L'exploitation de l'auto-similarité pour la prédiction du trafic Internet

Chtioui, Maher

January 2006

Les recherches qui se font pour modéliser l'évolution de trafic Internet sur une grande échelle de temps et pour développer des modèles de prédictions à court et à long terme constituent les domaines les plus intéressés par les chercheurs en technologies de l'information. En effet, pour compléter et affiner la caractérisation du trafic introduite par les premières études et recherches, il est fort utile de modéliser de façon nouvelle et efficace le trafic Internet. Jusqu'à présent, les ingénieurs et chercheurs en réseau utilisaient des modèles Mathématiques et Statistiques pour modéliser les processus de trafic. Pour ce, il faudrait proposer de nouveaux modèles de trafic réalistes. On peut notamment citer le trafic réseau le plus réaliste en intégrant les notions d'auto-similarité et de dépendance à long terme LRD. En utilisant des outils mathématiques, on a commencé par chercher le type du processus à partir des historiques de l'information et savoir le type de trafic pour des différentes échelles de temps, ceci exige une grande collection de mesures sur une longue durée de temps. Ce que nous a permit de montrer que le trafic dans un réseau Internet est exposé à des fortes périodicités et des variabilités aux multiples échelles de temps. Une autre contribution importante, décrite en détail dans ce mémoire, consiste à utiliser les résultats des simulations de trafic Internet plus réalistes afin d'appliquer des algorithmes de prédiction sur ces séries simulées. Quatre algorithmes ont été testés dans ce cadre intégrant des modèles mathématiques afin d'offrir des preuves et des validations du bon fonctionnement des solutions proposées, pour en sortir à la fin, le meilleur algorithme qui permet de donner un taux d'erreurs minimum ainsi qu'une grande simplicité dans son application.

Modélisation

Trafic réseau

Internet

Prévision

Transmission des données

Unsupervised network anomaly detection / Détection non-supervisée d'anomalies du trafic réseau

Mazel, Johan

19 December 2011

La détection d'anomalies est une tâche critique de l'administration des réseaux. L'apparition continue de nouvelles anomalies et la nature changeante du trafic réseau compliquent de fait la détection d'anomalies. Les méthodes existantes de détection d'anomalies s'appuient sur une connaissance préalable du trafic : soit via des signatures créées à partir d'anomalies connues, soit via un profil de normalité. Ces deux approches sont limitées : la première ne peut détecter les nouvelles anomalies et la seconde requiert une constante mise à jour de son profil de normalité. Ces deux aspects limitent de façon importante l'efficacité des méthodes de détection existantes.Nous présentons une approche non-supervisée qui permet de détecter et caractériser les anomalies réseaux de façon autonome. Notre approche utilise des techniques de partitionnement afin d'identifier les flux anormaux. Nous proposons également plusieurs techniques qui permettent de traiter les anomalies extraites pour faciliter la tâche des opérateurs. Nous évaluons les performances de notre système sur des traces de trafic réel issues de la base de trace MAWI. Les résultats obtenus mettent en évidence la possibilité de mettre en place des systèmes de détection d'anomalies autonomes et fonctionnant sans connaissance préalable / Anomaly detection has become a vital component of any network in today’s Internet. Ranging from non-malicious unexpected events such as flash-crowds and failures, to network attacks such as denials-of-service and network scans, network traffic anomalies can have serious detrimental effects on the performance and integrity of the network. The continuous arising of new anomalies and attacks create a continuous challenge to cope with events that put the network integrity at risk. Moreover, the inner polymorphic nature of traffic caused, among other things, by a highly changing protocol landscape, complicates anomaly detection system's task. In fact, most network anomaly detection systems proposed so far employ knowledge-dependent techniques, using either misuse detection signature-based detection methods or anomaly detection relying on supervised-learning techniques. However, both approaches present major limitations: the former fails to detect and characterize unknown anomalies (letting the network unprotected for long periods) and the latter requires training over labeled normal traffic, which is a difficult and expensive stage that need to be updated on a regular basis to follow network traffic evolution. Such limitations impose a serious bottleneck to the previously presented problem.We introduce an unsupervised approach to detect and characterize network anomalies, without relying on signatures, statistical training, or labeled traffic, which represents a significant step towards the autonomy of networks. Unsupervised detection is accomplished by means of robust data-clustering techniques, combining Sub-Space clustering with Evidence Accumulation or Inter-Clustering Results Association, to blindly identify anomalies in traffic flows. Correlating the results of several unsupervised detections is also performed to improve detection robustness. The correlation results are further used along other anomaly characteristics to build an anomaly hierarchy in terms of dangerousness. Characterization is then achieved by building efficient filtering rules to describe a detected anomaly. The detection and characterization performances and sensitivities to parameters are evaluated over a substantial subset of the MAWI repository which contains real network traffic traces.Our work shows that unsupervised learning techniques allow anomaly detection systems to isolate anomalous traffic without any previous knowledge. We think that this contribution constitutes a great step towards autonomous network anomaly detection.This PhD thesis has been funded through the ECODE project by the European Commission under the Framework Programme 7. The goal of this project is to develop, implement, and validate experimentally a cognitive routing system that meet the challenges experienced by the Internet in terms of manageability and security, availability and accountability, as well as routing system scalability and quality. The concerned use case inside the ECODE project is network anomaly

