WO2008049908A2 - Device for controlling packets, for a router of a communication network with a view to the routing of suspect packets to dedicated analysis equipment - Google Patents

Device for controlling packets, for a router of a communication network with a view to the routing of suspect packets to dedicated analysis equipment Download PDF

Info

Publication number
WO2008049908A2
WO2008049908A2 PCT/EP2007/061506 EP2007061506W WO2008049908A2 WO 2008049908 A2 WO2008049908 A2 WO 2008049908A2 EP 2007061506 W EP2007061506 W EP 2007061506W WO 2008049908 A2 WO2008049908 A2 WO 2008049908A2
Authority
WO
WIPO (PCT)
Prior art keywords
packet
router
destination address
address
control
Prior art date
Application number
PCT/EP2007/061506
Other languages
French (fr)
Other versions
WO2008049908A3 (en
WO2008049908B1 (en
Inventor
Olivier Marce
François TABURET
Original Assignee
Alcatel Lucent
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel Lucent filed Critical Alcatel Lucent
Priority to EP07821869A priority Critical patent/EP2087688A2/en
Publication of WO2008049908A2 publication Critical patent/WO2008049908A2/en
Publication of WO2008049908A3 publication Critical patent/WO2008049908A3/en
Publication of WO2008049908B1 publication Critical patent/WO2008049908B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/60Router architectures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Definitions

  • the invention relates to communication networks capable of transmitting data packets, and more specifically the routing of packets within such networks.
  • Many communication devices, attached to communication networks, are the object, usually via the Internet, of computer attacks by means of attack traffic (consisting of data packets defining, for example, a virus, a to or Trojan horse) generated by malicious people.
  • attack traffic consisting of data packets defining, for example, a virus, a to or Trojan horse
  • IP destination address
  • packets traffic attack
  • attack detection system communication
  • IDS intrusion detection System
  • honeypot devices are typically connected to the Internet and each have an IP ("Internet Protocol”) address that is not usually made public. Therefore, any attempt to connect to such equipment is considered suspicious and a potential attack.
  • IP Internet Protocol
  • a first solution is to multiply the number of honeypot devices in the largest possible number of networks, so that each of them automatically receives attack traffic targeting its own IP address. But, such a solution is expensive and difficult to manage.
  • a second solution consists in making each honeypot type of equipment accessible by several IP addresses. This allows to receive numerous attacks, then to analyze them in the same equipment and to correlate the attacks.
  • a honeypot type of equipment can receive and analyze only attack traffic targeting an IP address of the network or networks for which it works. In order to be able to receive and analyze a large number of attack traffic, it must therefore be attached to several ⁇ multi-homed ⁇ networks, which requires that it can be reached by means of several different network addresses. This constraint strongly limits the ability of a honeypot-type device to scale up, since it is difficult to obtain for the same equipment multiple network accesses (this requires several links, possibly virtual).
  • honeypot-type device since the number of IP addresses of a honeypot device depends on the number of networks to which it is attached, its detection is facilitated. However, as soon as a honeypot-type device is detected, it becomes useless and it compromises the confidence that one can have in its analyzes since it can be the object of misleading attacks intended to overload it at the same time. time as the IDSs that it feeds into signatures.
  • a third solution is to implement in various places of the Internet equipment called "funnel". These devices are responsible for receiving the attack traffic on their own address or address ranges which are respectively allocated to them, and to transfer these received attack traffic to a honeypot type of equipment (generally via a transmission channel tunnel type).
  • This solution is advantageous because when a funnel-type device is detected, it does not compromise the entire attack detection system. In addition, it does not require manage only a limited number of honeypot-type equipment. But, it requires to install at least one funnel-type equipment in each network where honeypot-type equipment is installed, which is expensive because of the number of equipment to be deployed and because of the deployment and management costs. of all of said equipment.
  • control device intended to be coupled to, or to be part of (at least partially) a communication network router comprising analysis means responsible for determining in the header of a packet. of data, that it has just received, the destination address it contains, for the purpose of routing this packet to this destination address.
  • analysis means responsible for determining in the header of a packet. of data, that it has just received, the destination address it contains, for the purpose of routing this packet to this destination address.
  • the invention therefore applies to any packet network routed on the destination address, and therefore applies particularly well to IP type networks.
  • Control means loaded, when the router analysis means have determined in a header an unassigned or inaccessible destination address, to extract the packet containing this header, and - processing means to associate with a packet retrieved by the control means a chosen alternative destination address, which has been assigned to a packet analysis equipment, for example honeypot type, so that the router the route to this associated replacement destination address.
  • the device according to the invention may comprise other characteristics that can be taken separately or in combination, and in particular:
  • its processing means may be responsible for associating with a received packet transmitted by packet analysis equipment, for example of the honeypot type, in response to a previous packet extracted by the control means, the source address ( original) of said previous packet extracted by the control means, so that the router routes the received packet to the source address (original) that has been associated with it by the processing means; its processing means may be responsible for placing a packet extracted by its control means in a new packet provided with a header containing the chosen alternative destination address, and then providing the router with the new packet containing the extracted packet; alternatively, its processing means may be responsible for replacing by a chosen alternative destination address the destination address that is contained in a packet that has been extracted by the control means, and then to provide the router with the extracted packet. with his new alternate destination address; its control means may for example be located in a data plane (or "data plane") of the router;
  • its processing means may, for example, be implanted in a so-called control plane of the router;
  • its processing means can be loaded, when the router analysis means have determined in a header an unassigned or inaccessible destination address, to prevent the router from sending an error message to the equipment (source ) who issued the packet containing that heading and which is designated in the latter;
  • management means responsible for configuring the control means so that they do not extract a packet containing an unassigned or inaccessible destination address provided that it satisfies at least one chosen criterion and / or configuring the processing means so that they can proceed to the alternative destination address associations according to at least one selected criterion; each criterion is for example chosen from at least one criterion of membership of the destination address to a set of chosen addresses, a criterion of belonging of the source address to a set of chosen addresses, a criterion of the membership of the content type of the packet to a set of selected content types, a criterion relating to the local time of the router, a criterion of the occupancy rate of at least one selected buffer of the router, and a criterion relating to the value of a chosen meter; > his means of management can be responsible for configuring the means control and / or processing means by transmitting rules defining at least some of the criteria to be applied and / or correspondence tables between criteria
  • its management means may be responsible for configuring control means and / or processing means located in at least two routers of its network;
  • its management means can for example be implemented in the control plane of the router.
  • the invention also proposes a router (communication network) comprising analysis means of the aforementioned type and a control device of the type of that presented above and coupled to said analysis means.
  • the invention is particularly well suited, although not exclusively, to Internet Protocol (IP) communication networks.
  • IP Internet Protocol
  • FIG. 1 very schematically illustrates two communication networks connected to the Internet and comprising analysis equipment as well as routers each equipped with a control device according to the invention
  • FIG. 2 schematically and functionally illustrates a router equipped with an exemplary embodiment of a control device according to the invention.
  • the attached drawings may not only serve to complete the invention, but also contribute to its definition, if any.
  • the object of the invention is to enable a large number of suspect traffics (transmitted as packets via one or more packetized communication networks routed to the destination address, as well as than possibly via the Internet) to reach equipment for analyzing suspicious traffic, for example of the honeypot type.
  • FIG. 1 schematically illustrates an example of a communication installation embodying the invention.
  • This installation comprises here, by way of purely illustrative and nonlimiting example, two communication networks N1 and N2 capable of transmitting data packets, for example of the IP (Internet protocol) type, and both connected to the Internet.
  • network the communication networks N1 and N2
  • IP packet a data packet transmitted by an N1 or N2 network.
  • the number of routers represented here is equal to four, but it can take any value greater than or equal to one. Note that it is preferable, for reasons of efficiency, that each router of the first network N1 is equipped with one, or coupled to a control device D. It can indeed be envisaged that only one, or some of the routers of the first network N1 are equipped with, or coupled to, a control device D.
  • communication equipment EA1, EA2, ES1
  • a first equipment for analyzing suspicious traffics (packets) EA1 a second equipment for analyzing suspicious traffics (packets) EA2 and a communication terminal ES1 are connected to the first network N1 .
  • the number of routers represented here is equal to three, but it can take any value greater than or equal to one.
  • communication equipment EA3, EA4, ES2
  • each having a communication address such as an IP address
  • a third equipment for analyzing suspicious traffic (packets) EA3, a fourth equipment for analyzing suspicious traffic (packets) EA4 and an communication terminal ES2 are connected to the second network N2.
  • the first EA1, second EA2, third EA3 and fourth EA4 suspected traffic analysis equipment (packets) are "honeypot” type equipment.
  • the communication terminals ES1 and ES2 are equipment belonging to malicious people wishing to attack, by means of attack traffic (consisting of packets defining, for example, a worm, a virus or a Trojan), other communication equipment (of any type) connected to the first N1 or second N2 network or any other network accessible via the first N1 or second network N2.
  • attack traffic consisting of packets defining, for example, a worm, a virus or a Trojan
  • Such an (communication) terminal ES1 or ES2 is provided with an address scanning system enabling it to automatically generate any IP address and thus transmit traffic (packets) of attack to all the addresses IP possible, or at least to a large subgroup of all IP addresses.
