Security Analysis and Access Control Enforcement through Software Defined Networks / Analyse de sécurité et renforcement de control d’accès à travers les réseaux programmables

Zerkane, Salaheddine

05 November 2018

Les réseaux programmables (SDN) sont un paradigme émergent qui promet de résoudre les limitations de l'architecture du réseau conventionnel. Dans cette thèse, nous étudions et explorons deux aspects de la relation entre la cybersécurité et les réseaux programmables. D'une part, nous étudions la sécurité pour les réseaux programmables en effectuant une analyse de leurs vulnérabilités. Une telle analyse de sécurité est un processus crucial pour identifier les failles de sécurité des réseaux programmables et pour mesurer leurs impacts. D'autre part, nous explorons l'apport des réseaux programmables à la sécurité. La thèse conçoit et implémente un pare-feu programmable qui transforme la machine à états finis des protocoles réseaux, en une machine à états équivalente pour les réseaux programmables. En outre, la thèse évalue le pare-feu implémenté avec NetFilter dans les aspects de performances et de résistance aux attaques d’inondation par paquets de synchronisation. De plus, la thèse utilise l'orchestration apportée par les réseaux programmables pour renforcer la politique de sécurité dans le Cloud. Elle propose un Framework pour exprimer, évaluer, négocier et déployer les politiques de pare-feu dans le contexte des réseaux programmables sous forme de service dans le Cloud. / Software Defined Networking (SDN) is an emerging paradigm that promises to resolve the limitations of the conventional network architecture.SDN and cyber security have a reciprocal relationship. In this thesis, we study and explore two aspects of this relationship. On the one hand, we study security for SDN by performing a vulnerability analysis of SDN. Such security analysis is a crucial process in identifying SDN security flaws and in measuring their impacts. It is necessary for improving SDN security and for understanding its weaknesses.On the other hand, we explore SDN for security. Such an aspect of the relationship between SDN and security focusses on the advantages that SDN brings into security.The thesis designs and implements an SDN stateful firewall that transforms the Finite State Machine of network protocols to an SDN Equivalent State Machine. Besides, the thesis evaluates SDN stateful firewall and NetFilter regarding their performance and their resistance to Syn Flooding attacks.Furthermore, the thesis uses SDN orchestration for policy enforcement. It proposes a firewall policy framework to express, assess, negotiate and deploy firewall policies in the context of SDN as a Service in the cloud.

Réseaux programmables

Cybersécurité

Pare-feu

Orchestration

Vulnérabilité

Contrôle d’accès

Software Defined Networks

Cyber security

Firewall

Orchestration

Vulnerability

Access Control

005.8

Etude du comportement sous impact d'une strcuture pare-blocs en béton armé

Delhomme, Fabien

04 March 2005

Cette thèse a pour objet l'étude du comportement d'un nouveau système de galerie de protection contre les chutes de blocs appelé Pare-blocs Structurellement Dissipant (PSD). L'innovation majeure, par rapport aux solutions classiques, est de dissiper l'énergie d'impact directement dans la dalle en béton armé ou dans des appuis fusibles, et non plus dans une couche de matériau amortissant. Les phénomènes dynamiques ayant lieu lors de l'impact d'un bloc sur la dalle sont analysés au moyen d'expérimentations sur une structure PSD à l'échelle 1/3. Les efforts de percussion appliqués à la dalle, durant la phase de contact avec le bloc, sont estimés ainsi que les différents transferts et dissipations d'énergie. Les résultats ont permis de valider le principe de fonctionnement et de réparation des PSD et font apparaître que la dalle est endommagée par trois mécanismes majeurs : le poinçonnement, la mise en flexion et la déstructuration de surface de la zone impactée. Les principales grandeurs expérimentales sont retrouvées à l'aide de simulations numériques des essais avec un code éléments finis. Un modèle mécanique simplifié « masses-ressorts-amortisseur » est également développé dans le but de concevoir des méthodes de dimensionnement applicables en bureau d'études. Les perspectives de ce travail sont d'aboutir à l'établissement de recommandations sur la conception et la réalisation des pare-blocs structurellement dissipants.

