241documents trouvés
Generic and composable statefull packet filters
I.ALBERDI, V.NICOMETTE, P.OWEZARSKI
TSF, OLC
Rapport LAAS N°09428, Juillet 2009, 13p.
Diffusable
118434Classification automatique d'anomalies du trafic
P.OWEZARSKI, G.FERNANDES RAPHANELLI
OLC
Manifestation avec acte : 4ème Conférence sur la Sécurité des Architectures Réseaux et des Systèmes d'Information (SARSSI 2009), Luchon (France), 23-26 Juin 2009, pp.77-96 , N° 09225
Lien : http://hal.archives-ouvertes.fr/hal-00371095/fr/
Diffusable
Plus d'informations
Résumé
La détection d'anomalies dans le trafic réseau et leur caractérisation est un sujet d'importance depuis de nombreuses années. Une gestion efficace de grands réseaux dépend clairement de la capacité à identifier et limiter l'effet de ces anomalies. En particulier, les anomalies causées par une attaque de déni de service par inondation ont un très fort impact sur la qualité de service des réseaux, même lorsque les liens sont largement surdimensionnés et pas saturés par ces attaques. Bien que le domaine de la recherche sur la détection d'anomalies soit bien avancé, une classification automatique précise et efficace de ces anomalies reste toujours un problème d'actualité non résolu. En effet, avec les propositions actuelles, le nombre d'anomalies détectées submerge rapidement les opérateurs réseaux qui ne savent pas comment faire face à un tel afflux, surtout si des informations supplémentaires adaptées ne sont pas fournies. Certaines approches parmi les plus récentes identifient les flux anormaux, mais elles ne donnent pas suffisamment d'informations aux administrateurs réseaux pour prioritiser le temps à passer pour analyser manuellement ces anomalies. Cela fait de la classification automatique le besoin le plus important aujourd'hui et donc la prochaine étape logique pour les recherches à venir dans ce domaine. Dans cet article, un nouvel algorithme pour la classification automatique des anomalies du trafic est proposé. L'algorithme agit en 3 étapes : (i) après qu'une anomalie ait été détectée, il identifie tous (ou la plupart) des paquets ou flux en cause ; (ii) utilise ces informations sur les paquets et flux pour produire plusieurs métriques en rapport direct avec l'anomalie ; et (iii) classifie l'anomalie à partir de ces métriques en suivantune approche orientée signature. Nous montrons dans l'article (i) le caractère expressif nécessaire pour distinguer de façon fiable plusieurs types d'anomalies, (ii) un riche ensemble d'informations sur les anomalies détectées, et (iii) la flexibilité requise pour les administrateurs réseau afin de comprendre et dominer le processus de classification. Nous montrons également comment la phase de classification agit comme un filtre pour réduire le taux de faux positifs des algorithmes de détection. Cet algorithme a été validé sur deux bases de traces de trafic : la base produite dans le cadre du projet METROSEC, et la base MAWI.
Traffic Monitoring and Anaysis
M.PAPADOPOULI, P.OWEZARSKI, A.PRAS
University of Crete, OLC, Twente
Ouvrage (éditeur) : Traffic Monitoring and Analysis, LNCS 5537, N°ISBN 978-3-642-01644-8, Mai 2009, 134p. , N° 09220
Diffusable
117454Toward an efficient service level agreement assessment
R.SERRAL-GRACIA, Y.LABIT, J.DOMINGO-PASCUAL, P.OWEZARSKI
UPC, OLC
Manifestation avec acte : IEEE INFOCOM 2009, Rio de Janeiro (Brésil), 19-25 Avril 2009, 5p. , N° 08484
Diffusable
Plus d'informations
Abstract
On-line end-to-end Service Level Agreement (SLA) monitoring is of key importance nowadays. For this purpose, past recent researches focused on measuring (when possible) or estimating (most of the times) network QoS or performance parameters. Up to now, attempts to provide accurate techniques for estimating such parameters have failed. In addition, live reporting of the estimated network status requires a huge amount of resources, and lead to unscalable systems. The originality of the contribution presented in this paper, relies on the statement that the accurate estimation of network QoS parameters is absolutely not required in most cases: specifically it is sufficient to be aware of service disruptions, i.e. when the QoS provided by the network collapses. For this purpose, we propose an algorithm for disruption detection of network services. The proposed solution is based on the use of the wellknown Kullback-Leibler Divergence algorithm. More specifically, we work on simple to measure time series, i.e. received interpacket arrival times. In addition of efficiently detecting network QoS disruptions, the algorithm, also drastically reduces the required resources, and the overhead produced by the traffic collection for scalable SLA monitoring systems. The validity of the proposal is verified both in terms of accuracy and consumed resources in a real testbed, using different traffic profiles.
Détournement de l'utilisation de collecteurs de maliciels (étude de cas: Nepenthes et PHP.HoP)
I.ALBERDI, V.NICOMETTE, P.OWEZARSKI
OLC, TSF
Rapport LAAS N°09058, Mars 2009, 20p.
