Détection et estimation d'anomalies dans un réseau de communication

(1)

THÈSE

En vue de l'obtention du

DOCTORAT DE L’UNIVERSITÉ DE TOULOUSE

Délivré par

l'Université Paul Sabatier

Discipline ou spécialité :

Systèmes Automatiques

JURY

M. Jean-Louis Calvet Université Toulouse III - Paul Sabatier Président

M. Jean-Pierre Thomesse INP de Lorraine Rapporteur

M. Jamal Daafouz INP de Lorraine Rapporteur

M. Laurent Gallon IUT des Pays de l'Adour Examinateur

... (préciser la qualité de chacun des membres)

Ecole doctorale :

Systèmes (EDSYS)

Unité de recherche :

Laboratoire d'Analyse et d'Architectures des Systèmes (LAAS-CNRS)

Directeur(s) de Thèse :

M. Frédéric Gouaisbaut Université Toulouse III - Paul Sabatier

M. Yann Labit Université Toulouse III - Paul Sabatier

Présentée et soutenue par

Sandy RAHME

Le mercredi 16 novembre 2011

Titre :

(2)

(3)

`

A

ma mère,

jesais que tu es là

(4)

(5)

Ce travailest ee tué auLaboratoired'Analyse et d'Ar hite ture des Systèmes (LAAS)

du Centre National de la Re her he S ientique (CNRS) au sein des groupes Méthodes et

Algorithmespour laCommande (MAC) etOutils Logi ielspour laCommuni ation (OLC).

Mes remer iements les plus sin ères à mes dire teurs de thèse Monsieur Yann Labit et

MonsieurFrédéri Gouaisbautquim'ontépauléeave unepatien eremarquable,uneri hesse

pédagogiqueetun enthousiasmemarquant estrois dernièresannées. Vous restezmesidoles

en tantque her heurs, en adrants et enseignants.

Je tiens à remer ier Monsieur Jamal Daafouz, Professeur des Universités, et Monsieur

Jean-Pierre Thomesse, Professeur des Universités, de onsa rer une grande partie de leur

temps pour juger e travail. Je suis très honorée que Monsieur Laurent Gallon, Maître de

Conféren es ait a epté de parti iper au jury de soutenan e et que Monsieur Jean-Louis

Calvet, Professeur des Universités première lasse aitprésidéle jury de soutenan e.

Je souhaiteremer ier lespersonnes qui ont ontribué dire tement ou indire tement aux

résultats exposés dans e manus rit :Monsieur DavidGau hard, Ingénieuren Informatique

au LAAS etMonsieur Laurant Gallon,l'attaqueur de mon routeurau LAAS.

Jeremer ieChristèleMou lieretHélèneThirionpourlalogistique,ainsiquelesmembres

du LAAS etle servi e de do umentation.

Jesouhaiteégalementexprimermessin èresremer iementsauxmembresdugroupeMAC

pourl'a ueiletl'ambian e onvivialeauLAASetsurtoutdurantlesWorkshopsdu groupe:

SkyMACetAlbiMAC.Ungrandmer i auxpermanentsLu ie,Denis,Sophie,Isabelle,Fred,

Dimitri, Didier, Germain,les deux Christophe, Vin ent, Alexandre, Lu a, Alain, Jean. Les

amisde bureauIxbalank,Luiz,Yoshio,mer ipourl'aideetl'en ouragementde touslesjours

et le partage des sou is et du su ès. Je ne vais jamais oublier les do torants et do teurs

MAC, ave quij'ai passé despauses afésetdes soiréesautourdes dis ussionslesplus

amu-santes qui partent dans tous les sens : Mirko, Mauri io, Cristiano, Jean-François, Mathieu,

Georgia, Fran es o, Razvan, Tung, Florian, et sans oublier les ex-MAC : Thomas, Giorgio,

Bogdan, Josep,Mounir, Akinet Martin.Mer i pour lesmoments onviviaux àlasalle Frigo

ave les membres de OLC et TSF : Yann, Pas al, Thierry, Yassine, Itou, Ahmed, Baptiste,

Fred, Roxana, Johan, Rodrigo, Jorgevski, Lionel, Nouha, les deux Guillaume,Akram, Rim

et Oss.

Ma ollo ataireetmasoeurLayoul,jeteremer ied'êtrelà,durantlesplusbeauxvoireles

plus mauvais jours, je n'oublierais jamais ta ompagnie. Lafamille Hanka he Walid, Adoul

etmon her Géo,je vous remer ie pour m'avoirentouréed'une telle ae tionfamiliale.Mes

amis de tous lesjours, je vous remer ie pour faire partie de ma vie : Julie(bientt Do :)),

Jako (Le danseur :)), Fares, Georges, Lalous, Zouz, Roro, Antoine, Mo (mon support

(6)

Ma famille, les mots ne peuvent jamais exprimer ma re onnaissan e. Mon père, ma sis

Cynthia, ma grand-mère, mes tantes Diana, Mary, Viki, Lili, Nounou, vous étiez et vous

restez toujours le support dont j'ai besoin dans toutes les étapes de ma vie, je vous dois e

que j'en suis. Mon autre partie Tony, mer i pour la patien e, le soutien et surtout l'amour

donttum'afaispreuvetoutaulong de es inqdernières années. Vivredans l'attenteabien

(7)

Introdu tion 1

1 Contexte 5

1.1 Généralités sur le modèle TCP/IP . . . 5

1.2 Proto ole TCP . . . 7

1.2.1 Fon tionnement . . . 7

1.2.2 L'algorithme de ontrle de ongestion . . . 8

1.3 Qualitéde Servi e (QdS) . . . 11

1.4 A tive QueueManagement (AQM) . . . 12

1.4.1 Constru tion d'AQM utilisantla théoriede la ommande . . . 14

1.5 Anomaliesdans le réseau . . . 15

1.5.1 Attaques de Déni de Servi e . . . 15

1.5.2 Outils d'attaques de Dénide Servi e . . . 16

1.6 Déte tion des anomalies . . . 17

1.7 Modélisation d'unear hite ture TCP/IP . . . 19

1.7.1 Modélisationde l'anomalie . . . 24

1.8 Les systèmes àretards . . . 25

1.8.1 Représentation des systèmes à retards . . . 25

1.8.2 Stabilitéselon la se onde méthode de Lyapunov . . . 25

1.9 Observation des défauts . . . 28

1.9.1 Observation et ltrage . . . 28

1.9.2 Observateurs à entrées onnues . . . 28

1.9.3 Observateurs à entrées in onnues (UIO) . . . 29

1.10 Observation des défauts pour lessystèmes à retards . . . 30

1.10.1 Observateurs à entrées onnues . . . 30

1.10.2 Observateurs à entrées in onnues . . . 32

1.10.3 Observateurs à modes glissants . . . 32

1.11 Obje tifs . . . 34

1.12 Con lusion . . . 35

2 Observation des anomalies polynmiales 37 2.1 Introdu tion . . . 37

2.2 Modèle dynamique de TCP . . . 38

2.2.1 Etude expérimentale sur le RTT . . . 38

2.2.2 Modèle linéarisé . . . 40

2.2.3 Modèle augmenté . . . 41

2.3 Observateurs de Luenberger pour lemodèle TCP/IP . . . 44

2.3.1 Observabilité du modèle . . . 44

2.3.2 Synthèse de l'observateur. . . 47

2.3.3 Appro he de synthèse IOD . . . 47

(8)

2.4 Con lusion . . . 63

3 Observation des anomalies par modes glissants 65 3.1 Dénitions . . . 65

3.1.1 Dynamique de glissement ausens de Filippov . . . 66

3.1.2 La ommande équivalente . . . 66

3.1.3 Conditions d'attra tivité sur la surfa e de glissement . . . 67

3.2 Le problème de réti en e . . . 68

3.3 Modes glissants d'ordres supérieurs . . . 69

3.4 Algorithmesde glissementd'ordre

2

. . . 70

3.4.1 Notion de degré relatif . . . 70

3.4.2 Contraintes ethypothèses . . . 70

3.4.3 Algorithmedu twisting . . . 72

3.4.4 Algorithmesous-optimal . . . 73

3.4.5 Algorithmedu super-twisting . . . 73

3.5 Observation des anomaliespour un modèle TCP/IP . . . 75

3.5.1 Observateur glissantd'ordre

1

. . . 75

3.5.2 Validationsous Simulink . . . 78

3.5.3 Observateur glissantd'ordre

2

. . . 83

3.5.4 Validationsous Simulink . . . 86

3.6 Con lusion . . . 87

4 Simulations sous NS-2 et Expérimentations 91 4.1 Le simulateurde réseaux NS-2: Motivations . . . 91

4.2 Topologies des simulationssous NS-2 . . . 92

4.3 Observation IOD d'une anomaliepolynmiale . . . 93

4.4 Observation DD d'une anomaliepolynmiale . . . 99

4.5 Observateurs glissants . . . 105

4.6 Dis ussions des résultats des simulations . . . 108

4.7 Rejeux de tra es de tra . . . 109

4.7.1 Présentation de la méthode de rejeu. . . 110

4.7.2 Des ription des expérimentations . . . 112

4.7.3

1 er

rejeu . . . 114 4.7.4

2 `

eme

rejeu . . . 122 4.7.5

3 `

eme

rejeu . . . 127 4.7.6

4 `

eme

rejeu . . . 132

4.7.7 Analyse des résultatsdes expérimentations . . . 138

4.8 Con lusion . . . 139

(9)

