Maciej Korczynski - Classifying Application Flows and Intrusion Detection in Internet Traffic

13:00
Lundi
26
Nov
2012
Organisé par : 
Maciej Korczynski
Intervenant : 
Maciej Korczynski
Équipes : 

Jury : 
— Mr Jean-Marc Thiriet - Professeur, Université Joseph Fourier, Président 
— Mr Philippe Owezarski - Chargé de recherche au CNRS, Université de Toulouse, Rapporteur 
— Mr Guillaume Urvoy-Keller - Professeur, Université de Nice, Rapporteur 
— Mr Andrzej Pach - Professeur, AGH University of Science and Technology, Examinateur 
— Mr Andrzej Duda - Professeur, Grenoble INP - ENSIMAG, Directeur de thèse

 

Réalisation technique : Djamel Hadji | Tous droits réservés

Le sujet de la classi-fication de tra-fic réseau est d’une grande importance pour la plani-cation de réseau efficace, la gestion de trafi-c a base de règles, la gestion de priorité d’applications et le contrôle de sécurité. Bien qu’il ait reçu une attention considérable dans le milieu de la recherche, ce thème laisse encore de nombreuses questions en suspens comme, par exemple, les méthodes de classification des flux de trafics chiffrés. Cette thèse est composée de quatre parties. La première présente quelques aspects théoriques liés à la classification de trafic et à la détection d’intrusion. Les trois parties suivantes traitent des problèmes spécifiques de classification et proposent des solutions précises.

Dans la deuxième partie, nous proposons une méthode d’échantillonnage précise pour détecter les attaques de type "SYN coding" et "portscan". Le système examine les segments TCP pour trouver au moins un des multiples segments ACK provenant du serveur. La méthode est simple et évolutive, car elle permet d’obtenir une bonne détection avec un taux de faux positif proche de zéro, même pour des taux d’échantillonnage très faibles. Nos simulations basées sur des traces montrent que l’efficacité du système proposé repose uniquement sur le taux d’échantillonnage indépendamment de la méthode d’échantillonnage.

Dans la troisième partie, nous considérons le problème de la détection et de la classification du trafic de Skype et de ses flux de services tels que les appels vocaux, SkypeOut, les vidéo-conférences, les messages instantanés ou le téléchargement de fichiers. Nous proposons une méthode de classification pour le trafic Skype chiffré basé sur le protocole d’identification statistique (SPIC) qui analyse les valeurs statistiques de certains attributs du trafic réseau. Nous avons évalué notre méthode sur un ensemble de données montrant d’excellentes performances en termes de précision et de rappel.

La dernière partie définit un cadre fondé sur deux méthodes complémentaires pour la classification des flux applicatifs chiffrés avec TLS/SSL. La permière modélise des états de session TLS/SSL par une chaîne de Markov homogène d’ordre 1. Les paramètres du modèle de Markov pour chaque application considérée diffèrent beaucoup, ce qui est le fondement de la discrimination entre les applications. La seconde méthode de classification estime l’écart d’horodatage du message Server Hello du protocole TLS/SSL et l’instant d’arrivée du paquet.Elle am éliore la précision de classification des applications et permet l’identification efficace des flux Skype. Nous combinons les méthodes en utilisant une Classification Naive Bayésienne (NBC). Nous validons la proposition avec des expérimentations sur trois séries de données récentes. Nous appliquons nos méthodes à la classification de sept applications populaires utilisant TLS/SSL pour la sécurité. Les résultats montrent une tr es bonne performance.