[SPI:MAT] Engineering Sciences/Materials

pare-blocs

béton armé

impact

dynamique

expérimentations

poinçonnement

effort de percussion

modèle simplifié

éléments finis

risques naturels

Approche numérique couplée discret-continu appliquée aux ouvrages cellulaires impactés

Breugnot, Antonin

10 June 2011

Le cadre général de ce travail concerne la modélisation du comportement mécanique sous impact de merlons de protection contre les chutes de blocs rocheux. Les ouvrages ciblés sont à technologie cellulaire, et sont composés de gabions à enveloppe grillagée remplis de matériaux granulaires (pierres concassées ou mélange de sable et de déchiquetas de pneus). L'absence de recommandations relatives au dimensionnement de ce type de structure de protection a conduit à la mise en place du projet ANR REMPARe couplant expérimentations in situ et modélisations numériques. Dans le cadre de ce projet, une méthode numérique innovante couplant les approches discrète et continue a été développée. Localement, la méthode des éléments discrets est employée pour conserver la précision de modélisation dans les zones fortement sollicitées proches de l'impact. Le remblai technique aval, peu sollicité, a été discrétisé par une méthode continue aux différences finies. La jonction entre ces deux zones fait l'objet d'un couplage basé sur des critères de conservation d'énergie et de condition cinématique en déplacement. Un modèle de comportement pour les gabions a été proposé et calibré à partir d'essais expérimentaux réalisés à l'échelle de la cellule. Des simulations d'impacts sur un merlon de protection prototype ont été menées puis validées par comparaison avec les mesures issues des expérimentations en vraie grandeur. Afin d'améliorer la compréhension des mécanismes engendrés, l'étude paramétrique portant sur les propriétés des matériaux et les caractéristiques d'impact a permis d'évaluer leur influence sur le mécanisme d'impact.

[SPI] Engineering Sciences

Modélisation numérique

Couplage discret-continu

Merlon de protection pare blocs

Impact

Ouvrage cellulaire

Expérimentation vraie grandeur

Alcoolisme au féminin, maternité et processus de différenciation : une étude à partir de la prise en charge de mères de plus de cinquante ans lors du départ de leur enfant du foyer / Female alcoholism, motherhood and process of differentiation : a study from the care and management of 50 year-old women as their child leave the family home

