Détection, classification et identification d'anomalies de trafic

Abstract

Cet article présente un nouvel algorithme itératif – NADA – qui détecte, classifie et identifie les anomalies d'un trafic. Cet algorithme a pour objectif de fournir, en plus de ce que font d'autres algorithmes, toutes les informations requises pour stopper la propagation des anomalies, en les localisant dans le temps, en identifiant leur classes (e.g. attaque de déni de service, scan réseau, ou n'importe quel autre type d'anomalies), et en déterminant leurs attributs comme, par exemple, les adresses et ports sources et destinations impliqués. Pour cela, NADA repose sur une approche tomographique générique, multi-échelles, multi-critères et utilisant de multiples niveaux d'agrégation. De plus, NADA utilise un ensemble exhaustif de signatures d'anomalies qui ont été définies spécifiquement pour permettre de classifier ces anomalies. Ces signatures représentées sous forme graphique permettent une classification visuelle par les opérateurs réseaux. NADA a été validé en utilisant des traces de trafic contenant des anomalies connues et documentées comme celles collectées dans le cadre du projet MétroSec