  • each router Ri or R'j is responsible for routing each packet (here of IP type) that it receives to the destination address (IP) that is contained in the header (IP) of this packet (IP).
  • IP the IP header of an IP packet includes, among other things, the source address of the source equipment that sent said IP packet and the destination address of the equipment that is the recipient of said IP packet.
  • each router Ri or R'j comprises, in particular, an analysis module MA and a routing module (or matrix) MR.
  • the analysis module MA is responsible for analyzing the contents of each IP header in order to determine the destination address that it contains, then determining how to route the packet containing this IP header according to routing information (generally stored in a routing table).
  • the routing module MR is responsible for routing (router) a received packet to the communication equipment that is designated by the destination IP address determined by the analysis module MA in its IP header, according to the instructions of routing provided by the MA analysis module.
  • the analysis module MA is generally part of what the person skilled in the art calls the data plane (or "data plane”) PD of the router Ri or R'j. But, it could be otherwise.
  • the routing module MR is generally distributed between the PD data plane and what the skilled person calls the control plane (or "control plane”) PC router Ri or R'j. But, it could be otherwise.
  • each control device D comprises at least one control module MC and an processing module MT coupled to each other.
  • the control module MC is coupled to the analysis module MA. When it is located in a router Ri or R'j, it is preferably part of its PD data plane. This control module MC is responsible for observing the result of the analysis performed by the analysis module MA on each IP header of a received IP packet. When the analysis module MA has determined in the header of an IP packet to route an unassigned or inaccessible destination address, the control module MC extracts the corresponding packet and transmits it to the processing module MT. It is important to note that the extraction can possibly be done according to at least one selected criterion. The application of some of these criteria may possibly require the analysis of the IP header and / or the content (payload) of the packet. Many criteria may be used, and in particular:
  • control module MC may be configured to transmit an IP packet to the processing module MT provided that its IP header includes a destination address belonging to a set of chosen addresses,
  • control module MC can be configured to transmit an IP packet to the processing module MT provided that its IP header includes a source address belonging to a set of chosen addresses,
  • control module MC can be configured to transmit an IP packet to the processing module MT provided that its content corresponds to a type belonging to a set of selected types.
  • control module MC may be optionally configured to select the honeypot type equipment to which an extracted packet must be routed. To do this, it can optionally apply at least one selected criterion). Many criteria can be used for this purpose, including:
  • the control module MC can be configured to choose the honeypot type equipment to which an extracted packet must be routed according to the local time. This can in particular allow the distribution of traffic (or "load balancing"). For example, it may order the transmission of an extracted packet to the first honeypot equipment EA1 for the second (or minute) pairs, and to the second equipment of the honeypot type EA2 for the odd seconds (or minutes); a criterion of the occupancy rate of at least one selected buffer of the router Ri or R'j.
  • buffers for example of the FIFO type associated with each of the honeypot type of equipment, in order to place the extracted packets awaiting routing according to the honeypot type of equipment recipient.
  • an initially extracted packet intended for a first honeypot EA1 type equipment item is placed in the buffer memory associated with the second honeypot equipment item EA2 when the occupancy rate of the buffer memory associated with the first equipment item honeypot type EA1 exceeds a chosen threshold. It can also be used to make the distribution of traffic;
  • a criterion relating to the value of a chosen meter may be provided.
  • each time the control module MC orders the routing of an extracted IP packet to a honeypot-type device it increments by one unit the value of the counter which is associated with the latter.
  • the control module MC orders the routing to the second honeypot equipment EA2 of the following extracted IP packet which should normally be routed to the first equipment type honeypot EA1. This can also be used to make the distribution of traffic.
  • control module MC therefore transmits to the processing module
  • the processing module MT Whenever the processing module MT receives a packet extracted by the control module MC, it associates it with a chosen alternative destination address (assigned to a honeypot type equipment), so that the router Ri or R'j the route to this associated alternate destination address.
  • This alternative address association can be done in at least two different ways.
  • a first way is to replace with a chosen alternative destination address the destination address that is contained in the extracted IP packet.
  • the processing module MT then supplies to the router Ri or R'j, and more specifically to its data plane PD, the extracted IP packet which now comprises a new replacement destination address.
  • a second, currently preferred, way is to place the extracted IP packet in a new packet with a header that contains the alternative destination address chosen.
  • the processing module MT then supplies the router Ri or R'j, and more precisely its data plane PD, with the new IP packet that contains the extracted IP packet.
  • the replacement destination address which is associated with an extracted IP packet, may be designated (chosen) by the control module MC following the application of one or more selected criteria.
  • this address (or its designation) is for example communicated to the processing module MT at the same time as the extracted IP packet concerned.
  • the data plane PD receives from the processing module MT the IP packet that has been the subject of the association of a replacement destination address, it processes it as if it were a new IP packet. come. Therefore, it is again analyzed by the analysis module MA, then routed to the replacement destination address it contains, since it is now known and accessible.
  • control device D When the control device D is located in a router Ri or R'j, its processing module MT is preferably part of what the skilled person calls the control plane (or "control plane") PC of the router.
  • the criteria relating to the IP header or the content type of an IP packet are applied by the control module MC, while the other criteria relating to the selection of the honeypot type equipment is applied by the processing module MT.
  • the processing module MT receives an extracted IP packet, to be the subject of a replacement destination address association, it applies one or more criteria to it to determine the honeypot-type equipment to which it must be directed, then he associates him with the destination address of the latter.
  • the criteria concerning the header (IP) and / or the content type of a packet (IP) are applied by the processing module MT.
  • the criteria concerning the header (IP) and / or the content type of a packet (IP) may be applied by the control module MC and / or the processing module MT.
  • a router Ri or R'j when a router Ri or R'j detects an unassigned or inaccessible destination address, it automatically addresses the source equipment ES1 (or ES2), which has issued the corresponding IP packet and which is designated in the IP header, an error message (usually ICMP type) stating the reason why it could not route this IP packet (equipment unreachable because the address of destination does not exist ("host unreachable” - especially in the case of non-existence of an ARP "Address Resolution Protocol" (RFC 826)), or network unreachable because we can not find a route to access the 'network unreachable').
  • ES1 or ES2
  • RRC 826 Address Resolution Protocol
  • the processing module MT may for example be loaded with to forbid its analysis module MA to generate this type of error message when it detects an unassigned or inaccessible destination address.
  • some suspicious packet analysis equipment EA1-EA4 may be arranged to respond to the attack messages they receive. Since they now receive a message of attack from a router which is equipped with a control device D according to the invention, they transmit to the same router the response to said attack message, while that This is for ES1 source equipment or ES2.
  • the processing module MT of a control device D can be responsible for associating with a received packet transmitted by a device EA1 packet analysis in response to a previous suspect packet extracted by its MC control module, the source address (original) of this previous packet. For this purpose, each time a control module MC extracts a suspicious packet, it stores its source address in a memory of its device D or its router Ri or R'j.
  • a control module MC finds that the analysis module MA of its router Ri or R'j has detected a packet transmitted by a packet analysis equipment EA1 in response to a packet that it had previously extracted it determines in the memory the source address which corresponds to this received packet and transmits it to its processing means MT so that it associates it with the received packet.
  • the routing module MR of the router Ri or R'j can then route the received packet to the source address that has been associated with it by the processing module MT.
  • the processing module MT that can determine in the memory the source address that it must associate with a received packet to be routed to a source equipment ES1 or ES2.
  • the control device D can also and optionally include a management module MG responsible for configuring the control module MC and / or the processing module MT, in particular so that it (s) Applies to extracted IP packets one or more selected criteria.
  • the management module MG can be used to define rules that define at least some of the criteria to be applied and / or correspondence tables between criteria to be applied and alternative destination addresses, and then (or only ) to transmit some of these rules and / or some of these correspondence tables auo control module MC and / or the processing module MT, according to instructions received from the network manager to which belongs the router Ri or R'j dont it is part of (or to which it is coupled).
  • the MG management module can also be responsible for activating or deactivate the control device D at times chosen according to instructions received or a possible programming.
  • the management module MG may also be responsible for configuring the address or addresses of the EA1 and EA2 packet analysis equipment to which the suspect packets will be sent.
  • the management module MG may also be responsible for configuring control modules MC and / or processing modules MT which are located in (or coupled to) several (at least two) routers.
  • a management module MG can be used to configure the control modules MC and / or the processing modules MT of all the routers of its network or only a part of them. In this case, it can be either implanted in one of the control devices D or in a network equipment of another type.
  • control device D When the control device D is located in a router Ri or R'j, its management module MG is preferably part of the control plane PC of this router.
  • control device D and in particular its control module MC and processing module MT, as well as its possible management module MG, can be implemented in the form of electronic circuits, software (or computer) modules, or a combination of circuits and software.
  • control device and router are not limited to the embodiments of control device and router described above, only by way of example, but it encompasses all variants that may be considered by those skilled in the art within the scope of the invention. claims below.

