Bilan final du
projet de l’ACI Sécurité & Informatique MétroSec
Novembre 2007
Nom du projet : MétroSec
Equipes impliquées :
-
Outils Logiciels pour
-
Réseaux et Performances (RP), Laboratoire d’Informatique de Paris 6
(LIP6)
-
SISYPHE, laboratoire de physique de l’Ecole Normale Supérieure (ENS) de
Lyon
-
Algorithmique et combinatoire, Laboratoire d’Informatique
Algorithmique, Fondements et Applications (LIAFA)
-
RAINBOW, laboratoire I3S – CNRS Sophia Antipolis
-
Connected System SECurity (CSySEC), Laboratoire d’Informatique de
l’Université de Pau et des Pays de l’Adour (LIUPPA)
Participants :
-
LAAS
o Philippe Owezarski, chargé
de recherche CNRS
o Nicolas Larrieu, doctorant
du 1.9.2002 au 31.8.2005 (sur financement DGA-CNRS) et ATER à l’INSA de
Toulouse du 1.3.2006 au 31.8.2006
o Yann Labit, maître de
conférences de l’université Toulouse III
o Silvia Farraposo, doctorante
en cotutelle avec l’université de Coimbra, Portugal, financement du ministère
de l’éducation et de la recherche portugais, début en mars 2003
o Yu Zhang, doctorant,
financement de la fondation EADS « envol recherche », du 1.9.2004 au
31.12.2006
o Ion Alberdi, stagiaire en master
2 recherche, du 1er mars 2006 au 31.8.2006, puis en thèse depuis (sur
financement DGA-CNRS)
-
LIP6
o Kavé Salamatian, Maître de
conférences à l’Université Pierre et Marie Curie, Paris, puis en sabbatique à
l’EPFL (Ecole Polytechnique Fédérale de Lausanne)
o Timur Friedman, Maître de
conférences à l’Université Pierre et Marie Curie, Paris
o Benoît Donnet, doctorant,
financement Contrat de recherche, de septembre 2003 à août 2006
o Laurent Bernaille,
doctorant, financement MENRT, de Septembre 2003 à septembre 2007.
-
ENS Lyon
o Patrice Abry, Directeur de
recherche CNRS
o Pierre Borgnat, chargé de
recherche CNRS
o Guillaume Dewaele, ATER à l’ENS
Lyon depuis le 1er octobre 2005.
o Bertrand
Louis-Lucas, CNRS, Ingénieur réseau du laboratoire de Physique.
o Patrick Flandrin, directeur
de recherche CNRS
o Stéphane Roux, MCF
-
LIAFA
o Matthieu Latapy, chargé de
recherche au CNRS
o Clémence Magnien, chargée de
recherche au CNRS
o
Benjamin Orgogozo, stagiaire ENS
Paris, avril 2005 - septembre 2005
o
Fabien Viger, doctorant ENS Paris,
septembre 2004 - septembre 2007
o
Guillaume Goron, stagiaire ENS Lyon,
juin 2006 - août 2006
o
Frédéric Ouedraogo, doctorant
Burkina-Faso, novembre 2006 - ...
