Novel anomaly detection and classification algorithms for IP and mobile networks - Archive ouverte HAL Accéder directement au contenu
Thèse Année : 2020

Novel anomaly detection and classification algorithms for IP and mobile networks

Nouveaux algorithmes de détection d'anomalies et de classification pour les réseaux IP et mobile

Agathe Blaise

Résumé

Last years have witnessed an increase in the diversity and frequency of network attacks, that appear more sophisticated than ever and devised to be undetectable. At the same time, customized techniques have been designed to detect them and to take rapid countermeasures. The recent surge in statistical and machine learning techniques largely contributed to provide novel and sophisticated techniques to allow the detection of such attacks. These techniques have multiple applications to enable automation in various fields. Within the networking area, they can serve traffic routing, traffic classification, and network security, to name a few. This thesis presents novel anomaly detection and classification techniques in IP and mobile networks. At IP level, it presents our solution Split-and-Merge which detects botnets slowly spreading on the Internet exploiting emerging vulnerabilities. This technique monitors the long-term evolutions of the usages of application ports. Then, our thesis tackles the detection of botnet’s infected hosts, this time at the host-level, using classification techniques, in our solution BotFP. Finally, it presents our ASTECH (for Anomaly SpatioTEmporal Convex Hull) methodology for group anomaly detection in mobile networks based on mobile app usages.
Ces dernières années ont été marquées par une nette augmentation de la fréquence et de la diversité des attaques réseau, qui apparaissent toujours plus sophistiquées et conçues pour être indétectables. En parallèle, des techniques sont développées pour les détecter et prendre des contre-mesures rapidement. Récemment, l’essor des techniques statistiques et d’apprentissage machine ("machine learning") ont permis un développement rapide de techniques innovantes visant à détecter de telles attaques. Ces techniques ont des applications dans de nombreux domaines qui gagneraient à être davantage automatisés. Dans le domaine des réseaux, elles s’appliquent par exemple au routage et à la classifcation de trafic et à la sécurité des réseaux. Cette thèse propose de nouveaux algorithmes de détection d’anomalies et de classification appliqués aux réseaux IP et mobiles. Au niveau IP, celle-ci présente une solution Split-and-Merge qui détecte des botnets qui se propagent lentement sur Internet en exploitant des vulnérabilités émergentes. Cette méthode analyse l’évolution à long-terme de l’usage des ports applicatifs. Ensuite, celle-ci aborde la détection d’hôtes infectés par un botnet, cette fois en utilisant des techniques de classification au niveau de l’hôte, dans une solution nommée BotFP. Enfin, cette thèse présente notre algorithme ASTECH qui permet la détection d’anomalies brutes dans les séries temporelles dans les réseaux mobiles, les regroupe en enveloppes convexes spatio-temporelles, et finalement induit plusieurs classes d’événements.
Fichier principal
Vignette du fichier
BLAISE_Agathe_2020.pdf (18.18 Mo) Télécharger le fichier
Origine : Version validée par le jury (STAR)

Dates et versions

tel-03190474 , version 1 (06-04-2021)
tel-03190474 , version 2 (14-02-2023)

Identifiants

  • HAL Id : tel-03190474 , version 2

Citer

Agathe Blaise. Novel anomaly detection and classification algorithms for IP and mobile networks. Networking and Internet Architecture [cs.NI]. Sorbonne Université, 2020. English. ⟨NNT : 2020SORUS257⟩. ⟨tel-03190474v2⟩
304 Consultations
75 Téléchargements

Partager

Gmail Facebook X LinkedIn More