CA2773247A1 - Surveillance d'une session de communication comportant plusieurs flux sur un reseau de donnees - Google Patents
Surveillance d'une session de communication comportant plusieurs flux sur un reseau de donnees Download PDFInfo
- Publication number
- CA2773247A1 CA2773247A1 CA2773247A CA2773247A CA2773247A1 CA 2773247 A1 CA2773247 A1 CA 2773247A1 CA 2773247 A CA2773247 A CA 2773247A CA 2773247 A CA2773247 A CA 2773247A CA 2773247 A1 CA2773247 A1 CA 2773247A1
- Authority
- CA
- Canada
- Prior art keywords
- data
- stream
- signature
- session
- parent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Abandoned
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1083—In-session procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/80—Responding to QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Un procédé de surveillance d'une session de communication sur un réseau de données, ladite session comprenant un premier flux de données, dit flux parent, utilisant un premier protocole, ledit flux parent comprenant des données permettant l'établissement d'un second flux de données, dit flux enfant, utilisant un second protocole pour ladite session, comprend : rechercher (13) dans le flux parent les données permettant l'établissement du flux enfant; générer (15) et stocker (17) une signature, dite clé parente, à partir de ces données; auditer (19) des flux de données utilisant le second protocole sur le réseau de données; créer (21 ) une signature pour chacun des flux; comparer (23) ladite signature de chacun des flux à la clé parente; et si la comparaison est positive, déterminer (25) que le flux de données correspondant est le flux enfant de la session.
Description
SURVEILLANCE D'UNE SESSION DE COMMUNICATION COMPORTANT
PLUSIEURS FLUX SUR UN RESEAU DE DONNEES.
La présente invention concerne un procédé et un système de surveillance d'une session de communication sur un réseau de données, ladite session comprenant un premier flux de données, dit flux parent, utilisant un premier protocole, ledit flux parent comprenant des données permettant l'établissement d'un second flux de données, dit flux enfant, utilisant un second protocole pour ladite session. Elle concerne également un produit programme d'ordinateur pour mettre en oeuvre le procédé de surveillance.
Les applications réseau actuelles utilisent en général plus d'une session et d'un protocole pour effectuer leur tâche.
Par exemple, lors d'un appel vidéo généré par la mise en place d'une vidéoconférence, une session RTP ( real-time Protocol - protocole temps réel) va être initiée par une session SIP ( Session Initiation Protocol -protocole d'initialisation de session), et les paramètres de la session RTP
dépendront d'informations échangées par la session SIP.
Les appareils de surveillance de réseau, tels que, par exemple, les pare-feux, font la liaison entre les sessions des différents protocoles par l'intermédiaire de machines d'état.
Cette solution a pour inconvénient de rendre ces appareils complexes car il faut, en particulier, écrire le comportement d'une machine d'état pour chaque nouvelle application réseau. De plus, le traitement des différents flux peut s'avérer très consommateur de ressource, ce qui limite la bande passante disponible au travers de ces appareils, ou bien oblige aux développements de machines onéreuses ou à limiter la quantité de données surveillées.
Il serait donc avantageux d'obtenir un procédé et un système de surveillance permettant de surveiller des applications réseaux utilisant de nombreux protocoles avec une meilleure efficacité en termes de ressources matérielles et de mise en oeuvre.
Pour résoudre un ou plusieurs des inconvénients cités précédemment, un procédé de surveillance d'une session de communication sur un réseau de données, la session comprenant un premier flux de
PLUSIEURS FLUX SUR UN RESEAU DE DONNEES.
La présente invention concerne un procédé et un système de surveillance d'une session de communication sur un réseau de données, ladite session comprenant un premier flux de données, dit flux parent, utilisant un premier protocole, ledit flux parent comprenant des données permettant l'établissement d'un second flux de données, dit flux enfant, utilisant un second protocole pour ladite session. Elle concerne également un produit programme d'ordinateur pour mettre en oeuvre le procédé de surveillance.
Les applications réseau actuelles utilisent en général plus d'une session et d'un protocole pour effectuer leur tâche.
Par exemple, lors d'un appel vidéo généré par la mise en place d'une vidéoconférence, une session RTP ( real-time Protocol - protocole temps réel) va être initiée par une session SIP ( Session Initiation Protocol -protocole d'initialisation de session), et les paramètres de la session RTP
dépendront d'informations échangées par la session SIP.
Les appareils de surveillance de réseau, tels que, par exemple, les pare-feux, font la liaison entre les sessions des différents protocoles par l'intermédiaire de machines d'état.
Cette solution a pour inconvénient de rendre ces appareils complexes car il faut, en particulier, écrire le comportement d'une machine d'état pour chaque nouvelle application réseau. De plus, le traitement des différents flux peut s'avérer très consommateur de ressource, ce qui limite la bande passante disponible au travers de ces appareils, ou bien oblige aux développements de machines onéreuses ou à limiter la quantité de données surveillées.
Il serait donc avantageux d'obtenir un procédé et un système de surveillance permettant de surveiller des applications réseaux utilisant de nombreux protocoles avec une meilleure efficacité en termes de ressources matérielles et de mise en oeuvre.
Pour résoudre un ou plusieurs des inconvénients cités précédemment, un procédé de surveillance d'une session de communication sur un réseau de données, la session comprenant un premier flux de
2 données, dit flux parent, utilisant un premier protocole, le flux parent comprenant des données permettant l'établissement d'un second flux de données, dit flux enfant, utilisant un second protocole pour cette session, comprend:
= rechercher dans le flux parent les données permettant l'établissement du flux enfant ;
= générer et stocker une signature, dite clé parente, à partir de ces données;
= auditer des flux de données utilisant le second protocole sur le réseau de données ;
= créer une signature pour chacun des flux = comparer la signature de chacun des flux à la clé parente ; et = si la comparaison est positive, déterminer que le flux de données correspondant est le flux enfant de la session.