Abstract

A control device (D) is intended to form part of a router (R1) of a communication network. This router (R1) comprises analysis means (MA) responsible for determining in the header of a data packet, received and to be routed, the destination address that it contains, with a view to the routing of this packet received to this destination address. The device (D) comprises i) control means (MC) responsible, should the analysis means (MA) determine a header comprising a nonallocated or inaccessible destination address, for extracting the packet containing this header, and ii) processing means (MT) responsible for associating with a packet extracted by the control means (MC) a chosen replacement destination address, allocated to an item of packet analysis equipment (EA1), so that the router (R1) routes to this associated replacement destination address.

Description

DISPOSITIF DE CONTRÔLE DE PAQUETS, POUR UN ROUTEUR D'UN RÉSEAU DE COMMUNICATION, EN VUE DU ROUTAGE DE PAQUETS SUSPECTS VERS DES ÉQUIPEMENTS D'ANALYSE DÉDIÉSPACKET CONTROL DEVICE FOR ROUTER OF COMMUNICATION NETWORK FOR ROUTING SUSPICIOUS PACKETS TO DEDICATED ANALYSIS EQUIPMENT
L'invention concerne les réseaux de communication capables de transmettre des paquets de données, et plus précisément le routage de paquets au sein de tels réseaux.The invention relates to communication networks capable of transmitting data packets, and more specifically the routing of packets within such networks.
De nombreux équipements de communication, rattachés à des réseaux de communication, sont l'objet, généralement via l'Internet, d'attaques informatiques au moyen de trafics d'attaque (constitués de paquets de données définissant, par exemple, un virus, un vers ou un cheval de Troie) générés par des personnes mal intentionnées.Many communication devices, attached to communication networks, are the object, usually via the Internet, of computer attacks by means of attack traffic (consisting of data packets defining, for example, a virus, a to or Trojan horse) generated by malicious people.
Il est rappelé qu'il existe des dispositifs de balayage d'adresses permettant de générer de façon automatisée n'importe quelle adresse de destination (par exemple IP) et donc de transmettre des trafics (paquets) d'attaque vers toutes les adresses de destination (IP) possibles, ou au moins vers un sous-groupe important de l'ensemble des adresses de destination (IP). Comme le sait l'homme de l'art, il a été proposé d'équiper les réseauxIt is recalled that there are address scanning devices for automatically generating any destination address (eg IP) and thus transmit traffic (packets) attack to all destination addresses (IP), or at least to a large subgroup of the set of destination (IP) addresses. As known to those skilled in the art, it has been proposed to equip the networks
(de communication) d'équipements d'analyse (appelés « honeypots ») dédiés à la détection et l'analyse des trafics d'attaque, à la compréhension des attaques définies par ces trafics d'attaque et si possible à la génération de signatures caractéristiques de ces attaques et utiles aux systèmes de détection d'intrusion (ou IDS (pour « Intrusion Détection System »)).(communication) analysis equipment (called "honeypots") dedicated to the detection and analysis of attack traffic, understanding the attacks defined by these attack traffic and if possible to the generation of signatures characteristics of these attacks and useful for intrusion detection systems (or IDS (for "Intrusion Detection System")).
Ces équipements honeypots sont généralement connectés à l'Internet et disposent chacun d'une adresse IP (« Internet Protocol ») qui n'est habituellement pas rendue publique. Par conséquent, toute tentative de connexion à un tel équipement est considérée comme suspecte et comme une attaque potentielle.These honeypot devices are typically connected to the Internet and each have an IP ("Internet Protocol") address that is not usually made public. Therefore, any attempt to connect to such equipment is considered suspicious and a potential attack.
Il est donc important que le plus grand nombre possible de trafics d'attaque parviennent au niveau des équipements de type honeypot afin de pouvoir contrer le plus vite possible leurs attaques.It is therefore important that the greatest possible number of attack traffic reaches the level of honeypot equipment in order to to be able to counter their attacks as quickly as possible.
Plusieurs solutions ont été proposées à cet effet.Several solutions have been proposed for this purpose.
Une première solution consiste à multiplier le nombre d'équipements de type honeypot dans le plus grand nombre de réseaux possible, de sorte que chacun d'entre eux reçoive automatiquement les trafics d'attaque visant sa propre adresse IP. Mais, une telle solution est coûteuse et difficile à gérer.A first solution is to multiply the number of honeypot devices in the largest possible number of networks, so that each of them automatically receives attack traffic targeting its own IP address. But, such a solution is expensive and difficult to manage.
Une deuxième solution consiste à rendre chaque équipement de type honeypot accessible par plusieurs adresses IP. Cela permet de recevoir de nombreuses attaques, puis de les analyser dans un même équipement et de corréler les attaques. Cependant, de par la conception d'un réseau IP un équipement de type honeypot ne peut recevoir et analyser que les trafics d'attaque qui visent une adresse IP du ou des réseaux pour lesquels il travaille. Afin de pouvoir recevoir et analyser de très nombreux trafics d'attaque il doit donc être rattaché à plusieurs réseaux {« multi-homed »), ce qui nécessite qu'il puisse être joint au moyen de plusieurs adresses réseau différentes. Cette contrainte limite fortement l'aptitude d'un équipement de type honeypot au changement d'échelle, étant donné qu'il est difficile d'obtenir pour un même équipement de multiples accès réseau (cela nécessite plusieurs liaisons, éventuellement virtuelles). En outre, comme le nombre d'adresses IP d'un équipement de type honeypot dépend du nombre de réseaux auxquels il est rattaché, sa détection est facilitée. Or, dès qu'un équipement de type honeypot est détecté, il devient inutile et il compromet la confiance que l'on peut avoir dans ses analyses étant donné qu'il peut faire l'objet d'attaques trompeuses destinées à le surcharger en même temps que les IDSs qu'il alimente en signatures.A second solution consists in making each honeypot type of equipment accessible by several IP addresses. This allows to receive numerous attacks, then to analyze them in the same equipment and to correlate the attacks. However, by the design of an IP network a honeypot type of equipment can receive and analyze only attack traffic targeting an IP address of the network or networks for which it works. In order to be able to receive and analyze a large number of attack traffic, it must therefore be attached to several {multi-homed} networks, which requires that it can be reached by means of several different network addresses. This constraint strongly limits the ability of a honeypot-type device to scale up, since it is difficult to obtain for the same equipment multiple network accesses (this requires several links, possibly virtual). In addition, since the number of IP addresses of a honeypot device depends on the number of networks to which it is attached, its detection is facilitated. However, as soon as a honeypot-type device is detected, it becomes useless and it compromises the confidence that one can have in its analyzes since it can be the object of misleading attacks intended to overload it at the same time. time as the IDSs that it feeds into signatures.
Une troisième solution consiste à implanter en divers endroits de l'Internet des équipements appelés « funnel ». Ces équipements sont chargés de recevoir les trafics d'attaque sur leur propre adresse ou sur des plages d'adresse qui leurs sont respectivement allouées, et de transférer ces trafics d'attaque reçus vers un équipement de type honeypot (généralement via un canal de transmission de type tunnel). Cette solution est avantageuse, car lorsqu'un équipement de type funnel est détecté, il ne compromet pas l'ensemble du système de détection d'attaques. En outre, elle ne nécessite de gérer qu'un nombre restreint d'équipements de type honeypot. Mais, elle nécessite d'installer au moins un équipement de type funnel dans chaque réseau où se trouve implanté un équipement de type honeypot, ce qui est onéreux du fait du nombre d'équipements à déployer et du fait des frais de déploiement et de gestion de l'ensemble desdits équipements.A third solution is to implement in various places of the Internet equipment called "funnel". These devices are responsible for receiving the attack traffic on their own address or address ranges which are respectively allocated to them, and to transfer these received attack traffic to a honeypot type of equipment (generally via a transmission channel tunnel type). This solution is advantageous because when a funnel-type device is detected, it does not compromise the entire attack detection system. In addition, it does not require manage only a limited number of honeypot-type equipment. But, it requires to install at least one funnel-type equipment in each network where honeypot-type equipment is installed, which is expensive because of the number of equipment to be deployed and because of the deployment and management costs. of all of said equipment.
Aucune solution connue n'apportant une entière satisfaction, l'invention a donc pour but d'améliorer la situation.Since no known solution is entirely satisfactory, the purpose of the invention is therefore to improve the situation.
Elle propose à cet effet un dispositif de contrôle destiné à être couplé à, ou à faire partie (au moins partiellement) d'un, routeur de réseau de communication comprenant des moyens d'analyse chargés de déterminer dans l'entête d'un paquet de données, qu'il vient de recevoir, l'adresse de destination qu'il contient, en vue du routage de ce paquet vers cette adresse de destination. L'invention s'applique donc à tout réseau à paquet routé sur l'adresse de destination, et s'applique donc particulièrement bien aux réseaux de type IP.It proposes for this purpose a control device intended to be coupled to, or to be part of (at least partially) a communication network router comprising analysis means responsible for determining in the header of a packet. of data, that it has just received, the destination address it contains, for the purpose of routing this packet to this destination address. The invention therefore applies to any packet network routed on the destination address, and therefore applies particularly well to IP type networks.
Ce dispositif de contrôle se caractérise par le fait qu'il comprend :This control device is characterized by the fact that it comprises:
