WO2013001241A1 - Method for detecting and preventing intrusions in a computer network, and corresponding system - Google Patents

Method for detecting and preventing intrusions in a computer network, and corresponding system Download PDF

Info

Publication number
WO2013001241A1
WO2013001241A1 PCT/FR2012/051493 FR2012051493W WO2013001241A1 WO 2013001241 A1 WO2013001241 A1 WO 2013001241A1 FR 2012051493 W FR2012051493 W FR 2012051493W WO 2013001241 A1 WO2013001241 A1 WO 2013001241A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
connection
firewall
malicious
mode
Prior art date
Application number
PCT/FR2012/051493
Other languages
French (fr)
Inventor
Fabien Thomas
Damien Deville
Original Assignee
Netasq
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Netasq filed Critical Netasq
Publication of WO2013001241A1 publication Critical patent/WO2013001241A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Definitions

  • the present invention relates to a system and method for detecting and preventing intrusions in a computer network, for preventing intrusions by detecting and blocking them before penetration of the network.
  • Protection solutions are known, such as the solution shown diagrammatically in FIG. 1, which consist in the use of a relay device 2, for example a proxy or proxy comprising a firewall 2 which analyzes the data packets D traveling on a connection 4 to detect the presence of malicious data and correct or delete this data before the transmission of data packets D on the network 1.
  • the proxy captures the connection 4, for example by means of an address translation performed by the firewall 2.
  • This address translation is intended to replace the destination address of the data packets D that of the firewall 2, so that the data packets D are all intercepted and redirected to the firewall 2.
  • the firewall 2 can then read the content of the data D, for example by means of a "socket" type mechanism, and respond as a conventional server.
  • the firewall 2 Once the firewall 2 has analyzed and possibly cleaned the data D, it must create a new connection 5 to the original recipient of the data. For the traffic to be carried out end-to-end, the new connection 5 must be created at the time of the capture of the original connection 4, and the firewall 2 must pass the data D 'therein in both directions. transparent way.
  • the relay device is content to analyze the data packets, and, when malicious data is detected, either to send an alert or to block the data packet until intervention is made. an administrator.
  • the invention relates, in a first aspect, to a method for detecting and preventing intrusions in a computer network comprising a firewall.
  • the method includes analyzing data packets circulating on a connection, via a firewall analysis engine capable of detecting the presence of malicious data, the firewall being able to correct and / or delete malicious data previously detected before to transmit data packets over the network.
  • firewall 1e firewall is adapted to operate in a first mode in which it allows the flow of data packets on the connection to the network, and in a second mode in which the connection is temporarily blocked.
  • the firewall works in the first mode.
  • the firewall goes into the second mode, corrects and / or removes the malicious data from the data packet, resynchronizes the connection and then unblocks the connection for a return to the first mode of operation.
  • it is the analysis engine which, in the second mode of operation, performs the correction and / or deletion of the malicious data of the data packet, the resynchronization of the connection and the unblocking of the data. connection for a firewall return in the first mode of operation.
  • the new data packets flowing on the connection are put on hold until the connection is unblocked.
  • the method according to the invention comprises a step of applying a correction factor to an acknowledgment value and to sending back to the sender of the packet. the corrected acknowledgment value.
  • This correction factor is a function of the difference between the size of the malicious data before and after the modification and / or deletion of this malicious data.
  • the invention relates to a system for detecting and preventing intrusions in a computer network comprising a firewall.
  • the firewall includes an analysis engine capable of analyzing data packets flowing over a connection and detecting the presence of malicious data.
  • This firewall is able to correct and / or delete previously detected malicious data before transmitting the data packets on the network.
  • the firewall is capable of operating in a first mode in which it allows the data packets to flow over the connection to the network, and in a second mode, triggered by the detection of malicious data by the analysis engine. , the second mode in which the connection is temporarily blocked.
  • the firewall is able to correct and / or delete the malicious data of the data packet, to resynchronize the connection and then to unblock the connection so as to return to the first operating mode.