En définissant chaque flux par une signature adaptée, et en faisant une simple comparaison de signatures, opération informatiquement simple et rapide, ce procédé permet avantageusement de regrouper aisément les flux apparentés, et, en particulier, sans définir de machine d'état.
Des caractéristiques ou des modes de réalisation particuliers, utilisables seuls ou en combinaison, sont :
= la session comportant une pluralité déterminée de flux enfants, les flux de données sont audités jusqu'à ce que l'ensemble des flux enfants soit déterminé.
= le flux enfant comprenant des données permettant l'établissement d'un troisième flux de données utilisant un troisième protocole pour la session, une signature est générée à partir de ces données, et des flux de données utilisant le troisième protocole sont audités jusqu'à la détermination du flux de données correspondant à la session.
= le procédé surveillant une pluralité de sessions comprenant chacune un flux parent pour lequel est générée et stockée une clé
parente, pour chacun des flux utilisant le second protocole, la
= rechercher dans le flux parent les données permettant l'établissement du flux enfant ;
= générer et stocker une signature, dite clé parente, à partir de ces données;
= auditer des flux de données utilisant le second protocole sur le réseau de données ;
= créer une signature pour chacun des flux = comparer la signature de chacun des flux à la clé parente ; et = si la comparaison est positive, déterminer que le flux de données correspondant est le flux enfant de la session.
En définissant chaque flux par une signature adaptée, et en faisant une simple comparaison de signatures, opération informatiquement simple et rapide, ce procédé permet avantageusement de regrouper aisément les flux apparentés, et, en particulier, sans définir de machine d'état.
Des caractéristiques ou des modes de réalisation particuliers, utilisables seuls ou en combinaison, sont :
= la session comportant une pluralité déterminée de flux enfants, les flux de données sont audités jusqu'à ce que l'ensemble des flux enfants soit déterminé.
= le flux enfant comprenant des données permettant l'établissement d'un troisième flux de données utilisant un troisième protocole pour la session, une signature est générée à partir de ces données, et des flux de données utilisant le troisième protocole sont audités jusqu'à la détermination du flux de données correspondant à la session.
= le procédé surveillant une pluralité de sessions comprenant chacune un flux parent pour lequel est générée et stockée une clé
parente, pour chacun des flux utilisant le second protocole, la
3 signature est comparée à chacune des clés parentes pour déterminer si le flux est, ou non, le flux enfant d'une des sessions.
Il est à noter en particulier que ce procédé s'applique avantageusement à une multitude de flux parents, de flux enfants et à tout type d'arborescence définissant un héritage entre un ou des flux parents, un ou des flux enfants avec un niveau quelconque d'héritages.
Dans un deuxième aspect de l'invention, un produit programme d'ordinateur comprend des instructions de code de programme enregistrées sur un support lisible par un ordinateur, pour mettre en oeuvre les étapes du procédé précédent lorsque ledit programme fonctionne sur un ordinateur.
Dans un troisième aspect de l'invention, un système de surveillance d'une session de communication sur un réseau de données, la session comprenant un premier flux de données, dit flux parent, utilisant un premier protocole, le flux parent comprenant des données permettant l'établissement d'un second flux de données, dit flux enfant, utilisant un second protocole pour la session, comprend:
= un premier analyseur de flux pour rechercher dans le flux parent les données permettant l'établissement du flux enfant ;
= un premier générateur de signature, dite clé parente, à partir de ces données ;
= une mémoire de stockage de la signature ;
= un second analyseur de flux pour auditer des flux de données utilisant le second protocole sur le réseau de données ;
= un second générateur de signature pour chacun de ces flux ;
= un comparateur de la signature de chacun des flux à la clé
parente ; et = un étiqueteur pour attacher le flux correspondant à la signature, si le résultat du comparateur est positif, en tant que flux enfant de la session.
Dans des modes particuliers de réalisation, le système comporte aux moins deux dispositifs reliés par un réseau de données, un premier dispositif comportant au moins la mémoire de stockage, le comparateur de signature et l'étiqueteur et le second dispositif comportant au moins le premier analyseur
Il est à noter en particulier que ce procédé s'applique avantageusement à une multitude de flux parents, de flux enfants et à tout type d'arborescence définissant un héritage entre un ou des flux parents, un ou des flux enfants avec un niveau quelconque d'héritages.
Dans un deuxième aspect de l'invention, un produit programme d'ordinateur comprend des instructions de code de programme enregistrées sur un support lisible par un ordinateur, pour mettre en oeuvre les étapes du procédé précédent lorsque ledit programme fonctionne sur un ordinateur.
Dans un troisième aspect de l'invention, un système de surveillance d'une session de communication sur un réseau de données, la session comprenant un premier flux de données, dit flux parent, utilisant un premier protocole, le flux parent comprenant des données permettant l'établissement d'un second flux de données, dit flux enfant, utilisant un second protocole pour la session, comprend:
= un premier analyseur de flux pour rechercher dans le flux parent les données permettant l'établissement du flux enfant ;
= un premier générateur de signature, dite clé parente, à partir de ces données ;
= une mémoire de stockage de la signature ;
= un second analyseur de flux pour auditer des flux de données utilisant le second protocole sur le réseau de données ;
= un second générateur de signature pour chacun de ces flux ;
= un comparateur de la signature de chacun des flux à la clé
parente ; et = un étiqueteur pour attacher le flux correspondant à la signature, si le résultat du comparateur est positif, en tant que flux enfant de la session.
