Les offres de “Orange”

Expire bientôt Orange

Thèse : tomographie Internet, placement et orchestration d'élèments de mesure pour optimiser la détection d'incidents et d'attaques F/H

  • Thèse
  • France
  • Développement informatique

Description de l'offre

about the role

Effectuer un travail de recherche sur la tomographie Internet, le placement et l'orchestration d'élèments de mesure pour optimiser la détection d'incidents et d'attaques.

Support universel de transport de services, la réussite intégratrice de l'Internet n'est plus à démontrer. Victime de son succès, le réseau doit faire face à de nouveaux enjeux de sécurité comme le détournement des chemins de routage dans l'Internet [1]. Ces évènements dommageables, volontaires ou non, peuvent non seulement altérer le bon fonctionnement des services mais aussi cibler directement le réseau lui même, dans un contexte de raréfaction des ressources IPv4 [2]. Parmi les facteurs qui contribuent à la vulnérabilité du routage Internet on peut citer la fragilité du protocole BGP (Border Gateway Protocol), son opacité et sa verbosité.

Rappelons tout d'abord que l'Internet se compose de systèmes autonomes (AS), ensembles de réseaux et routeurs sous le contrôle d'une entité administrative (opérateur, fournisseur de contenus, gouvernement, etc.). Au sein de chaque AS, les décisions sont unilatérales mais pour maintenir la connectivité globale dans l'Internet les AS doivent s'interconnecter et échanger de l'information concernant les réseaux IP qu'ils savent joindre, identifiés par des préfixes IP. Cette interconnexion n'est pas le fruit du hasard, mais se fait selon des accords à dominante économique. D'un point de vue technique, elle est réalisée par le biais du protocole BGP (Border Gateway Protocol) [3].

Le choix d'un plus court chemin BGP est complexe. De plus, l'information de routage n'est pas diffusée dans le réseau mais annoncée de voisin à voisin. La conséquence est double, tout d'abord chaque AS n'a qu'une vision partielle des chemins de routage existants, ensuite cela exacerbe la verbosité de BGP. Dès lors, le faible nombre d'AS actuellement monitorés (moins de 1% parmi plus de 60 000) ne permet pas d'observer le système dans sa globalité et quand bien même tous le AS seraient monitorés, le volume d'information serait alors difficilement exploitable. Si le routage interdomaine apparaît donc complexe à appréhender, il est de plus fragile car basé sur la confiance et la préférence des préfixes plus spécifiques. La conséquence directe est la capacité pour un AS de détourner un préfixe. Cet incident volontaire ou non est généralement assez facilement détectable mais d'autres attaques plus subtiles appelées Man in the middle BGP [8] sont elles très difficilement détectables.

Depuis plusieurs années, du fait de sa complexité et de sa criticité, la problématique de la mesure de la dynamique BGP et de la détection d'incidents ou d'attaques a suscité l'intérêt de la communauté scientifique [9]. De nombreuses approches ont ainsi été expérimentées : méthodes statistiques d'analyse de données [10][11][12], analyse de séries temporelles [13][14][15] ou encore de machine learning [16][17][18]. Par contre, peu d'études semblent encore s'interroger sur notre capacité à effectivement observer ces incidents et attaques à partir des seules mesures réalisables, ainsi que notre capacité à optimiser nos infrastructures de mesures dans ce but [4][5][6].

Or comprendre notre capacité à détecter des attaques et comportements à même d'endommager un réseau (dans le cas particulier de l'Internet inter-domaine mais aussi dans le cas général) à partir d'un ensemble de points de mesure disponibles et concevoir des méthodes pour optimiser leur placement en vue d'observer plus efficacement ces évènements tout en limitant les ressources utilisées est pourtant plus critique que jamais mais aussi plus complexe que jamais. C'est dans ce contexte que s'inscrira ce travail de thèse.

about you

Vous êtes diplômé(e) d'une école d'ingénieur ou titulaire d'un Master Recherche dans le domaine de l'informatique.