o
Michel Neuhaus, postdoc suisse,
septembre 2006 - septembre 2007
o
Didier Severin, stagiaire M2, avril
2005 - août 2005
-
I3S
o Karima Boudaoud, maître de
conférences à l’IUT de Nice côte d’Azur
o Michel Riveill, professeur à
l’université de Nice Sophia Antipolis
o Fabien Le Borgne, stagiaire
M2, mars 2005 – septembre 2005
o Sébastien Chainay, stagiaire
M2, mars2006 – aout 2006
o Nicolas Nobelis, doctorant,
bourse Région-Entreprise, Octobre 2004 -…
-
LIUPPA
o Laurent Gallon, maître de
conférences à l’IUT de Mont-de-Marsan
o Julien Aussibal, doctorant,
financement du conseil général des Landes, début le 1.9.2005
Résumé des principales avancées
Sous-projet 1 :
Déploiement d’équipements
Le projet MétroSec reposant
sur l’utilisation de sondes de métrologie pour mesurer le trafic, le premier
besoin consistait à mettre en place une plate-forme de mesure entre les
partenaires. Nous avons donc dans un premier temps remis en état de marche la plate-forme
de mesure du projet METROPOLIS, qui a été augmentée par l’installation
d’équipements de métrologie à l’ENS Lyon et à l’IUT de Mont-de-Marsan. Nous
disposons donc aujourd’hui de 6 sondes DAG
pour capturer le trafic entrant et sortant du LAAS (2), du LIP6,
de Jussieu, de l’ENS Lyon et de l’IUT de Mont-de-Marsan, vers Rénater. Nous
utilisons aussi des sondes de mesure actives pour mesurer d’autres paramètres
de QoS comme les délais, les taux de perte, la topologie (voir notamment le
Radar du SP3).
De plus, comme cette
plate-forme doit servir à générer diverses attaques dont nous voulons analyser
les caractéristiques et mesurer les impacts, un réseau
expérimental dédié a été installé au LAAS. Ce réseau est directement
connecté à Rénater et complètement séparé du réseau opérationnel du LAAS pour
ne pas gêner nos collègues du LAAS.
Sur cette plate-forme nous
avons donc depuis plus d’un an généré de nombreuses attaques de déni de service
distribuées (DDoS), capturé le trafic résultant et mesuré l’évolution de
Sous-projet 2 :
Détection de ruptures statistiques dans le trafic
Le WP2 a concentré ses
efforts sur la détection d’occurrences d’anomalies dans le trafic ainsi que sur
leurs classifications entre anomalies légitimes (par exemple des flash crowds) et illégitimes (attaques par
dénis de service). Pour ce faire, les séries temporelles de trafic agrégé (en
octets ou paquets) sont modélisées à l’aide de processus stochastiques non
gaussiens à longue mémoire. Plus précisément, seules les statistiques de 1er
et 2nd ordre sont modélisées.
Les marginales des séries
agrégées qui seraient bien décrites par des lois gaussiennes pour de larges
temps d’agrégation ou par des déclinaisons de lois exponentielles pour les
petits, sont ici modélisées par des lois gammas. Celles-ci offrent les qualités
i) de permettre une modélisation pertinente depuis les temps d’agrégation les
plus courts jusqu’aux plus longs en fournissant une évolution douce des
exponentielles aux gaussiennes (cela exploite fondamentalement la stabilité
sous addition (facteur de forme) des lois gammas) ; ii) d’accommoder les
fluctuations en volume du trafic qui surviennent naturellement du fait des
rythmes journaliers (cela exploite la stabilité par multiplication par une
constante (facteur d’échelle) des lois gammas) ; iii) d’offrir une
modélisation parcimonieuse. La covariance est décrite par celle d’un farima(P,d,Q) dont la vertu est de prendre en compte à la
fois la mémoire longue (propriété désormais universellement reconnue dans les
flux de trafic informatique) et les corrélations à court-terme (induites par
des mécanismes techniques liés au fonctionnement du réseau)
Des méthodes sous-optimales,
mais robustes, non itératives, donc de faibles coûts de calculs, d’estimation des
paramètres correspondants sont proposées. De plus, une méthode reposant sur la
technique de « circulant embedded matrix » permet de produire
numériquement des trajectoires de processus aléatoire possédant conjointement
la marginale (non gaussienne) et la covariance prescrites. Cette synthèse
numérique permet à la fois de valider les performances des procédures
d’estimation et de fournir des générateurs de trafic pour les simulateurs.
A
partir de cette modélisation mise en œuvre sur des fenêtres temporelles
successives de trafic, on cherche à détecter des ruptures dans les statistiques
du trafic afin de détecter l’occurrence d’anomalies. Le principe de détection
retenu exploite une modélisation multirésolution : les paramètres du
modèle précédent sont estimés successivement pour plusieurs niveaux
d’agrégation (de 1ms à 1s) et c’est un changement dans la façon dont ces
paramètres estimés varient avec le niveau d’agrégation qui est recherché. La
détection est réalisée à partir du calcul de distances entre les statistiques
estimées dans la fenêtre courante et celles obtenues dans une fenêtre de
référence.