Dans des modes particuliers de réalisation, le système comporte aux moins deux dispositifs reliés par un réseau de données, un premier dispositif comportant au moins la mémoire de stockage, le comparateur de signature et l'étiqueteur et le second dispositif comportant au moins le premier analyseur
4 de flux et le premier générateur de signature et une interface pour transmettre la signature générée au premier dispositif. Il peut également comporter au moins un troisième dispositif relié au premier dispositif par le réseau de données et comportant au moins le second analyseur de flux et le second générateur de signature et une interface pour transmettre la signature générée au premier dispositif.
L'invention sera mieux comprise à la lecture de la description qui suit, faite uniquement à titre d'exemple, et en référence aux figures en annexe dans lesquelles :
- la figure 1 est une vue schématique d'un réseau de données ;
- la figure 2 est un ordinogramme d'un procédé selon un mode de réalisation de l'invention ;
- la figure 3 est une vue schématique d'un système de surveillance selon un mode de réalisation de l'invention ; et - la figure 4 est une vue schématique d'un système de surveillance selon un second mode de réalisation de l'invention.
En référence à la figure 1, un réseau numérique de données 1 connecte une multitude d'équipements 3 entre eux. Un système de surveillance 5 est connecté à ce réseau pour capter les flux de données échangés entre les équipements 3.
Le système 5 surveille donc les sessions de communication circulant sur le réseau 1. On appelle session , ou session applicative, l'ensemble des échanges de données généré par une application réseau donnée.
Par exemple, comme il est bien connu, lorsqu'un premier équipement souhaite transférer vers un second équipement un fichier en utilisant le protocole FTP, le premier équipement et le second équipement vont commencer par établir un premier échange en utilisant le protocole TCP sur le port 21 puis ils vont se mettre d'accord pour transférer le fichier proprement dit en utilisant FTP-DATA qui utilise le protocole TCP sur un port de numéro variable supérieur à 1024. L'ensemble de ces échanges constitue une session.
On appellera alors sous-session, ou simplement flux de données, le premier échange TCP sur port 21 d'une part et le transfert en FTP-DATA
d'autre part.
L'invention sera mieux comprise à la lecture de la description qui suit, faite uniquement à titre d'exemple, et en référence aux figures en annexe dans lesquelles :
- la figure 1 est une vue schématique d'un réseau de données ;
- la figure 2 est un ordinogramme d'un procédé selon un mode de réalisation de l'invention ;
- la figure 3 est une vue schématique d'un système de surveillance selon un mode de réalisation de l'invention ; et - la figure 4 est une vue schématique d'un système de surveillance selon un second mode de réalisation de l'invention.
En référence à la figure 1, un réseau numérique de données 1 connecte une multitude d'équipements 3 entre eux. Un système de surveillance 5 est connecté à ce réseau pour capter les flux de données échangés entre les équipements 3.
Le système 5 surveille donc les sessions de communication circulant sur le réseau 1. On appelle session , ou session applicative, l'ensemble des échanges de données généré par une application réseau donnée.
Par exemple, comme il est bien connu, lorsqu'un premier équipement souhaite transférer vers un second équipement un fichier en utilisant le protocole FTP, le premier équipement et le second équipement vont commencer par établir un premier échange en utilisant le protocole TCP sur le port 21 puis ils vont se mettre d'accord pour transférer le fichier proprement dit en utilisant FTP-DATA qui utilise le protocole TCP sur un port de numéro variable supérieur à 1024. L'ensemble de ces échanges constitue une session.
On appellera alors sous-session, ou simplement flux de données, le premier échange TCP sur port 21 d'une part et le transfert en FTP-DATA
d'autre part.
5 PCT/FR2010/051823 La première sous-session sera appelée sous-session parente, ou flux parent, en ce qu'elle permet d'échanger les données entre les deux équipements permettant l'établissement de la seconde sous-session qui sera donc appelée sous-session enfant, ou flux enfant.
5 Pour surveiller une session, le système 5 met en oeuvre le procédé
suivant, figure 2.
En analysant les données transférées, le système détecte, étape 11, l'établissement d'une session applicative sous la forme d'un flux parent.
Le système 5 analyse, étape 13, alors le flux parent à la recherche de données d'établissement d'un flux enfant. Par exemple, dans le cadre d'une session FTP, le système 5 va analyser les paquets émis pour déterminer le numéro du port sur lequel va s'effectuer le transfert de fichier.
Une fois ces données recueillies, le système 5 génère, étape 15, une signature, dite clé parent, à partir de ces données. Par exemple, pour une session FTP, le système 5 génère une signature à partir des adresses IP de l'équipement source et de l'équipement récepteur et du numéro de port. Cette signature est, par exemple, une valeur de hachage de ces données.
Cette clé parent est stockée, étape 17, par le système 5.
Le système 5 surveille alors, étape 19, les flux pouvant correspondre au flux enfant car mettant en oeuvre, par exemple, un protocole compatible avec celui-ci.
Pour chacun de ces flux, il calcule, étape 21, une signature. Le calcul de cette signature est similaire au calcul de la clé parent. Par exemple, pour la session FTP, il calcule la clé de hachage des adresses IP des deux équipements et du numéro de port.
Cette signature est comparée, étape 23, à la clé parent.
Si la comparaison est positive, le flux correspondant est alors, étape 25, le flux enfant recherché.
