SOULE Augustin
Direction de recherche : Serge FDIDA
Co-encadrement : SALAMATIAN Kavé
Méthodes et modèles de détection d'anomalies
L'adoption de l'Internet par l'industrie l'a rendu indispensable à la vie économique mondiale. Bien qu’il soit indispensable, l’Internet ne possède pas de système central capable de réguler les connexions. Chaque entreprise est responsable de son propre réseau interne. Cette décentralisation ne permet pas d'obtenir une image globale du réseau. Un administrateur de domaine doit se contenter de la vue de son réseau et d'une vue partielle des réseaux environnants pour gérer son infrastructure. Ces informations partielles peuvent amener l'administrateur à prendre de mauvaises décisions quant à la gestion de son réseau. Ces mauvaises décisions, ou de mauvaises manipulations peuvent dérégler une partie de l'Internet. Même si cette perturbation est due à une mauvaise manipulation ou une décision erronée, les conséquences sont souvent les mêmes qu'une attaque menée par une armée de machine. Ce type de mauvais fonctionnement, ou anomalie, est alors à traiter comme l'attaque d'un réseau. Ainsi à mesure que le nombre de machines connectées à l'Internet augmente, l'insécurité dans les réseaux grandit. Tout au long de cette thèse, nous allons proposer des méthodes permettant, à partir d'une vision limitée, de déterminer si un changement anormal survient dans un réseau. Or les anomalies ne sont pas les mêmes aux différents points du réseau. Ainsi, le trafic de fichiers illégaux est vu comme une anomalie pour une entreprise, mais pas nécessairement pour un fournisseur d’accès. Au cours de cette thèse, nous avons étudié différents outils de représentation du trafic dans les réseaux. Une première représentation, très détaillée, permet la modélisation des applications transitant dans le réseau. Une seconde représentation, plus sommaire, permet quant à elle d’axer la séparation du trafic sur ses propriétés statistiques. Ces deux modèles permettent la compréhension des paramètres clefs du trafic Internet. Cette connaissance a alors permis d’élaborer une méthode d’estimation de la demande de trafic entre chaque point du réseau, la matrice de trafic. Une méthode de détection d’anomalie est ensuite exposée. La détection se fait en regardant la part d’imprévisible dans l’estimation de la matrice de trafic. Si à un moment donné la demande de trafic est trop imprévisible, cela signifie que le modèle n’est plus valide. En d'autres termes, un changement est intervenu dans le réseau. Ce changement est alors qualifié d’anomalie.
Soutenance : 27/01/2006
Membres du jury :
ABRY Patrice, Directeur de Recherche, ENS-Lyon [Rapporteur]
BONAVENTURE Olivier, Professeur, Université de Louvain [Rapporteur]
THIRAN Patrick, Professeur, EPFL
GALLINARI Patrick, Professeur, Université Paris VI
FDIDA Serge, Professeur, Université Paris VI
SALAMATIAN Kavé, MdC, Université Paris VI
Nina TAFT Nina, Chercheur, Itel Research, Berkeley
DIOT Christophe, Thomson Paris Research Lab
Publications 2003-2012
-
2012
- J. Whiteaker, F. Schneider, R. Teixeira, Ch. Diot, A. Soule, F. Picconi, M. May : “Expanding Home Services with Advanced Gateways”, Computer Communication Review, pp. 38-43, (Association for Computing Machinery) (2012)
-
2007
- Ph. Owezarski, N. Larrieu, L. Bernaille, W. Saddi, F. GUILLEMIN, A. Soule, K. Salamatian : “Distribution of traffic among applications as measured in the French METROPOLIS project”, Annals of Telecommunications - annales des télécommunications, vol. 62 (3-4), pp. 369-386, (Springer) (2007)
-
2006
- A. Soule : “Méthodes et modèles de détection d’anomalies”, soutenance de thèse, soutenance 27/01/2006, direction de recherche Fdida, Serge, co-encadrement : Salamatian, Kavé (2006)
- L. Bernaille, R. Teixeira, I. Akodjenou, A. Soule, K. Salamatian : “Traffic classification on the fly”, Computer Communication Review, vol. 36 (2), pp. 23-26, (Association for Computing Machinery) (2006)
-
2005
- A. Soule, K. Salamatian, N. Taft : “Traffic matrix tracking using Kalman filters”, ACM SIGMETRICS Performance Evaluation Review, vol. 33 (3), pp. 24-31, (Association for Computing Machinery) (2005)
- A. Soule, K. Salamatian, N. Taft : “Combining Filtering and Statistical Methods for Anomaly Detection”, IMC 2005 - 5th ACM SIGCOMM conference on Internet measurement, Berkeley, CA, United States, pp. 31-31, (USENIX) (2005)
- A. Soule, A. Lakhina, N. Taft, K. Papagiannaki, K. Salamatian, A. Nucci, M. Crovella, Ch. Diot : “Traffic Matrices: Balancing Measurements, Inference and Modeling”, ACM Sigmetrics 2005 - 2005 ACM SIGMETRICS international conference on Measurement and modeling of computer systems, Banff, Alberta, Canada, pp. 362-373, (ACM) (2005)
- A. Soule, K. Salamatian, N. Taft : “Traffic matrix tracking using Kalman filters”, LSNI 2005 - 1st ACM SIGMETRICS Workshop on Large Scale Network Inference, Banff, Canada (2005)
- A. Soule, A. Lakhina, N. Taft, K. Papagiannaki, K. Salamatian, A. Nucci, M. Crovella, Ch. Diot : “Traffic Matrices: Balancing Measurements, Inference and Modeling”, ACM SIGMETRICS Performance Evaluation Review, vol. 33 (1), pp. 362-373, (Association for Computing Machinery) (2005)
-
2004
- A. Soule, K. Salamatian, N. Taft, R. Emilion, K. Papagiannaki : “Flow Classification by Histograms or How to Go on Safari in the Internet”, ACM Sigmetrics, New York, United States, pp. 49-60, (ACM) (2004)
- A. Soule, A. Nucci, R. Cruz, E. Leonardi, N. Taft : “How to Identify and Estimate the Largest Traffic Matrix Elements in a Dynamic Environment”, ACM Sigmetrics, New York, United States, pp. 73-84, (ACM) (2004)
- A. Oveissian, K. Salamatian, A. Soule, N. Taft : “Fast flow classification over Internet”, Communication Networks and Services Research Conference, Fredericton, NB, Canada, pp. 235-242, (IEEE) (2004)
-
2003
- A. Soule, K. Salamatian, R. Emilion, N. Taft, R. Souidi : “Classification de flots par histogrammes, Ou le petit guide zoologique de l’Internet”, CFIP'03 - Colloque Francophone sur l'Ingenierie des Protocoles 2003, Paris, France, pp. 16, (Hermès-Lavoisier) (2003)