Pour
évaluer les performances statistiques de ces procédures, il fallait disposer
d’une bibliothèque documentée d’anomalies. Celle-ci n’existant pas, nous avons
donc décidé de produire nous-mêmes un ensemble documenté, commenté et
reproductible d’anomalies en produisant des flash
crowds et divers types d’attaques de déni de service (cf. sous-projet 1 et la base de données de
traces du projet) [32].
A l’aide de ce corpus de données, nous avons pu tracer les courbes COR
associées aux procédures de détection proposées.
La
description du trafic par le modèle non gaussien à longue mémoire ainsi que la
procédure de synthèse numérique ont fait l’objet de quatre publications dans
des actes de conférences nationales et internationales [9] [10] [18] [21]. La détection
d’anomalies a donné lieu à trois publications : un article dans le journal
IEEE Transaction on Dependable and Secure Computing [28], 1
article dans une conférence internationale francophone [27] et un article dans un
journal d’audience francophone [38]. Un
article est également sur le point d’être soumis à IEEE Transaction on
Networking [41]. Ces
publications sont pour l’essentiel réalisées en collaboration entre le LAAS
Toulouse et l’ENS Lyon. La constitution de la base de données implique la
quasi-totalité des partenaires de METROSEC.
Par
ailleurs, l'ENS Lyon a poursuivi le développement des outils statistiques de
détection dans le cadre d'une collaboration franco-japonaise CNRS-WIDE, à laquelle
contribuent également d’autres partenaires de METROSEC. Il s'agit d'incorporer
dans le schéma de détection un outil de projection aléatoire, couramment appelé
"sketch", qui sépare le trafic reçu en sous trace par une opération
de "hachage aléatoire" réalisé sur un attribut choisi a
priori (adresse IP Source, adresse IP Destination,...). Ces projections
aléatoires apportent deux bénéfices majeurs : elles permettent de définir,
par comparaison entre elles, une référence, en moyenne et variabilité, du
trafic normal (sans avoir besoin de disposer a priori de cette information),
elles permettent non seulement de détecter l'occurrence d'anomalies dans le
trafic mais également d'identifier les attributs concernés par l'anomalie. Ces
développements sont rapportés dans [34] [46].
Sous-projet 3 : Détection
de ruptures dans la topologie
Le cœur du WP3 vise à explorer la possibilité de détecter des ruptures intervenant sur le réseau (pannes et congestions, essentiellement) par l'observation de la dynamique de la topologie au niveau IP (telle que vue par traceroute). Nous avons mis au point un outil efficace de mesure de la topologie autour d'un nœud à la façon de traceroute mais évitant les inconvénients de cet outil (redondance de l'information et séquentialité, et surcharge du réseau, essentiellement). Cet outil permet d'effectuer des mesures à la manière d'un radar : on mesure périodiquement (typiquement toutes les quelques minutes) la topologie de l'internet à partir d'une machine. Ces logiciels de mesure de la topologie de l'internet et de sa dynamique sont disponibles en open-source. De plus, nous avons mené des campagnes massives de mesures (plusieurs mois en continus, depuis une centaine de machines dans le monde) et livré les données obtenues au public. Nous avons ensuite mis au point des méthodes d'analyse de la dynamique observée, qui s'avère beaucoup plus riche que prévue (on observe notamment une croissance continue de l'observation, et un effet jour/nuit inattendu). Nous proposons de premières méthodes permettant d'isoler des événements atypiques dans cette dynamique ; l'observation de composantes connexes non-triviales de nœuds apparaissant après de longues périodes de mesures permet par exemple de localiser des 'ilôts' de la topologie qui apparaissent suite à des changements importants dans le routage.Il est également apparu que de nombreux phénomènes inattendus sont observables de cette façon. Nous avons donc travaillé à fournir des interprétations rigoureusement validées par l'expérience, et à trouver un moyen de les isoler. Nous avons notamment développé dans cette optique un nouveau traceroute, paris-traceroute, qui tire parti de ces découvertes et donne une vue beaucoup plus précise de la topologie. Il évite notamment les artéfacts dus à l'équilibrage de charge. Cet outil est disponible librement.