Guiguet-Boulogne, Lydie

26 January 2016

Certaines femmes alcooliques consultent pour leur problème d'alcool quand leurs enfants, grands adolescents ou jeunes adultes, prennent leur indépendance. Elles interrogent donc une problématique de dépendance – leur dépendance à un produit – quand leurs enfants prennent leur autonomie.L'hypothèse générale de cette recherche est que pour les femmes alcooliques, la séparation avec les enfants quittant le domicile familial réactiverait les enjeux de séparation-individuation impliqués également dans la dépendance à l'alcool. La concomitance des demandes d'arrêt d'alcool et d'aide pour se séparer des enfants serait due à un soi indifférencié, conséquence de processus de séparation-individuation entravés précocement. Le soi de la femme alcoolique est un soi peu différencié de sa famille d'origine, un « soi-famille » en lieu et place d'un soi individuel, qui se réactualise dans la famille actuelle.La méthode de cette recherche repose sur trois cas cliniques issus de prises en charge sur plusieurs années en addictologie, ainsi que sur l’utilisation de dessins libres de l'arbre généalogique, de données d'une recherche hospitalière et d'un matériel littéraire. Un premier axe d'analyse du matériel clinique porte sur le type de relations que la femme alcoolique a avec ses parents, avec son conjoint et avec ses enfants. Un deuxième axe étudie la fonction de la consommation d'alcool pour la mère alcoolique dans les enjeux de séparation-individuation. Un troisième axe analyse les manifestations d’un « soi-famille » chez la patiente, en lieu et place d'un soi individuel. Cette étude montre les différentes formes que peut prendre le « soi-famille » chez la femme alcoolique lors du départ des enfants du domicile familial, et l'intérêt de l'approche familiale quand une mère souffre d'alcoolisme.Les résultats de cette recherche mettent en évidence l'aspect indifférencié du soi des mères alcooliques, qui tend vers une lente différenciation, et vers l'émergence d'une position féminine. / Certain alcoholic women consult for their drinking problem when their children, old teenagers or young adults,take their independence. Thus they question a problem of dependence - their dependence on one product - when their children achieve their independence.The general hypothesis of this research is that for alcoholic women, the separation with the children leaving the family home would reactivate the issues of separation-individuation also implied in alcohol addiction. The concomitance of their desire to stop alcohol and their need for help to part from their children would be due to a self undifferentiated, consequence of the process of separation-individuation hindered prematurely. The self of the alcoholic woman is a self little differentiated from her family of origin, one "family self" instead of an individualself, which revives itself into the current family.The method of this research is based on the analysis of three clinical cases stemming of many years care in addictology, free drawings of the family tree, data of a hospital research and some literary material. A first axis of analysis concerns the type of relations whom the alcoholic woman has with her parents, with her spouse and with her children. The second axis studies the function of alcohol consumption for the alcoholic mother in the issue of separation-individuation. The third axis analyzes the expression of one "family self" in the patient, instead of an individual self. This study shows the different aspects which the "family self" in alcoholic women as their children leave then family home can take, and the benefit of the family approach when a mother suffers from alcoholism.The results of this research highlight the undifferentiated aspect of the self of the alcoholic mothers, who aims towards a slow differentiation, and towards an emergence of a feminine position.

Alcoolisme

Maternité

Position féminine

Différenciation

Soi

Pare-excitation

Famille

Alcoholism

Motherhood

Feminine position

Differentiation

Self

Protective shield

Family

155

Etude comparative de l'investissement psychique de l'habitat en France et aux Etats-Unis / Comparative study of psychic investment in housing in France and the United States

Mortet, Jérôme

10 February 2015

En cette période de mondialisation des modes d’habitation et d’uniformisation desagencements de l’espace, est-ce qu’il subsiste des différences au niveau du fonctionnementfamilial dans les pays occidentaux ? Et si ces différences subsistent, comment se transposent-ellessur l’habitat réel ? Ainsi cette recherche universitaire propose une étude comparative del’investissement psychologique de l’habitat entre la France et les Etats-Unis. Le test projectifnommé « l’épreuve familiale de spatiographie projective » élaboré par Patrice Cuynet (1999-2000) a pour objectif de comprendre l’image du corps familial à travers l’analyse du dessincollectif de leur maison de rêve. Ce test a été administré à 30 familles françaises et 30familles américaines. Nous sommes partis du postulat que l’habitat est une enveloppe, unepeau réelle et fantasmée de la famille (A. Eiguer, 1983) qui fonctionne comme le Moi-peau(D. Anzieu, 1985). Grâce à cette méthodologie, nous allons pouvoir établir un diagnostic surla structuration familiale et comparer les résultats obtenus en France et aux Etats-Unis. / In this current period of globalization of the housing arrangements and of thestandardization in the space layouts, are some differences subsisting in the family functioningin western societies? And if these differences remain, how do they reflect on the real housingenvironment? This thesis will approach a comparative study of the psychological investmentof the housing environment between France and the United States. The projective test named" the family test of spatiography projective " developed by Patrice Cuynet (1999-2000) set outto gain a better understanding of the image of the family body through the analysis of thecollective drawing of their dream house. This test was assigned to 30 French families and 30American families. We started from the postulate that the housing environment is anenvelope, a real skin and fantasized over the family (In. Eiguer on 1983) which works as theEgo-skin (D. Anzieu on 1985). Thanks to this methodology, we are going to be able toestablish a diagnosis on the family structuring and compare the results obtained in Franceand in the United States.