Dans un souci explicatif, la description ci-dessus se limite à un flux parent et un flux enfant. Cependant le procédé se généralise sans difficulté à
une pluralité de flux parents et de flux enfants.
Ainsi, si une session se compose d'un flux parent et d'une pluralité de flux enfants, le système calcule autant de clés parents que nécessaire et il
5 Pour surveiller une session, le système 5 met en oeuvre le procédé
suivant, figure 2.
En analysant les données transférées, le système détecte, étape 11, l'établissement d'une session applicative sous la forme d'un flux parent.
Le système 5 analyse, étape 13, alors le flux parent à la recherche de données d'établissement d'un flux enfant. Par exemple, dans le cadre d'une session FTP, le système 5 va analyser les paquets émis pour déterminer le numéro du port sur lequel va s'effectuer le transfert de fichier.
Une fois ces données recueillies, le système 5 génère, étape 15, une signature, dite clé parent, à partir de ces données. Par exemple, pour une session FTP, le système 5 génère une signature à partir des adresses IP de l'équipement source et de l'équipement récepteur et du numéro de port. Cette signature est, par exemple, une valeur de hachage de ces données.
Cette clé parent est stockée, étape 17, par le système 5.
Le système 5 surveille alors, étape 19, les flux pouvant correspondre au flux enfant car mettant en oeuvre, par exemple, un protocole compatible avec celui-ci.
Pour chacun de ces flux, il calcule, étape 21, une signature. Le calcul de cette signature est similaire au calcul de la clé parent. Par exemple, pour la session FTP, il calcule la clé de hachage des adresses IP des deux équipements et du numéro de port.
Cette signature est comparée, étape 23, à la clé parent.
Si la comparaison est positive, le flux correspondant est alors, étape 25, le flux enfant recherché.
Dans un souci explicatif, la description ci-dessus se limite à un flux parent et un flux enfant. Cependant le procédé se généralise sans difficulté à
une pluralité de flux parents et de flux enfants.
Ainsi, si une session se compose d'un flux parent et d'une pluralité de flux enfants, le système calcule autant de clés parents que nécessaire et il
6 surveille l'ensemble des flux jusqu'à ce que la totalité des flux enfants soit trouvée.
Réciproquement, plusieurs sessions, et donc plusieurs flux parents, peuvent être surveillés en parallèle.
La comparaison des signatures de flux est faite alors sur l'ensemble des clés parents jusqu'à ce qu'une clé parent corresponde, définissant ainsi la session de rattachement. Si aucune clé ne correspond, cela veut dire que le flux n'appartient à aucune session surveillée.
Le procédé s'applique également sans difficulté à des sessions comportant des héritages multiples en cascade, c'est-à-dire qu'un flux enfant comporte des données d'établissement d'un autre flux et se comporte comme un flux parent pour cet autre flux qui en est alors son flux enfant. Basé sur les données d'établissement transportées par le flux enfant, le système définit une clé parent sur laquelle sont comparées les signatures des flux enfants potentiels.
L'implémentation détaillée du procédé peut prendre différentes formes en fonction des caractéristiques techniques recherchées et des capacités de traitement du système.
Par exemple, l'ensemble des clés parents peut correspondre à un vecteur d'index ordonné dont un des attributs est le nom de session. Une fois la signature d'un flux calculé, la recherche et la comparaison avec la ou les clés parents et l'attribution du flux à une session correspondent alors à une opération sur des index, opération informatique extrêmement efficace en termes de ressources utilisées et de rapidité. Cela permet également de mutualiser les opérations de surveillance d'une multitude de sessions.
Le système de surveillance 5 comprend donc, figure 3 :
= un premier analyseur 31 de flux pour rechercher dans le flux parent les données permettant l'établissement du flux enfant ;
= un premier générateur 33 de signature, dite clé parente, à partir de ces données ;
= une mémoire de stockage 35 de la signature ;
= un second analyseur 37 de flux pour auditer des flux de données utilisant le second protocole sur le réseau de données ;
Réciproquement, plusieurs sessions, et donc plusieurs flux parents, peuvent être surveillés en parallèle.
La comparaison des signatures de flux est faite alors sur l'ensemble des clés parents jusqu'à ce qu'une clé parent corresponde, définissant ainsi la session de rattachement. Si aucune clé ne correspond, cela veut dire que le flux n'appartient à aucune session surveillée.
Le procédé s'applique également sans difficulté à des sessions comportant des héritages multiples en cascade, c'est-à-dire qu'un flux enfant comporte des données d'établissement d'un autre flux et se comporte comme un flux parent pour cet autre flux qui en est alors son flux enfant. Basé sur les données d'établissement transportées par le flux enfant, le système définit une clé parent sur laquelle sont comparées les signatures des flux enfants potentiels.
L'implémentation détaillée du procédé peut prendre différentes formes en fonction des caractéristiques techniques recherchées et des capacités de traitement du système.
Par exemple, l'ensemble des clés parents peut correspondre à un vecteur d'index ordonné dont un des attributs est le nom de session. Une fois la signature d'un flux calculé, la recherche et la comparaison avec la ou les clés parents et l'attribution du flux à une session correspondent alors à une opération sur des index, opération informatique extrêmement efficace en termes de ressources utilisées et de rapidité. Cela permet également de mutualiser les opérations de surveillance d'une multitude de sessions.
