Description
Date depot: 1 janvier 1900
Titre: Un Système de Surveillance et Détection de Menaces utilisant le Traitement de Flux comme une Fonction de Réseau virtuelle pour le Big Data
Directeur de thèse:
Guy PUJOLLE (LIP6)
Domaine scientifique: Sciences et technologies de l'information et de la communication
Thématique CNRS : Non defini
Resumé:
{{Introduction}}
Assurer la sécurité du réseau est un besoin croissant pour les réseaux d'entreprise, pour les réseaux de centres de données,
pour le {cloud computing} et les réseaux d'infrastructures essentielles telles que les réseaux intelligents. Les menaces et les
attaques de sécurité sont actuellement réparties et ont tendance à augmenter de manière significative à l'avenir avec
l'internet des objets (IdO), une fois de plus de 80 milliards d'appareils seront interconnectés d'ici 2025. Ce scénario affiche
une gestion de haute et de la complexité de la protection des réseaux de communication, avec plusieurs défis en matière
de sécurité et de confidentialité des données [1]. Les milliards de dispositifs génèrent une grande quantité de flux de
données, qui doit être gérée, traitée, transférées et stockées d'une manière en temps réel sécurisé. En outre, la vitesse, le
volume et la variété des grandes données sont des facteurs qui augmentent le nombre de vulnérabilités. Ces applications
de flux sont caractérisées par une séquence illimitée d'événements ou de tuples qui arrivent en continu [2].
Le temps de détection des menaces est de l'essence pour maintenir la sécurité dans les systèmes de communication.
L’efficace de détection des menaces exige la surveillance, le traitement et la gestion des gros volumes de données, ce qui
permet l'extraction d'informations à partir de la caractérisation du trafic. Cependant, la détection des menaces dans les
grandes données nécessite le développement de techniques modernes d'analyse. Les systèmes de sécurité actuels, tels que
l'information de sécurité et de gestion des événements ({Security Information and Event Management} - SIEM), conçu pour
recueillir des données et les analyser en un seul point, ne sont pas efficaces, puisque 85% des intrusions dans le réseau
sont détectées semaines après qu'ils se sont produits [3]. En outre, la réaction aux menaces après sa détection est très
lente, en prenant un temps moyen de 123 heures En plus, les données qui fuient le temps de détection est de 206 jours
[3]. Par conséquent, le temps de détection des menaces rend toute sorte de défense infaisable. Les techniques analytiques
pour le traitement des flux en temps réel permettent à l'analyse immédiate des différents types de données et, par
conséquent, la détection de la menace. Un autre problème habituel des systèmes de sécurité actuels est l'énorme quantité
d'alarmes. La plupart de ces alarmes sont de faux positifs, qui sont ignorés. Ce scénario, cependant, accable les analystes
de la sécurité et positifs attaques réelles sont également ignorées.
Cependant, le débit de l'information qui entre dans le système est variable. Il peut y avoir utilisation des pics du système,
qui produit un beaucoup plus grand que le débit de données habituel. Par conséquent, si la quantité de ressources offertes
est conçue pour une consommation normale pendant les pics seront une surcharge sur la plateforme, ce qui entraîne des
flux non analysés en raison du manque de ressources. Ceci est un grave problème de sécurité parce que si à ce moment là, vous êtes victime d'une attaque, il ne sera pas analysé ou détecté. D'autre part, si les ressources sont disponibles en
fonction des temps d'utilisation de pointe, ces ressources restent inactives pendant une grande partie du temps. Ainsi, il y
a un gaspillage d'énergie et d'argent pour maintenir ces ressources visant à assurer la sécurité, même si elles ne sont pas
utilisées pendant l'utilisation normale du réseau [4]. Pour résoudre ce problème, la virtualization de fonction de réseau ({Network Function Virtualization} - NFV) fournit, d'une
manière rapide et à faible coût d'exploitation, une communication, le traitement et le service de stockage pour Big Data.
Cette technologie offre des services de réseau à travers une plateforme logicielle dans un environnement virtualisé et du
matériel de base à des fins générales. Comme le centre de NFV est les services d'optimisation de réseau, ce concept est
placé complémentaire à l'idée de Réseaux Défini pour Logiciels ({Software Defined Networking} - SDN), qui offre une plus
grande programmabilité pour la gestion du réseau en raison de la vision globale du réseau dans le contrôleur. L'idée de
SDN est d'agir, en particulier dans le contrôle et la mise en œuvre de l'acheminement et le traitement des paquets sur le
réseau, tandis que NFV agit dans la fourniture de services sur le réseau, tels que les pare-feu, systèmes de détection
d'intrusion, NAT, points d'accès, etc. En outre, il y a aussi un fort mouvement dans la direction de fournir des services
avec des logiciels source ouverte en utilisant une plateforme de confiance qui intègre le traitement, le stockage et la
communication de données. Dans le centre de données de l'opérateur, les technologies optiques peuvent être utilisées pour
effectuer la fonction de réseau (NF) chaînage pour les grands flux agrégés en parallèle avec les grains fi
Doctorant.e: Andreoni Lopez Martin Esteban