Sous-projet 4 :
Détection de ruptures dans les matrices de trafic
Ce sous-projet a été
l’occasion de développer des méthodes visant à surveiller la demande de trafic
entrant dans le réseau. En effet l’état global d’un réseau est le résultat d’un
équilibre entre l’offre de capacité offerte par l’opérateur par le biais de la
capacité des liens de communications, de la matrice de routage et de
l’ingénierie de trafic mise en œuvre et de la demande de trafic généré par le
client et les partenaire d’un réseau et qui se traduit par une matrice de
trafic. Il est assez simple de surveiller l’état de l’offre de capacité d’un
opérateur par le biais de mécanismes SNMP, mais la surveillance de la demande
de trafic est plus complexe car il est très difficile d’observer en temps réel
et directement la matrice de trafic entrant dans le réseau. Par contre il est
relativement aisé d’accéder au volume de trafic qui traverse un lien du réseau
par le biais des rapports SNMP. Mais chaque lien du réseau transporte une somme
de termes de trafic ayant des sources et des destinations différentes. Ainsi le
problème de l’estimation de trafic peut être réduit à la résolution d’un
système d’équation sous dimensionné. Néanmoins l’estimation de la matrice de
trafic n’est pas suffisante car il faut aussi détecter les ruptures dans cette
matrice et cette détection nécessite un a priori sous forme d’un modèle
de trafic normal. Il convient alors de combiner l’estimation de la matrice de
trafic avec le suivi de celle-ci.
Notre recherche dans le
cadre de ce sous-projet a consisté à développer une telle approche conjointe
d’estimation et de suivi de la matrice de trafic. L’approche se fonde sur une
reformulation du problème sous forme d’un filtre de Kalman qui d’une part
prédit la valeur instantanée de la matrice de trafic en fonction de la valeur
du trafic sur les liens du réseau et d’autre part permet de filtrer la partie
prédictible de la matrice de trafic en générant un processus d’innovation.
Cette dernière étape nécessite un modèle du comportement normal de la matrice
de trafic. La détection de rupture peut finalement se faire par l’analyse du
processus d’innovation issu du filtre de Kalman.
Le suivi de l’état de la
matrice de trafic par filtre de Kalman a été implanté et ses performances ont
été comparées avec d’autres méthodes de détection d’anomalies fondées sur des
ondelettes ainsi que sur la l’analyse en composante principale. Les résultats
de ces implantations et comparaisons ont donné lieu à des publications dans les
conférences SIGMETRICS [44]
et IMC [17].
Sous-projet 5 :
Garantie de QoS sous anomalies et mécanismes de sécurité
La première contribution de
ce sous-projet a consisté à concevoir et développer une nouvelle architecture
de transport exploitant au maximum et en temps réel les mesures faites dans le
réseau ainsi que les résultats de caractérisation du trafic faits dans le SP2. En
particulier, la LRD qui est une caractéristique du trafic, confrontée au
protocole de transport TCP inadapté à la transmission de données sur des
réseaux à hauts débits, engendre une variabilité du trafic très importante
préjudiciable à la QoS du réseau. Cette approche appelée MBN (Measurement
Based Networking) repose sur une architecture distribuée de mesure, dans
laquelle les différentes sondes de mesures interagissent et s’échangent les
résultats de mesure (grâce au protocole MRP : Measurement reporting
Protocol). Le principe de l’approche consiste donc à informer les sources de
trafic des ressources disponibles sur le chemin qu’elles vont emprunter jusqu'à
leur destination. Le principe du protocole de transport définit un nouveau
mécanisme de contrôle de congestion (MBCC : Measurement Based Congestion
control) qui lisse ses variations de trafic, contribuant ainsi à réduire
La seconde contribution de
ce SP se situe au niveau d’un système de backtracking pour pouvoir lutter
contre le spoofing d’adresses et remonter vers la source réelle des attaques.