B.1 Complément de S hur . . . 149

B.2 Inégalité de Jensen . . . 149

C Exemple d'une tra e 151 D S ripts et odes dans NS-2 153 D.1 S ript de simulations . . . 153

D.2 S ript de rejeux . . . 154

D.3 Codes des observateurs . . . 158

D.3.1 de Luenbergerminimal IOD . . . 158

D.3.2 de LuenbergerDD . . . 159

D.3.3 glissantd'ordre 1ave leltre d'ordre 3 . . . 159

D.3.4 glissantd'ordre 2 . . . 160

(10)

(11)

R

ensemble des nombres réels

R

+

ensemble des nombres réels positifs

C

ensemble des nombres omplexes

R

n×m

ensemble des matri es à

n

lignes et

m

olonnes

I

_n

matri e identité de dimensions

n × n

O

_n×m

matri e nullede dimensions

n × m

[a, b]

intervallefermé dans

R

d'extrémités

a

et

b

{1, . . . , N}

ensemble des

N

premiersnombres entiers positifs

C

ensemble des fon tions ontinues

Re(s)

partie réelle du nombre omplexe

s

Im(s)

partie imaginairedu nombre omplexe

s

x

(i)

_(t)

_i

i`

eme

dérivée temporelle de

x(t)

˙

d(t), ¨

d(t)

dérivée première, etse onde de

d(t)

A

T

matri e transposée de

A

−1

matri e inverse de

A

A > 0 (< 0)

matri e déniepositive(dénie négative)

det(A)

déterminantde lamatri e arréeA

(12)

(13)

TCP Transmission ControlProto ol

IP Internet Proto ol

UDP User Datagram Proto ol

ICMP Internet ControlMessage Proto ol

ACK A knowledgement oua quittement

QdS Qualité de Servi e

AQM A tive Queue Management

RED Random EarlyDete tion (AQMde type informatique)

PI ProportionnelIntégral (AQM basé sur l'Automatique)

Gain-K retour d'état statique (AQM basé sur l'Automatique)

TBF Token Bu ket Filter (mé anismede ltragedu buer du routeur)

DdS attaque par Déni de Servi e

DDdS attaque par Déni de Servi e Distribuée

TFN2k Tribal FloodNetwork 2K (logi ield'émission d'attaques)

NS Network Simulator (ou Simulateurdes Réseaux)

IOD Independent Of Delay (ou Indépendant du retard)

DD Delay Dependent (ou Dépendant du retard)

(14)

(15)

1.1 Modèles OSI etTCP/IP. . . 7

1.2 Te hnique de l'a uséde ré eption. . . 8

1.3 Evolution de fenêtre de ongestion selon lesphases du proto ole TCP. . . 9

1.4 La topologiedu modèle TCP/IP en phase de ongestion. . . 11

1.5 Evolution de :(a) lafenêtre de ongestion d'unesour e TCP, (b) lale d'at-tenteau niveau du routeur. . . 11

1.6 Gestion de la led'attentepar l'AQM. . . 13

1.7 Routeur RED etprobabilité d'éje tionde paquets. . . 13

1.8 AQM: un ontrle de TCP par rétroa tion. . . 14

1.9 Des ription d'uneattaque DDdS. . . 16

1.10 Méthode du splitting. . . 20

1.11 La topologiedu modèle TCP/IP. . . 21

1.12 Représentation d'une anomaliedans latopologie du modèle TCP/IP. . . 24

1.13 Ensemble de glissement du se ond ordre. . . 33

1.14 Réti en e autour de la surfa e de glissement. . . 34

2.1 La topologiede TCP. . . 38

2.2 Répartition des RTT des paquets TCP (en se ondes). . . 39

2.3 RTT des paquets de l'un des ux(en se ondes). . . 39

2.4 Les formes des attaques générées par TFN modiés. . . 42

2.5 Gestion de la led'attenteet observation du tra au niveau du routeur. . . 44

2.6 La topologiede validation. . . 48

2.7 Modélisation du RED. . . 52

2.8 Pla ement de ples. . . 52

2.9 Estimations par des observateurs minimauxave

d(t)

onstante. . . 53

2.10 Estimations par des observateurs minimauxave

d(t)

triangulaire. . . 54

2.11 Estimations par l'appro he DD ave

d(t)

onstante. . . 60

2.12 Estimations par l'appro he DD ave

d(t)

triangulaire. . . 61

2.13 Faux positifsinduits suivant

k

. . . 62

3.1 Réti en e autour de la surfa e de glissement. . . 68

3.2 Algorithmedu twisting. . . 72

3.3 Algorithmesous-optimal. . . 73

3.4 Algorithmedu super-twisting. . . 74

3.5 La topologiede validation. . . 78

3.6 Estimationspar un observateurglissantd'ordre1de :a)lafenêtrede onges-tion

W (t)

etb) lalongueur de lale d'attente

q(t)

. . . 79

3.7 Re onstru tion de l'anomalie par un observateur glissant d'ordre

1

ave les ltres d'ordre

1

et

3

. . . 80

3.8 Pla ement de ples. . . 80

3.9 Estimationspar un observateurglissantd'ordre2de :a)lafenêtrede onges-tion

W (t)

etb) lalongueur de lale d'attente

q(t)

. . . 87

(16)

4.2 Estimations par l'observateurminimal IOD ave l'AQMRED. . . 95

4.3 Estimations par l'observateurminimal IOD ave l'AQMPI. . . 96

4.4 Estimations par l'observateurminimal IOD ave l'AQMGain-K. . . 97

4.5 Estimations DD ave RED. . . 100

4.6 Estimations DD ave PI. . . 101

4.7 Estimations DD ave Gain-K. . . 102

4.8 Re onstru tion des anomaliesave les AQM : RED, PI etGain-K. . . 106

4.9 Topologie des rejeux de tra es. . . 113

4.10 la plateformeLaasNetExp auLAAS-CNRS. . . 114

4.11 Les formes des attaques générées par TFN modiés. . . 114

4.12 Tra apturé auniveau du routeurdu rejeu

n

o

₁

. . . 115

4.13 Estimationde d(t) ave l'observateur IOD minimal. . . 116

4.14 Estimations DD du rejeu

n

o

₁

. . . 117

4.15 Estimations du rejeu

n

o

₁

ave l'observateurglissant. . . 120

4.16 Tra apturé auniveau du routeurpour le rejeu

n

o

₂

. . . 122 4.17 Estimations DD du rejeu

n

o

₂

. . . 124 4.18 Estimations du rejeu

n

o

₂

n

o

₃

. . . 128

n

o

₃

n

o

₄

. . . 134

n

o

₄

(17)

Denosjours, lesréseauxde ommuni ation onstituentl'un desdomaineste hnologiques

les plus répandus dans la vie professionnelle autant que personnelle. Nous assistons à des

inter onnexions de plus en plus volumineuses qui sont soumises régulièrement à des

per-turbations. Citons par exemple la sur harge du réseau subite par des foules de onnexions

lorsd'un mat hde football,ainsi que lepari en lignequi est une nouvelle mode

hyper rois-sante. Néanmoins, des utilisateurs malveillants utilisent l'inter onnexion de réseaux à des

ns abusivesvoire lu ratives. Ee tivement,lesinondations des paquetsenvoyées ausent le

raquage oule réamorçagede ertainsserveurs. De telles opérations anormales légitimesou

illégitimessont étiquetées ommedes anomalies. La déte tion de es anomaliesest devenue

dans notre époque un aspe t majeur de garantie de la Qualité de Servi e des réseaux de

ommuni ation. Au ours de ette thèse, les anomalies sont observées au niveau d'un

rou-teur dans lesréseaux utilisantleproto ole TCP (TransmissionControl Proto ol). Dansune

thématique pluridis iplinaire,nous appliquonsles outils de lathéorie de l'Automatiqueà la

problématique d'observation dans les modèles TCP/IP. Nous introduisons nos travaux sur

les plans théoriqueet pratiquean de motiverl'ensemblede notre étude.

