SOULE Augustin

doctorant à Sorbonne Université
Équipe : NPA
https://lip6.fr/Augustin.Soule

Direction de recherche : Serge FDIDA

Co-encadrement : SALAMATIAN Kavé

Méthodes et modèles de détection d'anomalies

L'adoption de l'Internet par l'industrie l'a rendu indispensable à la vie économique mondiale. Bien qu’il soit indispensable, l’Internet ne possède pas de système central capable de réguler les connexions. Chaque entreprise est responsable de son propre réseau interne. Cette décentralisation ne permet pas d'obtenir une image globale du réseau. Un administrateur de domaine doit se contenter de la vue de son réseau et d'une vue partielle des réseaux environnants pour gérer son infrastructure. Ces informations partielles peuvent amener l'administrateur à prendre de mauvaises décisions quant à la gestion de son réseau. Ces mauvaises décisions, ou de mauvaises manipulations peuvent dérégler une partie de l'Internet. Même si cette perturbation est due à une mauvaise manipulation ou une décision erronée, les conséquences sont souvent les mêmes qu'une attaque menée par une armée de machine. Ce type de mauvais fonctionnement, ou anomalie, est alors à traiter comme l'attaque d'un réseau. Ainsi à mesure que le nombre de machines connectées à l'Internet augmente, l'insécurité dans les réseaux grandit. Tout au long de cette thèse, nous allons proposer des méthodes permettant, à partir d'une vision limitée, de déterminer si un changement anormal survient dans un réseau. Or les anomalies ne sont pas les mêmes aux différents points du réseau. Ainsi, le trafic de fichiers illégaux est vu comme une anomalie pour une entreprise, mais pas nécessairement pour un fournisseur d’accès. Au cours de cette thèse, nous avons étudié différents outils de représentation du trafic dans les réseaux. Une première représentation, très détaillée, permet la modélisation des applications transitant dans le réseau. Une seconde représentation, plus sommaire, permet quant à elle d’axer la séparation du trafic sur ses propriétés statistiques. Ces deux modèles permettent la compréhension des paramètres clefs du trafic Internet. Cette connaissance a alors permis d’élaborer une méthode d’estimation de la demande de trafic entre chaque point du réseau, la matrice de trafic. Une méthode de détection d’anomalie est ensuite exposée. La détection se fait en regardant la part d’imprévisible dans l’estimation de la matrice de trafic. Si à un moment donné la demande de trafic est trop imprévisible, cela signifie que le modèle n’est plus valide. En d'autres termes, un changement est intervenu dans le réseau. Ce changement est alors qualifié d’anomalie.

Soutenance : 27/01/2006

Membres du jury :

ABRY Patrice, Directeur de Recherche, ENS-Lyon [Rapporteur]
BONAVENTURE Olivier, Professeur, Université de Louvain [Rapporteur]
THIRAN Patrick, Professeur, EPFL
GALLINARI Patrick, Professeur, Université Paris VI
FDIDA Serge, Professeur, Université Paris VI
SALAMATIAN Kavé, MdC, Université Paris VI
Nina TAFT Nina, Chercheur, Itel Research, Berkeley
DIOT Christophe, Thomson Paris Research Lab

Date de départ : 01/02/2006

Publications 2003-2012