Image du corps familial

Moi-peau

Maison

Pare-excitation

Etayage

Family body image

Ego-skin

House

Protective shield

Anaclisis

157

Analyse de quelques éléments du comportement des écrans de filets pare-blocs / Analysis of some elements of the behaviour of soft rockfall barriers

Ghoussoub, Leyla

01 December 2014

Les écrans de filets pare-blocs sont des structures complexes hétérogènes formés d'un filet métallique maintenu par des câbles, des poteaux et des haubans munis de dissipateurs d'énergie. Le filet intercepte la trajectoire du bloc rocheux et résiste à sa perforation en dissipant l'énergie cinétique de l'impact dans les différents éléments de la structure. Le problème de modélisation posé par ces structures met en jeu de nombreuses non-linéarités tant matérielles que géométriques : l'impact dynamique rapide, les grandes déformations du filet et des câbles, les glissements et les frottements (dans le filet, du filet sur les câbles ou des câbles sur les supports), la plastification du filet ou des éléments dissipateurs, ainsi qu'un très grand nombre de paramètres géométriques ou technologiques (type de filet, type de dissipateur, type d'architecture de kit).Les travaux de doctorat présentés ici proposent deux nouvelles approches pour la modélisation numérique de deux principaux éléments du comportement des écrans de filets pare-blocs : les propriétés élastiques intrinsèques des filets et l'effet rideau, c'est-à-dire le glissement du filet sur les câbles de rives. Sur le premier point, il est à noter que les recherches qui ont été consacrées jusqu'à présent à l'étude du filet se concentrent pour l'essentiel sur des typologies particulières. Dans ce travail, les propriétés intrinsèques des différentes technologies de filets sont déterminées à l'aide de la méthode d'homogénéisation des milieux périodiques discrets dans laquelle chaque filet est remplacé par une membrane homogène. Une comparaison des comportements non-linéaires des principales technologies de filets est effectuée et met en évidence des différences remarquables dans la distribution des efforts aux bords de chaque filet et les caractéristiques des déformations. Concernant le deuxième point, plusieurs études ont montré l'importance de la modélisation des câbles glissants pour reproduire le comportement réel de la structure. Dans la deuxième partie de la thèse, l'effet rideau est modélisé. Un modèle analytique de câble glissant à « n » nœuds est développé. Ensuite, ce modèle est implémenté dans un algorithme numérique mettant en œuvre une utilisation avancée du logiciel de calcul par éléments finis code-aster en statique et en dynamique. Cet algorithme est validé par des calculs analytiques et les limites de la méthode utilisée sont exposées. Enfin, des tests numériques sont conduits sur des modèles de filets en tenant compte de l'effet rideau pour évaluer l'influence du modèle développé sur les résultats. Des remarques, observations et conseils sont déduits afin d'aboutir à un outil numérique d'aide à la conception des écrans de filets pare-blocs / Soft rockfall barriers are complex structures that generally consist of a metallic net supported by steel posts and cables with brake elements. Several experimental and numerical studies have been carried out to evaluate their behaviour and a technical agreement in EU was recently established to certify these barriers based on experimental tests. Actually, manufacturers develop rockfall kits with their own technical specificities. The objective of the present work is to determine the intrinsic properties of most common nets technologies and to investigate their influence on the overall mechanical behaviour of the structure. To this end, a comprehensive comparison between the local behaviours of the different nets is first presented using equivalent homogeneous membranes. Results derived for square nets under static concentrated loading illustrate the influence of the manufacturing technology on the deflection and stresses distribution. Then, a numerical and analytical model for the so-called “curtain effect” is developed and validated. It is focused on the capacity of the proposed methodology to study and evaluate the response of the whole barrier

Structures

Ecrans pare-Blocs

Homogénéisation des structures

Modélisation numérique

Cable glissant

Structures

Homogenization

Numerical methods

Sliding cable

Rockfall barriers

The Plow That Broke the Plains: An Application of Functional Americanism in Music

Hartz, Jason Michael

January 2010

No description available.