  • the analysis engine is able, in the second mode of operation, to implement the correction and / or deletion of the malicious data of the data packet, the resynchronization of the connection and the unblocking of the data. connection for a firewall return in the first mode of operation.
  • the firewall is able, in the second mode of operation, to put on hold the new data packets circulating on the connection.
  • the firewall possibly via the analysis engine, is able to apply a correction factor to an acknowledgment value and to return the corrected acknowledgment value to the sender of the data packet.
  • This correction factor is a function of the difference between the size of the malicious data before and after the modification and / or deletion of this malicious data.
  • FIG. 1 schematically represents a protection system and its operation in the state of the art
  • FIG. 2 schematically represents an example of a protection system and its operation according to the invention
  • FIG. 3 schematically represents an example of implementation. of the process according to the invention.
  • FIG. 2 diagrammatically shows the protection system according to the invention, which notably comprises a firewall 2. It can of course also include other computing devices, such as storage devices, calculation devices, memory devices input-output, not shown in Figure 2.
  • computing devices such as storage devices, calculation devices, memory devices input-output, not shown in Figure 2.
  • the firewall 2 is placed at an entry point of the computer network 1 to be protected, and comprises an analysis engine 3 which makes it possible in particular to analyze the data packets D flowing over an input connection of the network 1.
  • Each data packet D is received and analyzed by the analysis engine 3 on the original connection, to detect the presence of any malicious data that will be appropriately processed by the firewall 2.
  • the processing of data packets D in case of detection of malicious data is performed by the analysis engine 3 itself. But it can also be achieved by a processing module separate from the analysis engine 3.
  • the firewall 2 is able to operate in two operating modes respectively A and B.
  • the firewall 2 circulates the data packets D on the connection to the network 1, from their sender EXP out of the network 1 to their destination DEST on the network 1.
  • the firewall 2 operates in this first mode A, as long as the analysis engine 3 does not detect any malicious data in the data packets D,
  • the data packet D contains the data DATA, sent by EXP to the destination DEST.
  • data DATA is associated with a sequence number Seq, an acknowledgment value Acq and a value Sz representing the size of the data DATA, ie 4 in this example.
  • the analysis engine 3 detects no malicious data in the data DATA, so that the data packet D is transmitted to EXP on the original connection.
  • the destination DEST of the data packet D then sends back to the sender EXP an acknowledgment, indicating, via the acknowledgment value Acq equal to 4, that it has received a data of size 4.
  • the next transmission sequence of a new data packet D carries a sequence number Seq equal to 4, corresponding to the previous Seq sequence number incremented by the size Sz of the data transmitted to the previous sequence and which has been correctly acknowledged.
  • the acknowledgment value Acq is 0 because no data has yet passed from DEST to EXP in this new sequence.
  • the value of size Sz is this time equal to 10 since the data D transmitted is equal to ATTACKDATA (10 characters corresponding to 10 bytes of data).
  • This new data packet D is analyzed by the analysis engine 3 which detects in this packet the presence of the malicious data dm equal to ATTACK.
  • the firewall then immediately goes into the second operating mode B, in which the connection is temporarily blocked.
  • the new data packets arriving on the connection can simply be ignored.
  • it is preferable not to lose data so that it is preferable to put the new data packets on hold in a buffer provided for this purpose.
  • the firewall 2 will correct and / or delete the malicious data or dm detected by the analysis engine 3, and resynchronize the connection to ensure that the corrected data are actually received and paid by the EXP / DEST equipment.
  • connection When the connection is resynchronized, the connection can effectively be unblocked by the firewall 2, which corresponds to a return of the firewall 2 in the first mode of operation A.
  • All or part of these blocking processing of the connection, correction and / or deletion of the malicious data dm, resynchronization of the connection and release of the connection, may possibly be carried out directly by the analysis engine 3, as represented in FIG. figure 3.
  • the analysis engine 3 having received from EXP the data packet D corresponding to ATTACKDATA and having detected the presence of the malicious datum dm in this data packet D, performs the deletion of dm, so that it transmits to DEST only the data D equal to DATA, that is to say a data D cleaned.
