LIP6 CNRS Sorbonne Université Tremplin Carnot Interfaces
Direct Link LIP6 » News » PhD students

SOULE Augustin

PhD graduated
Team : NPA
Departure date : 02/01/2006
Supervision : Serge FDIDA
Co-supervision : SALAMATIAN Kavé

Méthodes et modèles de détection d'anomalies

L'adoption de l'Internet par l'industrie l'a rendu indispensable à la vie économique mondiale. Bien qu’il soit indispensable, l’Internet ne possède pas de système central capable de réguler les connexions. Chaque entreprise est responsable de son propre réseau interne. Cette décentralisation ne permet pas d'obtenir une image globale du réseau. Un administrateur de domaine doit se contenter de la vue de son réseau et d'une vue partielle des réseaux environnants pour gérer son infrastructure. Ces informations partielles peuvent amener l'administrateur à prendre de mauvaises décisions quant à la gestion de son réseau. Ces mauvaises décisions, ou de mauvaises manipulations peuvent dérégler une partie de l'Internet. Même si cette perturbation est due à une mauvaise manipulation ou une décision erronée, les conséquences sont souvent les mêmes qu'une attaque menée par une armée de machine. Ce type de mauvais fonctionnement, ou anomalie, est alors à traiter comme l'attaque d'un réseau. Ainsi à mesure que le nombre de machines connectées à l'Internet augmente, l'insécurité dans les réseaux grandit. Tout au long de cette thèse, nous allons proposer des méthodes permettant, à partir d'une vision limitée, de déterminer si un changement anormal survient dans un réseau. Or les anomalies ne sont pas les mêmes aux différents points du réseau. Ainsi, le trafic de fichiers illégaux est vu comme une anomalie pour une entreprise, mais pas nécessairement pour un fournisseur d’accès. Au cours de cette thèse, nous avons étudié différents outils de représentation du trafic dans les réseaux. Une première représentation, très détaillée, permet la modélisation des applications transitant dans le réseau. Une seconde représentation, plus sommaire, permet quant à elle d’axer la séparation du trafic sur ses propriétés statistiques. Ces deux modèles permettent la compréhension des paramètres clefs du trafic Internet. Cette connaissance a alors permis d’élaborer une méthode d’estimation de la demande de trafic entre chaque point du réseau, la matrice de trafic. Une méthode de détection d’anomalie est ensuite exposée. La détection se fait en regardant la part d’imprévisible dans l’estimation de la matrice de trafic. Si à un moment donné la demande de trafic est trop imprévisible, cela signifie que le modèle n’est plus valide. En d'autres termes, un changement est intervenu dans le réseau. Ce changement est alors qualifié d’anomalie.
Defence : 01/27/2006 - 11h - Site Scott - salle C.044
Jury members :
ABRY Patrice, Directeur de Recherche, ENS-Lyon, Rapporteur
BONAVENTURE Olivier, Professeur, Université de Louvain, Rapporteur
THIRAN Patrick, Professeur, EPFL
GALLINARI Patrick, Professeur, Université Paris VI
FDIDA Serge, Professeur, Université Paris VI, Directeur de thèse
SALAMATIAN Kavé, MdC, Université Paris VI, Co-encadrant
Nina TAFT Nina, Chercheur, Itel Research, Berkeley
DIOT Christophe , Thomson Paris Research Lab

2003-2012 Publications

 Mentions légales
Site map |