Trafic réseau

Détection d'anomalies

Apprentissage non-supervisé

Prévision du trafic Internet : modèles et applications

Zhani, Mohamed Faten

06 1900

Avec l'essor de la métrologie de l'Internet, la prévision du trafic s'est imposée comme une de ses branches les plus importantes. C'est un outil puissant qui permet d'aider à la conception, la mise en place et la gestion des réseaux ainsi qu'à l'ingénierie du trafic et le contrôle des paramètres de qualité de service. L'objectif de cette thèse est d'étudier les techniques de prévision et d'évaluer la performance des modèles de prévision et de les appliquer pour la gestion des files d'attente et le contrôle du taux de perte dans les réseaux à commutation de rafales. Ainsi, on analyse les différents paramètres qui permettent d'améliorer la performance de la prévision en termes d'erreur. Les paramètres étudiés sont : la quantité de données nécessaires pour définir les paramètres du modèle, leur granularité, le nombre d'entrées du modèle ainsi que les caractéristiques du trafic telles que sa variance et la distribution de la taille des paquets. Nous proposons aussi une technique d'échantillonnage baptisée échantillonnage basé sur le maximum (Max-Based Sampling - MBS). Nous prouvons son efficacité pour améliorer la performance de la prévision et préserver l'auto-similarité et la dépendance à long terme du trafic. Le travail porte aussi sur l'exploitation de la prévision du trafic pour la gestion du trafic et le contrôle du taux de perte dans les réseaux à commutation de rafales. Ainsi, nous proposons un nouveau mécanisme de gestion de files d'attente, baptisé α_SNFAQM, qui est basé sur la prévision du trafic. Ce mécanisme permet de stabiliser la taille de la file d'attente et par suite, contrôler les délais d'attente des paquets. Nous proposons aussi une nouvelle technique qui permet de garantir la qualité de service dans les réseaux à commutation de rafales en termes de taux de perte. Elle combine entre la modélisation, la prévision du trafic et les systèmes asservis avec feedback. Elle permet de contrôler efficacement le taux de perte des rafales pour chaque classe de service. Le modèle est ensuite amélioré afin d'éviter les feedbacks du réseau en utilisant la prévision du taux de perte au niveau TCP. ______________________________________________________________________________ MOTS-CLÉS DE L’AUTEUR : Modélisation et prévision du trafic, techniques d'échantillonnage, gestion des files d'attente, réseaux à commutation de rafales, contrôle du taux de perte, qualité de service, l'automatique.

