Thèse soutenue

Détection non-supervisée d'anomalies du trafic réseau
FR  |  
EN
Accès à la thèse
Auteur / Autrice : Johan Mazel
Direction : Philippe OwezarskiYann Labit
Type : Thèse de doctorat
Discipline(s) : Réseaux, Télécommunications, Systèmes et Architecture
Date : Soutenance le 19/12/2011
Etablissement(s) : Toulouse, INSA
Ecole(s) doctorale(s) : École doctorale Mathématiques, informatique et télécommunications (Toulouse)
Partenaire(s) de recherche : Laboratoire : Laboratoire d'Analyse et d'Architecture des Systèmes (Toulouse ; 1968-....)
Jury : Président / Présidente : Christophe Chassot
Examinateurs / Examinatrices : Philippe Owezarski, Yann Labit, Sandrine Vaton
Rapporteurs / Rapporteuses : Olivier Festor, Guy Leduc

Mots clés

FR

Mots clés contrôlés

Résumé

FR  |  
EN

La détection d'anomalies est une tâche critique de l'administration des réseaux. L'apparition continue de nouvelles anomalies et la nature changeante du trafic réseau compliquent de fait la détection d'anomalies. Les méthodes existantes de détection d'anomalies s'appuient sur une connaissance préalable du trafic : soit via des signatures créées à partir d'anomalies connues, soit via un profil de normalité. Ces deux approches sont limitées : la première ne peut détecter les nouvelles anomalies et la seconde requiert une constante mise à jour de son profil de normalité. Ces deux aspects limitent de façon importante l'efficacité des méthodes de détection existantes.Nous présentons une approche non-supervisée qui permet de détecter et caractériser les anomalies réseaux de façon autonome. Notre approche utilise des techniques de partitionnement afin d'identifier les flux anormaux. Nous proposons également plusieurs techniques qui permettent de traiter les anomalies extraites pour faciliter la tâche des opérateurs. Nous évaluons les performances de notre système sur des traces de trafic réel issues de la base de trace MAWI. Les résultats obtenus mettent en évidence la possibilité de mettre en place des systèmes de détection d'anomalies autonomes et fonctionnant sans connaissance préalable