Compétences et qualités personnelles souhaitées :

·  L'anglais sera omniprésent dans ces travaux (autant à l'oral qu'à l'écrit pour se former et échanger), un bon niveau est donc souhaité.
·  De bonnes connaissances théoriques en optimisation linéaire et non linéaire sont souhaitables pour le bon déroulement de la thèse.
·  Des connaissances et compétences sur l'utilisation d'environnements linux, sur les protocoles réseaux, en programmation (Python) et en gestion de BDD (MySQL) sont nécessaires au bon déroulement de la thèse.
·  L'Autonomie, la pro activité et la curiosité seront déterminant pour la réussite de la thèse.

Vous avez une expérience (stage, projet) liée au monitoring dans le domaine des réseaux IP serait un plus.

additional information

Références

[1] https://en.wikipedia.org/wiki/BGP_hijacking

[2] https://fr.wikipedia.org/wiki/%C3%89puisement_des_adresses_IPv4

[3] Rekhter, Y., Li, T., & Hares, S. (2005). A border gateway protocol 4 (BGP-4) (No. RFC 4271).

[4] Gion Reto Cantieni, Gianluca Iannaccone, Chadi Barakat, Christophe Diot, and Patrick Thiran. 2006. Reformulating the monitor placement problem: optimal network-wide sampling. In Proceedings of the 2006 ACM CoNEXT conference (CoNEXT '06). ACM, New York, NY, USA, , Article 5 , 12 pages

[5] M. Albanese, S. Jajodia, A. Pugliese, and V. S. Subrahmanian. Scalable detection of cyber attacks. In N. Chaki and A. Cortesi, editors, CISIM, volume 245 of Communications in Computer and Information Science, pages 9--18. Springer, 2011.

[6] H. M. J. Almohri, D. Yao, L. T. Watson, and X. Ou. Security optimization of dynamic networks with probabilistic graph modeling and linear programming. Technical report, Virginia Tech, 2014.

[7] Guillaume Sagnol, Mustapha Bouhtou, and Stéphane Gaubert. 2010. Successive c-optimal designs: a scalable technique to optimize the measurements on large networks. In Proceedings of the ACM SIGMETRICS international conference on Measurement and modeling of computer systems (SIGMETRICS '10). ACM, New York, NY, USA, 347-348

[8] https://www.defcon.org/images/defcon-16/dc16-presentations/defcon-16-pilosov-kapela.pdf

[9] Al-Musawi, B., Branch, P., & Armitage, G. (2016). BGP Anomaly Detection Techniques: A Survey. IEEE Communications Surveys & Tutorials.

[10] S. Deshpande, M. Thottan, T. K. Ho, and B. Sikdar, “An online mechanism for BGP instability detection and analysis,” IEEE Trans. Comput.,vol. 58, no. 11, pp. 1470-1484, Nov. 2009

[11] M. C. Ganiz, S. Kanitkar, M. C. Chuah, and W. M. Pottenger, “Detection of interdomain routing anomalies based on higher-order path analysis,” in Proc. 6th Int. Conf. Data Min. (ICDM) , Hong Kong, Dec. 2006, pp. 874-879.

[12] G. Theodoridis, O. Tsigkas, and D. Tzovaras, “A novel unsupervised method for securing BGP against routing hijacks,” in Computer and Information Sciences III . London, U.K.: Springer, 2013, pp. 21-29.

[13] C. Labovitz, G. R. Malan, and F. Jahanian, “Internet routing instability,” IEEE/ACM Trans. Netw., vol. 6, no. 5, pp. 515-528, Oct. 1998.

[14] J. Mai, L. Yuan, and C.-N. Chuah, “Detecting BGP anomalies with wavelet,” in Proc. IEEE Netw. Oper. Manag. Symp. (NOMS) , Salvador, Brazil, Apr. 2008, pp. 465-472.

[15] B. Al-Musawi, P. Branch, and G. Armitage, “Detecting BGP instability using recurrence quantification analysis (RQA),” in Proc. IEEE 34th Int. Perform. Comput. Commun. Conf. (IPCCC) , Nanjing, China, Dec. 2015, pp. 1-8

[16] . Li, D. Dou, Z. Wu, S. Kim, and V. Agarwal, “An Internet routing forensics framework for discovering rules of abnormal BGP events,”SIGCOMM Comput. Commun. Rev. , vol. 35, no. 5, pp. 55-66, Oct. 2005.