Commutation optique par rafales

Échantillonnage

File d'attente

Gestion des travaux

Internet

Modélisation

Prévision

Qualité des services

Trafic réseau

Détection non supervisée d'anomalies dans les réseaux de communication

Mazel, Johan

19 December 2011

La détection d'anomalies est une tâche critique de l'administration des réseaux. L'apparition continue de nouvelles anomalies et la nature changeante du trafic réseau compliquent de fait la détection d'anomalies. Les méthodes existantes de détection d'anomalies s'appuient sur une connaissance préalable du trafic : soit via des signatures créées à partir d'anomalies connues, soit via un profil de normalité. Ces deux approches sont limitées : la première ne peut détecter les nouvelles anomalies et la seconde requiert une constante mise à jour de son profil de normalité. Ces deux aspects limitent de façon importante l'efficacité des méthodes de détection existantes. Nous présentons une approche non-supervisée qui permet de détecter et caractériser les anomalies réseaux de façon autonome. Notre approche utilise des techniques de partitionnement afin d'identifier les flux anormaux. Nous proposons également plusieurs techniques qui permettent de traiter les anomalies extraites pour faciliter la tâche des opérateurs. Nous évaluons les performances de notre système sur des traces de trafic réel issues de la base de trace MAWI. Les résultats obtenus mettent en évidence la possibilité de mettre en place des systèmes de détection d'anomalies autonomes et fonctionnant sans connaissance préalable.

Traffic state estimation and prediction in freeways and urban networks / Estimation et prédiction de l'état du trafic dans les autoroutes et les réseaux urbains

Ladino lopez, Andrés

08 March 2018

La centralisations du travail, la croissance économique et celle de la population autant que l’urbanisation continue sont les causes principales de la congestion. Lors que les villes s’efforcent pour mettre à jour leurs infrastructures du trafic, l’utilisation de nouvelles techniques pour la modélisation, l’analyse de ces systèmes ainsi que l’intégration des mega données aux algorithmes aident à mieux comprendre et combattre les congestions, un aspect crucial pour le bon développement de nos villes intelligentes du XXIe siècle. Les outilsd’assistance de trafic spécialement conçus pour détecter, prévoir et alerter des conditions particulières sont très demandés dans nos jours.Cette recherche est consacrée au développement des algorithmes pour l’estimation et la prédiction sur des réseaux de trafic routier. Tout d’abord, nous considérons le problème de prévision à court terme du temps de trajet dynamique basé sur des méthodes pilotées par les données. Nous proposons deux techniques de fusion pour calculer les prévisions à court terme. Dans un première temps, nous considérons la matrice de covariance d’erreur et nous utilisons ses informations pour fusionner les prévisions individuelles créées á partir de clusters. Dans un deuxième temps, nous exploitons les mesures de similarité parmi le signal á prédire et des clusters dans l’histoire et on propose une fusion en tant que moyenne pondérée des sorties des prédicteurs de chaque cluster. Les résultats des deux méthodes on été validés dans le Grenoble Traffic Lab, un outil en temps réel qui permet la récupération de données d’une autoroute d’environ (10.5Km) qui couvre le sud de Grenoble.Postérieurement nous considérons le