Ce système de backtracking est la conséquence d’une étude que nous avons
réalisée sur les forces et faiblesses des systèmes existants. Aucun ne donnant
pleine satisfaction, nous avons proposé des améliorations, en particulier pour
que ce système de backtracking fonctionne efficacement dans un environnement
multi-AS (Autonomous System) [7] [22] [41].
La troisième contribution a
consisté en la conception de procédures pour des IDS orienté profil de trafic.
Deux IDS ont été développés : le 1er repose sur les mécanismes
de détection issus du SP2 et son principe exploite complètement les résultats
sur la caractérisation statistique du trafic. Pour compléter cet IDS, qui n’est pas encore tout à fait capable
d’identifier quels paquets forment une attaque, un autre IDS offrant des
capacités de détection, classification (comme le précédent), mais aussi d’identification
des anomalies a été développé. L’objectif, par rapport à l’IDS précédent,
consiste à travailler sur des séries temporelles directement issues du trafic,
et pas sur son signal. Une technique à base de deltoïdes et de signatures
d’attaques a ainsi été proposée [20] [30], et
validée [33] [35].
Son évaluation a montré qu’elle n’était que de très peu moins performante que
celle basée sur le modèle Gamma-Farima, mais permet en revanche d’identifier
les paquets fautifs pour les éliminer facilement.
Enfin, pour analyser la menace qui pèse sur l’Internet
et découvrir des informations sur les botnets, sources des attaques de dénis de
services que nous combattons, nous avons commencé à développer des pots de
miels à hautes interactions. De même, une sandbox pour rejouer de façon
contrôlée les virus collectées, notamment pour ne pas émettre vers l’Internet
du trafic malicieux, a également été conçue et mise en œuvre. Les détails de ce
pot de miel, de la sandbox et les premiers résultats obtenus sont décrits dans
quatre publications : deux conférences francophones [29]
[31],
une conférence internationale [37]
et un journal international [39].
Réalisations obtenues dans le cadre du
projet
Les réalisations obtenues à
l’heure actuelle dans le projet MétroSec sont :
-
une plate-forme
de métrologie pour réaliser nos expérimentations d’attaques et acquérir des
traces de trafic avec et sans anomalies ;
- un outil opérationnel de mesure de l'internet, le radar de l'internet, en open-source disponible publiquement ;
- des mesures massives et à long terme (plusieurs mois en continu, une passe toutes les 15mn environ) effectuées avec le radar à partir d'une centaine de machines réparties dans le monde ; données disponibles publiquement ;
- des méthodologies d'analyse des données obtenues par le radar, permettant notamment de détecter certaines anomalies ;
-
des procédures d’analyse et de caractérisation de trafic, ainsi que des
procédures de détection et de classification d’anomalies. Deux IDS ont été
développés à partir des résultats des travaux d’analyse du trafic et de ses
anomalies ;
-
mise au point d’un nouveau traceroute : OneLabTraceroute ;
-
un honeypot pour détecter les machines appartenant à des botnets et la
sandbox associée.
Publications
Les publications suivantes
marquées d’un astérisque impliquent plusieurs partenaires du projet.