Dans l'univers des réseaux informatiques, TCP est l'un des prin ipaux proto oles de

transmission de données entre deux ma hines. Dans leproto oleTCP, orienté onnexion, la

ommuni ation est assurée de bout-en-bout entre l'émetteur et le destinataire sans se

pré-o uper des ma hines intermédiaires.En outre, il est ara térisé par sa abilité grâ e à un

système d'a usés de ré eption permettantd'assurer une bonne ré eption mutuelledes

don-nées. Un phénomène de ongestion se manifeste dans lerouteur lorsque le débitde données

entrant dépasse sa apa ité. Unefois lebuer du routeursaturé, tous lesnouveaux paquets

arrivantsontéje tés, etdon potentiellementperdus.C'est pourquoi,un algorithme

d'évite-mentde ongestionajusteletauxd'émissiondes sour esTCPen fon tionde laré eptionou

non-ré eption d'una quittement.Pour gérer l'éje tionoulemarquagedepaquets auniveau

du routeur, des algorithmes de gestion de la le d'attente (A tive Queue Management ou

AQM) sont asso iés au fon tionnement de TCP. L'AQM dote les paquets de probabilités

d'éje tion suivant le niveau de remplissage du buer du routeur dans le but d'améliorer le

débit etprévenirlessour es de l'augmentationdu niveaude ongestion. Cependant,le

fon -tionnement normal du routeur est régulièrement perturbé par des ux de données appelés

anomalies.

Les anomalies dans les réseaux de ommuni ation sont ausées par des problèmes

phy-siques ou te hniques omme la panne d'éle tri ité ou les é he s de serveur de hier, des

hangements brusques auséspar le tra légitime omme lasur harge du réseau, lesfoules

subites. Les omportements à risque des utilisateurs internes, et les omportements

inten-tionnellementmalveillantssont lesplus dangereux à déte ter omme lesont lesattaques de

Déni de Servi e (DdS) etDéni de Servi e Distribué (DDdS). Dans des réseaux de

ommu-ni ation de plus en plus inter onne tés, déte ter e genre d'anomalies devient ru ial et la

supervisionest devenue depuisplusieursannéesunsujetde re her he de grandeimportan e.

(18)

signatures, etlesSystèmes de Déte tion des Anomalies (ADS) qui her hent prin ipalement

les a tivités qui dévientsigni ativement des opérations normales. Le travail de ette thèse

sesitue dans le adregénéraldessystèmes ADS dansune re her he novatri ede

re onstru -tion des uxsurvenant auniveau du routeur.

Notre étude s'est fo alisée sur un routeur en ongestion ommuniquant

N

ux TCP

aux destinataires.Le omportement du proto ole TCP en phase d'évitement de ongestion

est représenté par un modèle mathématique. En supposant le tra susamment uide, la

variationde la fenêtre de ongestion moyenne des sour es est représentée par une équation

diérentielle omprenantdesretards.Dans emodèle,l'émissiondesuxdépenddela

proba-bilité d'éje tiondespaquets obtenue parlemé anisme d'AQMen fon tionde lalongueurde

laled'attenteauniveaudu routeur. Pour notre étude,nous onsidérons l'anomalie omme

un tra passant dansle routeur. Un signal est par onséquent ajoutéàla dynamique de la

longueur delaled'attenteandemodéliserletra supplémentairein onnuparlerouteur.

Nous obtenons ainsi un système dynamique perturbé par une entrée in onnue. Ce i entre

dans le adre général des systèmes à entrées in onnues qui sont étudiés par la théorie de

la ommande, aussi bien pour onstruire des orre teurs robustes à es perturbations que

pour déte teret observer des signauxexogènes. Plus spé iquement, l'objetde notre travail

est de développer des observateurs permettant ainsi de re onstruire le prol des anomalies.

Diérentes te hniques d'observation sontalors étudiées :

•

Les observateurs à entrées onnues sont onçus an de re onstruire des prols

d'ano-malies pouvant semettresous de formes polynmiales.Ces formes ouvrentune large

gammedesignauxd'anomalies ommeles onstantes,enrampesetvariables.

L'anoma-lieetsesdérivéessu essivessontintroduitesdansleve teurd'étatdusystèmelinéarisé

autour d'un point d'équilibre.L'analyse de stabilité des observateurs de Luenberger à

retards onstruits pour lesystème résultant est étudiée suivant les deux méthodes de

stabilisation dépendante du retard (DD) etindépendante du retard (IOD).

•

Une appro he que nous suggérons pour la déte tion des anomaliesin onnues est

l'ap-pro he par modes glissants. Lesavantages desmodes glissantssontla robustesse

vis-à-visdes in ertitudesparamétriquesetdes défautsetla onvergen e en untempsni.Le

prin iped'appli ationdes modes glissantsaux observations est de for er l'erreur à

at-teindreetmaintenir unevaleurnulleen temps ni. L'observationde premierordreest

onstruit pour lemodèlede TCP,ensuiteune on eptionplus génériqued'observateur

d'ordre supérieurest abordée pour lesmodes glissants.

Les performan es des observateurs sont vériées à l'aide des logi iels de modélisation :

Matlab/Simulinketle simulateurdes réseaux NS-2. Sur leplan pratique,une étape

intéres-santea onsistéàprendreen omptedes ara téristiquesplusréalistespourletra Internet.

Nous introduisons dans e mémoire une appro he ré ente qui permet de rejouer des tra es

apturées par des équipementsde métrologie danslesimulateurNS-2, de façonàreproduire

les sour es de tra réalistes et les omportements des utilisateurs. Pour des

expérimenta-tions réelles sur le tra TCP, une analyse hors-ligne de la tra e permet d'extraire les ux

TCP ainsiqueleurs ara téristiques ommeletempsd'aller-retourmoyen des paquetsTCP,

les apa itésutilesdesliens,etlestaillesdespaquetsTCPémis.Ainsi,lemodèledetra

(19)

Dansle adre du travail quenous avons exposé, e mémoireest organisé ommesuit.

Dansle hapitre1,nousprésentons unétatdel'artsurleproto oleTCPetleste hniques

d'observation des défauts pour les systèmes à retards. En premier lieu, nous détaillons le

fon tionnement du proto ole TCP, les types d'anomalies, surtout de dénis de Servi e, et

les moyens informatiques pour les déte ter. Ensuite, les prin ipales étapes menant au

mo-dèle uide adopté sont introduites. Après quelques généralités sur la stabilitédes systèmes

à retards, nous proposons les te hniques de l'Automatique omme outils de déte tion et

re onstru tion des défauts : les observateurs à entrée onnue et les observateurs à entrée

in onnue.

Dansle hapitre 2,nous étudions des méthodologiesd'observationdes anomaliesdans le

modèleTCP/IPquipeuventsemettresouslaformepolynmiale.Pourlesystèmeaugmenté

de l'anomalieetses dérivées, nous développons tout d'abord des observateurs linéairespour

lessystèmeslinéairesàretards.Unefon tionnelledeLyapunov-Krasovskiipermetd'élaborer

des onditions de stabilité par l'appro he indépendante du retard (IOD). Des observateurs

d'ordres réduits sont proposés pour observer la partie in onnue de l'état qui omprend la

fenêtre de ongestion, l'anomalie et ses dérivées. Par ailleurs, la synthèse d'un observateur

dépendant du retard (DD) pour le modèle d'état omplet est omplétée par une appro he

robuste prenant en ompte des in ertitudes sur une plage de valeursdu retard.

Le hapitre3 est onsa ré auxte hniques des modes glissantspour lare onstru tion des

anomalies. Nousrappelons lesprin ipes des modes glissants,ensuitelesalgorithmes de

glis-sement d'ordres un et supérieur. Nous proposons plusieurs algorithmes d'observation dans

le adre de déte tion d'anomalies dans le modèle TCP/IP. L'observateur glissant d'ordre

1

engendre normalement des os illations de très hautes fréquen es appelées réti en e grâ e

à la ommande dis ontinue ajoutée à la dynamique d'observation an d'assurer le

glisse-ment.L'observateurglissantd'ordre

1

onçu en premierlieupour le modèle TCP/IP induit

une réti en e qui ne peut pas être réduite par des fon tions ontinues à grands gains. Par

onséquent,nousavons eure oursauxltrespasse-baspourre onstruirelesanomalies.

L'ob-servateurd'ordre

2

basésurl'algorithmedusuper-twistingestensuiteproposépouraméliorer

les performan es d'observation des d'anomalies.