- des moyens de contrôle chargés, lorsque les moyens d'analyse du routeur ont déterminé dans un entête une adresse de destination non attribuée ou inaccessible, d'extraire le paquet contenant cet entête, et - des moyens de traitement chargés d'associer à un paquet extrait par les moyens de contrôle une adresse de destination de remplacement choisie, qui a été attribuée à un équipement d'analyse de paquets, par exemple de type honeypot, de sorte que le routeur le route vers cette adresse de destination de remplacement associée. Le dispositif selon l'invention peut comporter d'autres caractéristiques qui peuvent être prises séparément ou en combinaison, et notamment :- Control means loaded, when the router analysis means have determined in a header an unassigned or inaccessible destination address, to extract the packet containing this header, and - processing means to associate with a packet retrieved by the control means a chosen alternative destination address, which has been assigned to a packet analysis equipment, for example honeypot type, so that the router the route to this associated replacement destination address. The device according to the invention may comprise other characteristics that can be taken separately or in combination, and in particular:
- ses moyens de traitement peuvent être chargés d'associer à un paquet reçu, émis par un équipement d'analyse de paquets, par exemple de type honeypot, en réponse à un précédent paquet extrait par les moyens de contrôle, l'adresse source (d'origine) du dit précédent paquet extrait par les moyens de contrôle, de sorte que le routeur route le dit paquet reçu vers cette adresse source (d'origine) qui lui a été associée par les moyens de traitement ; - ses moyens de traitement peuvent être chargés de placer un paquet extrait par ses moyens de contrôle dans un nouveau paquet muni d'un entête contenant l'adresse de destination de remplacement choisie, puis de fournir au routeur le nouveau paquet contenant le paquet extrait ; - en variante, ses moyens de traitement peuvent être chargés de remplacer par une adresse de destination de remplacement choisie l'adresse de destination qui est contenue dans un paquet qui a été extrait par les moyens de contrôle, puis de fournir au routeur le paquet extrait avec sa nouvelle adresse de destination de remplacement ; - ses moyens de contrôle peuvent par exemple être implantés dans un plan dit de données (ou « data plane ») du routeur ;its processing means may be responsible for associating with a received packet transmitted by packet analysis equipment, for example of the honeypot type, in response to a previous packet extracted by the control means, the source address ( original) of said previous packet extracted by the control means, so that the router routes the received packet to the source address (original) that has been associated with it by the processing means; its processing means may be responsible for placing a packet extracted by its control means in a new packet provided with a header containing the chosen alternative destination address, and then providing the router with the new packet containing the extracted packet; alternatively, its processing means may be responsible for replacing by a chosen alternative destination address the destination address that is contained in a packet that has been extracted by the control means, and then to provide the router with the extracted packet. with his new alternate destination address; its control means may for example be located in a data plane (or "data plane") of the router;
- ses moyens de traitement peuvent par exemple être implantés dans un plan dit de contrôle (ou « control plane ») du routeur ;its processing means may, for example, be implanted in a so-called control plane of the router;
- ses moyens de traitement peuvent être chargés, lorsque les moyens d'analyse du routeur ont déterminé dans un entête une adresse de destination non attribuée ou inaccessible, d'interdire au routeur d'adresser un message d'erreur à l'équipement (source) qui a émis le paquet contenant cet entête et qui est désigné dans ce dernier ;its processing means can be loaded, when the router analysis means have determined in a header an unassigned or inaccessible destination address, to prevent the router from sending an error message to the equipment (source ) who issued the packet containing that heading and which is designated in the latter;
- il peut comprendre des moyens de gestion chargés de configurer les moyens de contrôle afin qu'ils n'extraient un paquet contenant une adresse de destination non attribuée ou inaccessible qu'à condition qu'il satisfasse à au moins un critère choisi et/ou de configurer les moyens de traitement afin qu'ils puissent procéder aux associations d'adresse de destination de remplacement en fonction d'au moins un critère choisi ; > chaque critère est par exemple choisi parmi au moins un critère d'appartenance de l'adresse de destination à un ensemble d'adresses choisies, un critère d'appartenance de l'adresse source à un ensemble d'adresses choisies, un critère d'appartenance du type de contenu du paquet à un ensemble de types de contenu choisis, un critère relatif à l'heure locale du routeur, un critère de taux d'occupation d'au moins une mémoire tampon choisie du routeur, et un critère relatif à la valeur d'un compteur choisi ; > ses moyens de gestion peuvent être chargés de configurer les moyens de contrôle et/ou les moyens de traitement en leur transmettant des règles définissant certains au moins des critères à appliquer et/ou des tables de correspondance entre des critères à appliquer et des adresses de destination de remplacement; > ses moyens de gestion peuvent être chargés de configurer la ou les adresses des équipements d'analyse de paquets vers lesquels les paquets suspects seront envoyés ;it may comprise management means responsible for configuring the control means so that they do not extract a packet containing an unassigned or inaccessible destination address provided that it satisfies at least one chosen criterion and / or configuring the processing means so that they can proceed to the alternative destination address associations according to at least one selected criterion; each criterion is for example chosen from at least one criterion of membership of the destination address to a set of chosen addresses, a criterion of belonging of the source address to a set of chosen addresses, a criterion of the membership of the content type of the packet to a set of selected content types, a criterion relating to the local time of the router, a criterion of the occupancy rate of at least one selected buffer of the router, and a criterion relating to the value of a chosen meter; > his means of management can be responsible for configuring the means control and / or processing means by transmitting rules defining at least some of the criteria to be applied and / or correspondence tables between criteria to be applied and alternative destination addresses; its management means may be responsible for configuring the address or addresses of the packet analysis equipment to which the suspect packets will be sent;
> ses moyens de gestion peuvent être chargés de configurer des moyens de contrôle et/ou des moyens de traitement localisés dans au moins deux routeurs de son réseau ;its management means may be responsible for configuring control means and / or processing means located in at least two routers of its network;
> ses moyens de gestion peuvent par exemple être implantés dans le plan de contrôle du routeur.its management means can for example be implemented in the control plane of the router.
L'invention propose également un routeur (de réseau de communication) comprenant des moyens d'analyse du type précité et un dispositif de contrôle du type de celui présenté ci-avant et couplé auxdits moyens d'analyse.The invention also proposes a router (communication network) comprising analysis means of the aforementioned type and a control device of the type of that presented above and coupled to said analysis means.
L'invention est particulièrement bien adaptée, bien que de façon non exclusive, aux réseaux de communication à protocole Internet (ou IP).The invention is particularly well suited, although not exclusively, to Internet Protocol (IP) communication networks.
D'autres caractéristiques et avantages de l'invention apparaîtront à l'examen de la description détaillée ci-après, et des dessins annexés, sur lesquels :Other features and advantages of the invention will appear on examining the detailed description below, and the attached drawings, in which:
- la figure 1 illustre de façon très schématique deux réseaux de communication connectés à l'Internet et comprenant des équipements d'analyse ainsi que des routeurs équipés chacun d'un dispositif de contrôle selon l'invention, etFIG. 1 very schematically illustrates two communication networks connected to the Internet and comprising analysis equipment as well as routers each equipped with a control device according to the invention, and
- la figure 2 illustre de façon schématique et fonctionnelle un routeur équipé d'un exemple de réalisation d'un dispositif de contrôle selon l'invention.FIG. 2 schematically and functionally illustrates a router equipped with an exemplary embodiment of a control device according to the invention.
Les dessins annexés pourront non seulement servir à compléter l'invention, mais aussi contribuer à sa définition, le cas échéant. L'invention a pour objet de permettre à un grand nombre de trafics suspects (transmis sous forme de paquets via un ou plusieurs réseaux de communication à paquet routé sur l'adresse de destination, ainsi qu'éventuellement via l'Internet) d'atteindre des équipements d'analyse de trafics suspects, par exemple de type honeypot.The attached drawings may not only serve to complete the invention, but also contribute to its definition, if any. The object of the invention is to enable a large number of suspect traffics (transmitted as packets via one or more packetized communication networks routed to the destination address, as well as than possibly via the Internet) to reach equipment for analyzing suspicious traffic, for example of the honeypot type.
Dans ce qui suit, on considère à titre d'exemple non limitatif que les réseaux de communication sont des réseaux IP filaires de type xDSL (par exemple ADSL), connectés à l'Internet. Mais, l'invention n'est pas limitée à ce type de réseau de communication. Elle concerne en effet tout type de réseau de communication à paquet routé sur l'adresse de destination, qu'il soit de type filaire ou radio (ou hertzien, et plus généralement par voie d'ondes) et de type terrestre et/ou satellitaire. On a schématiquement illustré sur la figure 1 un exemple d'installation de communication mettant en œuvre l'invention. Cette installation comprend ici, à titre d'exemple purement illustratif et non limitatif, deux réseaux de communication N1 et N2 capables de transmettre des paquets de données, par exemple de type IP (Internet protocol), et connectés tous les deux à l'Internet. Afin de simplifier la description, on appelle ci-après « réseau » les réseaux de communication N1 et N2, et « paquet IP » un paquet de données transmis par un réseau N1 ou N2.In the following, we consider as a non-limiting example that the communication networks are wired IP networks of xDSL type (eg ADSL), connected to the Internet. However, the invention is not limited to this type of communication network. It concerns indeed any type of packet communication network routed on the destination address, whether wired or radio (or wireless, and more generally by wave) and terrestrial and / or satellite type . FIG. 1 schematically illustrates an example of a communication installation embodying the invention. This installation comprises here, by way of purely illustrative and nonlimiting example, two communication networks N1 and N2 capable of transmitting data packets, for example of the IP (Internet protocol) type, and both connected to the Internet. . In order to simplify the description, hereinafter called "network" the communication networks N1 and N2, and "IP packet" a data packet transmitted by an N1 or N2 network.