  • the sender EXP expects an acknowledgment on the basis of an Acq value equal to 14 corresponding to the accumulation of the size of the previous data packet already acknowledged (DATA) and the size of the data packet being processed (ATTACKDATA ).
  • the analysis engine 3 applies a correction factor fc equal to 6, the cumulative increase from 8 to 14, to avoid the phenomenon of aforementioned shift.
  • This correction factor fc effectively corresponds to the difference between the size of the data D before correction and the size of this data D after correction, ie 6 (for 10 minus 4) in the example represented in FIG.
  • this correction factor fc effectively corresponds to the difference between the size of the malicious data dm before correction and the size of this malicious datum dm after correction, ie 6 (for 6 minus 0) in the example shown in Figure 3 in which the correction is a deletion.
  • the data packet D corresponding to ATTACKDATA contained a malicious portion dm equal to ATTACK and a healthy portion DATA, and therefore this malicious data dm was deleted.
  • the reasoning is equivalent if one considers that the packet of data D corresponding to ATTACKDATA constitutes itself the malicious data, in which case one modifies this malicious data to make it healthy.
  • the analysis engine 3 can return to the sender EXP the acknowledgment value 14 that it expects.
  • connection is then resynchronized, and the firewall can unblock this connection for a return to the first operating mode A in which the next data packet will be analyzed.
  • the first data packet arrived during the blocking is transmitted and analyzed by the analysis engine 3,
  • the invention is not limited to resynchronizing the temporarily blocked connection by applying a correction factor in the acknowledgment mechanism. More generally, this resynchronization is a function of the communication protocol and consists in making the correction of the malicious data transparent to the sender by making him believe that the data packet concerned has been fully transmitted to the recipient.

Abstract

The invention relates to a system and a method for detecting and preventing intrusions in a computer network (1), suitable for preventing intrusions by detecting and blocking the latter before the same penetrate the network. The system comprises a firewall (2) capable of analysing data packets (D) streaming over a connection via an analysis engine (3) capable of detecting the presence of malicious data. The firewall is capable of correcting and/or deleting the detected malicious data before transmitting the data packets (D) over the network (1). The firewall (2) is capable of operating in a first mode, in which the data packets (D) are allowed to stream over the connection to the network (1), and in a second mode, in which the connection is temporarily blocked. As long as the analysis engine (3) does not detect any malicious data in a data packet (D), the firewall (2) operates in the first mode. When the analysis engine (3) detects the presence of one or more pieces of malicious data in a data packet (D), the firewall (2) switches to the second mode, corrects and/or deletes the malicious data from the data packet D, resynchronises the connection, and then unblocks the connection in order to return to the first operating mode.

Description

PROCEDE DE DETECTION ET DE PREVENTION D'INTRUSIONS DANS UN RESEAU INFORMATIQUE, ET SYSTEME CORRESPONDANT.  METHOD FOR DETECTING AND PREVENTING INTRUSIONS IN A COMPUTER NETWORK, AND CORRESPONDING SYSTEM.
La présente invention a pour objet un système et un procédé de détection et de prévention d'intrusions dans un réseau informatique, permettant de prévenir les intrusions en les détectant et en les bloquant avant pénétration du réseau. The present invention relates to a system and method for detecting and preventing intrusions in a computer network, for preventing intrusions by detecting and blocking them before penetration of the network.
Dans un réseau informatique, la disponibilité des données et leur transmission dans un contexte de sécurité maximum est un problème constant. La complexité grandissante des attaques nécessite une protection de plus en plus sophistiquée et intelligente du réseau. Il faut en effet pouvoir notamment vérifier le contenu des paquets de données qui transitent, et réagir à une attaque avant que celle-ci n'ait pénétré le réseau que l'on cherche à protéger.  In a computer network, the availability of data and its transmission in a context of maximum security is a constant problem. The growing complexity of attacks requires increasingly sophisticated and intelligent network protection. It must indeed be possible in particular to check the contents of data packets that transit, and react to an attack before it has penetrated the network that we seek to protect.
