Détection et estimation d'anomalies dans un réseau de communication
Résumé
The supervision domain particularly the anomaly detection represents an important aspect of guaranteeing a Quality of Service to communication networks. A wide variety of disruptions designated as anomalies are often related to physical or technical problems such as power or file server failures, abrupt changes caused by legitimate traffic such as network congestion or flash crowds, and risky illegitimate behavior such as Denial-of-Service and Distributed Denial of Service (DoS/DDoS) attacks. We address the problem of anomalies detection and reconstruction in TCP/IP model based on control theory techniques. These anomalies are considered as fault signals in the mathematical model adopted for representing TCP/IP dynamics. For faults detection and according to our knowledge of the faults variations, the observers may be classified into known or unknown input observers. Our first contribution in terms of conceiving known input observers is limited to polynomial forms able to cover a wide range of anomalies. The anomaly and its derivatives are reconstructed by Luenberger observers after introducing them in the state space of the system. The construction of these latter observers is limited in terms of specific anomaly profiles and constrained by the polynomial degree associated to the anomaly. Therefore, another detection approach dealing with completely unknown anomalies is proposed. The sliding modes of first and higher orders are investigated to guarantee finite time convergence and robustness against parametric uncertainties and faults. Our proposals have been studied analytically by validating via Matlab/Simulink and the Network Simulator NS-2. Furthermore, in the context of NS-2, these approaches are integrated into a module for replaying traffic traces in order to test them on a TCP traffic captured in real environment.
La supervision des réseaux de communication et plus particulièrement la détection d'anomalies représente un aspect important de la Qualité de Service. Les anomalies sont des circonstances où certaines opérations dévient de leur comportement normal. Certaines sont causées par des problèmes physiques ou techniques comme la panne d'électricité ou les échecs de serveur de fichier, des changements brusques causés par le trafic légitime comme la surcharge du réseau, les foules subites, ainsi que des comportements risqués illégitimes comme des attaques de Déni de Service (DdS) et Déni de Service Distribué (DddS). Nous confrontons la problématique de détection et reconstruction des anomalies parvenant au modèle TCP/IP par la théorie de commande. Ces anomalies sont considérées comme des défauts dans un modèle mathématique représentant la dynamique du modèle TCP/IP. Dans le domaine de détection des défauts, les observateurs peuvent être classés, selon la connaissance du profil des défauts, en observateurs à entrée connue ou à entrée inconnue. Notre première contribution en termes de synthèse d'observateurs à entrées connues se limite à des formes polynômiales pouvant recouvrir une large gamme d'anomalies. L'anomalie et ses dérivées successives introduites dans l'espace d'état du système sont reconstruites par des observateurs de Luenberger. La construction des observateurs étant contraignante en termes de formes spécifiques de l'anomalie et le degré du polynôme associé, une autre approche traitant la détection des anomalies complètement inconnues est proposée. Les modes glissants d'ordre un et d'ordre supérieur sont conçus pour le modèle TCP pour garantir une convergence en temps fini et la robustesse vis-à-vis des incertitudes paramétriques et des défauts. Nos propositions sont étudiées de manière analytique par des validations sous Matlab/Simulink et le Simulateur de Réseaux NS-2. De plus, dans le contexte de NS-2, ces dernières approches sont intégrées dans un module de rejeu des traces de trafic afin de les tester sur un trafic TCP capturé en environnement réel.