American Studies

Fine Arts

Music

The Plow That Broke the Plains

Virgil Thomson

Resettlement Administration

Pare Lorentz

New Deal

Dust Bowl

Musical Americanism

Health beliefs of the urban pare tribe living in Moshi, Tanzania

Savage, Angela Ruth

30 June 2003

This dissertation reports on the findings of a qualitative, exploratory, descriptive and contextual study into the health beliefs and practices of urban Pares, living in Moshi, Kilimanjaro Region, in Tanzania. The study utilised aspects of the transcultural nursing framework. Semi-structured interviews were used for data gathering with a sample of nine urban Pare informants. Data were analysed thematically. The major findings indicate that health beliefs arise from magico-religious, holistic and scientific paradigms. It was also found that beliefs and behaviour patterns are changing. These findings are discussed in terms of the two major themes, namely, multiple world views and change and continuity. Recommendations arising from the findings are made which may assist health workers to provide culturally congruent care. / Health Studies / (M.A. (Health Studies))

Health beliefs

Culture

Pare tribe

Kilimanjaro Region

Tanzania

Health behavior -- Tanzania -- Moshi

Analyse de sécurité et QoS dans les réseaux à contraintes temporelles / Analysis of security and QoS in networks with time constraints

Mostafa, Mahmoud

10 November 2011

Dans le domaine des réseaux, deux précieux objectifs doivent être atteints, à savoir la QoS et la sécurité, plus particulièrement lorsqu’il s’agit des réseaux à caractère critique et à fortes contraintes temporelles. Malheureusement, un conflit existe : tandis que la QoS œuvre à réduire les temps de traitement, les mécanismes de sécurité quant à eux requièrent d’importants temps de traitement et causent, par conséquent, des délais et dégradent la QoS. Par ailleurs, les systèmes temps réel, la QoS et la sécurité ont très souvent été étudiés séparément, par des communautés différentes. Dans le contexte des réseaux avioniques de données, de nombreux domaines et applications, de criticités différentes, échangent mutuellement des informations, souvent à travers des passerelles. Il apparaît clairement que ces informations présentent différents niveaux de sensibilité en termes de sécurité et de QoS. Tenant compte de cela, le but de cette thèse est d’accroître la robustesse des futures générations de réseaux avioniques de données en contrant les menaces de sécurité et évitant les ruptures de trafic de données. A cet effet, nous avons réalisé un état de l’art des mécanismes de sécurité, de la QoS et des applications à contraintes temporelles. Nous avons, ensuite étudié la nouvelle génération des réseaux avioniques de données. Chose qui nous a permis de déterminer correctement les différentes menaces de sécurité. Sur la base de cette étude, nous avons identifié à la fois les exigences de sécurité et de QoS de cette nouvelle génération de réseaux avioniques. Afin de les satisfaire, nous avons proposé une architecture de passerelle de sécurité tenant compte de la QoS pour protéger ces réseaux avioniques et assurer une haute disponibilité en faveur des données critiques. Pour assurer l’intégration des différentes composantes de la passerelle, nous avons développé une table de session intégrée permettant de stocker toutes les informations nécessaires relatives aux sessions et d’accélérer les traitements appliqués aux paquets (filtrage à états, les traductions d’adresses NAT, la classification QoS et le routage). Cela a donc nécessité, en premier lieu, l'étude de la structure existante de la table de session puis, en second lieu, la proposition d'une toute nouvelle structure répondant à nos objectifs. Aussi, avons-nous présenté un algorithme permettant l’accès et l’exploitation de la nouvelle table de session intégrée. En ce qui concerne le composant VPN IPSec, nous avons détecté que le trafic chiffré par le protocole ESP d’IPSec ne peut pas être classé correctement par les routeurs de bordure. Afin de surmonter ce problème, nous avons développé un protocole, Q-ESP, permettant la classification des trafics chiffrés et offrant les services de sécurité fournis par les protocoles AH et ESP combinés. Plusieurs techniques