On connaît des solutions de protection, telles que la solution représentée schématiquement à la figure 1, qui consistent dans l'utilisation d'un dispositif relai 2, par exemple un mandataire ou proxy comprenant un pare-feu 2 qui analyse les paquets de données D circulant sur une connexion 4 pour détecter la présence de données malicieuses et corriger ou supprimer ces données avant la transmission des paquets de données D sur le réseau 1.  Protection solutions are known, such as the solution shown diagrammatically in FIG. 1, which consist in the use of a relay device 2, for example a proxy or proxy comprising a firewall 2 which analyzes the data packets D traveling on a connection 4 to detect the presence of malicious data and correct or delete this data before the transmission of data packets D on the network 1.
Pour ce faire, le mandataire capture la connexion 4, par exemple à l'aide d'une translation d'adresse effectuée par le pare-feu 2. Cette translation d'adresse vise à remplacer l'adresse de destination des paquets de données D par celle du pare-feu 2, de sorte que les paquets de données D sont tous interceptés et redirigés vers le pare-feu 2.  To do this, the proxy captures the connection 4, for example by means of an address translation performed by the firewall 2. This address translation is intended to replace the destination address of the data packets D that of the firewall 2, so that the data packets D are all intercepted and redirected to the firewall 2.
Le pare-feu 2 peut alors lire le contenu des données D, par exemple grâce à un mécanisme de type « sockets », et répondre comme un serveur classique.  The firewall 2 can then read the content of the data D, for example by means of a "socket" type mechanism, and respond as a conventional server.
Une fois que le pare-feu 2 a analysé et éventuellement nettoyé les données D, il doit créer une nouvelle connexion 5 vers le destinataire original des données. Pour que le trafic soit réalisé de bout en bout, la nouvelle connexion 5 doit être créée au moment de la capture de la connexion d'origine 4, et le pare- feu 2 doit y faire transiter les données D' dans les deux sens de manière transparente.  Once the firewall 2 has analyzed and possibly cleaned the data D, it must create a new connection 5 to the original recipient of the data. For the traffic to be carried out end-to-end, the new connection 5 must be created at the time of the capture of the original connection 4, and the firewall 2 must pass the data D 'therein in both directions. transparent way.
Dans cette solution, il est donc question d'un dispositif relai qui, pour supprimer les attaques, modifie la connexion d'origine 4 en l'interceptant, tel que représenté par la croix en pointillés sur la figure 1. Ce dispositif relai créé une nouvelle connexion 5 pour régénérer les paquets de données D' à transmettre vers la destination. In this solution, it is therefore a question of a relay device which, for delete the attacks, modifies the original connection 4 by intercepting it, as represented by the dashed cross in FIG. 1. This relay device creates a new connection 5 for regenerating the data packets D 'to be transmitted to the destination .
Une telle régénération est très coûteuse en performance et en ressource, car l'ensemble des données de la connexion doit être modifié, ce qui implique de nombreuses lecture/écriture de données sur la connexion d'origine et sur la nouvelle connexion créée.  Such a regeneration is very expensive in terms of performance and resources, because all the data of the connection must be modified, which implies many read / write of data on the original connection and on the new connection created.
On connaît également des solutions dans lesquelles le dispositif relai se contente d'analyser les paquets de données, et, lorsqu'une donnée malicieuse est détectée, soit d'envoyer une alerte, soit de bloquer le paquet de données jusqu'à intervention d'un administrateur.  Solutions are also known in which the relay device is content to analyze the data packets, and, when malicious data is detected, either to send an alert or to block the data packet until intervention is made. an administrator.
Dans les deux cas se pose alors le problème du nettoyage des données, les données étant soit transmises non nettoyées soit bloquées avant éventuel nettoyage manuel.  In both cases there is the problem of cleaning the data, the data being either transmitted uncleaned or blocked before manual cleaning.
Dans le premier cas, les performances sont améliorées car il n'y a pas de capture de connexion ni de blocage temporaire du trafic. Mais les données ne sont pas nettoyées et le simple envoi d'une alerte est insuffisant pour déjouer une attaque, une fois que la donnée malicieuse est transmise sur le réseau.  In the first case, performance is improved because there is no connection capture or temporary blocking of traffic. But the data is not cleaned and the mere sending of an alert is insufficient to foil an attack, once the malicious data is transmitted over the network.