Dans l'exemple illustré, le premier réseau N1 comprend, notamment, un ensemble de routeurs Ri (R1 à R4, i = 1 à 4), chacun équipés d'un dispositif de contrôle D selon l'invention. Le nombre de routeurs représentés est ici égal à quatre, mais il peut prendre n'importe quelle valeur supérieure ou égale à un. On notera qu'il est préférable, pour des raisons d'efficacité, que chaque routeur du premier réseau N1 soit équipé d'un, ou couplé à un, dispositif de contrôle D. On peut en effet envisager que seul l'un, ou quelques uns, des routeurs du premier réseau N1 soi(en)t équipé(s) d'un, ou couplé(s) à un, dispositif de contrôle D.In the example illustrated, the first network N1 comprises, in particular, a set of routers Ri (R1 to R4, i = 1 to 4), each equipped with a control device D according to the invention. The number of routers represented here is equal to four, but it can take any value greater than or equal to one. Note that it is preferable, for reasons of efficiency, that each router of the first network N1 is equipped with one, or coupled to a control device D. It can indeed be envisaged that only one, or some of the routers of the first network N1 are equipped with, or coupled to, a control device D.
Comme illustré, des équipements de communication (EA1 , EA2, ES1), disposant chacun d'une adresse de communication (comme par exemple une adresse IP), sont connectés au premier réseau N1. Plus précisément, dans l'exemple non limitatif illustré, un premier équipement d'analyse de trafics (paquets) suspects EA1, un second équipement d'analyse de trafics (paquets) suspects EA2 et un terminal de communication ES1 sont connectés au premier réseau N1. Par ailleurs, dans l'exemple illustré, le second réseau N2 comprend, notamment, un ensemble de routeurs R'j (R'1 à R'3, j = 1 à 3), chacun équipés d'un dispositif de contrôle D selon l'invention. Le nombre de routeurs représentés est ici égal à trois, mais il peut prendre n'importe quelle valeur supérieure ou égale à un.As illustrated, communication equipment (EA1, EA2, ES1), each having a communication address (such as an IP address), are connected to the first network N1. More precisely, in the nonlimiting example illustrated, a first equipment for analyzing suspicious traffics (packets) EA1, a second equipment for analyzing suspicious traffics (packets) EA2 and a communication terminal ES1 are connected to the first network N1 . Furthermore, in the example illustrated, the second network N2 comprises, in particular, a set of routers R'j (R'1 to R'3, j = 1 to 3), each equipped with a control device D according to the invention. The number of routers represented here is equal to three, but it can take any value greater than or equal to one.
Comme illustré, des équipements de communication (EA3, EA4, ES2), disposant chacun d'une adresse de communication (comme par exemple une adresse IP), sont connectés au second réseau N2. Plus précisément, dans l'exemple non limitatif illustré, un troisième équipement d'analyse de trafics (paquets) suspects EA3, un quatrième équipement d'analyse de trafics (paquets) suspects EA4 et un terminal de communication ES2 sont connectés au second réseau N2.As illustrated, communication equipment (EA3, EA4, ES2), each having a communication address (such as an IP address), are connected to the second network N2. More specifically, in the nonlimiting example illustrated, a third equipment for analyzing suspicious traffic (packets) EA3, a fourth equipment for analyzing suspicious traffic (packets) EA4 and an communication terminal ES2 are connected to the second network N2. .
On considère ci-après que les premier EA1 , deuxième EA2, troisième EA3 et quatrième EA4 équipements d'analyse de trafics (paquets) suspects sont des équipements de type « honeypot ». Par ailleurs, on considère ci- après que les terminaux de communication ES1 et ES2 sont des équipements appartenant à des personnes mal intentionnées désirant attaquer, au moyen de trafics d'attaque (constitués de paquets définissant, par exemple, un vers, un virus ou un cheval de Troie), d'autres équipements de communication (de tout type) connectés au premier N1 ou second N2 réseau ou à tout autre réseau accessible via le premier N1 ou second N2 réseau. Un tel terminal (de communication) ES1 ou ES2 est pourvu d'un système de balayage d'adresses lui permettant de générer de façon automatisée n'importe quelle adresse IP et donc de transmettre des trafics (paquets) d'attaque vers toutes les adresses IP possibles, ou au moins vers un sous-groupe important de l'ensemble des adresses IP.It is considered below that the first EA1, second EA2, third EA3 and fourth EA4 suspected traffic analysis equipment (packets) are "honeypot" type equipment. Furthermore, it is considered below that the communication terminals ES1 and ES2 are equipment belonging to malicious people wishing to attack, by means of attack traffic (consisting of packets defining, for example, a worm, a virus or a Trojan), other communication equipment (of any type) connected to the first N1 or second N2 network or any other network accessible via the first N1 or second network N2. Such an (communication) terminal ES1 or ES2 is provided with an address scanning system enabling it to automatically generate any IP address and thus transmit traffic (packets) of attack to all the addresses IP possible, or at least to a large subgroup of all IP addresses.
Comme cela est illustré schématiquement et fonctionnellement sur la figure 2, chaque routeur Ri ou R'j est chargé de router chaque paquet (ici de type IP) qu'il reçoit vers l'adresse (IP) de destination qui est contenue dans l'entête (IP) de ce paquet (IP). Il est rappelé que l'entête IP d'un paquet IP comprend entre autre l'adresse source de l'équipement source qui a émis ledit paquet IP et l'adresse de destination de l'équipement qui est le destinataire dudit paquet IP. Pour assurer ce routage, chaque routeur Ri ou R'j comprend, notamment, un module d'analyse MA et un module (ou une matrice) de routage MR. Le module d'analyse MA est chargé d'analyser le contenu de chaque entête IP afin de déterminer l'adresse de destination qu'il contient, puis de déterminer comment router le paquet contenant cet entête IP en fonction d'informations de routage (généralement stockées dans une table de routage).As schematically and functionally illustrated in FIG. 2, each router Ri or R'j is responsible for routing each packet (here of IP type) that it receives to the destination address (IP) that is contained in the header (IP) of this packet (IP). It is recalled that the IP header of an IP packet includes, among other things, the source address of the source equipment that sent said IP packet and the destination address of the equipment that is the recipient of said IP packet. To ensure this routing, each router Ri or R'j comprises, in particular, an analysis module MA and a routing module (or matrix) MR. The analysis module MA is responsible for analyzing the contents of each IP header in order to determine the destination address that it contains, then determining how to route the packet containing this IP header according to routing information (generally stored in a routing table).
Le module de routage MR est chargé d'aiguiller (router) un paquet reçu vers l'équipement de communication qui est désigné par l'adresse IP de destination déterminée par le module d'analyse MA dans son entête IP, en fonction des instructions de routage fournies par le module d'analyse MA.The routing module MR is responsible for routing (router) a received packet to the communication equipment that is designated by the destination IP address determined by the analysis module MA in its IP header, according to the instructions of routing provided by the MA analysis module.
Le module d'analyse MA fait généralement partie de ce que l'homme de l'art appelle le plan de données (ou « data plane ») PD du routeur Ri ou R'j. Mais, il pourrait en être autrement. Le module de routage MR est généralement réparti entre le plan de données PD et ce que l'homme de l'art appelle le plan de contrôle (ou « control plane ») PC du routeur Ri ou R'j. Mais, il pourrait en être autrement.The analysis module MA is generally part of what the person skilled in the art calls the data plane (or "data plane") PD of the router Ri or R'j. But, it could be otherwise. The routing module MR is generally distributed between the PD data plane and what the skilled person calls the control plane (or "control plane") PC router Ri or R'j. But, it could be otherwise.
Comme cela est illustré schématiquement et fonction nellement sur la figure 2, chaque dispositif de contrôle D, selon l'invention, comprend au moins un module de contrôle MC et un module de traitement MT couplés l'un à l'autre.As shown diagrammatically and functionally in FIG. 2, each control device D according to the invention comprises at least one control module MC and an processing module MT coupled to each other.
Le module de contrôle MC est couplé au module d'analyse MA. Lorsqu'il est implanté dans un routeur Ri ou R'j, il fait de préférence partie de son plan de données PD. Ce module de contrôle MC est chargé d'observer le résultat de l'analyse effectuée par le module d'analyse MA sur chaque entête IP d'un paquet IP reçu. Lorsque le module d'analyse MA a déterminé dans l'entête d'un paquet IP à router une adresse de destination non attribuée ou inaccessible, le module de contrôle MC extrait le paquet correspondant et le transmet au module de traitement MT. II est important de noter que l'extraction peut éventuellement se faire en fonction d'au moins un critère choisi. L'application de certains de ces critères peut éventuellement nécessiter l'analyse de l'entête IP et/ou du contenu (données utiles (ou « payload »)) du paquet. De nombreux critères peuvent être utilisés, et notamment :The control module MC is coupled to the analysis module MA. When it is located in a router Ri or R'j, it is preferably part of its PD data plane. This control module MC is responsible for observing the result of the analysis performed by the analysis module MA on each IP header of a received IP packet. When the analysis module MA has determined in the header of an IP packet to route an unassigned or inaccessible destination address, the control module MC extracts the corresponding packet and transmits it to the processing module MT. It is important to note that the extraction can possibly be done according to at least one selected criterion. The application of some of these criteria may possibly require the analysis of the IP header and / or the content (payload) of the packet. Many criteria may be used, and in particular:
- un critère d'appartenance de l'adresse de destination (contenue dans l'entête du paquet reçu) à un ensemble d'adresses choisies. En effet, le module de contrôle MC peut être configuré de manière à transmettre un paquet IP au module de traitement MT à condition que son entête IP comporte une adresse de destination faisant partie d'un ensemble d'adresses choisies,- a criterion of membership of the destination address (contained in the header of the received packet) to a set of chosen addresses. Indeed, the control module MC may be configured to transmit an IP packet to the processing module MT provided that its IP header includes a destination address belonging to a set of chosen addresses,