problème de reconstruction de la densité / et le débit de façon simultanée à partir de sources d’information hétérogènes. Le réseau de trafic est modélisé dans le cadre de modèles de trafic macroscopique, où nous adoptons l’équation de conservation Lighthill-Whitham-Richards avec un diagramme fondamental linaire par morceaux. Le problème d’estimation repose sur deux principes clés. Dans un premier temps, nous considérons la minimisation des erreurs entre les débits et les densités mesurés et reconstruits. Finalement, nous considérons l’état d’équilibre du réseau qui établit la loi de propagation des flux entrants et sortants dans le réseau. Tous les principes sont intégrés et le problème est présenté comme une optimisation quadratique avec des contraintes d’égalité a fin de réduire l’espace de solution des variables à estimer. Des scénarios de simulation basés sur des données synthétiques pour un réseau de manhattan sont fournis avec l’objectif de valider les performances de l’algorithme proposé. / Centralization of work, population and economic growth alongside continued urbanization are the main causes of congestion. As cities strive to update or expand aging infrastructure, the application of big data, new models and analytics to better understand and help to combat traffic congestion is crucial to the health and development of our smart cities of XXI century. Traffic support tools specifically designed to detect, forecast and alert these conditions are highly requested nowadays.This dissertation is dedicated to study techniques that may help to estimate and forecast conditions about a traffic network. First, we consider the problem Dynamic Travel Time (DTT) short-term forecast based on data driven methods. We propose two fusion techniques to compute short-term forecasts from clustered time series. The first technique considers the error covariance matrix and uses its information to fuse individual forecasts based on best linear unbiased estimation principles. The second technique exploits similarity measurements between the signal to be predicted and clusters detected in historical data and it performs afusion as a weighted average of individual forecasts. Tests over real data were implemented in the study case of the Grenoble South Ring, it comprises a highway of 10.5Km monitored through the Grenoble Traffic Lab (GTL) a real time application was implemented and open to the public.Based on the previous study we consider then the problem of simultaneous density/flow reconstruction in urban networks based on heterogeneous sources of information. The traffic network is modeled within the framework of macroscopic traffic models, where we adopt Lighthill-Whitham-Richards (LWR) conservation equation and a piecewise linear fundamental diagram. The estimation problem considers two key principles. First, the error minimization between the measured and reconstructed flows and densities, and second the equilibrium state of the network which establishes flow propagation within the network. Both principles are integrated together with the traffic model constraints established by the supply/demand paradigm. Finally the problem is casted as a constrained quadratic optimization with equality constraints in order to shrink the feasible region of estimated variables. Some simulation scenarios based on synthetic data for a manhattan grid network are provided in order to validate the performance of the proposed algorithm.