Dans le deuxième cas, le blocage des données perturbe considérablement les performances, et le nettoyage des données reste arbitraire.  In the second case, data blocking significantly disrupts performance, and data cleansing remains arbitrary.
C'est donc l'objet de l'invention que d'apporter une solution fiable qui permette de résoudre les problèmes précités parmi d'autres problèmes, notamment concernant la protection efficace d'un réseau sans perte de performance.  It is therefore the object of the invention to provide a reliable solution that makes it possible to solve the aforementioned problems among other problems, in particular concerning the effective protection of a network without loss of performance.
A cette fin, l'invention se rapporte selon un premier aspect, à un procédé de détection et de prévention d'intrusions dans un réseau informatique comportant un pare-feu.  To this end, the invention relates, in a first aspect, to a method for detecting and preventing intrusions in a computer network comprising a firewall.
Le procédé consiste notamment à analyser des paquets de données circulant sur une connexion, par l'intermédiaire d'un moteur d'analyse du pare-feu apte à détecter la présence de données malicieuses, le pare-feu étant apte à corriger et/ou supprimer les données malicieuses préalablement détectées avant de transmettre les paquets de données sur le réseau. The method includes analyzing data packets circulating on a connection, via a firewall analysis engine capable of detecting the presence of malicious data, the firewall being able to correct and / or delete malicious data previously detected before to transmit data packets over the network.
En outre, le pare-feu 1e pare-feu est apte à fonctionner dans un premier mode dans lequel il laisse circuler les paquets de données sur la connexion vers le réseau, et dans un deuxième mode dans lequel la connexion est temporairement bloquée.  In addition, the firewall 1e firewall is adapted to operate in a first mode in which it allows the flow of data packets on the connection to the network, and in a second mode in which the connection is temporarily blocked.
Tant que le moteur d'analyse ne détecte aucune donnée malicieuse dans un paquet de données, le pare-feu fonctionne dans le premier mode.  As long as the scan engine does not detect any malicious data in a data packet, the firewall works in the first mode.
Lorsque le moteur d'analyse détecte la présence d'une ou plusieurs données malicieuses dans un paquet de données, le pare-feu passe dans le deuxième mode, corrige et/ou supprime les données malicieuses du paquet de données, resynchronise la connexion puis débloque la connexion pour un retour dans le premier mode de fonctionnement.  When the scanning engine detects the presence of one or more malicious data in a data packet, the firewall goes into the second mode, corrects and / or removes the malicious data from the data packet, resynchronizes the connection and then unblocks the connection for a return to the first mode of operation.
Dans une variante de mise en oeuvre, c'est le moteur d'analyse qui, dans le deuxième mode de fonctionnement, réalise la correction et/ou suppression des données malicieuses du paquet de données, la resynchronisation de la connexion et le déblocage de la connexion pour un retour du pare-feu dans le premier mode de fonctionnement.  In an implementation variant, it is the analysis engine which, in the second mode of operation, performs the correction and / or deletion of the malicious data of the data packet, the resynchronization of the connection and the unblocking of the data. connection for a firewall return in the first mode of operation.
Dans une autre variante de mise en œuvre, éventuellement en combinaison avec la précédente, dans le deuxième mode de fonctionnement, les nouveaux paquets de données circulant sur la connexion sont mis en attente, jusqu'au déblocage de la connexion.  In another implementation variant, possibly in combination with the previous one, in the second mode of operation, the new data packets flowing on the connection are put on hold until the connection is unblocked.
Dans encore une autre variante de mise en œuvre, éventuellement en combinaison une ou plusieurs des précédentes, le procédé selon l'invention comporte une étape consistant à appliquer un facteur de correction à une valeur d'acquittement et à renvoyer à l'expéditeur du paquet de données la valeur d'acquittement corrigée.  In yet another implementation variant, possibly in combination with one or more of the previous ones, the method according to the invention comprises a step of applying a correction factor to an acknowledgment value and to sending back to the sender of the packet. the corrected acknowledgment value.
