Big data schema Datalyse

Analyse réseau

Le groupe de travail analyse réseau concentre son activité sur l'analyse et l'exploitation des traces du trafic réseau des centres de données Eolas. Ces traces, enregistrées par équipements réseau (switch, routeur, firewall, etc.), concernent à la fois le trafic provenant des utilisateurs des applications hébergées par le centre de données, et les communications entre les machines du centre de données. Ces traces réseau décrivent ces échanges par leurs IP et ports de destination, ainsi que par la quantité de données échangées. Ces données sont un exemple type de MBD. Le groupe de travail analyse réseau développe trois applications qui transforment ces MBD:

 

  1. Caractérisation spatio-temporelle du trafic utilisateur : En étudiant les connexions des utilisateurs, il est possible de déterminer leur fournisseur d'accès, leur position géographique ainsi que le chemin réseau emprunté par ce trafic. Ces informations permettent d'optimiser le déploiement du centre de données, ainsi que ses échanges avec le reste du Web à travers les accords de peering. De plus, l'étude temporelle permet de mieux analyser les pics de trafic afin de mieux provisionner le centre de données. Cette application met en œuvre les datalyseurs de jointures hiérarchique, temporelle, ainsi que de clustering.
  2. Détection des anomalies : Cette application s'intéresse à la sécurité du centre de données, et sera mise en place sous forme de traitement par flux afin d'obtenir un système d'alerte réactif. L'idée est d'effectuer un apprentissage pour caractériser les connexions illégitimes (ports scannées, vol de données, etc.), caractérisées par les machines concernées ainsi que par des enchaînements temporels. Elle met en œuvre des datalyseurs de mining. 
  3. Empreinte réseau : Cette application est envisagée à plus long terme, et vise la création d'une mesure d'empreinte réseau d'application. L'objectif est de caractériser le comportement standard d'une application dans un environnement sécurisé, afin de pouvoir étudier les déviations lorsqu'elle est déployée en production, dans le centre de données. Ces déviations permettront de déterminer des comportements anormaux, que leur origine soit liée à un problème de sécurité, ou à un changement profond dans l'utilisation de l'application. Les datalyseurs mis en œuvre seront ceux de mining et de jointures temporelles.

 

Eolas et ses partenaires universitaires ont discuté un accord de confidentialité afin de procéder au partage de données. Eolas a mis en place une grille de calcul sur laquelle les partenaires pourront étudier les données et tester leurs algorithmes. Dans l'immédiat, l'objectif concerne l'application d'étude de trac utilisateur, et la mise en place d'une interface pour visualiser ces données spatio-temporelles. Cela permettra le développement d’outils basiques de manipulation des traces, qui seront à nouveau utilisés pour les applications suivantes. Cela permettra aussi aux partenaires de se familiariser avec les données et l'environnement de déploiement. Dans un second temps, il est prévu de travailler sur une caractérisation plus théorique des caractéristiques des attaques réseau afin de déterminer s'il est possible de trouver de tels motifs dans les traces disponibles.

 

Business & Decision CNRS Eolas INRIA Centre de Recherche en Informatique, Signal et Automatique de Lille LIG LIRMM Les mousquetaires UJF UM