- un critère d'appartenance de l'adresse source (contenue dans l'entête du paquet reçu) à un ensemble d'adresses choisies. En effet, le module de contrôle MC peut être configuré de manière à transmettre un paquet IP au module de traitement MT à condition que son entête IP comporte une adresse source faisant partie d'un ensemble d'adresses choisies,a criterion for belonging to the source address (contained in the header of the received packet) to a set of chosen addresses. Indeed, the control module MC can be configured to transmit an IP packet to the processing module MT provided that its IP header includes a source address belonging to a set of chosen addresses,
- un critère d'appartenance du type du contenu du paquet à un ensemble de types de contenu choisis. En effet, le module de contrôle MC peut être configuré de manière à transmettre un paquet IP au module de traitement MT à condition que son contenu corresponde à un type faisant partie d'un ensemble de types choisis.a criterion of membership of the type of the content of the packet to a set of selected content types. Indeed, the control module MC can be configured to transmit an IP packet to the processing module MT provided that its content corresponds to a type belonging to a set of selected types.
Plusieurs de ces critères peuvent être éventuellement appliqués à un même paquet IP extrait. On notera que lorsque plusieurs équipements de type honeypot sont connectés à un réseau, le module de contrôle MC peut être éventuellement configuré de manière à sélectionner l'équipement de type honeypot vers lequel un paquet extrait doit être routé. Pour ce faire, il peut éventuellement appliquer au moins un critère choisi). De nombreux critères peuvent être utilisés à cet effet, et notamment :Several of these criteria may possibly be applied to the same extracted IP packet. Note that when several honeypot type devices are connected to a network, the control module MC may be optionally configured to select the honeypot type equipment to which an extracted packet must be routed. To do this, it can optionally apply at least one selected criterion). Many criteria can be used for this purpose, including:
- un critère relatif à l'heure locale du routeur Ri ou R'j. En effet, le module de contrôle MC peut être configuré de manière à choisir l'équipement de type honeypot vers lequel un paquet extrait doit être routé en fonction de l'heure locale. Cela peut notamment permettre de faire de la répartition de trafic (ou « load balancing »). Par exemple, il peut ordonner la transmission d'un paquet extrait vers le premier équipement de type honeypot EA1 pendant les secondes (ou minutes) paires, et vers le deuxième équipement de type honeypot EA2 pendant ies secondes (ou minutes) impaires ; - un critère de taux d'occupation d'au moins une mémoire tampon choisie du routeur Ri ou R'j. En effet, on peut prévoir des mémoires tampon (par exemple de type FIFO) associées à chacun des équipements de type honeypot, afin d'y placer les paquets extraits en attente de routage en fonction de l'équipement de type honeypot destinataire. Dans ce cas, on peut envisager qu'un paquet extrait initialement destiné à un premier équipement de type honeypot EA1 soit placé dans la mémoire tampon associée au deuxième équipement de type honeypot EA2 lorsque le taux d'occupation de la mémoire tampon associée au premier équipement de type honeypot EA1 dépasse un seuil choisi. Cela peut également permettre de faire de la répartition de trafic ;a criterion relating to the local time of the router Ri or R'j. Indeed, the control module MC can be configured to choose the honeypot type equipment to which an extracted packet must be routed according to the local time. This can in particular allow the distribution of traffic (or "load balancing"). For example, it may order the transmission of an extracted packet to the first honeypot equipment EA1 for the second (or minute) pairs, and to the second equipment of the honeypot type EA2 for the odd seconds (or minutes); a criterion of the occupancy rate of at least one selected buffer of the router Ri or R'j. Indeed, it is possible to provide buffers (for example of the FIFO type) associated with each of the honeypot type of equipment, in order to place the extracted packets awaiting routing according to the honeypot type of equipment recipient. In this case, it can be envisaged that an initially extracted packet intended for a first honeypot EA1 type equipment item is placed in the buffer memory associated with the second honeypot equipment item EA2 when the occupancy rate of the buffer memory associated with the first equipment item honeypot type EA1 exceeds a chosen threshold. It can also be used to make the distribution of traffic;
- un critère relatif à la valeur d'un compteur choisi. En effet, on peut prévoir des compteurs associés à chacun des équipements de type honeypot. Dans ce cas, chaque fois que le module de contrôle MC ordonne le routage d'un paquet IP extrait vers un équipement de type honeypot, il incrémente d'une unité la valeur du compteur qui est associé à ce dernier. Ainsi, lorsque la valeur d'un compteur associé à un premier équipement de type honeypot EA1 dépasse un seuil, le module de contrôle MC ordonne le routage vers le deuxième équipement de type honeypot EA2 du paquet IP extrait suivant qui devait être normalement routé vers le premier équipement de type honeypot EA1. Cela peut également permettre de faire de la répartition de trafic.- a criterion relating to the value of a chosen meter. Indeed, counters associated with each of the honeypot type equipment may be provided. In this case, each time the control module MC orders the routing of an extracted IP packet to a honeypot-type device, it increments by one unit the value of the counter which is associated with the latter. Thus, when the value of a counter associated with a first honeypot device EA1 exceeds a threshold, the control module MC orders the routing to the second honeypot equipment EA2 of the following extracted IP packet which should normally be routed to the first equipment type honeypot EA1. This can also be used to make the distribution of traffic.
Plusieurs de ces critères peuvent être éventuellement appliqués à un même paquet IP extrait. Le module de contrôle MC transmet donc au module de traitementSeveral of these criteria may possibly be applied to the same extracted IP packet. The control module MC therefore transmits to the processing module
MT chaque paquet IP qu'il a extrait et éventuellement sélectionné en fonction d'au moins un critère, accompagné d'une éventuelle instruction désignant l'équipement de type honeypot vers lequel ce paquet IP doit être routé.MT each IP packet that it has extracted and optionally selected according to at least one criterion, accompanied by a possible instruction designating the honeypot type equipment to which this IP packet is to be routed.
Chaque fois que le module de traitement MT reçoit un paquet extrait par le module de contrôle MC, il lui associe une adresse de destination de remplacement choisie (attribuée à un équipement de type honeypot), afin que le routeur Ri ou R'j le route vers cette adresse de destination de remplacement associée. Cette association d'adresse de remplacement peut se faire d'au moins deux façons différentes.Whenever the processing module MT receives a packet extracted by the control module MC, it associates it with a chosen alternative destination address (assigned to a honeypot type equipment), so that the router Ri or R'j the route to this associated alternate destination address. This alternative address association can be done in at least two different ways.
Une première façon consiste à remplacer par une adresse de destination de remplacement choisie l'adresse de destination qui est contenue dans le paquet IP extrait. Dans ce cas, le module de traitement MT fournit ensuite au routeur Ri ou R'j, et plus précisément à son plan de données PD, le paquet IP extrait qui comprend désormais une nouvelle adresse de destination de remplacement.A first way is to replace with a chosen alternative destination address the destination address that is contained in the extracted IP packet. In this case, the processing module MT then supplies to the router Ri or R'j, and more specifically to its data plane PD, the extracted IP packet which now comprises a new replacement destination address.
Une seconde façon, actuellement préférée, consiste à placer le paquet IP extrait dans un nouveau paquet muni d'un entête qui contient l'adresse de destination de remplacement choisie. Dans ce cas, le module de traitement MT fournit ensuite au routeur Ri ou R'j, et plus précisément à son plan de données PD, le nouveau paquet IP qui contient le paquet IP extrait.A second, currently preferred, way is to place the extracted IP packet in a new packet with a header that contains the alternative destination address chosen. In this case, the processing module MT then supplies the router Ri or R'j, and more precisely its data plane PD, with the new IP packet that contains the extracted IP packet.
Comme indiqué précédemment, l'adresse de destination de remplacement, qui est associée à un paquet IP extrait, peut être désignée (choisie) par le module de contrôle MC consécutivement à l'application d'un ou plusieurs critères choisis. Dans ce cas, cette adresse (ou sa désignation) est par exemple communiquée au module de traitement MT en même temps que le paquet IP extrait concerné. Lorsque le plan de données PD reçoit du module de traitement MT le paquet IP qui a fait l'objet de l'association d'une adresse de destination de remplacement, il le traite comme s'il s'agissait d'un paquet IP nouvellement arrivé. Par conséquent, il est de nouveau analysé par le module d'analyse MA, puis routé vers l'adresse de destination de remplacement qu'il contient, puisque celle-ci est désormais connue et accessible.As indicated above, the replacement destination address, which is associated with an extracted IP packet, may be designated (chosen) by the control module MC following the application of one or more selected criteria. In this case, this address (or its designation) is for example communicated to the processing module MT at the same time as the extracted IP packet concerned. When the data plane PD receives from the processing module MT the IP packet that has been the subject of the association of a replacement destination address, it processes it as if it were a new IP packet. come. Therefore, it is again analyzed by the analysis module MA, then routed to the replacement destination address it contains, since it is now known and accessible.
Lorsque le dispositif de contrôle D est implanté dans un routeur Ri ou R'j, son module de traitement MT fait de préférence partie de ce que l'homme de l'art appelle le plan de contrôle (ou « control plane ») PC du routeur.When the control device D is located in a router Ri or R'j, its processing module MT is preferably part of what the skilled person calls the control plane (or "control plane") PC of the router.
On notera que dans une variante de fonctionnement, on peut envisager que les critères qui concernent l'entête IP ou le type de contenu d'un paquet IP soient appliqués par le module de contrôle MC, tandis que les autres critères qui concernent la sélection de l'équipement de type honeypot sont appliqués par le module de traitement MT. Dans ce cas, lorsque le module de traitement MT reçoit un paquet IP extrait, devant faire l'objet d'une association d'adresse de destination de remplacement, il lui applique un ou plusieurs critères afin de déterminer l'équipement de type honeypot vers lequel il doit être aiguillé, puis il lui associe l'adresse de destination de ce dernier.Note that in an alternative embodiment, it can be envisaged that the criteria relating to the IP header or the content type of an IP packet are applied by the control module MC, while the other criteria relating to the selection of the honeypot type equipment is applied by the processing module MT. In this case, when the processing module MT receives an extracted IP packet, to be the subject of a replacement destination address association, it applies one or more criteria to it to determine the honeypot-type equipment to which it must be directed, then he associates him with the destination address of the latter.