de gestion de bande passante ont été développées en vue d’optimiser la gestion du trafic réseau. Pour évaluer les performances offertes par ces techniques et identifier laquelle serait la plus appropriée dans notre cas, nous avons effectué une comparaison basée sur le critère du délai, par le biais de tests expérimentaux. En dernière étape, nous avons évalué et comparé les performances de la passerelle de sécurité que nous proposons par rapport à trois produits commerciaux offrant les fonctions de passerelle de sécurité logicielle en vue de déterminer les points forts et faibles de notre implémentation pour la développer ultérieurement. Le manuscrit s’organise en deux parties : la première est rédigée en français et représente un résumé détaillé de la deuxième partie qui est, quant à elle, rédigée en anglais. / QoS and security are two precious objectives for network systems to attain, especially for critical networks with temporal constraints. Unfortunately, they often conflict; while QoS tries to minimize the processing delay, strong security protection requires more processing time and causes traffic delay and QoS degradation. Moreover, real-time systems, QoS and security have often been studied separately and by different communities. In the context of the avionic data network various domains and heterogeneous applications with different levels of criticality cooperate for the mutual exchange of information, often through gateways. It is clear that this information has different levels of sensitivity in terms of security and QoS constraints. Given this context, the major goal of this thesis is then to increase the robustness of the next generation e-enabled avionic data network with respect to security threats and ruptures in traffic characteristics. From this perspective, we surveyed the literature to establish state of the art network security, QoS and applications with time constraints. Then, we studied the next generation e-enabled avionic data network. This allowed us to draw a map of the field, and to understand security threats. Based on this study we identified both security and QoS requirements of the next generation e-enabled avionic data network. In order to satisfy these requirements we proposed the architecture of QoS capable integrated security gateway to protect the next generation e-enabled avionic data network and ensure the availability of critical traffic. To provide for a true integration between the different gateway components we built an integrated session table to store all the needed session information and to speed up the packet processing (firewall stateful inspection, NAT mapping, QoS classification and routing). This necessitates the study of the existing session table structure and the proposition of a new structure to fulfill our objective. Also, we present the necessary processing algorithms to access the new integrated session table. In IPSec VPN component we identified the problem that IPSec ESP encrypted traffic cannot be classified appropriately by QoS edge routers. To overcome this problem, we developed a Q-ESP protocol which allows the classifications of encrypted traffic and combines the security services provided by IPSec ESP and AH. To manage the network traffic wisely, a variety of bandwidth management techniques have been developed. To assess their performance and identify which bandwidth management technique is the most suitable given our context we performed a delay-based comparison using experimental tests. In the final stage, we benchmarked our implemented security gateway against three commercially available software gateways. The goal of this benchmark test is to evaluate performance and identify problems for future research work. This dissertation is divided into two parts: in French and in English respectively. Both parts follow the same structure where the first is an extended summary of the second.

Sécurité

QoS

Réseaux avioniques de données

Pare-feu

IPsec

Table de session

Passerelle

Benchmarking

Security

QoS

Avionic Data Network

Firewall

IPSec

Session Table

Gateway

Benchmarking

Preventing information leakage in NDN with name and flow filters / Prévenir la fuite d'information dans les NDN grâce aux filtres de noms et de flux