Prédiction à court terme

Systèmes de trafic réseau

State estimation

Short-Term forecast

Networked traffic systems

State estimation

004

Classification de flux applicatifs et détection d'intrusion dans le trafic Internet

Korczynski, Maciej

26 November 2012

Le sujet de la classification de trafic r'eseau est d'une grande importance pourla planification de r'eseau efficace, la gestion de trafic 'a base de r'egles, la gestionde priorit'e d'applications et le contrˆole de s'ecurit'e. Bien qu'il ait re¸cu une atten-tion consid'erable dans le milieu de la recherche, ce th'eme laisse encore de nom-breuses questions en suspens comme, par exemple, les m'ethodes de classificationdes flux de trafics chiffr'es. Cette th'ese est compos'ee de quatre parties. La premi'erepr'esente quelques aspects th'eoriques li'es 'a la classification de trafic et 'a la d'etec-tion d'intrusion. Les trois parties suivantes traitent des probl'emes sp'ecifiques declassification et proposent des solutions pr'ecises.Dans la deuxi'eme partie, nous proposons une m'ethode d''echantillonnage pr'ecisepour d'etecter les attaques de type "SYN flooding"et "portscan". Le syst'eme examineles segments TCP pour trouver au moins un des multiples segments ACK provenantdu serveur. La m'ethode est simple et 'evolutive, car elle permet d'obtenir unebonne d'etection avec un taux de faux positif proche de z'ero, mˆeme pour des tauxd''echantillonnage tr'es faibles. Nos simulations bas'ees sur des traces montrent quel'efficacit'e du syst'eme propos'e repose uniquement sur le taux d''echantillonnage,ind'ependamment de la m'ethode d''echantillonnage.Dans la troisi'eme partie, nous consid'erons le probl'eme de la d'etection et de laclassification du trafic de Skype et de ses flux de services tels que les appels vocaux,SkypeOut, les vid'eo-conf'erences, les messages instantan'es ou le t'el'echargement defichiers. Nous proposons une m'ethode de classification pour le trafic Skype chiffr'ebas'e sur le protocole d'identification statistique (SPID) qui analyse les valeurs statis-tiques de certains attributs du trafic r'eseau. Nous avons 'evalu'e notre m'ethode surun ensemble de donn'ees montrant d'excellentes performances en termes de pr'eci-sion et de rappel. La derni'ere partie d'efinit un cadre fond'e sur deux m'ethodescompl'ementaires pour la classification des flux applicatifs chiffr'es avec TLS/SSL.La premi'ere mod'elise des 'etats de session TLS/SSL par une chaˆıne de Markov ho-mog'ene d'ordre 1. Les param'etres du mod'ele de Markov pour chaque applicationconsid'er'ee diff'erent beaucoup, ce qui est le fondement de la discrimination entreles applications. La seconde m'ethode de classification estime l''ecart d'horodatagedu message Server Hello du protocole TLS/SSL et l'instant d'arriv'ee du paquet.Elle am'eliore la pr'ecision de classification des applications et permet l'identificationviiefficace des flux Skype. Nous combinons les m'ethodes en utilisant une ClassificationNaive Bay'esienne (NBC). Nous validons la proposition avec des exp'erimentationssur trois s'eries de donn'ees r'ecentes. Nous appliquons nos m'ethodes 'a la classificationde sept applications populaires utilisant TLS/SSL pour la s'ecurit'e. Les r'esultatsmontrent une tr'es bonne performance.