La validation de ha une de nos méthodologiesà l'aide du simulateurMatlab/Simulink

étant présente dans les hapitres pré édents, nous nous orientons vers le simulateur de

ré-seaux NS-2 dans le hapitre 4. Pour haque type d'observateur élaboré, des topologies de

réseaux omprennent des routeurs ontrlés par diérents mé anismes d'AQM :

informa-tiques omme le RED et eux basés sur la théorie de ommande omme le Proportionnel

Intégral (PI) et le retour d'état statique. Pour la re onstru tion des anomalies, les suivis

des débits onstants eten rampessont omparésentre lesobservateurs. Uneétude est aussi

menéesur lesfaux négatifsetpositifsquipermettentd'analyserlaqualité de déte tionainsi

que la rapidité de déte tion des apparitions et disparitions des anomalies. Nous insistons

sur larédu tion du taux d'émission de faux négatifs qui sontles plus importantsàanalyser

puisqu'ils traduisent le délai mis par l'observateur à déte ter la présen e d'une anomalie.

(20)

de la tra e jusqu'au rejeu des ux dans NS-2 sont présentées. Cha un des observateurs est

évaluéendéte tionetre onstru tiondesanomaliessousdes onditionsréalistesdesuxTCP.

Nous on luons dans une dernière partie les diérents points abordés tout au long de

ettethèse.Nousproposonsnalementdespistesdetravauxfutursà ourtterme on ernant

l'amélioration des te hniques d'observation, ainsi qu'à long terme en ouvrant la voie à des

(21)

Contexte

Lesréseauxde ommuni ationsontsoumisàdes omportementsanormauxprovenantde

problèmesphysiquesoude omportementsmalveillants,parfoisintentionnels.Cesopérations

anormales sontsouvent référéesàdes anomaliesditeslégitimesouillégitimes.Certaines sont

reliées aux problèmes de performan e omme des é he s de serveur de hier, des tempêtes

de broad ast (broad ast storm), et . et d'autres on ernent la sé urité pouvant mener au

déni de servi e (DdS) d'une ma hine oumême d'une partiedu réseau.

Notre travail durant ette thèse onsiste à utiliser la théorie de l'Automatique pour

re- onstruire le tra d'anomalies passant par lemodèleTCP/IP. Dans e hapitre,nous nous

sommesfo aliséssurle adredutravail.Enpremierlieu,nousprésentonsbrièvementle

fon -tionnementduproto oleTCP,une des riptiondesanomaliesetlesmoyens pourlesdéte ter

et les lasser. Nous proposons ensuitedes te hniques de ontrle omme outils de déte tion

etre onstru tionduprold'anomalies.Pour elaunereprésentationmathématiquedela

dy-namiquedu modèleTCP/IPest né essaire.Lesprin ipalesétapesmenantaumodèleadopté

sont introduites, ainsi que la modélisation des anomalies dans e modèle. En supposant le

tra susamment uide, la dynamique du modèle TCP/IP peut être représentée par un

modèle de type systèmes à retards. Ayant déni le adre de notre travail, ertaines notions

ommela stabilitédessystèmes àretards sont présentées. Dansledomainede déte tion des

défauts, les observateurs peuvent être lassés, selon la onnaissan e du prol des défauts,

en observateursàentrée in onnue età entrée in onnue. Diérentes te hniquesd'observation

sont étudiées pour ha une des deux appro hes, avant la présentationdes obje tifs détaillés

de e travail.

1.1 Généralités sur le modèle TCP/IP

Durant les dernières dé ennies, nous avons assisté à l'intégration progressive dans

l'In-ternet de te hnologies sophistiquées générant une quantité d'appli ations de plus en plus

volumineuse. An de normaliser les ommuni ations entre ordinateurs, un modèle TCP/IP

a été imposé ommemodèle de référen e en lieuet pla e du modèleOSI (Open Systems

In-ter onne tion) quiétait misaupointpar l'Organisation Internationaledes Standards (ISO)

[Tanenbaum 1994℄, [Stevens 1994℄. TCP/IP désigne ommunément une ar hite ture réseau

où deux proto oles sont étroitement liés : un proto ole de transport, TCP (Transmission

Control Proto ol) et le proto ole de réseau IP (Internet Proto ol) (voir Figure 1.1). C'est

grâ e à des ontraintes militairesque leMinistère Améri ainde laDéfense a réé lemodèle

de référen eTCP/IPayantbesoinde on evoirunréseaupouvantrésisteràtoutesles

ondi-tions, en parti ulierà une guerre nu léaire.

Dansun monde onne tépar diérentstypesde médiasde ommuni ationtelsqueleslsde

(22)

Ande pouvoirappliquerlemodèleTCP/IPindépendammentdu systèmed'exploitation,le

systèmedeproto olesTCP/IPaétédé omposéenplusieursmodulesee tuantlesunsaprès

lesautresdestâ hes pré ises[Hassan 2004℄.Lemodèle OSIest unmodèlequi omportesept

ou hes omme le présente la Figure 1.1, tandis que le modèle TCP/IP n'en omporte que

quatre dé rites i-dessous :

•

La ou he A ès réseau "regroupe"la ou he physique etla ou he liaisonde

don-nées du modèle OSI. Elle ontient toutes les spé i ations on ernant la transmission

de données sur un réseau physique, qu'il s'agisse de réseau lo al, de onnexion à une

ligne téléphoniqueou n'importe queltypede liaison àun réseau. Elleprenden harge

l'a heminement des données sur la liaison, leur syn hronisation, la onversion des

si-gnaux (analogique/numérique)et le ontrle des erreurs à l'arrivée.

•

La ou he Internet ou Réseau est la lé de voûte de l'ar hite ture. Elle résout le

problème de l'a heminement de paquets dans n'importe quel réseau et

indépendam-ment les uns des autres jusqu'à destination. Le point ritique de ette ou he est le

routage basé sur les adresses IP des ma hines. D'autres proto oles sont gérés omme

ICMP (Internet Control Message Proto ol) utilisé pour transférer des messages de

diagnosti liés auxtransmissions IP et IGMP (InternetGroup Management Proto ol)

utilisé pour gérerles groupes multi ast.

•

La ou he Transport assurele transportdes messages parvenusde la ou he

appli- ationentrelesterminauxsour eetdestinationd'uneappli ationdonnée.Cette ou he

a re ours à deux prin ipaux proto oles de transport : TCP et UDP (User Datagram

Proto ol).TCP est un proto oleable quipro ure àses appli ation un servi eorienté

onnexion garantissant la livraison des messages et assure un ontrle de ux. UDP

pro ure aux appli ations un servi e sans onnexions oùla transmission de données se

fait en absen e de toute pro édurede mise en présen e etsans au un ontrle de ux.

•

La ou he Appli ationest responsable de l'exé utionde diérentes appli ations

ré-seau. Dans e but, elle a re ours à plusieurs proto oles de haut niveau, omme par

exemples TFTP (Trivial File Transfer Proto ol) pour les transmissions de hiers,

SMTP (Simple Mail Transfer Proto ol) pour les appli ations de messagerie

éle tro-nique, HTTP (HyperText Transfer Proto ol) pour le Web. Le point important pour

ette ou he est le hoix du proto ole de transport à utiliser. C'est la ou he de plus

haut niveau d'abstra tion, elle utilise les ou hes inférieures pour ommuniquer en

transparen e ave d'autres ma hines.

Chaque ou heajouteun entête aupaquetdedonnéeslorsque e dernierpasseparla ou he.

Ainsi le paquet de données est appelé message au niveau de la ou he Appli ation, il est

ensuite en apsulé sous forme de segment dans la ou he Transport. Nous parlons de

data-gramme dans la ou he Internet et de trame dans la ou he A ès réseau. Il est important

de noterqueletermepaquetTCPest utiliséde façoninter hangeableave letermesegment

(23)

Modèle OSI

Modèle TCP/IP

Fig. 1.1: Modèles OSIet TCP/IP.

1.2 Proto ole TCP

1.2.1 Fon tionnement

TCPestundes prin ipauxproto olesdela ou he transportdu modèleTCP/IP.Dansle

proto oleorienté onnexion,la ommuni ationentrel'émetteuretledestinataireest

prin ipa-lementassuréeave abstra tiondes ma hinesintermédiaires,d'oùl'appellationde réseaude

bout-en-bout.LaabilitéfournieparTCP onsisteàremettrelessegmentssansperte ni

du-pli ationalorsmêmequ'ilutiliseIP quiestun proto olede remisenonable[Stevens 1994℄,

[Hassan 2004℄.

La abilité est assurée à partir du mé anisme d'a usé de ré eption (a quittement ou

A k-nowledgement ACK) présenté brièvement dans la Figure 1.2. Après haque émission d'un

segment, la sour eattend que l'ACK orrespondant luiest parvenu du destinataire,

tradui-sant ainsi la ré eption du segment émis. De plus, la sour e se sert d'un temporisateur à

haqueenvoid'un segmentqui al uleledélai d'attentede l'ACK. Lorsque latemporisation

expire sans qu'il n'ait reçu un ACK, la sour e onsidère que le segment est perdu. Celle- i

s'appellela perte suite àune expirationdu temps ouTime Out (TO). D'autre part, suite à

des problèmes dans leréseau provoquant laperte de l'a usé, latemporisationpeut expirer

alors quelepaquet aatteintsadestination.Lasour erenvoiede nouveaulesegment,

epen-dant ladestination éliminerales doublons par equ'elle gardeune tra edes segments reçus.