Kondo, Daishi

17 December 2018

Au cours des dernières années, les réseaux de type (NDN) sont devenus une des architectures réseau les plus prometteuses. Pour être adopté à l'échelle d'Internet, NDN doit résoudre les problèmes inhérents à l'Internet actuel. La fuite d’informations fait partie de ces problèmes, et il est très important d’évaluer ce risque pour les réseaux de type NDN. La thèse se propose d'évaluer ce risque. En supposant (i) qu'un ordinateur appartient au réseau d'une entreprise basée sur une architecture NDN, (ii) que l'ordinateur a déjà été compromis par un support malveillant, et (iii) que la société installe un pare-feu, la thèse évalue la situation dans laquelle l’ordinateur infecté tente de divulguer des données à un attaquant externe à l'entreprise. Les contributions de cette thèse sont au nombre de cinq. Tout d'abord, cette thèse propose une attaque par fuite d'informations via un paquet donné et un paquet intérêt propres à NDN. Deuxièmement, afin de remédier à l'attaque fuite d'informations, cette thèse propose un pare-feu basé sur l'utilisation d'une liste blanche et d'une liste noire afin de surveiller et traiter le trafic NDN provenant des consommateurs. Troisièmement, cette thèse propose un filtre de noms NDN pour classifier un nom dans un paquet d'intérêt comme étant légitime ou non. Le filtre de noms peut ainsi réduire le débit par paquet d'intérêt. Cependant, pour adapter la vitesse de l'attaque, les logiciels malveillants peuvent envoyer de nombreux intérêts en très peu de temps. De même, le logiciel malveillant peut exploiter un intérêt avec une information explicite dans le nom (comme peut le faire un message véhiculé par un POST sur HTTP). Cela dépasse alors la portée du filtre de nom proposé et rend le filtre inefficace. Pour prendre en compte le flux de trafic analysé par le pare-feu NDN, cette thèse propose comme quatrième contribution la surveillance du flux NDN à travers le pare-feu. Enfin, afin de traiter les inconvénients du filtre de noms NDN, cette thèse propose un filtre de flux NDN permettant de classer un flux comme légitime ou non. L'évaluation des performances montre que le filtre de flux complète de manière tout à fait performante le filtre de nom et réduit considérablement le débit de fuite d'informations / In recent years, Named Data Networking (NDN) has emerged as one of the most promising future networking architectures. To be adopted at Internet scale, NDN needs to resolve the inherent issues of the current Internet. Since information leakage from an enterprise is one of the big issues even in the Internet and it is very crucial to assess the risk before replacing the Internet with NDN completely, this thesis investigates whether a new security threat causing the information leakage can happen in NDN. Assuming that (i) a computer is located in the enterprise network that is based on an NDN architecture, (ii) the computer has already been compromised by suspicious media such as a malicious email, and (iii) the company installs a firewall connected to the NDN-based future Internet, this thesis focuses on a situation that the compromised computer (i.e., malware) attempts to send leaked data to the outside attacker. The contributions of this thesis are fivefold. Firstly, this thesis proposes an information leakage attack through a Data and through an Interest in NDN. Secondly, in order to address the information leakage attack, this thesis proposes an NDN firewall which monitors and processes the NDN traffic coming from the consumers with the whitelist and blacklist. Thirdly, this thesis proposes an NDN name filter to classify a name in the Interest as legitimate or not. The name filter can, indeed, reduce the throughput per Interest, but to ameliorate the speed of this attack, malware can send numerous Interests within a short period of time. Moreover, the malware can even exploit an Interest with an explicit payload in the name (like an HTTP POST message in the Internet), which is out of scope in the proposed name filter and can increase the information leakage throughput by adopting a longer payload. To take traffic flow to the NDN firewall from the consumer into account, fourthly, this thesis proposes an NDN flow monitored at an NDN firewall. Fifthly, in order to deal with the drawbacks of the NDN name filter, this thesis proposes an NDN flow filter to classify a flow as legitimate or not. The performance evaluation shows that the flow filter complements the name filter and greatly chokes the information leakage throughput

Named Data Networking

Fuite d’informations

Pare-feu

Filtre de nom

Filtre de flux

Named Data Networking

Information leakage

Firewall

Name filter

Flow filter

005.82