Dans une autre variante de fonctionnement, on peut envisager que les critères qui concernent l'entête (IP) et/ou le type de contenu d'un paquet (IP) soient appliqués par le module de traitement MT. D'une manière générale, les critères qui concernent l'entête (IP) et/ou le type de contenu d'un paquet (IP) peuvent être appliqués par le module de contrôle MC et/ou le module de traitement MT.In another variant of operation, it can be envisaged that the criteria concerning the header (IP) and / or the content type of a packet (IP) are applied by the processing module MT. In general, the criteria concerning the header (IP) and / or the content type of a packet (IP) may be applied by the control module MC and / or the processing module MT.
Comme le sait l'homme de l'art, dans un réseau IP, lorsqu'un routeur Ri ou R'j détecte une adresse de destination non attribuée ou inaccessible, il adresse automatiquement à l'équipement source ES1 (ou ES2), qui a émis le paquet IP correspondant et qui est désigné dans l'entête IP, un message d'erreur (généralement de type ICMP) précisant la raison pour laquelle il n'a pas pu router ce paquet IP (équipement injoignable car l'adresse de destination n'existe pas (« host unreachable » - notamment en cas de non existence d'une entrée de type ARP « Address Resolution Protocol » (RFC 826)), ou réseau injoignable car on ne peut pas trouver de route pour accéder à l'adresse de destination (« network unreachable »)).As known to those skilled in the art, in an IP network, when a router Ri or R'j detects an unassigned or inaccessible destination address, it automatically addresses the source equipment ES1 (or ES2), which has issued the corresponding IP packet and which is designated in the IP header, an error message (usually ICMP type) stating the reason why it could not route this IP packet (equipment unreachable because the address of destination does not exist ("host unreachable" - especially in the case of non-existence of an ARP "Address Resolution Protocol" (RFC 826)), or network unreachable because we can not find a route to access the 'network unreachable').
Afin d'éviter que le routeur Ri ou R'j ne transmette un tel message d'erreur à destination d'un équipement source ES1 ou ES2, ce qui pourrait attirer son attention, le module de traitement MT peut par exemple être chargé d'interdire à son module d'analyse MA de générer ce type de message d'erreur lorsqu'il détecte une adresse de destination non attribuée ou inaccessible.In order to prevent the router Ri or R'j from transmitting such an error message to an ES1 or ES2 source equipment, which could attract its attention, the processing module MT may for example be loaded with to forbid its analysis module MA to generate this type of error message when it detects an unassigned or inaccessible destination address.
Par ailleurs, certains équipements d'analyse de paquets suspects EA1-EA4 peuvent être agencés de manière à répondre aux messages d'attaque qu'ils reçoivent. Etant donné qu'ils reçoivent désormais un message d'attaque d'un routeur qui est équipé d'un dispositif de contrôle D selon l'invention, ils transmettent à ce même routeur la réponse au dit message d'attaque, alors que celle-ci est destinée à un équipement source ES1 ou ES2.In addition, some suspicious packet analysis equipment EA1-EA4 may be arranged to respond to the attack messages they receive. Since they now receive a message of attack from a router which is equipped with a control device D according to the invention, they transmit to the same router the response to said attack message, while that This is for ES1 source equipment or ES2.
Pour qu'une réponse puisse parvenir à un équipement source ES1 ou ES2 sans qu'il s'en aperçoive, le module de traitement MT d'un dispositif de contrôle D peut être chargé d'associer à un paquet reçu, émis par un équipement d'analyse de paquets EA1 en réponse à un précédent paquet suspect extrait par son module de contrôle MC, l'adresse source (d'origine) de ce précédent paquet. A cet effet, chaque fois qu'un module de contrôle MC extrait un paquet suspect, il stocke son adresse source dans une mémoire de son dispositif D ou de son routeur Ri ou R'j. Et, lorsqu'un module de contrôle MC constate que le module d'analyse MA de son routeur Ri ou R'j a détecté un paquet émis par un équipement d'analyse de paquets EA1 en réponse à un paquet qu'il avait précédemment extrait, il détermine dans la mémoire l'adresse source qui correspond à ce paquet reçu et la transmet à son moyen de traitement MT afin qu'il l'associe au paquet reçu. Le module de routage MR du routeur Ri ou R'j peut alors router le paquet reçu vers l'adresse source qui lui a été associée par le module de traitement MT.In order for an answer to arrive at an ES1 or ES2 source equipment without its noticing it, the processing module MT of a control device D can be responsible for associating with a received packet transmitted by a device EA1 packet analysis in response to a previous suspect packet extracted by its MC control module, the source address (original) of this previous packet. For this purpose, each time a control module MC extracts a suspicious packet, it stores its source address in a memory of its device D or its router Ri or R'j. And, when a control module MC finds that the analysis module MA of its router Ri or R'j has detected a packet transmitted by a packet analysis equipment EA1 in response to a packet that it had previously extracted it determines in the memory the source address which corresponds to this received packet and transmits it to its processing means MT so that it associates it with the received packet. The routing module MR of the router Ri or R'j can then route the received packet to the source address that has been associated with it by the processing module MT.
En variante, c'est le module de traitement MT qui peut déterminer dans la mémoire l'adresse source qu'il doit associer à un paquet reçu devant être routé vers un équipement source ES1 ou ES2. o Comme cela est illustré sur la figure 2, le dispositif de contrôle D peut également et éventuellement comprendre un module de gestion MG chargé de configurer le module de contrôle MC et/ou le module de traitement MT, notamment pour qu'il(s) applique(nt) aux paquets IP extraits un ou plusieurs critères choisis. 5 Par exemple, le module de gestion MG peut être utilisé pour définir des règles qui définissent certains au moins des critères à appliquer et/ou des tables de correspondance entre des critères à appliquer et des adresses de destination de remplacement, puis (ou bien seulement) pour transmettre certaines de ces règles et/ou certaines de ces tables de correspondance auo module de contrôle MC et/ou au module de traitement MT, en fonction d'instructions reçues du gestionnaire du réseau auquel appartient le routeur Ri ou R'j dont il fait partie (ou auquel il est couplé).As a variant, it is the processing module MT that can determine in the memory the source address that it must associate with a received packet to be routed to a source equipment ES1 or ES2. As illustrated in FIG. 2, the control device D can also and optionally include a management module MG responsible for configuring the control module MC and / or the processing module MT, in particular so that it (s) Applies to extracted IP packets one or more selected criteria. For example, the management module MG can be used to define rules that define at least some of the criteria to be applied and / or correspondence tables between criteria to be applied and alternative destination addresses, and then (or only ) to transmit some of these rules and / or some of these correspondence tables auo control module MC and / or the processing module MT, according to instructions received from the network manager to which belongs the router Ri or R'j dont it is part of (or to which it is coupled).
Le module de gestion MG peut être également chargé d'activer ou désactiver le dispositif de contrôle D à des instants choisis en fonction d'instructions reçues ou d'une éventuelle programmation.The MG management module can also be responsible for activating or deactivate the control device D at times chosen according to instructions received or a possible programming.
Le module de gestion MG peut être également chargé de configurer la ou les adresses des équipements d'analyse de paquets EA1 et EA2 vers lesquels seront envoyés les paquets suspects.The management module MG may also be responsible for configuring the address or addresses of the EA1 and EA2 packet analysis equipment to which the suspect packets will be sent.
Le module de gestion MG peut être également chargé de configurer des modules de contrôle MC et/ou des modules de traitement MT qui sont implantés dans (ou couplés à) plusieurs (au moins deux) routeurs. En d'autres termes, un module de gestion MG peut être utilisé pour configurer les modules de contrôle MC et/ou les modules de traitement MT de tous les routeurs de son réseau ou bien d'une partie seulement d'entre eux. Dans ce cas, il peut être soit implanté dans l'un des dispositifs de contrôle D ou bien dans un équipement de réseau d'un autre type.The management module MG may also be responsible for configuring control modules MC and / or processing modules MT which are located in (or coupled to) several (at least two) routers. In other words, a management module MG can be used to configure the control modules MC and / or the processing modules MT of all the routers of its network or only a part of them. In this case, it can be either implanted in one of the control devices D or in a network equipment of another type.
Lorsque le dispositif de contrôle D est implanté dans un routeur Ri ou R'j, son module de gestion MG fait de préférence partie du plan de contrôle PC de ce routeur.When the control device D is located in a router Ri or R'j, its management module MG is preferably part of the control plane PC of this router.
Le dispositif de contrôle D selon l'invention, et notamment ses module de contrôle MC et module de traitement MT, ainsi que son éventuel module de gestion MG, peuvent être réalisés sous la forme de circuits électroniques, de modules logiciels (ou informatiques), ou d'une combinaison de circuits et de logiciels.The control device D according to the invention, and in particular its control module MC and processing module MT, as well as its possible management module MG, can be implemented in the form of electronic circuits, software (or computer) modules, or a combination of circuits and software.
L'invention ne se limite pas aux modes de réalisation de dispositif de contrôle et de routeur décrits ci-avant, seulement à titre d'exemple, mais elle englobe toutes les variantes que pourra envisager l'homme de l'art dans le cadre des revendications ci-après. The invention is not limited to the embodiments of control device and router described above, only by way of example, but it encompasses all variants that may be considered by those skilled in the art within the scope of the invention. claims below.