[1] Jean-Loup Guillaume, Matthieu Latapy and Clémence Magnien, “Comparison of Failures and
Attacks on Random and Scale-Free Networks”, Lecture Notes in Computer
Science (LNCS), proceedings of the 8-th International Conference On Principles
Of Distributed Systems OPODIS'04, Grenoble, France, 2004
[2]* Silvia Farraposo, Laurent Gallon, Philippe Owezarski, « Network Security and
DoS Attacks », Technical Report, April 2005
[3] Clémence Magnien, Mahendra Mariadassou, Camille Roth, “A basic toolbox for the analysis
of dynamics of growing networks”, AlgoTel 2005
[4]* Silvia Farraposo, Karima Boudaoud, Laurent Gallon,
Philippe Owezarski, “Some Issues raised by DoS Attacks
and the TCP/IP Suite”, 4ème conférence sur
[5] Philippe Owezarski,
Nicolas Larrieu, « Un mécanisme de
contrôle de congestion orienté mesures pour une QdS robuste dans
l’Internet », 4ème conférence sur
[6] N. Larrieu, « Proposition
d’une architecture de gestion du trafic à partir de mesures reposant sur un
mécanisme de contrôle de congestion permettant l’optimisation de la QdS dans
l’Internet », thèse de doctorat de l’INSA de Toulouse, 4 juillet 2005
[7] F. Leborgne, « Traçage et
filtrage : Recherche, étude et analyse des solutions de traceback et de
filtrage dans le cadre des attaques par déni de service », rapport de
recherche I3S, 29 juillet 2005
[8]* T. Friedman, M. Latapy, J. Leguay, K. Salamatian, "Describing and simulating routes
on the Internet", extended abstract published in LNCS, proceedings of
the 4-th IFIP international conference on Networking, 2005, Waterloo, Canada. Full
version published in Computer Networks, Vol. 51, pages 2067-2087, 2007
[9]* Pierre Borgnat, Nicolas
Larrieu, Patrice Abry, Philippe Owezarski, « Détections d’attaques de
déni de services : ruptures dans les statistiques du trafic »,
GRETSI’2005, Louvain-la-Neuve, Belgique, 6-9 septembre 2005
[10] A. Scherrer, P. Abry,
« Marginales non gaussiennes
et longue mémoire : analyse et synthèse de trafic Internet »,
GRETSI’2005, Louvain-la-Neuve, Belgique, 6-9 septembre 2005
[11] A. Soule, K. Salamatian,
« Estimation de la
matrice de trafic en temps réel par filtres de Kalman », GRETSI’2005,
Louvain-la-Neuve, Belgique, 6-9 septembre 2005
[12] J-L. Guillaume, M.
Latapy, "Complex Network Metrology", Complex Systems 16,
pages 83-94, 2005
[13] J-L. Guillaume, M. Latapy, D. Magoni, "Relevance of
Massively Distributed Explorations of the Internet Topology: Qualitative
Results", extended abstract published in the proceedings of the 24-th
IEEE international conference Infocom'05, 2005,
[14] P. Owezarski, “On the impact of DoS attacks on
Internet traffic characteristics and QoS”, 14th IEEE
International Conference and Computer Communications and Networks (ICCCN’2005),
San Diego, CA, USA, 17-19 October 2005
[15] L. Gallon, J. Aussibal,
“Analyse spectrale
d’outils classiques de DDoS”, 1er Colloque sur les Risques et
[16] M. Latapy, F. Viger, B.
Orgogozo, D. Bobillot, “Vers
un radar pour l’Internet”, 1er Colloque sur les Risques et
[17] A. Soule, K. Salamatian, N. Taft, “Combining filtering and
statistical methods for anomaly detection”, Internet Measurement Conference
(IMC’2005),
[18]* Antoine Scherrer, Nicolas Larrieu, Pierre Borgnat, Philippe Owezarski,
Patrice Abry, "Non
Gaussian and Long Memory Statistical Modeling of Internet Traffic",
4th International Workshop on Internet Performance, Simulation, Monitoring and
Measurements (IPS-MoMe’2006), Salzburg, Austria, February 27-28, 2006
[19] P. Owezarski, N.
Larrieu, Y. Labit, « MRP : un protocole
de reporting pour un système global de métrologie », Rapport du projet
METROSEC, Février 2006
[20] S. Farraposo, P. Owezarski, E. Monteiro, "Contribution of
anomalies detection and analysis on traffic engineering",
Infocom’2006, Student Workshop, Barcelona, Spain, April 23-29, 2006
[21]* A; Scherrer, N. Larrieu,
P. Owezarski, P. Borgnat, P. Abry, "Une caractérisation non
gaussienne et à longue mémoire du trafic Internet et de ses anomalies",
Conférence Sécurité et Architectures Réseaux (SAR’2006), Seignosse, France, 6-9
mai 2006
[22] F. Leborgne, K.
