulant sur le réseau de communication surveillé. [0006] Un tel composant de collecte génère périodiquement un fichier, dont chaque ligne correspond à un évènement. [0007] Pour chaque paire de machines ayant échangé au moins un paquet de données au cours de la période correspondant au fichier, un évènement représente le flux élémentaire de la session de communication entre ces deux machines, au cours cette période. Ainsi, un évènement correspond à l agrégation des paquets transmis, selon un même protocole, entre deux machines au cours de la période de collecte. [0008] Un exemple d un tel composant de collecte est donné par le logiciel NETFLOW développé par la société CISCO SYSTEMS. Le fichier généré par ce logiciel respecte le protocole NETFLOW, dont les caractéristiques de la version 9 sont publiées dans le document RFC 394 accessible en ligne. [0009] L IETF (selon l acronyme anglais «Internet Engineering Task Force») a généralisé le protocole NETFLOW dans la norme IPFIX (selon l acronyme anglais «IP Flow Information Export»), définie dans les documents RFC 1, RFC 2 et RFC 3 accessibles en ligne. Dans ce qui suit, on parle de «fichier NETFLOW» pour tout fichier répondant à la norme IPFIX. [00] Un fichier NETFLOW comporte ainsi des informations relatives à un flux élémentaire échangé entre deux machines, mais il ne comporte pas d information indiquant si un flux élémentaire semble correspondre à une attaque ou à une intrusion sur le réseau surveillé. [0011] L invention a donc pour but de répondre à ce besoin en proposant un procédé permettant, sur la seule base d au moins un fichier NETFLOW, de détecter si un évènement est suspect et de lui associer une alerte. Pour cela, l invention a pour objet un procédé de détection d évènements suspects dans un fichier d évènements généré par un composant logiciel de collecte d informations relatives à un flux de données circulant sur un réseau de communications IP, un évènement étant caractérisé par une pluralité de paramètres, caractérisé en ce qu il comporte une étape d estimation d une probabilité (P) d occurrence d un évènement (X) à partir d un échantillon constitué des événements (X(n)) du fichier, et une étape d association d une alerte à un évènement particulier du fichier lorsque ledit évènement particulier respecte une règle d alerte fondée sur la valeur de la probabilité d occurrence dudit évènement particulier calculée en utilisant la probabilité d occurrence estimée. [0012] Suivant des modes particuliers de réalisation, le procédé comporte une ou plusieurs des caractéristiques suivantes, prise(s) isolément ou suivant toutes les combinaisons techniquement possibles : 0 - l estimation d une probabilité d occurrence d un évènement comporte, pour chaque paramètre d un évènement, une étape d estimation d une probabilité individuelle d occurrence dudit paramètre, considérée comme indépendente de l estimation des autres paramètres, à partir d un échantillon constitué par les valeurs dudit paramètre pour des événements du fichier, et une étape d estimation d une dépendance entre les paramètres d un évènement. - ledit paramètre est assimilable à une variable aléatoire quantitative, l estimation de la probabilité individuelle dudit paramètre met en oeuvre un estimateur à noyau. - l estimateur à noyau mis en oeuvre est un estimateur de Parzen-Rozenblatt. - l estimation d une dépendance entre les paramètres d un évènement met en oeuvre une copule. - la copule mise en oeuvre est une copule de Farlie-Gumbel-Morgenstern, faisant intervenir, pour chaque paire de paramètres d un évènement, un paramètre de dépendance entre les deux paramètres de ladite paire. - le paramètre de dépendance θ ij entre le paramètre X i et le paramètre X j de la copule de Farlie-Gumbel-Morgenstern est donné par la relation : 2