[INFO:INFO_OH] Computer Science/Other

[INFO:INFO_OH] Informatique/Autre

Sécurité

La classification du trafic réseau

Détection d'intrusion

Chiffrement

DDoS et scan de port

Échantillonnage

Classification de flux applicatifs et détection d'intrusion dans le trafic Internet / Classifying Application Flows and Intrusion Detection in Internet Traffic

Korczynski, Maciej

26 November 2012

Le sujet de la classification de trafic r´eseau est d’une grande importance pourla planification de r´eseau efficace, la gestion de trafic `a base de r`egles, la gestionde priorit´e d’applications et le contrˆole de s´ecurit´e. Bien qu’il ait re¸cu une atten-tion consid´erable dans le milieu de la recherche, ce th`eme laisse encore de nom-breuses questions en suspens comme, par exemple, les m´ethodes de classificationdes flux de trafics chiffr´es. Cette th`ese est compos´ee de quatre parties. La premi`erepr´esente quelques aspects th´eoriques li´es `a la classification de trafic et `a la d´etec-tion d’intrusion. Les trois parties suivantes traitent des probl`emes sp´ecifiques declassification et proposent des solutions pr´ecises.Dans la deuxi`eme partie, nous proposons une m´ethode d’´echantillonnage pr´ecisepour d´etecter les attaques de type ”SYN flooding”et ”portscan”. Le syst`eme examineles segments TCP pour trouver au moins un des multiples segments ACK provenantdu serveur. La m´ethode est simple et ´evolutive, car elle permet d’obtenir unebonne d´etection avec un taux de faux positif proche de z´ero, mˆeme pour des tauxd’´echantillonnage tr`es faibles. Nos simulations bas´ees sur des traces montrent quel’efficacit´e du syst`eme propos´e repose uniquement sur le taux d’´echantillonnage,ind´ependamment de la m´ethode d’´echantillonnage.Dans la troisi`eme partie, nous consid´erons le probl`eme de la d´etection et de laclassification du trafic de Skype et de ses flux de services tels que les appels vocaux,SkypeOut, les vid´eo-conf´erences, les messages instantan´es ou le t´el´echargement defichiers. Nous proposons une m´ethode de classification pour le trafic Skype chiffr´ebas´e sur le protocole d’identification statistique (SPID) qui analyse les valeurs statis-tiques de certains attributs du trafic r´eseau. Nous avons ´evalu´e notre m´ethode surun ensemble de donn´ees montrant d’excellentes performances en termes de pr´eci-sion et de rappel. La derni`ere partie d´efinit un cadre fond´e sur deux m´ethodescompl´ementaires pour la classification des flux applicatifs chiffr´es avec TLS/SSL.La premi`ere mod´elise des ´etats de session TLS/SSL par une chaˆıne de Markov ho-mog`ene d’ordre 1. Les param`etres du mod`ele de Markov pour chaque applicationconsid´er´ee diff`erent beaucoup, ce qui est le fondement de la discrimination entreles applications. La seconde m´ethode de classification estime l’´ecart d’horodatagedu message Server Hello du protocole TLS/SSL et l’instant d’arriv´ee du paquet.Elle am´eliore la pr´ecision de classification des applications et permet l’identificationviiefficace des flux Skype. Nous combinons les m´ethodes en utilisant une ClassificationNaive Bay´esienne (NBC). Nous validons la proposition avec des exp´erimentationssur trois s´eries de donn´ees r´ecentes. Nous appliquons nos m´ethodes `a la classificationde sept applications populaires utilisant TLS/SSL pour la s´ecurit´e. Les r´esultatsmontrent une tr`es bonne performance. / The subject of traffic classification is of great importance for effective networkplanning, policy-based traffic management, application prioritization, and securitycontrol. Although it has received substantial attention in the research communitythere are still many unresolved issues, for example how to classify encrypted trafficflows. This thesis is composed of four parts. The first part presents some theoreticalaspects related to traffic classification and intrusion detection, while in the followingthree parts we tackle specific classification problems and propose accurate solutions.In the second part, we propose an accurate sampling scheme for detecting SYNflooding attacks as well as TCP portscan activity. The scheme examines TCPsegments to find at least one of multiple ACK segments coming from the server.The method is simple and scalable, because it achieves a good detection with aFalse Positive Rate close to zero even for very low sampling rates. Our trace-basedsimulations show that the effectiveness of the proposed scheme only relies on thesampling rate regardless of the sampling method.In the third part, we consider the problem of detecting Skype traffic and classi-fying Skype service flows such as voice calls, skypeOut, video conferences, chat, fileupload and download. We propose a classification method for Skype encrypted traf-fic based on the Statistical Protocol IDentification (SPID) that analyzes statisticalvalues of some traffic attributes. We have evaluated our method on a representativedataset to show excellent performance in terms of Precision and Recall.The last part defines a framework based on two complementary methods for clas-sifying application flows encrypted with TLS/SSL. The first one models TLS/SSLsession states as a first-order homogeneous Markov chain. The parameters of theMarkov models for each considered application differ a lot, which is the basis foraccurate discrimination between applications. The second classifier considers thedeviation between the timestamp in the TLS/SSL Server Hello message and thepacket arrival time. It improves the accuracy of application classification and al-lows efficient identification of Skype flows. We combine the methods using a NaiveBayes Classifier (NBC).We validate the framework with experiments on three recentdatasets—we apply our methods to the classification of seven popular applicationsthat use TLS/SSL for security. The results show a very good performance.

Sécurité

La classification du trafic réseau

Détection d'intrusion

Chiffrement

DDoS et scan de port

Échantillonnage

Security

Network traffic classification

Intrusion detection

Encryption

DDoS and portscan

Sampling

MPLS-based mitigation technique to handle cyber attacks / Technique de mitigation des cyber-attaques basée sur MPLS