Boudaoud, "Vers
une implémentation efficace de mécanismes de traceback dans les ASs",
Conférence Sécurité et Architectures Réseaux (SAR’2006), Seignosse, France, 6-9
mai 2006
[23]* P. Abry, P. Borgnat, P. Owezarski, “Non Gaussian long memory
Internet traffic statistical modeling application to anomaly detection”,
Intimate workshop, 6-7 juillet 2006
[24] P. Owezarski, N. Larrieu, « Measurement based approach of
congestion control for enforcing a robust QoS in the Internet”,
International Conference on Internet Surveillance and Protection (ICISP’2006),
Cap Esterel, France, August 27th – September 2nd, 2006
[25] S. Chainay, K. Boudaoud, “A model for automatic
generation of behaviour-based worm signatures”, 1st workshop on
Monitoring, Attack Detection and Mitigation, Tübingen, Germany, September 28-29th,
2006
[26]* B.
Augustin, X. Cuvellier, B. Orgogozo, F. Viger, T. Friedman, M. Latapy, C.
Magnien, R. Teixeira, “Avoiding traceroute
anomalies with Paris traceroute”, International Conference on Measurement,
Rio de Janeiro, Brazil, October 25th-27th, 2006
[27]* P. Borgnat, N. Larrieu,
P. Owezarski, P. Abry, J. Aussibal, L. Gallon, G. Dewaele, K. Boudaoud, L.
Bernaille, A. Scherre, Y. Zhang, Y. Labit, « Détection d’attaques de déni
de service par un modèle non gaussien
multirésolution », Colloque Francophone d’Ingénierie des Protocoles (CFIP’2006),
Tozeur, Tunisie, 30 octobre – 3 novembre 2006
[28]* A. Scherrer, N. Larrieu, P. Owezarski, P. Borgnat, P. Abry, “Non Gaussian and
long memory statistical characterization of Internet traffic with anomalies”,
IEEE Transaction on Dependable and Secure Computing, Vol. 4, No. 1, pp 56-70,
January-March, 2007
[29] E. Alata, I. Alberdi, V. Nicomette, P.
Owezarski, M. Kaaniche, “Mécanisme d’observation d’attaques sur
Internet avec rebonds”,
Symposium sur la sécurité des technologies de l’information et des
communications (SSTIC’2007), Rennes, France, 30 mai – 1er juin 2007
[30] S.
Farraposo, P. Owezarski, E. Monteiro, "An approach to
detect traffic anomalies, 2nd joint conference on Security in
network architectures and information systems (SAR-SSI’2007), Annecy, France,
June 12-15, 2007
[31] I.
Alberdi, P. Owezarski, V. Nicomette, "Conception
d’une plate-forme expérimentale pour l’étude comportementale de maliciels de
type bots", 2nd joint conference on Security in network
architectures and information systems (SAR-SSI’2007), Annecy, France, June
12-15, 2007
[32]* J.
Aussibal, P. Borgnat, Y. Labit, G. Dewaele, N. Larrieu, L. Gallon, P.
Owezarski, P. Abry, K. Boudaoud, "Base de traces d’anomalies
légitimes et illégitimes", 2nd joint conference on Security
in network architectures and information systems (SAR-SSI’2007), Annecy,
France, June 12-15, 2007
[33] S.
Farraposo, P. Owezarski, E. Monteiro, "A multi-scale tomographic
algorithm for detecting and classifying traffic anomalies, IEEE
International Conference on Communications, Glasgow, Scotland, 24-28 June 2007
[34] Guillaume
Dewaele, Kensuke Fukuda, Pierre Borgnat, Patrice Abry, Kenjiro Cho, "Extracting hidden anomalies
using Sketch and non Gaussian Multiresolution Statistical Detection",
ACM SIGCOMM workshop on Large Scale Attack Detection (LSAD’2007), Kyoto, Japan,
27 August 2007
[35] S.