[0013] Où F(Y) est la fonction de répartition de la variable aléatoire Y. 1 2 3 - l estimation d une probabilité d occurrence d un évènement est réalisée de manière incrémentale, en mettant à jour une estimation courante de ladite probabilité en tenant compte d un nouvel évènement du fichier. - l étape d association d une alerte à un évènement particulier du fichier consiste à calculer la probabilité d occurrence de cet évènement particulier en utilisant la probabilité estimée et à comparer cette probailité calculée avec une probabitié de référence, déterminée dynamiquement à partir du fichier. - le fichier d évènements est un fichier NETFLOW. [0014] L invention a également pour objet un support d enregistrement d informations, caractérisé en ce qu il comporte des instructions pour l exécution d un procédé conforme au procédé présenté ci-dessus, lorsque ces instructions sont exécutées par un calculateur électronique. [001] L invention a également pour objet un système comportant une unité de commande, caractérisé en ce que l unité de commande est programmée pour exécuter un procédé conforme au procédé présenté ci-dessus. [0016] D autres caractéristiques et avantages de l invention ressortiront plus clairement de la description détaillée qui va suivre d un mode de réalisation particulier, donné à titre indicatif et nullement limitatif, et faite en se référant au dessin annexé représentant schématiquement, sous forme de blocs, un mode de réalisation particulier d un procédé de détection d évènements suspects dans un fichier d évènements généré par un composant logiciel de collecte d informations relatives à un flux de données circulant sur un réseau de communications IP surveillé. [0017] Un composant NETFLOW est implanté en un point d un réseau local de communication IP, par exemple au niveau d une passerelle de connexion de ce réseau local à un réseau de communication IP public, tel que l INTERNET. [0018] Le composant NETFLOW est propre à analyse le flux de données transitant sur la passerelle. [0019] Le composant NETFLOW est propre à générer périodiquement un fichier NETFLOW. Par exemple, le composant NETFLOW génère un fichier NETFLOW toutes le quinze minutes. [00] Un fichier NETFLOW comporte des informations relatives au flux de données sur une période de surveillance qui correspond aux quinze minutes qui précèdent la création du fichier. [0021] Les informations du fichier NETFLOW sont datées avec la date de génération du fichier NETFLOW. [0022] Un fichier NETFLOW comporte une pluralité de lignes, chaque ligne correspondant à un évènement. Chaque ligne est identifiée par un entier n. [0023] Chaque évènement X(n) correspond à une session sur la période de surveillance, c est-à-dire à l agrégation des paquets échangées, selon un même protocole, entre une première machine (identifiée par son adresse IP et son port de communication) et une seconde machine (identifiée par son adresse IP et son port de communication), une machine pouvant, au cours d une même session, fonctionner en émetteur d un paquet ou en destinataire d un paquet. [0024] Dans le fichier NETFLOW, chaque évènement X(n) est caractérisé par une pluralité de L paramètres X i (n). [002] Par exemple, dans un mode de réalisation actuel, un évènement X(n) est défini par sept paramètres : 4 0 - X 1 (n) correspond au protocole de la quatrième couche du modèle OSI (en général égal TCP ou UDP, mais d autres protocoles sont possibles) ; - X 2 (n) correspond à l adresse IP de la première machine ; - X 3 (n) correspond à l adresse IP de la seconde machine ; - X 4 (n) correspond au port de la première machine ; - X (n) correspond au port de la seconde machine ; - X 6 (n) correspond au nombre de paquets échangés durant la session ; et, - X 7 (n) correspond au nombre d octets échangés durant la session. [0026] Une fois un fichier NETFLOW stocké sur un disque dur, il est accessible à un système comportant une unité de calcul, qui est programmée pour exécuter un procédé 0 de détection d évènements suspects. [0027] De manière générale, le procédé 0 est conçu pour permettre de détecter, dans un fichier NETFLOW, les événements X(n) anormaux ou suspects. [0028] Un évènement est considéré comme suspect lorsque, comparativement à l historique de l utilisation du réseau surveillé, cet évènement correspond à une utilisation marginale du réseau. [0029] Pour détecter ces événements suspects, une approche probabiliste est utilisée. En effet, les probabilités per- 3

