Détection avancée des anomalies et applications aux systèmes de communication

Abstract

La détection précoce des anomalies dans les systèmes et technologies de l’information et de la communication est une tâche cruciale. Diverses sources peuvent être à l’origine de différentes formes d’anomalies, comme les défaillances matérielles et logicielles, les changements dans la topologie des réseaux, la mise en place de nouvelles applications, ainsi que suite à des activités malveillantes et des tentatives de cyber-attaques. En effet, le concept a été extensivement traité par les acteurs du domaine numérique, et de nombreuses solutions ont été élaborées et basées sur différentes techniques telles que l’intelligence artificielle, l’apprentissage profond, la modélisation statistique et à base de connaissance. Dans cette thèse, nous nous sommes intéressés à l’utilisation des cartes de contrôle statistiques et les mesures de similarité à la détection des cyber-attaques de dénie de service DOS et DDOS dans les réseaux IP. Nous étudions les performances des cartes de contrôle Shewhart, CUSUM et EWMA dans la détection des différents types des attaques DOS et DDOS. Une étude comparative entre les trois cartes est ainsi présentée. Nous proposons deux types de mécanismes de détection automatique et en temps réel d’anomalies à base de la distance CRPS. Le premier type concerne la détection paramétrique et combine les cartes Shewhart et EWMA avec la distance CRPS. Le deuxième type consiste en une méthodologie de détection non-paramétrique nommée CRPS-ES, basée sur un lissage exponentiel des mesures CRPS et une règle de décision via KDE. Ces mécanismes sont testés sous différents scénarios d’attaques DOS et DDOS. Les résultats obtenus montrent une amélioration significative des performances de détection. Nous introduisons, ainsi, une procédure de détection ES-KLD basée sur la divergence KLD. ES-KLD implémente une adaptation temps réel de KLD, un lissage exponentiel des mesures KLD et un seuil de détection automatique, adaptable et qui ne nécessite pas de connaissance préalable de la distribution du trafic sous-jacente. Les performances de l’ESKLD sont validées en présence de diverses formes des attaques DOS et DDOS, et des résultats prometteurs ont été obtenus.