Le système de surveillance 5 comprend donc, figure 3 :
= un premier analyseur 31 de flux pour rechercher dans le flux parent les données permettant l'établissement du flux enfant ;
= un premier générateur 33 de signature, dite clé parente, à partir de ces données ;
= une mémoire de stockage 35 de la signature ;
= un second analyseur 37 de flux pour auditer des flux de données utilisant le second protocole sur le réseau de données ;
7 = un second générateur 39 de signature pour chacun de ces flux = un comparateur 41 de la signature de chacun de ces flux à la clé
parente ; et = un étiqueteur 43 pour attacher le flux correspondant à la signature, si le résultat du comparateur est positif, en tant que flux enfant de la session.
Ce système de surveillance est réalisable sous forme d'un circuit électronique spécialisé ou bien en programmant spécifiquement un ordinateur avec un programme d'ordinateur comprenant des instructions de code de programme enregistrées sur un support lisible par un ordinateur, pour mettre en oeuvre les étapes du procédé de surveillance lorsque le programme fonctionne sur un ordinateur. Cet ordinateur comporte en particulier une interface réseau lui permettant d'écouter les transmissions réalisées sur le réseau, des mémoires volatiles à accès aléatoire reliées à une unité de calcul pour générer les clés et signatures, des mémoires de stockage pouvant être, par exemple, un disque dur magnétique pour stocker en particulier les règles de formation des signatures.
Un mode de réalisation particulièrement intéressant de ce système consiste en le décomposer en plusieurs dispositifs décentralisés, figure 4.
Une première série de dispositifs 50 installés au plus près des flux comportent les analyseurs de flux 31, 37 et les générateurs de signature 33, 39. Chacun comporte alors une interface de communication 52 avec un dispositif 54 de centralisation comportant, outre une interface de communication 56 en liaison avec les interfaces 52, la mémoire de stockage 35 des signatures ainsi que le comparateur 41 de la signature et l'étiqueteur 43. Ce dernier élément peut également se trouver dans les premiers dispositifs 50 afin d'étiqueter les flux au plus près de leur production.
L'invention a été illustrée et décrite en détail dans les dessins et la description précédente. Celle-ci doit être considérée comme illustrative et donnée à titre d'exemple et non comme limitant l'invention a cette seule description. De nombreuses variantes de réalisation sont possibles.
En particulier, le système de surveillance peut ne comprendre en fait qu'un seul analyseur de flux et qu'un seul générateur de signature capables d'auditer les flux et de générer les signatures aussi bien pour les flux parents
parente ; et = un étiqueteur 43 pour attacher le flux correspondant à la signature, si le résultat du comparateur est positif, en tant que flux enfant de la session.
Ce système de surveillance est réalisable sous forme d'un circuit électronique spécialisé ou bien en programmant spécifiquement un ordinateur avec un programme d'ordinateur comprenant des instructions de code de programme enregistrées sur un support lisible par un ordinateur, pour mettre en oeuvre les étapes du procédé de surveillance lorsque le programme fonctionne sur un ordinateur. Cet ordinateur comporte en particulier une interface réseau lui permettant d'écouter les transmissions réalisées sur le réseau, des mémoires volatiles à accès aléatoire reliées à une unité de calcul pour générer les clés et signatures, des mémoires de stockage pouvant être, par exemple, un disque dur magnétique pour stocker en particulier les règles de formation des signatures.
Un mode de réalisation particulièrement intéressant de ce système consiste en le décomposer en plusieurs dispositifs décentralisés, figure 4.
Une première série de dispositifs 50 installés au plus près des flux comportent les analyseurs de flux 31, 37 et les générateurs de signature 33, 39. Chacun comporte alors une interface de communication 52 avec un dispositif 54 de centralisation comportant, outre une interface de communication 56 en liaison avec les interfaces 52, la mémoire de stockage 35 des signatures ainsi que le comparateur 41 de la signature et l'étiqueteur 43. Ce dernier élément peut également se trouver dans les premiers dispositifs 50 afin d'étiqueter les flux au plus près de leur production.
L'invention a été illustrée et décrite en détail dans les dessins et la description précédente. Celle-ci doit être considérée comme illustrative et donnée à titre d'exemple et non comme limitant l'invention a cette seule description. De nombreuses variantes de réalisation sont possibles.
En particulier, le système de surveillance peut ne comprendre en fait qu'un seul analyseur de flux et qu'un seul générateur de signature capables d'auditer les flux et de générer les signatures aussi bien pour les flux parents
8 que pour les flux enfants. Ou bien, pour des raisons de rapidité, ceux-ci peuvent être aussi nombreux qu'il y a de types de protocoles.
Dans les revendications, le mot comprenant n'exclue pas d'autres éléments et l'article indéfini un/une n'exclue pas une pluralité.
Dans les revendications, le mot comprenant n'exclue pas d'autres éléments et l'article indéfini un/une n'exclue pas une pluralité.
Claims (8)
1. Procédé de surveillance d'une session de communication sur un réseau de données, ladite session comprenant un premier flux de données, dit flux parent, utilisant un premier protocole, ledit flux parent comprenant des données permettant l'établissement d'un second flux de données, dit flux enfant, utilisant un second protocole pour ladite session, ledit procédé
comprenant:
.cndot. rechercher (13) dans le flux parent les données permettant l'établissement du flux enfant ;
.cndot. générer (15) et stocker (17) une signature, dite clé parente, à partir desdites données ;
.cndot. auditer (19) des flux de données utilisant le second protocole sur ledit réseau de données ;
.cndot. créer (21) une signature pour chacun desdits flux .cndot. comparer (23) ladite signature de chacun desdits flux à la clé parente ; et .cndot. si la comparaison est positive, déterminer (25) que le flux de données correspondant est le flux enfant de ladite session.
comprenant:
.cndot. rechercher (13) dans le flux parent les données permettant l'établissement du flux enfant ;
.cndot. générer (15) et stocker (17) une signature, dite clé parente, à partir desdites données ;
.cndot. auditer (19) des flux de données utilisant le second protocole sur ledit réseau de données ;
.cndot. créer (21) une signature pour chacun desdits flux .cndot. comparer (23) ladite signature de chacun desdits flux à la clé parente ; et .cndot. si la comparaison est positive, déterminer (25) que le flux de données correspondant est le flux enfant de ladite session.