1 mettent de quantifier le niveau de normalité d un événement. Un évènement suspect apparaît alors comme un évènement rare, c est-à-dire dont la probabilité d occurrence est faible. [00] Ainsi, le procédé 0 comporte d abord une estimation de la probabilité P d occurrence d un évènement X à partir d un échantillon constitué par des événements X(n) du fichier NETFLOW source. [0031] Le procédé 0 comporte ensuite un calcul de la valeur de la probabilité d occurrence d un évènement X(n) particulier, en utilisant l estimation précédente de la probabilité P. [0032] Enfin, le procédé 0 comporte l étiquetage de l évènement X(n) particulier en tant qu évènement suspect lorsque la valeur calculée de la probabilité d occurrence satisfait à une règle d alerte. [0033] D une manière générale, un estimateur d une grandeur G sera noté G. Un estimateur peut être obtenu à partir d un échantillon de N valeurs de la grandeur G. Il sera alors noté G N. [0034] D un point de vue mathématique, un évènement X est une variable aléatoire multi-variée. Chaque paramètre X i d un évènement est une variable aléatoire mono-variée. [003] L estimation de la probabilité P d un évènement X consiste d abord à estimer une probabilité individuelle pour chaque paramètre X i. Les probabilités individuelles P i sont souvent dénommées «probabilités marginales» de la probabilité P. [0036] Lorsque le paramètre X i est une variable aléatoire qualitative, c est-à-dire à valeur dans un ensemble discret et fini d éléments notés x k t, alors un estimateur P i de la probabilité individuelle P i est donné par la relation : 2 où N est le nombre d évènements pris en compte dans l estimation; et est la fonction indicatrice, elle vaut 1 lorsque sa condition est réalisée, 0 sinon [0037] Selon la relation (1), il s agit de compter le nombre d évènements du fichier NETFLOW pour lesquels X i (n) = x i k, ramené à la longueur N de l historique. [0038] Dans une mise en oeuvre incrémentale, permettant de mettre à jour les différents estimateurs pour tenir compte d un nouvel évènement X(N) du fichier NETFLOW, la relation (1) devient : 3 [0039] Lorsque le paramètre X i est une variable aléatoire quantitative, c est-à-dire à valeur dans un ensemble continu, la procédure qui est utilisée pour estimer la probabilité individuelle P i, qui est alors une fonction continue de X i, met en oeuvre un estimateur dit «à noyau». [00] Plus particulièrement, dans le présent mode de réalisation, l estimateur à noyau mis en oeuvre est celui dit de Parzen-Rozenblatt. [0041] L estimateur P i est donné par la relation suivante : 4 0 Où N est le nombre d évènements pris en compte dans l estimation ; x i (n), la valeur du paramètre X i pour la nième observation, X i (n); K est une fonction de noyau ; et h i,n, une estimation sur un échantillon de N événements, d un paramètre de lissage h i. [0042] Ou encore, dans une mise en oeuvre incrémentale par la relation : 4

[0043] La fonction de noyau K est choisie comme étant une fonction gaussienne standard, c est-à-dire à espérance nulle et à variance unitaire : 1 [0044] Le paramètre de lissage h i est obtenu en utilisant la relation usuellement associée à ce noyau : 2 où σ i est l écart type de la distribution des X i (n), qui est égal à la racine carrée de la variance V i de cette distribution. [004] L estimateur h t,n est ainsi déterminé au moyen d une estimation de la variance V i,n, donnée par la relation suivante, qui correspond à un estimateur sans biais: où X i est la valeur moyenne de la variable aléatoire X i, dont une estimation est donnée par : 3 [0046] Pour une mise à jour incrémentale, la relation (3) devient : 4 0 [0047] Une fois les estimateurs P i,n des probabilités individuelles obtenus, il s agit d estimer la probabilité P globale. [0048] Les variables aléatoires X i ne sont pas indépendantes entre elles, de sorte que la probabilité P de la variable X n est pas le simple produit des probabilités individuelles P i. [0049] Pour estimer la dépendance entre les variables aléatoires X i, la notion de copule est utilisée. [000] De manière générale, pour une variable X deux-variée dans les variables X 1 et X 2 la fonction de copule C permet d écrire : Où, de manière générale, F désigne la fonction de répartition de la variable X de probabilité P, définie par :