Claims

REVENDICATIONS
1. Dispositif de contrôle (D) pour un routeur (R1 ) d'un réseau de communication, ledit routeur (R1) comprenant des moyens d'analyse (MA) agencés pour déterminer dans l'entête d'un paquet de données, reçu et à router, l'adresse de destination qu'il contient, en vue du routage dudit paquet reçu vers cette adresse de destination, caractérisé en ce qu'il comprend i) des moyens de contrôle (MC) agencés, en cas de détermination par lesdits moyens d'analyse (MA) d'un entête comprenant une adresse de destination non attribuée ou inaccessible, pour extraire le paquet contenant cet entête, et ii) des moyens de traitement (MT) agencés pour associer à un paquet extrait par lesdits moyens de contrôle (MC) une adresse de destination de remplacement choisie, attribuée à un équipement d'analyse de paquets (EA1), de sorte que ledit routeur (R1) le route vers ladite adresse de destination de remplacement associée.1. Control device (D) for a router (R1) of a communication network, said router (R1) comprising analysis means (AM) arranged to determine in the header of a data packet, received and to route, the destination address it contains, for routing said received packet to this destination address, characterized in that it comprises i) control means (MC) arranged, in case of determination by said means for analyzing (MA) a header comprising an unassigned or inaccessible destination address, for extracting the packet containing this header, and ii) processing means (MT) arranged to associate with a packet extracted by said means control (MC) a chosen alternative destination address, assigned to a packet analysis equipment (EA1), so that said router (R1) routes it to said associated alternate destination address.
2. Dispositif selon la revendication 1 , caractérisé en ce que lesdits moyens de traitement (MT) sont agencés pour associer à un paquet reçu, émis par un équipement d'analyse de paquets (EA1) en réponse à un précédent paquet contenant une adresse source et extrait par lesdits moyenso de contrôle (MC), ladite adresse source dudit précédent paquet, de sorte que ledit routeur (R1 ) route ledit paquet reçu vers cette adresse source associée par lesdits moyens de traitement (MT).2. Device according to claim 1, characterized in that said processing means (MT) are arranged to associate with a received packet, sent by a packet analysis equipment (EA1) in response to a previous packet containing a source address and extracted by said control means (MC), said source address of said previous packet, so that said router (R1) routes said received packet to this source address associated with said processing means (MT).
3. Dispositif selon la revendication 1 , caractérisé en ce que lesdits moyens de traitement (MT) sont agencés pour placer un paquet extrait par5 lesdits moyens de contrôle (MC) dans un nouveau paquet muni d'un entête contenant ladite adresse de destination de remplacement choisie, puis pour fournir audit routeur (R1 ) ledit nouveau paquet contenant le paquet extrait.3. Device according to claim 1, characterized in that said processing means (MT) are arranged to place a packet extracted by said control means (MC) into a new packet provided with a header containing said replacement destination address. selected, then to provide said router (R1) said new packet containing the extracted packet.
4. Dispositif selon la revendication 1 , caractérisé en ce que lesdits moyens de traitement (MT) sont agencés pour remplacer par une adresse deo destination de remplacement choisie l'adresse de destination qui est contenue dans un paquet extrait par lesdits moyens de contrôle (MC), puis pour fournir audit routeur (R1) le paquet extrait avec sa nouvelle adresse de destination de remplacement. 4. Device according to claim 1, characterized in that said processing means (MT) are arranged to replace by an address deo alternative destination chosen destination address which is contained in a packet extracted by said control means (MC ), then to provide to said router (R1) the extracted packet with its new replacement destination address.
5. Dispositif selon la revendication 1 , caractérisé en ce que lesdits moyens de contrôle (MC) sont implantés dans un plan dit de données dudit routeur (R1).5. Device according to claim 1, characterized in that said control means (MC) are located in a so-called data plane of said router (R1).
6. Dispositif selon la revendication 1 , caractérisé en ce que lesdits s moyens de traitement (MT) sont implantés dans un plan dit de contrôle dudit routeur (R1).6. Device according to claim 1, characterized in that said s processing means (MT) are located in a so-called control plane of said router (R1).
7. Dispositif selon la revendication 1 , caractérisé en ce que lesdits moyens de traitement (MT) sont agencés, en cas de détermination par lesdits moyens d'analyse (MA) d'une adresse de destination non attribuée ouo inaccessible, pour interdire audit routeur (R1) d'adresser un message d'erreur à l'équipement qui a émis le paquet correspondant et qui est désigné dans son entête.7. Device according to claim 1, characterized in that said processing means (MT) are arranged, in the case of determination by said analysis means (MA) of a destination address unallocated or inaccessible, to prohibit said router (R1) to send an error message to the equipment that issued the corresponding packet and which is designated in its header.
8. Dispositif selon la revendication 1 , caractérisé en ce qu'il comprend des moyens de gestion (MG) agencés pour configurer lesdits moyens de5 contrôle (MC) de sorte qu'ils n'extraient un paquet contenant une adresse de destination non attribuée ou inaccessible qu'à condition qu'il satisfasse à au moins un critère choisi et/ou pour configurer lesdits moyens de traitement (MT) de sorte qu'ils puissent procéder aux associations d'adresse de destination de remplacement en fonction d'au moins un critère choisi. 08. Device according to claim 1, characterized in that it comprises management means (MG) adapted to configure said means 5 control (MC) so that they extract a packet containing an unassigned destination address or inaccessible only if it satisfies at least one selected criterion and / or to configure said processing means (MT) so that they can proceed to the alternative destination address associations as a function of at least a chosen criterion. 0
9. Dispositif selon la revendication 8, caractérisé en ce que chaque critère est choisi dans un groupe comprenant au moins un critère d'appartenance d'une adresse de destination à un ensemble d'adresses choisies, un critère d'appartenance d'une adresse source à un ensemble d'adresses choisies, un critère d'appartenance d'un type de contenu de 5 paquet à un ensemble de types de contenu choisis, un critère relatif à l'heure locale du routeur (R1), un critère de taux d'occupation d'au moins une mémoire tampon choisie du routeur (R1 ), et un critère relatif à la valeur d'un compteur choisi.9. Device according to claim 8, characterized in that each criterion is selected from a group comprising at least one criterion of membership of a destination address to a set of chosen addresses, a membership criterion of an address source to a set of chosen addresses, a criterion of membership of a packet content type to a set of selected content types, a criterion relating to the local time of the router (R1), a rate criterion occupying at least one selected buffer of the router (R1), and a criterion relating to the value of a selected counter.
10. Dispositif selon la revendication 8, caractérisé en ce que lesdits10. Device according to claim 8, characterized in that said
30 moyens de gestion (MG) sont agencés pour configurer lesdits moyens de contrôle (MC) et/ou lesdits moyens de traitement (MT) en leur transmettant des règles définissant certains au moins des critères à appliquer et/ou des tables de correspondance entre des critères à appliquer et des adresses de destination de remplacement. 30 management means (MG) are adapted to configure said control means (MC) and / or said processing means (MT) by transmitting their rules defining at least some of the criteria and / or tables of correspondence between criteria to be applied and the addresses of replacement destination.
11. Dispositif selon la revendication 8, caractérisé en ce que lesdits moyens de gestion (MG) sont agencés pour configurer chaque adresse d'un équipement d'analyse de paquets vers lequel des paquets suspects seront envoyés.11. Device according to claim 8, characterized in that said management means (MG) are arranged to configure each address of a packet analysis equipment to which suspect packets will be sent.
12. Dispositif selon la revendication 8, caractérisé en ce que lesdits moyens de gestion (MG) sont agencés pour configurer des moyens de contrôle (MC) et/ou des moyens de traitement (MT) localisés dans au moins deux routeurs dudit réseau. 12. Device according to claim 8, characterized in that said management means (MG) are arranged to configure control means (MC) and / or processing means (MT) located in at least two routers of said network.
13. Dispositif selon la revendication 8, caractérisé en ce que lesdits moyens de gestion (MG) sont implantés dans un plan dit de contrôle dudit routeur (R1).13. Device according to claim 8, characterized in that said management means (MG) are located in a so-called control plane of said router (R1).
14. Routeur (R1 ) pour un réseau de communication, ledit routeur (R1 ) comprenant des moyens d'analyse (MA) agencés pour déterminer dans l'entête d'un paquet de données, reçu et à router, l'adresse de destination qu'il contient, en vue du routage dudit paquet reçu vers cette adresse de destination, caractérisé en ce qu'il comprend un dispositif de contrôle (D) selon l'une des revendications précédentes et couplé auxdits moyens d'analyse (MA). 14. Router (R1) for a communication network, said router (R1) comprising analysis means (AM) arranged to determine in the header of a data packet, received and to be routed, the destination address it contains, for routing said received packet to this destination address, characterized in that it comprises a control device (D) according to one of the preceding claims and coupled to said analysis means (MA).
15. Utilisation du dispositif de contrôle (D) et du routeur (R1 ) selon l'une des revendications précédentes dans un réseau de communication à protocole Internet (IP). 15. Use of the control device (D) and the router (R1) according to one of the preceding claims in an Internet Protocol (IP) communication network.
PCT/EP2007/061506 2006-10-27 2007-10-26 Device for controlling packets, for a router of a communication network with a view to the routing of suspect packets to dedicated analysis equipment WO2008049908A2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP07821869A EP2087688A2 (en) 2006-10-27 2007-10-26 Device for controlling packets, for a router of a communication network with a view to the routing of suspect packets to dedicated analysis equipment

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0654592A FR2907998B1 (en) 2006-10-27 2006-10-27 PACKET CONTROL DEVICE FOR A ROUTER OF A COMMUNICATION NETWORK FOR SUSPECTED PACKET ROUTING TO DEDICATED ANALYTICAL EQUIPMENT
FR0654592 2006-10-27

Publications (3)

Publication Number Publication Date
WO2008049908A2 true WO2008049908A2 (en) 2008-05-02
WO2008049908A3 WO2008049908A3 (en) 2008-06-12
WO2008049908B1 WO2008049908B1 (en) 2008-07-24

Family

ID=38325505

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2007/061506 WO2008049908A2 (en) 2006-10-27 2007-10-26 Device for controlling packets, for a router of a communication network with a view to the routing of suspect packets to dedicated analysis equipment

Country Status (3)

Country Link
EP (1) EP2087688A2 (en)
FR (1) FR2907998B1 (en)
WO (1) WO2008049908A2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106961414A (en) * 2016-01-12 2017-07-18 阿里巴巴集团控股有限公司 A kind of data processing method based on honey jar, apparatus and system

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002098100A1 (en) * 2001-05-31 2002-12-05 Preventon Technologies Limited Access control systems
US20040078592A1 (en) * 2002-10-16 2004-04-22 At & T Corp. System and method for deploying honeypot systems in a network
US6775657B1 (en) * 1999-12-22 2004-08-10 Cisco Technology, Inc. Multilayered intrusion detection system and method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6775657B1 (en) * 1999-12-22 2004-08-10 Cisco Technology, Inc. Multilayered intrusion detection system and method
WO2002098100A1 (en) * 2001-05-31 2002-12-05 Preventon Technologies Limited Access control systems
US20040078592A1 (en) * 2002-10-16 2004-04-22 At & T Corp. System and method for deploying honeypot systems in a network

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JIANG ET AL: "Collapsar: A VM-based honeyfarm and reverse honeyfarm architecture for network attack capture and detention" JOURNAL OF PARALLEL AND DISTRIBUTED COMPUTING, ELSEVIER, AMSTERDAM, NL, vol. 66, no. 9, septembre 2006 (2006-09), pages 1165-1180, XP005597366 ISSN: 0743-7315 *
YELDI S ET AL: "Enhancing network intrusion detection system with honeypot" IEEE TENCON 2003. CONFERENCE ON CONVERGENT TECHNOLOGIES FOR THE ASIA-PACIFIC REGION. BANGALORE, INDIA, OCT. 15 - 17, 2003, IEEE REGION 10 ANNUAL CONFERENCE, NEW YORK, NY : IEEE, US, vol. VOL. 4 OF 4. CONF. 18, 15 octobre 2003 (2003-10-15), pages 1521-1526, XP010686929 ISBN: 0-7803-8162-9 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106961414A (en) * 2016-01-12 2017-07-18 阿里巴巴集团控股有限公司 A kind of data processing method based on honey jar, apparatus and system

Also Published As

Publication number Publication date
WO2008049908A3 (en) 2008-06-12
EP2087688A2 (en) 2009-08-12
FR2907998A1 (en) 2008-05-02
WO2008049908B1 (en) 2008-07-24
FR2907998B1 (en) 2009-04-10

Similar Documents

Publication Publication Date Title
US11522827B2 (en) Detecting relayed communications
US10805325B2 (en) Techniques for detecting enterprise intrusions utilizing active tokens
US8977747B2 (en) System and method for detection of aberrant network behavior by clients of a network access gateway
US20050060535A1 (en) Methods and apparatus for monitoring local network traffic on local network segments and resolving detected security and network management problems occurring on those segments
US20150200960A1 (en) Techniques for protecting against denial of service attacks near the source
US20070094722A1 (en) Detecting networks attacks
US20040255161A1 (en) System and method for network edge data protection
US20070266091A1 (en) Network advertising system
WO2006013292A1 (en) Method, device and system for protecting a server against dns denial-of-service attacks
CN105743878A (en) Dynamic service handling using a honeypot
WO2012021906A2 (en) Devices, systems, and methods for enabling and reconfiguring of services supported by a network of devices
EP3556130B1 (en) Method of surveillance of a telecommunications network implemented by an access point
EP2087688A2 (en) Device for controlling packets, for a router of a communication network with a view to the routing of suspect packets to dedicated analysis equipment
CN100561492C (en) The method and apparatus that network attack detects
FR3105486A1 (en) Method for detecting malicious behavior in a communication network, device, equipment for accessing said network, method for detecting a distributed attack in said network, device, node equipment and corresponding computer programs
WO2004015953A2 (en) Method and architecture for communication between a client equipment and an intermediary module which are both located on a local network
Rayes Advanced Security Management in Metro Ethernet Networks

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 07821869

Country of ref document: EP

Kind code of ref document: A2

WWE Wipo information: entry into national phase

Ref document number: 2007821869

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: DE