curité et Surveillance
dans les Flots de Données

 

 

 

 

 

 

 

 

 

Accueil

Contexte

Problématique

Propositions

Applications

Equipes

Positionnement

Bibliographie

 

Réunions et CR

Equipe AxIS
INRIA
Sophia Antipolis

Equipe Dream
IRISA
Rennes

Equipe KDD
LGI2P/EMA
Nîmes

Equipe TATOO
LIRMM
Montpellier

 

La sécurité et la surveillance dans les flots de données : applications

Nous donnons dans cette section quelques exemples d'applications permettant d'illustrer les liens existants entre le traitement des flots de données et les besoins en termes de sécurité. Ces liens sont assez naturels, dans la mesure ou les données produites par les systèmes générateurs de flots sont souvent le ``pouls'' de ces systèmes. S'assurer d'une analyse sûre et réactive de ces données permet de garantir le bon fonctionnement du système. Il peut s'agir de détecter des fraudes et réagir immédiatement, de détecter une attaque pirate sur un site en temps réel ou encore de détecter une arythmie cardiaque sur les données d'un électrocardiogramme.

Prenons tout d'abord l'exemple des usages du Web (actions effectuées par les utilisateurs sur un site internet). Il s'agit de données brutes et de bas niveau (date et heure de l'enregistrement, pages demandées, IP de l'utilisateur, etc.). L'analyste veut extraire, à partir de ces données, les changements, les tendances, les motifs inhabituels et le tout avec un niveau de détails raisonnable. Il peut alors s'agir d'extraire des motifs exprimant que ``Le trafic moyen venant du Japon, sur le site de l'INRIA Sophia Antipolis, dans les 15 dernières minutes est 40% plus élevé que dans les dernières 24 heures''. Prenons maintenant le cas des attaques pirates sur un site. Ces attaques sont généralement à la recherche d'un ensemble de failles sur un site. Cet ensemble de failles est connu des pirates qui se communiquent des routines, contenant la série de requêtes à effectuer pour espérer faire s'écrouler un site Web. Le site de l'INRIA Sophia Antipolis est régulièrement la cible de ces attaques. Savoir analyser en temps réel le trafic du site et détecter des changement comme ``Des URLs jusqu'ici rarement demandées sont l'objet de requêtes successives contenues dans une fenêtre temporelle très réduite avec une fréquence en augmentation de 80% ces 2 dernière minutes'' peut permettre de réagir à de nouveaux types d'attaques (dont la technique ne serait pas encore connue des services informatiques) en temps réel et de prendre des dispositions immédiatement.

Un autre exemple se trouve dans les attaques de réseaux de type ``Déni de Service'' (DoS). Elles sont caractérisées par une tentative des attaquants de rendre impossible l'utilisation d'un service par ses utilisateurs légitimes. Il s'agit d'une des attaques internet les plus connues. Le mode d'opération de ces attaques consiste à consommer au maximum les ressources et la bande passante de la machine visée. Quand plusieurs attaquants se coordonnent pour lancer des attaquent de ce type, il s'agit d'une attaque DoS distribuée (DDoS). Une des formes de cette attaque est connue sous le nom de ``Email Bombing''. Il s'agit d'envoyer un nombre excessif de messages volumineux sur un ou plusieurs compte du site visé. L'Email Bombing est detecté quand le serveur du site victime est fortement ralenti, certainement en raison du grand nombre de messages à traiter. Une façon plus sécurisante de détecter cette attaque serait de surveiller le trafic du port 25/SMTP. Il s'agit alors de détecter les utilisations déviantes de ce port, afin d'exclure certaines adresses avant que le serveur ne se trouve saturé.