[001] Dans le mode de réalisation actuellement envisagé, est utilisée la copule de Farlie-Gumbel-Morgenstern, dont l expression mathématique est donnée par la relation suivante : 1 dans laquelle le couplage entre les variables X 1 et X 2 est faible, et la copule correspond à une approximation à l ordre un de l équation aux dérivées partielles modélisant la dépendance entre les deux variables. Toute l information relative à la dépendance entre les variables X 1 et X 2 se trouve dans le paramètre θ. [002] Dans le cas présent, où la variable aléatoire X est L-variée (avec L valant 7), l approche précédente conduit à l expression : Soit 2 3 Cette approche permet de simplifier les calculs, et de résumer l information de dépendance entre les paramètres X i d un évènement X par un petit nombre de paramètres θ ij (L valant 7, 21 paramètres θ ij sont à calculer). [003] L homme du métier sait que chaque paramètre θ ij est lié à la notion de corrélation ρ ij au sens des rangs de Spearman, selon la relation : où ρ ij est un coefficient de corrélation linéaire, non pas entre les variables X i et X j, mais entre les fonctions de répartition F i et F j des variables X i et X j. [004] Ainsi, compte tenu de la relation connue entre un coefficient linéaire et la variance, on a : 4 0 [00] Pour pouvoir mettre à jour une estimation de chaque paramètre θ ij pour tenir compte d un nouvel évènement X(N) du fichier NETFLOW, on utilise la formule incrémentale de l estimation de la variance V donnée par la relation (3 ) ci-dessus. [006] En se référant maintenant à la figure, le mode de réalisation du procédé 0 actuellement envisagé va être présenté. [007] A l étape 1 une nouvelle ligne du fichier NETFLOW est lue. Cette ligne correspond à un nouvel évènement X(N). [008] A l étape 112, pour chaque paramètre X i, l estimateur de la probabilité individuelle, P i, est mis à jour en tenant compte de la valeur X i (N) du paramètre X i pour le nouvel évènement X(N). 6

1 2 [009] Si le paramètre X i est une variable qualitative, la relation (1 ) est utilisée. Si le paramètre X i est une variable quantitative, la relation (2 ) est utilisée. Une fonction P i,n est obtenue. [0060] A l étape 114, pour chaque paramètre X i, un estimateur de la fonction de répartition individuelle, F i, est mis à jour à partir de P i,n calculées à l étape 112. Une fonction F i,n est obtenue. [0061] A l étape 116, pour chaque paire de paramètres X i et X j, un estimateur du paramètre θ ij est mis à jour en utilisant la relation () sous une forme incrémentale et les F i,n calculées à l étape 114. Les vingt-et-un coefficient θ i,n sont obtenus. [0062] A l étape 118, la valeur de la probabilité d occurrence p(x(n)) de l évènement X(N) est calculée en utilisant la relation (4) et les F i,n et θ i,n déterminés respectivement aux étapes 114 et 116. [0063] Puis, à l étape 1 est vérifié si l évènement X(N) respecte une règle d alerte. [0064] Dans un mode de réalisation, la règle d alerte consiste à considérer que l évènement X(N) est suspect si la valeur de la probabilité d occurrence calculée, p(x(n)), est inférieure à une probabilité de référence p 0,N, qui de préférence est déterminée dynamiquement. Par exemple, p 0,N est déterminée de manière à ce que les événements suspects correspondent au % des événements ayant les probabilités d occurrence les plus faibles. Un tel mode de réalisation fait intervenir une méthode d estimation des quantiles, permettant de déterminer p 0,N à partir de l estimation de la probabilité globale P(X), c est-à-dire de la relation (4) et les F i,n et θ i,n. [006] En variante, le nombre N 0 d évènements étiquetés comme suspects à extraire du fichier NETFLOW source est prédéterminé. Ainsi, à l étape 1, lorsque la valeur p(x(n)) fait partie des N 0 probabilités les plus faibles du fichier NETFLOW source, l évènement X(N) est étiqueté comme suspect. [0066] A l étape 122, lorsque l événement X(N) vérifie la règle d alerte, la ligne correspondante du fichier NETFLOW est augmentée d un champ Alerte prenant la valeur unité. [0067] Puis, l entier N est augmenté d une unité, et les différentes étapes 1 à 122 sont exécutées sur l évènement suivant du fichier NETFLOW source. [0068] L homme du métier comprendra que le présent procédé ne fait aucune hypothèse a priori sur les événements suspects. En particulier, le présent procédé ne prévoit aucune phase préalable d apprentissage de ce que pourrait être un évènement suspect. La seule hypothèse prise est la faiblesse de la probabilité d occurrence des événements considérés comme des attaques. [0069] L homme du métier, spécialiste des probabilités, constatera que le présent procédé est particulièrement bien adapté à un évènement décrit par le mélange de variables qualitatives et de variables quantitatives. [0070] Au cours des premières itérations du procédé, les différentes estimations évoluent rapidement. Cependant, plus la profondeur de l historique pris en compte augmente, plus les estimateurs sont stables et plus l étiquetage d un évènement comme suspect est pertinent. En pratique, il faut plus d un fichier NETFLOW pour atteindre une convergence, de sorte qu avantageusement plusieurs fichiers NETFLOW sont parsés successivement, sans réinitialisation des estimateurs entre chaque fichier. 3 Revendications 4 0 1. Procédé de détection d évènements suspects dans un fichier d évènements généré par un composant logiciel de collecte d informations relatives à un flux de données circulant sur un réseau de communications IP, un évènement étant caractérisé par une pluralité de paramètres, caractérisé en ce qu il comporte une étape d estimation d une probabilité (P) d occurrence d un évènement (X) à partir d un échantillon constitué des événements (X(n)) du fichier, et une étape d association d une alerte à un évènement particulier du fichier lorsque ledit évènement particulier respecte une règle d alerte fondée sur la valeur de la probabilité d occurrence dudit évènement particulier calculée en utilisant la probabilité d occurrence estimée. 2. Procédé selon la revendication 1, dans lequel l estimation d une probabilité (P) d occurrence d un évènement comporte, pour chaque paramètre (Xi) d un évènement (X), une étape (112) d estimation d une probabilité individuelle (Pi) d occurrence dudit paramètre, considérée comme indépendente de l estimation des autres paramètres, à partir d un échantillon constitué par les valeurs (Xi(n)) dudit paramètre pour des événements du fichier, et une étape (114) d estimation d une dépendance (θ ij ) entre les paramètres d un évènement. 3. Procédé selon la revendication 2, dans lequel, lorsque ledit paramètre (Xi) est assimilable à une variable aléatoire quantitative, l estimation de la probabilité individuelle dudit paramètre met en oeuvre un estimateur à noyau. 4. Procédé selon la revendication 3, dans lequel l estimateur à noyau mis en oeuvre est un estimateur de Parzen- Rozenblatt.. Procédé selon l une quelconque des revendications 2 à 4, dans lequel l estimation d une dépendance entre les 7

