PhD Defense, Christophe Maudoux – 19 juin, 2024

Vers l’automatisation de la détection d’anomalies réseaux

Mercredi 19 juin 2024 à 14h00 au Cnam, 2 rue conté 75003, amphithéâtre Georges Friedmann.

La présentation sera en Français. La soutenance sera suivie d’un pot en salle 33.1.19.

Résumé :

Nous vivons dans un monde hyperconnecté. A présent, la majorité des objets qui nous entourent échangent des données soit entre-eux soit avec un serveur. Ces échanges produisent alors de l’activité réseau. C’est l’étude de cette activité réseau qui nous intéresse ici et sur laquelle porte ce document. En effet, tous les messages et donc le trafic réseau généré par ces équipements est voulu et par conséquent légitime. Il est de ce fait parfaitement formaté et connu. Parallèlement à ce trafic qui peut être qualifié de ”normal”, il peut exister du trafic qui ne respecte pas les critères attendus. Ces échanges non conformes aux attendus peuvent être catégorisés comme étant du trafic ”anormal”. Ce trafic illégitime peut être dû à plusieurs causes tant internes qu’externes. Tout d’abord, pour des raisons bassement mercantiles, la plus part de ces équipements connectés (téléphones, montres, serrures,
caméras, …) est peu, mal, voire pas protégée du tout. De ce fait, ils sont devenus les cibles privilégiées des cybercriminels. Une fois compromis, ces matériels communiquant constituent des réseaux capables de lancer des attaques coordonnées : des botnets. Le trafic induit par ces attaques ou les communications de synchronisation internes à ces botnets génèrent alors du trafic illégitime qu’il faut pouvoir détecter.
Notre première contribution a pour objectif de mettre en lumière ces échanges internes, spécifiques aux botnets. Du trafic anormal peut également être généré lorsque surviennent des événements externes non prévus ou extra-ordinaires tels des incidents ou des changements de comportement des utilisateurs. Ces événements peuvent impacter les caractéristiques des flux de trafic échangés comme leur volume, leurs sources, destinations ou encore les paramètres réseaux qui les caractérisent. La détection de ces variations de l’activité réseau ou de la fluctuation de ces caractéristiques est l’objet de nos contributions
suivantes. Il s’agit d’un framework puis d’une méthodologie qui en découle permettant d’automatiser la détection de ces anomalies réseaux et éventuellement de lever des alertes en temps réel.

Summary:

We live in a hyperconnected world. Currently, the majority of the objects surrounding us exchange data either among themselves or with a server. These exchanges consequently generate network activity. It is the study of this network activity that interests us here and forms the focus of this thesis. Indeed, all messages and thus the network traffic generated by these devices are intentional and therefore legitimate. Consequently, it is perfectly formatted and known. Alongside this traffic, which can be termed ”normal,” there may exist traffic that does not adhere to expected criteria. These non-conforming exchanges can be categorized as ”abnormal” traffic. This illegitimate traffic can be due to several internal and external causes. Firstly, for purely commercial reasons, most of these connected devices (phones, watches, locks, cameras, etc.) are poorly, inadequately, or not protected at all. Consequently, they have become prime targets for cybercriminals. Once compromised, these communicating devices form networks capable of launching coordinated attacks : botnets. The traffic induced by these attacks or the internal synchronization communications within these botnets then generates illegitimate traffic that needs to be detected. Our first contribution aims to highlight these internal exchanges, specific to botnets. Abnormal traffic can also be generated when unforeseen or extraordinary external events occur, such as incidents or changes in user behavior. These events can impact the characteristics of the exchanged traffic flows, such as their volume, sources, destinations, or the network parameters that characterize them. Detecting these variations in network activity or
the fluctuation of these characteristics is the focus of our subsequent contributions. This involves a framework and resulting methodology that automates the detection of these network anomalies and potentially raises real-time alerts.

Christophe’s publications