[17] N. M. Al-Rousan and L. Trajkovic, “Machine learning models for classification of BGP anomalies,” in Proc. IEEE 13th Int. Conf. High Perform. Switching Routing (HPSR) , Belgrade, Serbia, 2012, pp. 103-108.

[18] A. Lutu, M. Bagnulo, J. Cid-Sueiro, and O. Maennel, “Separating wheat from chaff: Winnowing unintended prefixes using machine learning,” in Proc. IEEE INFOCOM, Toronto, ON, Canada, Apr./May 2014, pp. 943-951.

department

Vous intégrerez une équipe possédant une expertise de plus de 10 ans dans le développement et la mise en place de chaîne de monitoring du plan de contrôle. Très actif dans le support pays par le biais d'audits qui exploitent notamment les données des outils de monitoring, l'équipe dispose donc de données et d'accès privilégiés pour la concrétisation des travaux proposés dans ce sujet de thèse.

La thèse s'inscrit au coeur d'enjeux de sécurité reconnus au sein du groupe et au-delà.

Description de la mission et des principales activités associées à la thèse

L'objet de la thèse consistera dans la compréhension des limitations de la tomographie Internet quant à l'observabilité d'attaques et d'incidents, ainsi que dans la conception et la validation de nouveaux mécanismes permettant l'optimisation du placement et de l'orchestration d'élèments de mesure au sein d'un système (dans le cas particulier de l'Internet inter-domaine mais aussi dans le cas général) afin de maximiser notre capacité de détection d'attaques et d'incidents tout en minimisant l'utilisation des ressources de l'infrastructure de mesure.

Dans un premier temps, on effectuera un certains de nombre de travaux de tomographie réseau afin de mieux apréhender l'observabilité du comportement du réseau. Pour ce faire, on utilisera différents outils notamment des outils issus du domaine des statistiques et du machine learning. En parallèle, on réfléchira à l'élaboration de méthodes permettant l'optimisation du placement et de l'ochestration d'élèments de mesure. Pour ce faire, on proposera des mécanismes non intrusifs, autrement dit, ne nécessitant pas un bouleversement complet des protocoles ou de l'infrastructure existants. Le cas échéant on pourra ainsi faire appel à des techniques d'optimisation linéaires ou non linéaires, sans pour autant s'interdire d'explorer d'autres types de techniques telles les techniques de planification issues de l'intelligence artificielle par exemple.

Dans un second temps on s'intéressera à proposer des mécanismes plus en rupture avec ceux de l'Internet actuel : modifications des protocoles et/ou des architectures existants voir proposition de nouveaux protocoles et/ou de nouvelles architectures. Ces mécanismes pourront s'intéresser à différentes échelles de temps. Si une réflexion clean-slate est envisageable voir souhaitable afin notamment de prendre du recul face à l'existant, les solutions proposées devront néanmoins s'ancrer dans un certain pragmatisme quant à leur possible implémentation, en se formalisant par exemple sous la forme de RFCs.

Signalons que cette thèse nécessitera des travaux dans le domaine de l'analyse de grands volumes de données. On pourra donc le cas échéant être amené à envisager l'utilisation de techniques liées au Big Data et au Fast Data pour leur stockage et leur analyse. Signalons enfin que dans cette thèse on pourra s'intéresser à différents aspects du plan de contrôle : routage intra/inter domaine, delivery de contenu, etc. en se focalisant sur l'un d'entre eux, sur certains ou sur tous.

Les défis et verrous scientifiques de cette thèse ainsi que son aspect novateur découlent directement du sujet d'étude : analyser notre aptitude à détecter des comportements pouvant impacter le bon fonctionnement d'un système (dans le cas particulier de l'Internet inter-domaine mais aussi dans le cas général) à partir des observations réalisables, déterminer où effectuer nos observations efficacement et comment optimiser les ressources utilisées par nos infrastructures de mesure. Dans le cas de l'Internet inter-domaine, le défi est à la fois pratique et théorique du fait de la complexité des données et de leur volume.

contract

Thesis

Faire de chaque avenir une réussite.
  • Annuaire emplois
  • Annuaire entreprises
  • Événements