2. Procédé selon la revendication 1, caractérisé en ce que la session comportant une pluralité déterminée de flux enfants, les flux de données sont audités jusqu'à ce que l'ensemble des flux enfants soit déterminé.
3. Procédé selon la revendication 1 ou 2, caractérisé en ce que ledit flux enfant comprenant des données permettant l'établissement d'un troisième flux de données utilisant un troisième protocole pour ladite session, une signature est générée à partir desdites données, et des flux de données utilisant le troisième protocole sont audités jusqu'à la détermination du flux de données correspondant à la session.
4. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que ledit procédé surveillant une pluralité de sessions comprenant chacune un flux parent pour lequel est générée et stockée une clé parente, pour chacun des dits flux utilisant le second protocole, la signature est comparée à chacune des clés parentes pour déterminer si ledit flux est, ou non, le flux enfant d'une desdites sessions.
5. Produit programme d'ordinateur comprenant des instructions de code de programme enregistrées sur un support lisible par un ordinateur, pour mettre en oeuvre les étapes du procédé selon l'une quelconque des revendications 1 à 4 lorsque ledit programme fonctionne sur un ordinateur.
6. Système de surveillance d'une session de communication sur un réseau de données, ladite session comprenant un premier flux de données, dit flux parent, utilisant un premier protocole, ledit flux parent comprenant des données permettant l'établissement d'un second flux de données, dit flux enfant, utilisant un second protocole pour ladite session, ledit système comprenant:
.cndot. un premier analyseur de flux (31) pour rechercher dans le flux parent les données permettant l'établissement du flux enfant ;
.cndot. un premier générateur de signature (33), dite clé parente, à partir desdites données ;
.cndot. une mémoire de stockage (35) de ladite signature ;
.cndot. un second analyseur de flux (37) pour auditer des flux de données utilisant le second protocole sur ledit réseau de données ;
.cndot. un second générateur de signature (39) pour chacun desdits flux ;
.cndot. un comparateur (41) de ladite signature de chacun desdits flux à la clé
parente ; et .cndot. un étiqueteur (43) pour attacher le flux correspondant à la signature, si le résultat du comparateur est positif, en tant que flux enfant de ladite session.
.cndot. un premier analyseur de flux (31) pour rechercher dans le flux parent les données permettant l'établissement du flux enfant ;
.cndot. un premier générateur de signature (33), dite clé parente, à partir desdites données ;
.cndot. une mémoire de stockage (35) de ladite signature ;
.cndot. un second analyseur de flux (37) pour auditer des flux de données utilisant le second protocole sur ledit réseau de données ;
.cndot. un second générateur de signature (39) pour chacun desdits flux ;
.cndot. un comparateur (41) de ladite signature de chacun desdits flux à la clé
parente ; et .cndot. un étiqueteur (43) pour attacher le flux correspondant à la signature, si le résultat du comparateur est positif, en tant que flux enfant de ladite session.
7. Système selon la revendication 6, caractérisé en ce qu'il comporte aux moins deux dispositifs reliés par un réseau de données, un premier dispositif comportant au moins la mémoire de stockage, le comparateur de signature et l'étiqueteur et le second dispositif comportant au moins le premier analyseur de flux et le premier générateur de signature et une interface pour transmettre la signature générée au premier dispositif.
8. Système selon la revendication 7, caractérisé en ce qu'il comporte au moins un troisième dispositif relié au premier dispositif par le réseau de données et comportant au moins le second analyseur de flux et le second générateur de signature et une interface pour transmettre la signature générée au premier dispositif.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0956161 | 2009-09-09 | ||
| FR0956161A FR2949934B1 (fr) | 2009-09-09 | 2009-09-09 | Surveillance d'une session de communication comportant plusieurs flux sur un reseau de donnees |
| PCT/FR2010/051823 WO2011030045A1 (fr) | 2009-09-09 | 2010-09-01 | Surveillance d'une session de communication comportant plusieurs flux sur un reseau de donnees |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CA2773247A1 true CA2773247A1 (fr) | 2011-03-17 |
Family
ID=42079062
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CA2773247A Abandoned CA2773247A1 (fr) | 2009-09-09 | 2010-09-01 | Surveillance d'une session de communication comportant plusieurs flux sur un reseau de donnees |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US20120166666A1 (fr) |
| EP (1) | EP2476237A1 (fr) |
| JP (1) | JP5696147B2 (fr) |
| KR (1) | KR101703805B1 (fr) |
| CN (1) | CN102714652B (fr) |
| CA (1) | CA2773247A1 (fr) |