Ce facteur de correction est fonction de la différence entre la taille de la donnée malicieuse avant et après la modification et/ou suppression de cette donnée malicieuse.  This correction factor is a function of the difference between the size of the malicious data before and after the modification and / or deletion of this malicious data.
L'invention se rapporte selon un deuxième aspect à un système de détection et de prévention d'intrusions dans un réseau informatique comportant un pare-feu. Le pare-feu comprend un moteur d'analyse apte à analyser des paquets de données circulant sur une connexion et à détecter la présence de données malicieuses. According to a second aspect, the invention relates to a system for detecting and preventing intrusions in a computer network comprising a firewall. The firewall includes an analysis engine capable of analyzing data packets flowing over a connection and detecting the presence of malicious data.
Ce pare-feu est apte à corriger et/ou supprimer les données malicieuses préalablement détectées avant de transmettre les paquets de données sur le réseau.  This firewall is able to correct and / or delete previously detected malicious data before transmitting the data packets on the network.
En outre, le pare-feu est apte à fonctionner dans un premier mode dans lequel il laisse circuler les paquet de données sur la connexion vers le réseau, et dans un deuxième mode, déclenché par la détection de données malicieuses par le moteur d'analyse, deuxième mode dans lequel la connexion est temporairement bloquée.  In addition, the firewall is capable of operating in a first mode in which it allows the data packets to flow over the connection to the network, and in a second mode, triggered by the detection of malicious data by the analysis engine. , the second mode in which the connection is temporarily blocked.
Par ailleurs, dans le deuxième mode, le pare-feu est apte à corriger et/ou supprimer les données malicieuses du paquet de données, à resynchroniser la connexion puis à débloquer la connexion en sorte de retourner dans le premier mode de fonctionnement.  Moreover, in the second mode, the firewall is able to correct and / or delete the malicious data of the data packet, to resynchronize the connection and then to unblock the connection so as to return to the first operating mode.
Dans une première variante de réalisation, le moteur d'analyse est apte, dans le deuxième mode de fonctionnement, à mettre en œuvre la correction et/ou suppression des données malicieuses du paquet de données, la resynchronisation de la connexion et le déblocage de la connexion pour un retour du pare-feu dans le premier mode de fonctionnement.  In a first variant embodiment, the analysis engine is able, in the second mode of operation, to implement the correction and / or deletion of the malicious data of the data packet, the resynchronization of the connection and the unblocking of the data. connection for a firewall return in the first mode of operation.
Dans une autre variante de réalisation, éventuellement en combinaison avec la précédente, le pare-feu est apte, dans le deuxième mode de fonctionnement, à mettre en attente les nouveaux paquets de données circulant sur la connexion.  In another variant embodiment, possibly in combination with the previous one, the firewall is able, in the second mode of operation, to put on hold the new data packets circulating on the connection.
Dans encore une autre variante de réalisation, éventuellement en combinaison avec une ou plusieurs des précédentes, le pare-feu, éventuellement par l'intermédiaire du moteur d'analyse, est apte à appliquer un facteur de correction à une valeur d'acquittement et à renvoyer à l'expéditeur du paquet de données la valeur d'acquittement corrigée.  In yet another variant embodiment, possibly in combination with one or more of the preceding embodiments, the firewall, possibly via the analysis engine, is able to apply a correction factor to an acknowledgment value and to return the corrected acknowledgment value to the sender of the data packet.
Ce facteur de correction est fonction de la différence entre la taille de la donnée malicieuse avant et après la modification et/ou suppression de cette donnée malicieuse. D'autres caractéristiques et avantages de l'invention apparaîtront plus clairement et de manière complète à la lecture de la description ci-après des variantes préférées de mise en œuvre du procédé et de réalisation du système, lesquelles sont données à titre d'exemples non limitatifs et en référence aux dessins annexés suivants : This correction factor is a function of the difference between the size of the malicious data before and after the modification and / or deletion of this malicious data. Other characteristics and advantages of the invention will appear more clearly and completely on reading the following description of the preferred variants of implementation of the method and system realization, which are given as non-exemplary examples. and with reference to the following appended drawings:
figure 1 : représente schématiquement un système de protection et son fonctionnement dans l'état de la technique, figure 2 : représente schématiquement un exemple de système de protection et son fonctionnement selon l'invention, figure 3 : représente schématiquement un exemple de mise en œuvre du procédé selon l'invention.  FIG. 1 schematically represents a protection system and its operation in the state of the art, FIG. 2 schematically represents an example of a protection system and its operation according to the invention, FIG. 3 schematically represents an example of implementation. of the process according to the invention.