Diffusion restreinte
Plus d'informations
Résumé
L'interêt que suscitent les logiciels malicieux a crû d'une façon telle qu'aujourd'hui, toute une partie de l'industrie du logiciel leur est consacrée (antivirus, pare-feux, etc). Cependant, les événements passés nous ont montré que les logiciels tels que les antivirus, les mécanismes de protection des disques compact, les implémentations des protocoles cryptographiques ou les systèmes de mises a jour automatisés, possèdent eux aussi des vulnérabilités. Le but de cet article est de remettre en cause la confiance implicite accordée à une nouvelle catégorie de logiciels appelés collecteur de maliciels, plus particulièrement Nepenethes et PhP.HOP. Cet article présente deux exemples de détournement de ces logiciels (a priori destinés à améliorer la sécurité) de façon à ce qu'ils propagent des tentatives d'intrusion. Nous proposons ensuite quelques directions de recherche pour réduire le risque d'utilisation de ce type de logiciels, dont nous ne remettons en aucun cas le bien fondé.
Modeling of multimedia architectures: the case of visioconferencing with guaranteed quality of service
P.OWEZARSKI, M.BOYER
OLC, ENSICA
Ouvrage (contribution) : Petri Nets: Fundamental Models, Verification and Applications , N°ISBN 978-1848210790, Décembre 2008, Chapitre 20, 25p. , N° 08651
Diffusable
115779QoS measurements in IP-based networks
R.SERRAL-GRACIA, P.F.DOMINEY, A.BEBEN, P.OWEZARSKI
UPC, ISC CNRS, WUT, OLC
Ouvrage (contribution) : End-to-end quality of service over heterogeneous networks, Springer, ISBN 978-3-540-79119-5, Octobre 2008, Chapitre 2, pp.23-48 , N° 08509
Diffusable
115174The CoNEXT shadow TPC
O.BONAVENTURE, A.CHAINTREAU, L.MATHY, P.OWEZARSKI
Louvain, THOMSON, ULANC, OLC
Revue Scientifique : Computer Communication Review, Vol.38, N°2, pp.85-86, Septembre 2008 , N° 08124
Diffusable
Plus d'informations
Abstract
This paper claims that Shadow Technical Program Committee (TPC) should be organized on a regular basis for attractive conferences in the networking domain. It helps ensuring that young generations of researchers have experience with the process of reviewing and selecting papers before they actually become part of regular TPCs. We highlight several reasons why a shadow TPC offers a unique educational experience, as compared with the two most traditional learning process: "delegated review" and "learn on the job". We report examples taken from the CoNEXT 2007 shadow TPC and announce the CoNEXT 2008 Shadow TPC
Internet attacks monitoring with dynamic connection redirection mechanisms
E.ALATA, I.ALBERDI, V.NICOMETTE, P.OWEZARSKI, M.KAANICHE
TSF, OLC
Revue Scientifique : Journal in Computer Virology, Vol.4, N°2, pp.127-136, Mai 2008 , N° 08246
Diffusable
Plus d'informations
Abstract
High-interaction honeypots are interesting as they help understand how attacks unfold on a compromised machine. However, observations are generally limited to the operations performed by the attackers on the honeypot itself. Outgoing malicious activities carried out from the honeypot towards remote machines on the Internet are generally disallowed for legal liability reasons. It is particularly instructive, however, to observe activities initiated from the honeypot in order to monitor attacker behavior across different, possibly compromised remote machines. This paper proposes to this end a dynamic redirection mechanism of connections initiated from the honeypot. This mechanism gives the attacker the illusion of being actually connected to a remote machine whereas he is redirected to another local honeypot. The originality of the proposed redirection mechanism lies in its dynamic aspect: the redirections are made automatically on the fly. This mechanism has been implemented and tested on a Linux kernel. This paper presents the design and the implementation of this mechanism.
LaasNetExp: a generic polymorphic platform for network emulation and experiments
P.OWEZARSKI, P.BERTHOU, Y.LABIT, D.GAUCHARD
OLC, 2I
Manifestation avec acte : 4th International Conference on Tesbeds and Research Infrastructures for the Development of Networks & Communities (TRIDENTCOM 2008), Innsbruck (Autriche), 18-20 Mars 2008, 10p. , N° 07644
Lien : http://hal.archives-ouvertes.fr/hal-00356848/fr/
Diffusable
Plus d'informations
Abstract
Network experiments are essential for assessing and validating new networking technologies, architectures and protocols. These assessments have long been performed using network simulators. But it clearly appeared that the results got in simulations cannot be reproduced in real environment. Emulators can hardly integrate accurate models of all networking components, end host operating systems and applications what leads to unrealistic simulations very often. Therefore, some work has been issued for developing real experiment platform and network emulators. This paper addresses the motivations that raised the design and development of such an experimental platform at LAAS ⬠laasnetexp ⬠and describes its constituting features and components. It is in particular detailed how experimental conditions can be fully controlled for reproducible and easy to analyze experiments. Last, this paper describes how realistic conditions can be set-up in experiments by using the results of actual Internet and Internet traffic characterization, analysis and modeling. Such information helps to realistically configure emulators as well as define realistic traffic generators. The realism of such experiments is illustrated as a demonstration of the interest of laasnetexp for networking research.
Mots-Clés / Keywords
Experiments in real environment; Emulation; Realistic experiments; Reproducible and controlled experiments; Traffic generator;