Nouveaux algorithmes de détection d'anomalies et de classification pour les réseaux IP et mobile
Auteur / Autrice : | Agathe Blaise |
Direction : | Stefano Secci |
Type : | Thèse de doctorat |
Discipline(s) : | Informatique |
Date : | Soutenance le 14/12/2020 |
Etablissement(s) : | Sorbonne université |
Ecole(s) doctorale(s) : | École doctorale Informatique, télécommunications et électronique de Paris |
Partenaire(s) de recherche : | Laboratoire : LIP6 (1997-....) |
Jury : | Président / Présidente : Clémence Magnien |
Examinateurs / Examinatrices : Aline Carneiro Viana, Sahar Hoteit, Vania Conan, Mathieu Bouet | |
Rapporteurs / Rapporteuses : Razvan Stanica, Marco Fiore |
Mots clés
Mots clés contrôlés
Résumé
Ces dernières années ont été marquées par une nette augmentation de la fréquence et de la diversité des attaques réseau, qui apparaissent toujours plus sophistiquées et conçues pour être indétectables. En parallèle, des techniques sont développées pour les détecter et prendre des contre-mesures rapidement. Récemment, l’essor des techniques statistiques et d’apprentissage machine ("machine learning") ont permis un développement rapide de techniques innovantes visant à détecter de telles attaques. Ces techniques ont des applications dans de nombreux domaines qui gagneraient à être davantage automatisés. Dans le domaine des réseaux, elles s’appliquent par exemple au routage et à la classifcation de trafic et à la sécurité des réseaux. Cette thèse propose de nouveaux algorithmes de détection d’anomalies et de classification appliqués aux réseaux IP et mobiles. Au niveau IP, celle-ci présente une solution Split-and-Merge qui détecte des botnets qui se propagent lentement sur Internet en exploitant des vulnérabilités émergentes. Cette méthode analyse l’évolution à long-terme de l’usage des ports applicatifs. Ensuite, celle-ci aborde la détection d’hôtes infectés par un botnet, cette fois en utilisant des techniques de classification au niveau de l’hôte, dans une solution nommée BotFP. Enfin, cette thèse présente notre algorithme ASTECH qui permet la détection d’anomalies brutes dans les séries temporelles dans les réseaux mobiles, les regroupe en enveloppes convexes spatio-temporelles, et finalement induit plusieurs classes d’événements.