La nature des anomalies détectées dans le trafic réseau est très diverse. On peut compter les anomalies dues à des pannes (de fonctionnement des équipements, ou bien de la part des opérateurs Cloud et de réseaux mobiles), des événements opérationnels (tels que des mises à jour et des migrations), des comportements inhabituels des utilisateurs (comme des pics de trafic, des communications point-àmultipoints), et finalement des comportements malveillants (attaques par déni de service, scans du réseau, etc.).
Par ailleurs, si l'on se focalise sur la détection de comportements malveillants, on remarque également une grande variété d'attaques qui nécessitent des modes de détection particuliers. Cela rend la détection de telles attaques plus difficile. Les attaques deviennent aussi de plus en plus sophistiquées, comme le montre le botnet Mirai qui a sévi en 2016, et devraient encore gagner du terrain avec la croissance des objets connectés qui sont plus prompts à contenir des failles de sécurité que les appareils classiques. Nous proposons dans cette dissertation plusieurs méthodes innovantes de détection d'anomalies pour augmenter la sécurité dans les réseaux IP et réseaux mobiles, avec une approche pragmatique, légère et adaptée aux réseaux réels.
Pour ceci, nous tirons partie de l'analyse des numéros de ports, services et applications mobiles. Trois contextes différents sont abordés: la détection précoce de l'exploitation de certaines vulnérabilités par les botnets, la détection d'intrusion dans les réseaux IP privés (de type réseaux d'entreprise), et la détection d'événements dans les données de trafic mobile via la formation de groupes d'anomalies.