Une autre situation ritique dans le fon tionnement de TCP est la ré eption de paquets en

désordre. Ce i dé len he égalementun ACK dupliquéenvoyé par ledestinataireà lasour e.

Pour éviter de retransmettre un paquet qui n'a pas été perdu mais qui arrive en retard par

rapport à un autre paquet, l'émetteur attend trois ACK dupliqués avant de dé len her une

retransmission.Ainsi,ilya uneprobabilitéélevée quelepaquetaitvraimentété perdu.Cet

(24)

Source

Routeur

Destination

Emission d'un

message

Temporisation

Message n'est

pas reçu

ACK non envoyé

Temporisation

échouée

Réémission du

message

ACK non reçu

Réception du

message

Emission de ACK

Réception de

ACK

Fig.1.2: Te hnique de l'a usé de ré eption.

par ours vers le destinataire. Ainsi, un algorithme est employé par l'émetteur pour

régu-ler son taux d'envoi en fon tion du degré de ongestion qu'il perçoit. C'est l'obje tif de la

présentation du paragraphe suivant.

1.2.2 L'algorithme de ontrle de ongestion

La méthode de la fenêtre d'émission autorise la sour e à envoyer plusieurs paquets à la

suite [Stevens 1994℄. Le problème est de savoir ombien de paquets peut-on envoyer sans

saturer le ré epteur ou les routeurs. L'obje tif est de garder un débit relativement élevé

tout en évitant la ongestiondu réseau.D'une manièreglobale,l'émetteur a roîtsavitesse

d'envoi d'une manière additive dès qu'il perçoit que le par ours de bout-en-bout est libre,

et il la réduit de manière multipli ative au moindre signe de ongestion. L'algorithme de

ontrle de ongestion de TCP est don appelé Additive In rease Multipli ative De rease

(AIMD). Enn, les phases de Slow Start [Ja obson 1988℄ et Fast Re overy [Ja obson 1990℄

ont été proposées pour rendrele proto ole TCP plus e a e. L'algorithme résultant dénit

la version de TCP la plus répandue a tuellement. Il est formé de deux phases prin ipales :

la phase du Slow Startet laphase de l'évitementde ongestion.

a- Phase du Slow Start

•

Soit

W

la fenêtre de ongestion émise par la sour e.Initialement

W = 1

.

•

Le seuilde Slow Startappelé

ssthresh

(slow start threshold)est initialementégal àla

moitié de la taillemaximalede

W

.

•

Suite à haque a usé de ré eption l'émetteur augmente satailleexponentiellement.

Si

W

atteint

ssthresh

, alors n de laphase Slow Start.

S'ily aperte de paquetset

W < ssthresh

,alors

ssthresh = W

etre ommen ement

(25)

•

Si le ux est transmis ave su ès, sur ré eption de l'ACK, l'émetteur augmente son

taux d'envoi,ainsi

W = W + 1

.

•

En as d'indi ede ongestion :

Si la sour e n'a pas de réponse du destinataire, alors perte par Time Out (TO),

W = 1

etla phase de Slow Start sedé len he.

Si la sour e reçoit trois a quittements identiques (3DupA k),

W = W/2

. C'est la

phase de FastRe overy etl'évitement de ongestion re ommen e dire tement.

Cet algorithme onduit à la ourbe présentée dans la Figure 1.3 traduisant la variation de

la fenêtre de ongestion selon les trois phases : SlowStart, Évitement de ongestionet Fast

Re overy.

W

Temps

ssthresh

Slow Start

ssthresh

TO

3DupAck

TO

ssthresh

Evitement de

congestion

Evitement de

congestion

Fast Recovery

ssthresh

Fig. 1.3: Evolution de fenêtre de ongestion selon lesphases du proto ole TCP.

Depuisledéveloppementdel'algorithmede ontrlede ongestionbasique, onnusous le

nomde TCPTahoe en 1988,plusieurs versionsontapportédes améliorationssurle

fon tion-nement de TCP.Citons TCP Reno, Vegas, NewReno, SACK [Hassan 2004℄. Lesprin ipaux

hangements ont tou hé la phase du Slow Start, la phase de l'évitement de ongestion et

surtout laphase du Fast Re overy traduisant lesréponses aux multiples pertes. LeTableau

omparatif1.1résumeles omportementsdesdiérentesversionsdeTCPdans haquephase.

Exemple de simulation sur le modèle TCP/IP

Dans ette partie, nous allons illustrer l'évolution de la fenêtre de ongestion par un

exemplesimplesurunsimulateurderéseauxNS-2[Fall2010℄.Commenouslemontronsdans

la Figure1.4,

20

sour esTCP envoient des paquets vers un routeurde apa ité

10Mbps

.

Dans la Figure 1.5a nous pouvons observer les phases d'évitement de ongestion où la

fenêtre de ongestion augmente linéairement jusqu'à la perte de paquets. En parallèle la

le d'attente au niveau du routeur dans la Figure 1.5b se remplit progressivement jusqu'à

(26)

Tahoe Reno NewReno SACK Vegas Évolution

W + 1

augmente de

W

aprèsunfutur dans RTTpré is SlowStart Évolution

W +

1 W

W +

W

1 W +

W

1 W +

W

1

augmente de

W

linéairement durant selonla l'évitement diéren e(Di)

de entrelesdébits

ongestion a tuelset estimés

d'une onnexion

Passagede

W =

siDi<débitxé

SlowStart

ssthresh

àÉvitement (

ssthresh

de ongestion peutêtre

lorsque estimé)

Fast - termine ontinue ontinue renvoie

Re overy ave ré eption ave ACK ave SACK ave ACK

deACK partiel partiel siRTT

partiel et renvoie indiquant >TO

(partiede lapartie quelle

segments nona quitée partie

a quités) a quitée

(27)

Emetteurs

Récepteur

Routeur

.

1

20 10Mbps

15Mbps

Fig. 1.4: Latopologie du modèle TCP/IP en phase de ongestion.

sont éje tés. Ce mode de gestion du buer est appelé DropTail où le routeur jette tous les

paquets lui parvenant une fois sa apa ité maximale atteinte. Évidemment, e mé anisme

induitde fortes os illationsde laled'attente (AQM)ave des saturationsfréquentes. C'est

pourquoi, des algorithmes de gestion de la led'attente au niveau des routeurs ont été par

la suiteélaborés pour éviter e genre de phénomène. Ilsserontle sujetde dis ussion dans la

partie 1.4.

0

10

20

30

40

50

60

70

80

90

100

110

0

50

100

150

200 Temps [s]

Taille de la fenetre de congestion [pqts]

(a)

0

100

200

300

400

500

600

700

800

0

50

100

150

200 Temps [s]

Longueur de la file d’attente [pqts]

(b)

Fig. 1.5: Evolution de : (a) lafenêtre de ongestion d'une sour e TCP, (b) la le d'attente

au niveau du routeur.

1.3 Qualité de Servi e (QdS)

La QdS est généralement un sujet large qui tou he aux diérents aspe ts de

onstru -tion, gestion et utilisation des ressour es du réseau. Cette notion permet aux fournisseurs

de servi es (entreprises, opérateurs) de s'engagerformellementauprèsde leurs lientssur les

ara téristiques de transport des données appli ativessur leurs infrastru tures IP. Les

tra-vaux sur la QdS ont été ee tués dans un ontexte d'ar hite ture de ou hes individuelles.

Le traitement le plus ompletse situe dans les ou hes de Transport et Réseau. C'est à e

niveau que sesituent les problèmes lesplus ritiques.

(28)

utilisa-son rle de garant de la Qualité de Servi e fournie par la ou he Réseau [Juanole 1995℄,

[Tanenbaum 1994℄. En eet, la ou he Transport réalise la jon tion entre les souhaits de

l'utilisateur etlesdispositions dela ou he Réseau.Au niveau dela ou he de transport, les

paramètres prin ipaux de laQdS sont les suivants :

le temps d'établissement de la onnexion qui représente le laps de temps entre la

demande de onnexion par l'utilisateur et la ré eption de onrmation. Ce délai doit

évidemment être ourt.

laprobabilité d'é he d'une onnexionquidoit s'établirdansun délai maximalsuite à

un problème ommela ongestion du réseau.

ledébitde laliaisonquitraduitlenombred'o tetspouvant êtretransmispendantune

se onde,

letempsdetransitquiestletempsé ouléentrel'émissionetlaré eptiond'unmessage,

les taux d'erreurs de transmission doit être très faibles omme 'est la tâ he de la

ou he de Transport.