paramètres d un évènement met en oeuvre une copule (C). 6. Procédé selon la revendication, dans laquelle la copule mise en oeuvre est une copule de Farlie-Gumbel-Morgenstern, faisant intervenir, pour chaque paire de paramètres d un évènement, un paramètre de dépendance entre les deux paramètres de ladite paire. 7. Procédé selon la revendication 6, dans lequel le paramètre de dépendance θ ij entre le paramètre X i et le paramètre X i de la copule de Farlie-Gumbel-Morgenstern est donné par la relation : 1 Où F(Y) est la fonction de répartition de la variable aléatoire Y. 8. Procédé selon l une quelconque des revendications précédentes, dans lequel l estimation d une probabilité d occurrence d un évènement est réalisée de manière incrémentale, en mettant à jour une estimation courante de ladite probabilité en tenant compte d un nouvel évènement (X(N)) du fichier. 2 9. Procédé selon l une quelconque des revendications 1 à 8, dans lequel l étape (124) d association d une alerte à un évènement particulier du fichier consiste à calculer la probabilité d occurrence de cet évènement particulier en utilisant la probabilité estimée et à comparer cette probailité calculée avec une probabitié de référence (p 0 ), déterminée dynamiquement à partir du fichier.. Procédé selon l une quelconque des revendications 1 à 9, dans lequel le fichier d évènements est un fichier NET- FLOW. 11. Support d enregistrement d informations, caractérisé en ce qu il comporte des instructions pour l exécution d un procédé conforme au procédé selon l une quelconque des revendications 1 à, lorsque ces instructions sont exécutées par un calculateur électronique. 3 12. Système comportant une unité de commande, caractérisé en ce que ladite unité de commande est programmée pour exécuter un procédé conforme au procédé selon l une quelconque des revendications 1 à. 4 0 8

9

1 2 3 4 0

1 2 3 4 0 11

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back