Concernant la figure 1, elle correspond effectivement à l'état de la technique et a été décrite plus haut.  Regarding Figure 1, it actually corresponds to the state of the art and has been described above.
Sur la figure 2 est représenté schématiquement le système de protection selon l'invention, qui comprend notamment un pare-feu 2. Il peut bien sûr également comprendre d'autres dispositifs informatiques, tels que des dispositifs de stockage, de calcul, des moyens d'entrée-sortie, non représentés sur la figure 2.  FIG. 2 diagrammatically shows the protection system according to the invention, which notably comprises a firewall 2. It can of course also include other computing devices, such as storage devices, calculation devices, memory devices input-output, not shown in Figure 2.
Le pare-feu 2 est placé en un point d'entrée du réseau informatique 1 à protéger, et comprend un moteur d'analyse 3 qui permet notamment d'analyser les paquets de données D circulant sur une connexion en entrée du réseau 1.  The firewall 2 is placed at an entry point of the computer network 1 to be protected, and comprises an analysis engine 3 which makes it possible in particular to analyze the data packets D flowing over an input connection of the network 1.
Chaque paquet de données D est reçu et analysé par le moteur d'analyse 3 sur la connexion d'origine, pour détecter la présence d'éventuelles données malicieuses qui seront traitées de façon appropriée par le pare-feu 2.  Each data packet D is received and analyzed by the analysis engine 3 on the original connection, to detect the presence of any malicious data that will be appropriately processed by the firewall 2.
De préférence, le traitement des paquets de données D en cas de détection de données malicieuses est réalisé par le moteur d'analyse 3 lui-même. Mais il peut également être réalisé par un module de traitement distinct du moteur d'analyse 3.  Preferably, the processing of data packets D in case of detection of malicious data is performed by the analysis engine 3 itself. But it can also be achieved by a processing module separate from the analysis engine 3.
Comme cela est représenté plus en détail à la figure 3, sur un exemple de mise en œuvre du procédé de l'invention, le pare-feu 2 est apte à fonctionner dans deux modes de fonctionnement respectivement A et B.  As is shown in more detail in FIG. 3, on an exemplary implementation of the method of the invention, the firewall 2 is able to operate in two operating modes respectively A and B.
Dans le premier mode de fonctionnement A, le pare-feu 2 laisse circuler les paquets de données D sur la connexion vers le réseau 1, depuis leur expéditeur EXP hors du réseau 1 vers leur destinataire DEST sur le réseau 1. In the first mode of operation A, the firewall 2 circulates the data packets D on the connection to the network 1, from their sender EXP out of the network 1 to their destination DEST on the network 1.
Le pare-feu 2 fonctionne dans ce premier mode A, tant que le moteur d'analyse 3 ne détecte aucune données malicieuses dans les paquets de données D,  The firewall 2 operates in this first mode A, as long as the analysis engine 3 does not detect any malicious data in the data packets D,
Dans l'exemple représenté à la figure 3, 1e paquet de données D contient la donnée DATA, expédiée par EXP vers le destinataire DEST.  In the example shown in FIG. 3, the data packet D contains the data DATA, sent by EXP to the destination DEST.
Selon le protocole de communication entre EXP et DEST, à la donnée DATA sont associés un numéro de séquence Seq, une valeur d'acquittement Acq et une valeur Sz représentant la taille de la donnée DATA, soit 4 dans cet exemple.  According to the communication protocol between EXP and DEST, data DATA is associated with a sequence number Seq, an acknowledgment value Acq and a value Sz representing the size of the data DATA, ie 4 in this example.