Les autres ou hes parti ipent également à la QdS. Les servi es fournies par la ou he

Ap-pli ation ont besoin des paramètres de QdS tels que le temps de réponse, le taux d'erreurs

tolérable et le oût de la ommuni ation. Par ontre, au un moyen n'est fourni pour

ma-nipuler es paramètres. Au niveau de la ou he A ès Réseau, la QdS est traduite par des

paramètres entre l'utilisateur et l'émetteur.Des paramètres sont négo iés entre es derniers

omme le temps de transit, le débit utile. Certains paramètres sont hoisis omme la

prio-rité et la prote tion de la onnexion; et d'autres sont xés omme le délai d'établissement

d'une onnexion réseau et sa probabilité d'é he , le taux d'erreurs, la probabilité d'é he

de transfert, la prioritéet la prote tion de la onnexion. Dans la ou he d'A ès réseau, les

paramètres de la QdS dépendent d'une part du typede ommuni ation entre lesma hines :

le débit, le temps de transit, le taux d'erreurs, la probabilité de rupture, la priorité et la

prote tion pour deux ma hines liées dire tement; et le temps de transit, le taux d'erreurs,

la priorité et la prote tion lorsque deux ma hines ne gèrent pas dire tement la

ommu-ni ation entre elles. D'autres part, des paramètres dièrent selon les supports physiques de

l'inter onnexion ommeladisponibilitédu servi e,ledébit,leserreursetletempsdetransit.

Les performan es des appli ations TCP dépendent d'une façon ritique sur la gestion

de le d'attente dans les liens du réseau. Le management de la le d'attente au niveau des

routeurs (ou AQM)représente un aspe t importantd'assuran e de la QdS.

1.4 A tive Queue Management (AQM)

Le ontrle de la le d'attente est déni omme l'algorithme qui gère la longueur de

la le d'attente en éje tant ou marquant les paquets lorsque 'est né essaire ou approprié

(Figure 1.6). L'AQM marque aléatoirement les paquets avant que le buer du routeur soit

plein dans lebut d'améliorerledébit etprévenir de l'augmentationdu niveau de ongestion

[Floyd 1993℄, [Hassan 2004℄. Ce mé anisme de prévention informe, par retour impli ite, les

émetteurs de l'apparitiond'une ongestion. Ainsi,lessour es réduisentleur tauxd'émission

pour diminuer le niveau de ongestion. Le marquagealéatoire des paquets arrivantà la le

(29)

Emetteurs

Récepteurs

Routeur

AQM

paquets

marqués

paquets

éjectés

Fig. 1.6: Gestion de lale d'attentepar l'AQM.

RED est l'un des AQM les plus utilisés pour la gestionde la led'attente [Floyd 1993℄.

La Figure 1.7 montre la fon tion d'éje tion de paquets utilisée par RED. Un routeur ayant

RED ommeAQMa epte tous lespaquets jusqu'à e que laled'attenteatteigneun seuil

minimal

Min

th

. Unefois e seuil atteint,la probabilité d'éje tionde paquets suit une

fon -tion linéairejusqu'à e quelaled'attentemoyenne atteigneun seuil

Max

th

àpartirduquel

tous les paquets sontperdus (probabilitéd'éje tion égale à1).

Depuis que RED a été proposé en 1993, de nombreuses appro hes d'AQM, telles que

Fig. 1.7: Routeur RED etprobabilité d'éje tionde paquets.

Adaptive-RED (ARED),Stabilized-RED (SRED),BLUE, etAdaptive VirtualQueue (AVQ)

ont étéproposées, etleursperforman esont évaluéesdans [AliAhammed 2010℄,[May 2000℄

et [Ryu 2004℄.

ARED[Feng 1999℄tentede maintenirlesparamètresde fon tionnementde REDenajustant

dynamiquement la probabilité maximale d'éje tion des paquets relativement à la longueur

de laled'attente du routeur.

SRED [Ott 1999℄ éje te les paquets ave une probabilité qui dépend de l'estimation du

nombre de uxetde lalongueur instantanéede laled'attente. SRED stabilisel'utilisation

du buer indépendammentdu niveau de harge du réseau.

BLUE [Feng 2002℄ utilise la perte de paquets et les événements liés aux liens plutt que la

(30)

lorsque le liendevient ino upé.

AVQ[Kunniyur 2001℄utilise une le virtuellepourréguler l'utilisationdu buer aulieudes

valeurs instantanées de la led'attente. AVQrégularise la taillede la le virtuelle etla

a-pa ité de lienvirtuelle proportionnellement autaux d'arrivée de paquets età la probabilité

d'éje tion.

Ces AQM que nous venons de présenter sont basés sur les outils informatiques.Comme

détaillés dans la se tion 1.2.2, les mé anismes de ontrle sont intégrés dans le proto ole

TCP pour fournir un transfert able des données. La variation de la taillede la fenêtre de

ongestion peut être exprimée en fon tion des a quittements. Ainsi,l'ensemble du système

formé par le nombre total de onnexions TCP ir ulant à travers l'Internet représente l'un

des plus grands systèmes de ontrle que l'homme a jamais réalisés, en termes de portée

géographique et le nombre d'entrées et de sorties. Dans le but d'analyser plus nement

l'impa t de telles stratégies, des modèles mathématiques ont été proposés ré emment pour

les uxTCP ontrlés par des mé anismes d'AQM [Misra1999℄, [Kelly1998℄,[Misra 2000℄,

[Liu 2003℄.Desalgorithmesbaséssurlathéoriedela ommandeontété onçuspouraméliorer

les performan es et la robustesse du proto ole TCP en régularisant la le d'attente à une

ertaine valeur désirée notée

q

ref

.

1.4.1 Constru tion d'AQM utilisant la théorie de la ommande

Implémenté au niveau d'un routeur, un AQM détermine la probabilité d'éje tion des

paquets en fon tion de la longueur moyenne de la le d'attente. De e fait, il peut être

re-présenté par une ommande par rétroa tion pour des modèles représentant TCP tels que

le système [Hollot2001a℄, [Liu2003℄ omme il est montré dans la Figure 1.8. Les auteurs

de [Hollot2002℄ ont été les premiers à proposer un orre teur Proportionnel Intégral (PI)

pour le modèle TCP/IP, ensuite des ar hite tures de ommandes utilisant les prin ipes de

la théoriede la ommande étaient proposées pour des modèlesTCP omme leretour d'état

statique[Ariba2009℄,la ommanderobuste[Wang 2003℄,[Manfredi 2004℄,[Li1997℄,la

om-mande prédi tive [Witrant2005℄, la ommande non linéaire [Hollot2001 ℄, [Mi hiels 2005℄

et la ommande par ommutationde ontrleurs [Cao 2009℄.

C'est à partir du ontrle de la le d'attente au niveau du routeur et des réponses des

sour es TCP à la variation du ux que nous pouvons on lure sur le bon fon tionnement

du modèle TCP/IP. Siles réa tions des sour essont diérentes de elles attendues, alors le

modèle est dans le as d'un fon tionnement anormal que nous allons essayer de déte ter et

quantier auniveau du routeur.

(31)

1.5 Anomalies dans le réseau

Les réseaux de ommuni ation ont énormément grandi en omplexité de sorte que

ga-rantir la Qualité de Servi e (QdS) et parti ulièrement la sé urité sont devenues de plus en

plus di iles.Ee tivement, lesréseaux sontfortementsensiblesà une large variétéde

per-turbations, souventdésignées ommedes anomalies. Lesanomaliespeuvent avoirun impa t

signi atif sur le omportement normaldu réseau[Aussibal 2007℄, [Lakhina 2004℄. Les

ano-maliespeuventêtre auséesparplusieursévénements:lesproblèmesphysiquesoute hniques

omme la panne d'éle tri ité ou les é he s de serveur de hier, les hangements brusques

ausés par le tra légitime omme la sur harge du réseau, les foules subites, ainsi que les

omportements risqués des utilisateurs internes, et les omportements intentionnellement

malveillants omme des attaques de déni de servi e, lesintrusions,etd'autres.

1.5.1 Attaques de Déni de Servi e

Lesattaquessonta tuellementlesanomalieslesplusdangereuses ommelesDénisde

Ser-vi e(DdS), lessaturationsdemémoire,lesattaquesdemots depasse, etd'autres. LesDénis

deServi ereprésententla lassed'attaqueslaplusdangereuse[Lakhina 2004℄,[Spe ht 2004℄.

De tellesattaquesbloquentpour unutilisateur l'a èsàlama hineouretardentletempsde

réponseenrendantl'a èsina eptable.LeDénideServi epeutsurvenirsuiteàune attaque

programméelorsqu'unepersonne malveillantesur hargeintentionnellementune ressour eou

un système;oua identellementlorsqu'unutilisateurdé len heunepro édureinappropriée.

