Thèse soutenue

Vers l’automatisation de la détection d’anomalies réseaux

FR  |  
EN
Auteur / Autrice : Christophe Maudoux
Direction : Selma Boumerdassi
Type : Thèse de doctorat
Discipline(s) : Informatique
Date : Soutenance le 19/06/2024
Etablissement(s) : Paris, HESAM
Ecole(s) doctorale(s) : École doctorale Sciences des métiers de l'ingénieur (Paris)
Partenaire(s) de recherche : Laboratoire : Cedric - Centre d'études et de recherche en informatique et communications - Centre d'études et de recherche en informatique et communications
établissement de préparation de la thèse : Conservatoire national des arts et métiers (France)
Jury : Président / Présidente : Anne Fladenmuller
Examinateurs / Examinatrices : Hacène Fouchal, Véronique Vèque, Mohamed Yacine Ghamri Doudane
Rapporteur / Rapporteuse : André-Luc Beylot, Sidi-Mohammed Senouci

Résumé

FR  |  
EN

Nous vivons dans un monde hyperconnecté. À présent, la majorité des objets qui nous entourentéchangent des données soit entre-eux soit avec un serveur. Ces échanges produisent alors de l’activitéréseau. C’est l’étude de cette activité réseau qui nous intéresse ici et sur laquelle porte ce mémoire. Eneffet, tous les messages et donc le trafic réseau généré par ces équipements est voulu et par conséquentlégitime. Il est de ce fait parfaitement formaté et connu. Parallèlement à ce trafic qui peut êtrequalifié de ”normal”, il peut exister du trafic qui ne respecte pas les critères attendus. Ces échangesnon conformes aux attendus peuvent être catégorisés comme étant du trafic ”anormal”. Ce traficillégitime peut être dû à plusieurs causes tant internes qu’externes. Tout d’abord, pour des raisonsbassement mercantiles, la plus part de ces équipements connectés (téléphones, montres, serrures,caméras,. . . ) est peu, mal, voire pas protégée du tout. De ce fait, ils sont devenus les cibles privilégiéesdes cybercriminels. Une fois compromis, ces matériels communiquant constituent des réseaux capablesde lancer des attaques coordonnées : des botnets. Le trafic induit par ces attaques ou les communicationsde synchronisation internes à ces botnets génèrent alors du trafic illégitime qu’il faut pouvoir détecter.Notre première contribution a pour objectif de mettre en lumière ces échanges internes, spécifiques auxbotnets. Du trafic anormal peut également être généré lorsque surviennent des événements externesnon prévus ou extra-ordinaires tels des incidents ou des changements de comportement des utilisateurs.Ces événements peuvent impacter les caractéristiques des flux de trafic échangés comme leur volume,leurs sources, destinations ou encore les paramètres réseaux qui les caractérisent. La détection de cesvariations de l’activité réseau ou de la fluctuation de ces caractéristiques est l’objet de nos contributionssuivantes. Il s’agit d’un framework puis d’une méthodologie qui en découle permettant d’automatiserla détection de ces anomalies réseaux et éventuellement de lever des alertes en temps réel.