| FR (1) | FR2949934B1 (fr) |
| SG (1) | SG179043A1 (fr) |
| WO (1) | WO2011030045A1 (fr) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9246687B2 (en) * | 2007-02-28 | 2016-01-26 | Broadcom Corporation | Method for authorizing and authenticating data |
| US10320749B2 (en) * | 2016-11-07 | 2019-06-11 | Nicira, Inc. | Firewall rule creation in a virtualized computing environment |
| WO2018141392A1 (fr) * | 2017-02-02 | 2018-08-09 | NEC Laboratories Europe GmbH | Support de pare-feu destiné à des connexions à trajets multiples |
| US10834011B2 (en) * | 2017-06-29 | 2020-11-10 | Itron Global Sarl | Packet servicing priority based on communication initialization |
| FR3089373B1 (fr) * | 2018-12-03 | 2020-11-27 | Thales Sa | Procédé et dispositif de mesure d’un paramètre représentatif d’un temps de transmission dans un tunnel de communication chiffré |
| CN111198807B (zh) * | 2019-12-18 | 2023-10-27 | 中移(杭州)信息技术有限公司 | 数据流分析方法、装置、计算机设备及存储介质 |
Family Cites Families (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7212522B1 (en) * | 1998-09-30 | 2007-05-01 | Cisco Technology, Inc. | Communicating voice over a packet-switching network |
| US6680933B1 (en) * | 1999-09-23 | 2004-01-20 | Nortel Networks Limited | Telecommunications switches and methods for their operation |
| US6816455B2 (en) * | 2001-05-09 | 2004-11-09 | Telecom Italia S.P.A. | Dynamic packet filter utilizing session tracking |
| US8004971B1 (en) * | 2001-05-24 | 2011-08-23 | F5 Networks, Inc. | Method and system for scaling network traffic managers using connection keys |
| JP2006505095A (ja) * | 2002-03-14 | 2006-02-09 | クエストエアー テクノロジーズ インコーポレイテッド | 固体酸化物燃料電池用の水素リサイクル |
| US6856991B1 (en) * | 2002-03-19 | 2005-02-15 | Cisco Technology, Inc. | Method and apparatus for routing data to a load balanced server using MPLS packet labels |
| FI20020882A0 (fi) * | 2002-05-08 | 2002-05-08 | Stonesoft Oyj | Toisiinsa liittyvien yhteyksien käsittely palomuurissa |
| TWI222144B (en) * | 2002-07-23 | 2004-10-11 | Nanya Technology Corp | Test device for detecting the overlay shift between active area and deep trench capacitor in DRAM and the detection method thereof |
| US7953841B2 (en) * | 2002-08-22 | 2011-05-31 | Jds Uniphase Corporation | Monitoring an RTP data stream based on a phone call |
| US8296452B2 (en) * | 2003-03-06 | 2012-10-23 | Cisco Technology, Inc. | Apparatus and method for detecting tiny fragment attacks |
| US7020130B2 (en) * | 2003-03-13 | 2006-03-28 | Mci, Inc. | Method and apparatus for providing integrated voice and data services over a common interface device |
| US20070050777A1 (en) * | 2003-06-09 | 2007-03-01 | Hutchinson Thomas W | Duration of alerts and scanning of large data stores |
| US20050023801A1 (en) * | 2003-07-31 | 2005-02-03 | Adley Finley | Fin-ray tote-a-load |
| GB0321426D0 (en) * | 2003-09-12 | 2003-10-15 | Ericsson Telefon Ab L M | Data sharing in a multimedia communication system |
| US20050182836A1 (en) * | 2004-02-17 | 2005-08-18 | Johnson Teddy C. | Method for transparently auditing employee and contractor FTP usage |
| US7535905B2 (en) * | 2004-03-31 | 2009-05-19 | Microsoft Corporation | Signing and validating session initiation protocol routing headers |
| US7586851B2 (en) * | 2004-04-26 | 2009-09-08 | Cisco Technology, Inc. | Programmable packet parsing processor |
| US7995611B2 (en) * | 2004-06-29 | 2011-08-09 | Apsect Software, Inc. | Method and apparatus for dynamic VoIP phone protocol selection |
| US8194640B2 (en) * | 2004-12-31 | 2012-06-05 | Genband Us Llc | Voice over IP (VoIP) network infrastructure components and method |
| US7624446B1 (en) * | 2005-01-25 | 2009-11-24 | Symantec Corporation | Efficient signature packing for an intrusion detection system |
| US7580356B1 (en) * | 2005-06-24 | 2009-08-25 | Packeteer, Inc. | Method and system for dynamically capturing flow traffic data |
| JP4073931B2 (ja) * | 2005-08-08 | 2008-04-09 | 株式会社ソニー・コンピュータエンタテインメント | 端末、通信装置、通信確立方法および認証方法 |
| JP2007068093A (ja) * | 2005-09-02 | 2007-03-15 | Nippon Telegraph & Telephone East Corp | Ip電話故障区間切り分けシステム及び方法 |
| EP1966977B1 (fr) * | 2005-12-30 | 2016-05-04 | Telecom Italia S.p.A. | Procede et systeme pour assurer la communication securisee entre un reseau public et un reseau local |
| CN101411120B (zh) * | 2006-01-25 | 2012-10-31 | 法国电信公司 | 用于组播数据传输的老化测试系统 |
| US8010689B2 (en) * | 2006-05-22 | 2011-08-30 | Mcafee, Inc. | Locational tagging in a capture system |
| EP1871038B1 (fr) * | 2006-06-23 | 2010-06-02 | Nippon Office Automation Co., Ltd. | Analyseur de protocole et de session |
| US7940657B2 (en) * | 2006-12-01 | 2011-05-10 | Sonus Networks, Inc. | Identifying attackers on a network |
| JP2011503912A (ja) * | 2006-12-01 | 2011-01-27 | ソーナス ネットワークス, インコーポレイテッド | ネットワークのサービス妨害攻撃に対する防御のための情報選別及び監視制限 |
| US9917844B2 (en) * | 2006-12-17 | 2018-03-13 | Fortinet, Inc. | Detection of undesired computer files using digital certificates |