Hachem, Nabil

04 July 2014

Les cyber-attaques pourraient engendrer des pertes qui sont de plus en plus importantes pour les utilisateurs finaux et les fournisseurs de service. Ces attaques sont, en outre, élevées par une myriade des ressources infectées et comptent surtout sur les réseaux pour être contrôlées, se propager ou endommager. Face à ces risques, il y a un besoin essentiel qui se manifeste dans la réponse à ces nombreuses attaques par des stratégies de défense efficaces. Malgré les multitudes efforts dévouées pour mettre en œuvre des techniques de défense complètes afin de se protéger contre les attaques réseaux; les approches proposées n’ont pas parvenus à satisfaire toutes les exigences. Les stratégies de défense impliquent un processus de détection complété par des actions de mitigation. Parallèlement à l’importance accordée à la conception des stratégies de détection, il est essentiel de fermer la boucle de sécurité avec des techniques efficaces permettant d’atténuer les impacts des différentes attaques. Dans cette thèse, nous proposons une technique pour réagir aux attaques qui abusent les ressources du réseau, par exemple, DDoS, botnet, distribution des vers, etc. La technique proposée s’appuie sur des approches de gestion du trafic et utilise le standard Multiprotocol Label Switching (MPLS) pour gérer le trafic diagnostiqué comme abusant du réseau, tout en invoquant les processus de détection. Les objectifs de notre technique peuvent être résumés comme suit: d’une part, fournir les moyens — par la qualité de service et schémas de routage — à séparer les flux suspects des légitimes, et d’autre part de prendre le contrôle des flux suspects. Nous bénéficions de l’extension du MPLS au niveau d’inter-domaine pour permettre une coopération entre les fournisseurs, permettant par suite la construction d’un mécanisme de défense à grande échelle. Nous développons un système afin de compléter les aspects de gestion de la technique proposée. Ce système effectue plusieurs tâches telles que l’extraction de données d’alerte, l’adaptation de la stratégie et la configuration des équipements. Nous modélisons le système en utilisant une approche de regroupement et un langage de politiques de sécurité afin de gérer de manière cohérente et automatique le contexte et l’environnement dans lequel la technique de mitigation est exécutée. Enfin, nous montrons l’applicabilité de la technique et du système à travers des différentes simulations tout en évaluant la qualité de service dans des réseaux MPLS. L’application de la technique a démontré son efficacité dans non seulement la mitigation des impacts des attaques mais aussi dans l’offre des avantages financiers aux acteurs de la chaîne de sécurité, à savoir les fournisseurs de service / Cyber attacks cause considerable losses not only for end-users but also service providers. They are fostered by myriad of infected resources and mostly rely on network resources for whether propagating, controlling or damaging. There is an essential need to address these numerous attacks by efficient defence strategies. Researchers have dedicated large resources without reaching a comprehensive method to protect from network attacks. Defence strategies involve first a detection process, completed by mitigation actions. Research on detection is more active than on mitigation. Yet, it is crucial to close the security loop with efficient technique to mitigate counter attacks and their effects. In this thesis, we propose a novel technique to react to attacks that misuse network resources, e.g., DDoS, Botnet, worm spreading, etc. Our technique is built upon network traffic management techniques. We use the Multiprotocol Label Switching (MPLS) technology to manage the traffic diagnosed to be part of a network misuse by detection processes. The goals of our technique can be summarized as follows: first to provide the means — via QoS and routing schemes — to segregate the suspicious flows from the legitimate traffic; and second, to take control over suspicious flows. We profit from the enhancement on the inter-domain MPLS to permit a cooperation among providers building a large-scale defence mechanism. We develop a system to complete the management aspects of the proposed technique. This system performs tasks such as alert data extraction, strategy adaptation and equipments configurations. We model the system using a clustering method and a policy language in order to consistently and automatically manage the mitigation context and environment in which the proposed technique is running. Finally, we show the applicability of the technique and the system through simulation. We evaluate and analyse the QoS and financial impacts inside MPLS networks. The application of the technique demonstrates its effectiveness and reliability in not only alleviating attacks but also providing financial benefits for the different players in the mitigation chain, i.e., service providers

Sécurité des réseaux

Cybersécurité

Cyberdéfense

MPLS

Qualité de service (QoS)

Réponses aux attaques

Gestion du trafic réseau

Gestion des politiques de sécurité

Network security

Cyber security

Cyber defence

MPLS

QoS (Quality of Service)

Attacks responses

Network traffic management

Policy-based management