Retour au site du LAAS-CNRS

Résumé

L'expérimentation en réseaux est incontournable pour évaluer et valider de nouvelles technologies, architectures et protocoles de communication. Il s'avère que les résultats obtenus à partir de simulations sont la plupart du temps irréalistes, les simulateurs ne pouvant pas intégrer tous les modèles de comportement des composants réseaux, des systèmes opératoires et des applications des machines d'extrémité. Des travaux autour de l'émulation et de l'expérimentation réelle en réseaux ont donc vu le jour. Ce papier présente les motivations et besoins qui ont conduit à la mise en place d'une telle plate-forme expérimentale au LAAS - LaasNetExp - et décrit ses principes de conception. L'article détaille comment les conditions expérimentales peuvent être contrôlées pour des expériences reproductibles et faciles à analyser. L'article montre aussi comment des conditions expérimentales réalistes configuration des émulateurs et générateurs de trafics) peuvent être mise en oeuvre à partir des résultats de caractérisation et analyse du trafic Internet. Cet article évalue le réalisme des expérimentations ainsi obtenues.

Mots-Clés / Keywords

Résumé

Cet article présente un nouvel algorithme itératif - NADA - qui détecte, classifie et identifie les anomalies d'un trafic. Cet algorithme a pour objectif de fournir, en plus de ce que font d'autres algorithmes, toutes les informations requises pour stopper la propagation des anomalies, en les localisant dans le temps, en identifiant leur classes (e.g. attaque de déni de service, scan réseau, ou n'importe quel autre type d'anomalies), et en déterminant leurs attributs comme, par exemple, les adresses et ports sources et destinations impliqués. Pour cela, NADA repose sur une approche tomographique générique, multi-échelles, multi-critères et utilisant de multiples niveaux d'agrégation. De plus, NADA utilise un ensemble exhaustif de signatures d'anomalies qui ont été définies spécifiquement pour permettre de classifier ces anomalies. Ces signatures représentées sous forme graphique permettent une classification visuelle par les opérateurs réseaux. NADA a été validé en utilisant des traces de trafic contenant des anomalies connues et documentées comme celles collectées dans le cadre du projet MétroSec

Mots-Clés / Keywords

Abstract

The goals of the present contribution are twofold. First, we propose the use of a non-Gaussian long-range dependent process to model Internet traffic aggregated time series. We give the definitions and intuition behind the use of this model. We detail numerical procedures that can be used to synthesize artificial traffic exactly following the model prescription. We also propose original and practically effective procedures to estimate the corresponding parameters from empirical data. We show that this empirical model relevantly describes a large variety of Internet traffic, including both regular traffic obtained from public reference repositories and traffic containing legitimate (flash crowd) or illegitimate (DDoS attack) anomalies. We observe that the proposed model accurately fits the data for a wide range of aggregation levels. The model provides us with a meaningful multiresolution (i.e., aggregation level dependent) statistics to characterize the traffic: the evolution of the estimated parameters with respect to the aggregation level. It opens the track to the second goal of the paper: anomaly detection. We propose the use of a quadratic distance computed on these statistics to detect the occurrences of DDoS attack and study the statistical performance of these detection procedures. Traffic with anomalies was produced and collected by us so as to create a controlled and reproducible database, allowing for a relevant assessment of the statistical performance of the proposed (modeling and detection) procedures.

Mots-Clés / Keywords

Mots-Clés / Keywords