Farraposo, P. Owezarski, E. Monteiro, "NADA –
Network Anomaly Detection Algorithm, 18th IFIP/IEEE Distributed Systems:
Operations and Management (DSOM’2007), Silicon Valley, CA, USA, October 29-31,
2007
[36] Y.
Labit, P. Owezarski, "An
entropy based analysis method of network delays for a discriminating DoS
detection", 2nd workshop on MONitoring, Attack detection
and Mitigation, (MonAM’2007), Toulouse, France, November 5-6th, 2007
[37] I.
Alberdi, E. Alata, P. Owezarski, V. Nicomette, M. Kaaniche, "Shark: Spy Honeypot with Advanced
Redirection Kit", 2nd workshop on MONitoring, Attack
detection and Mitigation, (MonAM’2007), Toulouse, France, November 5-6th,
2007
[38]* P. Borgnat, P. Abry, G. Dewaele, A scherrer,
N. Larrieu, P. Owezarski, Y. Labit, L. Gallon, J. Aussibal, "Une caractérisation non gaussienne et à longue
mémoire du trafic Internet et de ses anomalies : validation expérimentale
et application à la détection d’attaque de DDoS", à paraître dans les annales des télécom
[39] E.
Alata, I. Alberdi, V. Nicomette, P. Owezarski, M. Kaaniche, "Internet attacks monitoring with
dynamic connection redirection mechanisms", to appear in the
International Journal on Internet Computer Virology, 2007
[40] Matthieu
Latapy and Clémence Magnien, "Complex Network Measurements:
Estimating the Relevance of Observed Properties", IEEE Infocom, 2008
[41] K. Boudaoud, F. LeBorgne, "Towards
an Efficient Implementation of Traceback Mechanisms in Autonomous Systems", IEEE/IFIP
Network Operations and Management Symposium (NOMS’2008), Salvador - Bahia,
Brazil, April 7-11th, 2008
[42] Fabien Viger, Alain Barrat, Eric D. Kolaczyk, Luca Dall'Asta
and Cun-Hui Zhang, "Network
inference from traceroute measurements", submitted
[43] A. Soule, K. Salamatian, A.
Nucci, and N. Taft, “Traffic
matrix tracking using Kalman filters,” in ACM SIGMETRICS Performance
Evaluation Review.
[45] Matthieu
Latapy, Clémence Magnien, Frédéric Ouédraogo, Michel Neuhaus, "A radar for the Internet,
submitted
[46] P. Abry, P. Borgnat, G. Dewaele, “Sketch based Anomaly
Detection, Identification and Performance Evaluation”, Workshop on Internet
Measurement Technology and its Applications to Building Next Generation
Internet, in EEE-CS & IPSJ SAINT 2007 (Int. Symposium on Applications and
the Internet), Hiroshima, Japan, 2007
[47] K. Boudaoud, F.
LeBorgne, "Towards
an Efficient Implementation of Traceback Mechanisms in Autonomous Systems", IEEE/IFIP
Network Operations and Management Symposium (NOMS’2008), Salvador - Bahia,
Brazil, April 7-11th, 2008
Publications impliquant plusieurs partenaires de MetroSec :
[2] LAAS, IUT
Mont-de-Marsan
[4] LAAS, I3S, IUT
Mont-de-Marsan
[8] LIP6, LIAFA
[9] ENS Lyon, LAAS
[18] ENS Lyon, LAAS
[21] ENS Lyon, LAAS
[23] ENS Lyon, LAAS
[26] LIP6, LIAFA
[27] ENS Lyon, LAAS, IUT Mont-de-Marsan, I3S, LIP6
[28] ENS Lyon, LAAS
[32] ENS Lyon, LAAS, IUT Mont-de-Marsan, I3S
[38] ENS Lyon, LAAS, IUT Mont-de-Marsan