| US7706291B2 (en) * | 2007-08-01 | 2010-04-27 | Zeugma Systems Inc. | Monitoring quality of experience on a per subscriber, per session basis |
| US8413111B2 (en) * | 2008-10-02 | 2013-04-02 | Actiance, Inc. | Techniques for dynamic updating and loading of custom application detectors |
| US8578491B2 (en) * | 2008-12-11 | 2013-11-05 | Alcatel Lucent | Network based malware detection and reporting |
| US20110064093A1 (en) * | 2009-05-08 | 2011-03-17 | Mattson Geoffrey A | Method and apparatus for controlling data communication sessions |
| US8068504B2 (en) * | 2009-05-18 | 2011-11-29 | Tresys Technology, Llc | One-way router |
-
2009
- 2009-09-09 FR FR0956161A patent/FR2949934B1/fr active Active
-
2010
- 2010-09-01 CA CA2773247A patent/CA2773247A1/fr not_active Abandoned
- 2010-09-01 JP JP2012528417A patent/JP5696147B2/ja active Active
- 2010-09-01 KR KR1020127008474A patent/KR101703805B1/ko active Active
- 2010-09-01 EP EP10763796A patent/EP2476237A1/fr not_active Withdrawn
- 2010-09-01 SG SG2012016234A patent/SG179043A1/en unknown
- 2010-09-01 US US13/394,444 patent/US20120166666A1/en not_active Abandoned
- 2010-09-01 CN CN201080051601.5A patent/CN102714652B/zh active Active
- 2010-09-01 WO PCT/FR2010/051823 patent/WO2011030045A1/fr not_active Ceased
Also Published As
| Publication number | Publication date |
|---|---|
| EP2476237A1 (fr) | 2012-07-18 |
| FR2949934B1 (fr) | 2011-10-28 |
| US20120166666A1 (en) | 2012-06-28 |
| JP5696147B2 (ja) | 2015-04-08 |
| CN102714652B (zh) | 2016-01-20 |
| SG179043A1 (en) | 2012-04-27 |
| WO2011030045A1 (fr) | 2011-03-17 |
| KR20120082415A (ko) | 2012-07-23 |
| CN102714652A (zh) | 2012-10-03 |
| JP2013504915A (ja) | 2013-02-07 |
| KR101703805B1 (ko) | 2017-02-07 |
| FR2949934A1 (fr) | 2011-03-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Park et al. | Towards automated application signature generation for traffic identification | |
| CA2773247A1 (fr) | Surveillance d'une session de communication comportant plusieurs flux sur un reseau de donnees | |
| FR2988943A1 (fr) | Systeme de supervision de la securite d'une architecture | |
| EP3520012B1 (fr) | Procédé d 'inspection de trafic chiffré avec des trapdoors fournies. | |
| Mazhar Rathore et al. | Exploiting encrypted and tunneled multimedia calls in high-speed big data environment | |
| EP3771182B1 (fr) | Procédé pour détecter et identifier des equipements communiquant selon un protocole modbus et controleur de communication pour la mise en oeuvre d'un tel procédé | |
| WO2021152262A1 (fr) | Procede de surveillance de donnees echangees sur un reseau et dispositif de detection d'intrusions | |
| EP3545641B1 (fr) | Procédé de chiffrement cherchable | |
| EP2767060B1 (fr) | Passerelle, et procédé, programme d'ordinateur et moyens de stockage correspondants | |
| EP2849404B1 (fr) | Procédé de détection d'intrusions non solliciteés dans un reseau d'information, dispositif, produit programme d'ordinateur et moyen de stockage correspondants | |
| EP3818676A1 (fr) | Identification de protocole d'un flux de données | |
| FR2964280A1 (fr) | Procede de centralisation d’evenements pour systeme d’information hierarchique multi-niveaux | |
| EP2174458B1 (fr) | Procédé et système pour la découverte de la topologie des communications entre applications d'un réseau informatique | |
| WO2014154973A1 (fr) | Procede de stockage de donnees dans un systeme informatique effectuant une deduplication de donnees | |
| EP3162111B1 (fr) | Procédé et dispositif d'obtention de paquets de données émis dans un réseau de communication comprenant une pluralité de sous réseaux | |
| FR3019427A1 (fr) | Procede de mise en cache d'un contenu dans un reseau de distribution de contenus | |
| FR2960371A1 (fr) | Procede et dispositif d'analyse de donnees interceptees sur un reseau ip pour la surveillance de l'activite des utilisateurs d'un site web | |
| FR3076010A1 (fr) | Procede de construction automatique de scenarios d'attaques informatiques, produit programme d'ordinateur et systeme de construction associes | |
| EP3123691A1 (fr) | Procédé de traitement d'un message dans un dispositif d'interconnexion | |
| Alouf | Parameter estimation and performance analysis of several network applications | |
| WO2025003195A1 (fr) | Classification d'un jeu de données multi-activités dans un réseau de télécommunications | |
| EP2464068B1 (fr) | Système de gestion globale de filtrage personnalisé basé sur un circuit d'échange d'informations sécurisé et procédé associé | |
| EP3900278A1 (fr) | Procede de surveillance du mode de terminaison d'un message telephonique | |
| Benferhat et al. | Réseaux Bayésiens naïfs pour la détection des attaques coordonnées | |
| WO2013127619A1 (fr) | Méthode d'inventaire de réseau |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| EEER | Examination request |
Effective date: 20150708 |
|
| FZDE | Discontinued |
Effective date: 20201009 |