Dans les deux as, des mesures de prote tion doivent être envisagées pour résoudre le

pro-blème. En général, il est di ile de prévenir ou d'éviter les attaques DdS. Cependant, le

ontrle etla prote tion peuvent retarder les attaquesmais une fois dé len hées, e sont les

moyens de déte tion quipeuvent restreindre lesdégâts parvenus sur le réseau.

Ave un DdS traditionnel,une ma hineattaque une autrema hine. La ma hine attaquante

peut avoir re ours à d'autres ma hines dans le but d'inonder la vi time par le ux de

pa-quets ou même un réseau. Ce qui formeun Déni de Servi e distribué (DDdS) illustré dans

la Figure 1.9. La distribution au travers de plusieurs ma hines rend très di ile la défense

ontre une telle attaque. Ainsi, l'identi ation et le blo age de es attaques parvenant de

plusieurs adresses IP est une tâ he extrêmement ompliquée.

Exemples d'attaques Déni de Servi e

Nousallonsprésenter quelquesexemplesde dénideServi e.Nouspourronsnous reporter

auxtravauxde[Jung 2002℄,[Hussain 2003℄,[Chen2006℄pour uneprésentation plus

exhaus-tive.

•

Inondationde SYN (ou SYN Flooding):C'est une attaque quiest lan éelorsde

l'ou-verture de la onnexion TCP. La sour e attaquante envoie des paquets de type SYN

demandantl'autorisationd'une onnexionde lavi timemais ave une adresseerronée

orrespondant à une ma hine in apable de répondre. Par onséquent, la ma hine

vi -time ontinue à re evoir des SYN età y répondre sans pouvoirétablir une onnexion.

(32)

Fig. 1.9: Des ription d'une attaqueDDdS.

•

Smurf : La ma hine attaquante envoie un tra ICMP de type é ho request (ping) à

une adressebroad ast en hangeantl'adresse IPsour epar elle delama hinevi time.

Alors, ette dernière va re evoir un tra intense de réponses ICMP de type é ho

reply. Un routeur doit arrêter es attaques en interdisant les réponses aux paquets

omprenantdes adresses de broad ast.

•

InondationparUDP(ouUDPFlooding):Cedénideservi egénèreunegrandequantité

de paquetsUDP(UDPPa ketStorm)soitàdestinationd'unema hinesoitentre deux

ma hines. Cette attaque exploite le mode non orienté onnexion du proto ole UDP.

Elle entraîne ainsi une ongestion importante du réseau ainsi qu'une saturation des

ressour es des vi times.

•

Teardrop : C'est une attaque qui exploite les défaillan es dans le remontage de

frag-mentsdepaquetIP.Lasour ed'attaquesenvoiedesfragmentsIPàunema hine.Avant

d'arriveràla ible,Teardrop rée desséries depaquets IPdé omposésen paquetsplus

petits qui ressemblent au paquet IP original mais ave hevau hement des hamps.

Lorsque es fragmentssontrassemblés auniveaude l'htede destination, ertains

sys-tèmes vont raquer ou seréamor er. Cette attaque est supposée être non destru tive,

mais elle pourrait auser la perte des données non sauvegardées par la ible avant le

lan ement de l'attaque.

1.5.2 Outils d'attaques de Déni de Servi e

Il existe de nombreux outils pour lan er des attaques de type Déni de Servi e. Les plus

onnussont:Trinoo[Dittri h1999℄,TFN2K(ouTribalFloodNetwork 2000)[Barlow 2000℄,

et Sta heldraht [Mirkovi 2004℄. Tous es outils ontiennent les mêmesfon tionnalités pour

lan er des attaques. TFN2K est le logi iel le plus omplet en terme de fon tionnalités et

possibilités.Ilgénèrediérentstypesd'attaques,desDdSetlesDDdSenutilisantleproto ole

ICMP indéte tablepar lama hine attaquée.Trinooest l'un des premiersoutils omprenant

(33)

etTFN2Kenajoutantd'autres te hniques ommele ryptagedes ommuni ations.Il utilise

les proto oles TCP et ICMP.

1.6 Déte tion des anomalies

Le dé majeur dans la déte tion automatique des anomalies est la diversité des

évé-nements que peuvent ouvrir les anomalies. Un système de déte tion général d'anomalies

devrait don pouvoir déte ter des anomalies ave des stru tures diérentes, distinguer les

diérentstypesetregrouperlesanomaliessemblables.Cependant,de nouvellesanomaliesde

réseau apparaissent ontinuellement, et ontinueront à survenir ave le temps. Un système

de déte tion ne devrait don pas être limité à une gamme déterminée d'anomalies. Cela

devient lapréo upation prin ipale de la plupartdes appro hes ré entes liées à ladéte tion

d'anomalies. La littérature est abondante sur les aspe ts de déte tion et lassi ation des

anomalies[Chandola 2009℄. Nousallons présenter quelques appro hes étudiées.

Déte tion par type d'anomalie

C'estl'appro he la plus fa ileàréaliser puisqu'elle on erne des types spé iques

d'ano-malies. La plupart des travaux de déte tion et lassi ation des anomaliesa été limitée sur

ertains types omme par exemple les Port S ans, les attaques DdS, et les foules subites

[Jung 2002℄ et d'autres [Hussain 2003℄, [Hodge 2004℄.

Déte tion par méthode en ligne ou hors ligne

Lespro essusdedéte tionpeuventsuivredesmodesenligneouhorsligne[Aussibal 2007℄,

[Cleary 2000℄. L'analyse hors ligne permet une étude plus omplète des données et

l'extra -tiondesinformationsquisontina essiblesenligne.Cetyped'analysené essitedessystèmes

de mesureetmonitoringquidoiventêtremisenpla epourextraireentempsréellespaquets

ir ulantsur lesliens sans queletra soitperturbé( ommeles artesDAG [Cleary 2000℄).

D'autre part, lesappro hes en lignese révèlent meilleuresen termes de rédu tion des

quan-tités de données sauvegardées à traiter. En outre, elles peuvent né essiter des équipements

spé iquesquisont oûteux, apablesdetraiterlesdonnéesé hantillonnéesàfréquen eélevée

dans le but de rester leplus dèlepossibleà lareprésentation exa te des données ir ulant.

Cette te hnique s'avère intéressante lorsde la apture de tra réseaude oeur.

Unautre ritèrede lassementdes te hniquesde déte tiondesanomaliesserapporteàla

méthodologieutilisée pour ee tuer l'analyse du tra . La déte tion peut être lassée selon

la base adoptée pour le traitement des données. Nous pouvons don diéren ier entre les

te hniques basées sur des seuils, sur leprol ou àbase d'ondelettes.

Déte tion à base de seuils

Lesalgorithmesbaséssur lesseuilsné essitentladénitionde seuils,au-dessus ouen

des-sousdesquels,letra est onsidéré ommeanormal.Lesvaleursassignéesà ha undesseuils

(34)

pas une ara téristique intrinsèque aux anomalies de tra . Cela rend les méthodes basées

sur l'étude des variations inadaptées à un grand nombre de perturbations dans le réseau.

En outre,le hoixdes seuilsau-delà duquelles anomaliessont déte tées n'est pas une tâ he

évidente pour séparer un tra régulierd'un tra anormal[Borgnat 2009℄, [Borgnat 2007℄.

Déte tion à base de prol

Laméthodologiebaséesurleprol, ommesonnoml'indique,né essiteladénitiond'un

prolnormaldu omportementduréseau.Puis,lorsdel'analysedutra a tuel,l'algorithme

ompare ave les valeurs attendues [Krishnamurthy 2003℄. Comme pour les appro hes à

seuils, ette appro he exige également la spé i ation des informationsa tuelles du réseau

pour diérer des valeurs prévues. Une spé i ation in orre te peut alors amener à des faux

positifs.

Remarque 1. Un faux positif ou fausse alarme est un résultat d'une prise de dé ision

inverse à la réalité mais ayant un eet positif. Par ontre, un faux négatif provient d'une

interprétationnégativede ladé ision opposée àla réalité.

Déte tion à base d'ondelettes

La méthode basée sur les ondelettes onsiste à diviser le signal du tra réseau en ses

omposantes fréquentielles. Chaque omposant est ensuite testé pour lesanomalies, dont la

durée orrespondàsoné helle.Ainsi,dansundomaineàbassefréquen e,l'anomaliedéte tée

est de longue durée. D'autre part, à des fréquen es élevées, les anomalies spontanées sont

déte tées (parexemple,lebruit),ainsi quelesanomaliesde ourtedurée[Barford2002℄.Ces

appro hes sont très e a es dans ladéte tion des anomalies.

Déte tion par des te hniques plus sophistiquées

Ladiversité des anomaliesdansle réseauamené audéveloppementde méthodes

sophis-tiquées qui ombinent les appro hes a quises ave de nouvelles méthodes omme les

algo-rithmes basés sur l'intelligen e arti ielle[Pat ha 2007℄ et sur leste hniques de traitement

de l'image[Chandola 2009℄.

Déte tion à base de signatures

Depuis que lesprols des utilisateurs sont dénisen fon tion de leurs a tivités,de

nom-breux Systèmes de Déte tion d'Intrusions (IDS) ont été élaborés [Denning 1987℄. Les IDS

sont dire tement liés à un type parti ulier d'anomaliegrâ e à l'identi ationdes

omporte-mentsspé iques ommeun mor eau de ode,une séquen e de bits dans un paquet,ouune

séquen e d'appelsde fon tionmalveillants.Unesignatureest unensemblede motifsquisont

utilisés pouridentier un asspé ique d'anomaliesdans le ontexte des IDS. Lesméthodes

basées sur les signatures identient les intrusions à des modèles prédénis omme

ompor-tements anormaux [Jung 2002℄. Un des prin ipaux avantages de l'utilisation de tels IDS,

'est qu'ilssont fa ilesà développeret à omprendre.En outre, l'exigen e de onnaissan es

(35)

anomaliesnon déte tées.D'oùlané essitéde lamise àjour ontinuelledesattaquesré entes

par des développeurs des IDS.

Déte tion de tout type d'anomalies (ADS)

Ce type de déte tion n'est pas entièrement dépendant des anomalies omme les IDS à

base de signatures. Ces systèmes apprennent le omportement normal du tra et des

sys-tèmes et examinent ontinuellement les omportements pour identier les in idents ou les

anomalies potentiellement dangereuses. Cette appro he re onnaît les anomalies selon leurs

impa tssur le réseau,pluttque de onnaîtreleur ongurationdans un in identspé ique

passé. Ainsi, es typesde systèmes peuvent déte ter un ensembleplus larged'anomalies.

Lessystèmes déte tant lesanomaliessont ara tériséespar deux phases:laphase

d'appren-tissage et laphase de déte tion [Chandola 2009℄. Dansla phase d'apprentissage, le

ompor-tementdu système est observéen absen e d'attaques pour réer un prol de omportement

normal. Dans la phase de déte tion, le prol est omparé ave le omportement a tuel du

système, et lesé arts sont onsidérés ommedes attaques potentielles.

Laséle tionin orre tedes paramètresquidoiventêtrevériésande distinguerune

anoma-lie d'un omportementnormalest l'un des in onvénients majeurs des ADS. Ce i est traduit

par une augmentation des faux négatifs. Un autre in onvénient potentiel survient lorsque

les malfon tionnements sont déte tés et des alertes sont générées, il est alors très di ile

de orréler es alertes à un type spé ique d'anomalies. Cependant, déte ter les anomalies

in onnues est l'avantage prin ipal de la déte tion d'anomalies. Ainsi, au lieu de dénir un

grand nombre de signatures pour les diérents s énarios d'attaques, il sut de dénir un

prol pour une a tivité normale.Alors,toute a tivité qui s'é arte de e prol est anormale.

Le ompromis entre lesdeux méthodes est quela déte tion basée sur lessignatures ne peut

pas déte terdenouvellesattaques,maisletauxde fauxpositifs orrespondantest plusfaible

[Barford 2002℄, [Ye 2000℄.

Lessystèmesde déte tion des anomaliesprésentés dans ettese tion résultentde l'étude

du omportementdu réseauen observantsoitlesvariationsdu tra résultant del'anomalie

soitlastru turedes paquetsanormaux(IDS).Letravailde ettethèsesesituedans le adre

général des ADS. Le but est la déte tion et la re onstru tion des anomaliesdans lemodèle

TCP/IP en utilisantla théorie de la ommande appliquéesur un modèle mathématique

ré-gissant le omportement normal du proto ole TCP. En outre, e système est soumis à de

grandes variations on ernantles taillesdes hiers transférés, le nombre de onnexions, les

mises àjourdes routesdes paquets oude défaillan esdes lignes. Dansun modèle

mathéma-tiquedé rivantladynamiquedu modèleTCP/IP, esphénomènespeuventêtree a ement

représentés ommedes perturbations.

1.7 Modélisation d'une ar hite ture TCP/IP

Dans la littérature, un ertain nombre de représentations mathématiques du modèle

TCP/IP a été développé en se fo alisant sur des aspe ts parti uliers du proto ole ou en

ajoutant un nouveau niveau de généralité dans la modélisation de ontrle de ongestion

(36)

présenté dans [Altman 2005℄, et des travaux de modélisation uide ont été proposés dans

[Misra 2000℄, [Low 2002℄, [Misra1999℄ sans tenant ompte des pertes de paquets par Time

Out. D'autres re her hes se sont spé ialisées sur des versions spé iques de TCP omme :

Reno et sa famille,Tahoe[Kumar 1998℄; SACK etVegas [Wierman2003℄.

Lors de ommuni ations TCP entre deux ma hines éloignées, plusieurs typesde réseaux

peuvent être ren ontrés. Si pour une partie de e réseau, le niveau de pertes de paquets

est important, les performan es de la onnexion entre les 2 ma hines vont être dégradées

vu que le temps de transmission et le temps d'aller-retour d'un paquet TCP et de l'ACK

dépendentdupar oursduréseau omplet.Unepropositionserad'isoleruntronçonduréseau

de manièreà analyser lo alementsur un routeur la déte tion de pertes et laretransmission

de paquets.Cetteméthodeest ditedesplitting [Maki 2005℄.L'idéede base onsisteàs inder

une ommuni ation TCP en plusieurs onnexions par l'intermédiaire de proxies permettant

de transférer le tra entre les onnexions ( .f. Figure 1.10). Des études expérimentales

[Maki 2005℄ ont montré l'e a ité d'un tel mé anisme qui ne né essite au une mesure du

réseau ou de modi ation des proto oles de ommuni ation TCP etIP.

Proxy

TCP

Proxy

TCP

Proxy

TCP

Proxy

TCP

Fig. 1.10: Méthode du splitting.

En suivant e prin ipe, nos travaux sont entralisés au niveau d'un routeur supposé lié en

aval à un nombre

N

de ux TCP omme montré dans la Figure 1.11. Pour représenter

la dynamique de TCP au niveau du routeur, nous avons adopté le modèle proposé dans

[Misra 2000℄, [Ariba2008℄, [Cao 2009℄. Vu sa simpli ité, e modèle est le plus utilisé par la

ommunautés ientique pour ee tuerune analysequantitative du problème de ongestion

dans le adre de la théorie de la ommande [Hollot2002℄. Les dynamiques de la fenêtre

de ongestion et de la longueur de la le d'attente du routeur sont élaborées grâ e à des

méthodes d'analyse diérentielle sto hastique en onsidérant le tra TCP omme uide,

e qui implique la ontinuité de la dynamique de la fenêtre de ongestion. D'autre part,

les ux envoyés par les sour es sont onsidérés omme homogènes. Toutes les onnexions

(37)

du omportement de la dynamique de la queue au niveau du routeur. Les résultats des

simulations sur un tel modèle ont montré une pré ision dans la apture de la dynamique

TCP [Misra 1999℄.

Emetteurs

Récepteurs

Routeur

Buﬀer

Fig. 1.11: Latopologie du modèle TCP/IP.

Étapes de al ul du modèle :

Considérons

N

onnexions TCP traversant un routeur. Pour un seul ux TCP

i

(

i =

1, . . . , N

) ayant un temps d'aller-retour

R

i

(t)

donnépar :

R

i

(t) = T

_pi

+

q(t)

C

,

ave

T

pi

ledélaide propagation orrespondantauux

i

et

q(t)

lalongueur delaled'attente

du routeur. Le délai danslaqueue du routeurest représentépar

q(t)

C

où

C

est la apa ité de

liensortant.

a- Dynamique de la fenêtre de ongestion pour un seul ux :

Nous supposons que le nombre de paquets éje tés est modélisé par un pro essus de

Poisson. Basée sur l'algorithme de ontrle de ongestion dé rit dans la se tion 1.2.2, la

variationde lataillede lafenêtre de ongestion

W

i

de lasour e

i

peut être alors dé ritepar

l'équation :

dW

i

(t) =

dt

R

i

(q(t))

−

W

i

(t)

2 dI

i3DupAck

(t) + (1 − W

i

(t))dI

iT O

(t),

(1.1)

oùlesindi esdes pertes par

3DupAck

et

T O

sontsymboliséspar lepro essusde Poisson

dI

où :

dI =







1

en as de pertes,

0

sinon.

L'équation (1.1) reète l'algorithme AIMD de ontrle de la fenêtre de ongestion : le

pre-mier terme explique l'augmentation linéaired'un paquet durant le temps d'aller-retour(

R

)

qui représente le temps é oulé pour que la sour e reçoive l'a usé de ré eption émis par le