Le moteur d'analyse 3 ne détecte dans la donnée DATA aucune donnée malicieuse, de sorte que le paquet de données D est transmis à EXP sur la connexion d'origine.  The analysis engine 3 detects no malicious data in the data DATA, so that the data packet D is transmitted to EXP on the original connection.
Selon le protocole de communication, le destinataire DEST du paquet de données D renvoie alors à l'expéditeur EXP un accusé réception, indiquant par l'intermédiaire de la valeur d'acquittement Acq égale à 4 qu'il a bien reçu une donnée de taille 4.  According to the communication protocol, the destination DEST of the data packet D then sends back to the sender EXP an acknowledgment, indicating, via the acknowledgment value Acq equal to 4, that it has received a data of size 4.
Comme il s'agit d'une étape d'acquittement, sans transmission de donnée, la valeur de taille Sz est 0.  Since this is an acknowledgment step, without data transmission, the size value Sz is 0.
La séquence suivante de transmission d'un nouveau paquet de données D porte un numéro de séquence Seq égal à 4, correspondant au numéro de séquence Seq précédent incrémenté de la taille Sz de la donnée transmise à la séquence précédente et qui a été correctement acquittée.  The next transmission sequence of a new data packet D carries a sequence number Seq equal to 4, corresponding to the previous Seq sequence number incremented by the size Sz of the data transmitted to the previous sequence and which has been correctly acknowledged.
La valeur d'acquittement Acq est à 0, car aucune donnée n'a encore transité de DEST vers EXP dans cette nouvelle séquence.  The acknowledgment value Acq is 0 because no data has yet passed from DEST to EXP in this new sequence.
La valeur de taille Sz est cette fois égale à 10 puisque la donnée D transmise est égale à ATTACKDATA (soit 10 caractères correspondant à 10 octets de données).  The value of size Sz is this time equal to 10 since the data D transmitted is equal to ATTACKDATA (10 characters corresponding to 10 bytes of data).
Ce nouveau paquet de données D est analysé par le moteur d'analyse 3 qui détecte dans ce paquet la présence de la donnée malicieuse dm égale à ATTACK.  This new data packet D is analyzed by the analysis engine 3 which detects in this packet the presence of the malicious data dm equal to ATTACK.
Le pare-feu passe alors immédiatement dans le deuxième mode de fonctionnement B, dans lequel la connexion est temporairement bloquée. Dans ce deuxième mode de fonctionnement B, les nouveaux paquets de données arrivant sur la connexion peuvent être tout simplement ignorés. Cependant, il est préférable de ne pas perdre de données, de sorte que l'on préfère une mise en attente des nouveaux paquets de données dans un tampon prévu à cet effet. The firewall then immediately goes into the second operating mode B, in which the connection is temporarily blocked. In this second operating mode B, the new data packets arriving on the connection can simply be ignored. However, it is preferable not to lose data, so that it is preferable to put the new data packets on hold in a buffer provided for this purpose.
Pendant ce temps de blocage temporaire de la connexion, le pare-feu 2 va corriger et/ou supprimer la ou les données malicieuses dm détectées par le moteur d'analyse 3, et resynchroniser la connexion afin de garantir que les données corrigées sont effectivement reçues et acquittées par les équipements EXP / DEST.  During this time of temporarily blocking the connection, the firewall 2 will correct and / or delete the malicious data or dm detected by the analysis engine 3, and resynchronize the connection to ensure that the corrected data are actually received and paid by the EXP / DEST equipment.
Lorsque la connexion est resynchronisée, la connexion peut effectivement être débloquée par le pare-feu 2, ce qui correspond à un retour du pare-feu 2 dans le premier mode de fonctionnement A.  When the connection is resynchronized, the connection can effectively be unblocked by the firewall 2, which corresponds to a return of the firewall 2 in the first mode of operation A.
Tout ou partie de ces traitements de blocage de la connexion, correction et/ou suppression des données malicieuses dm, resynchronisation de la connexion et déblocage de la connexion, peuvent éventuellement être réalisés directement par le moteur d'analyse 3, tel que représenté à la figure 3.  All or part of these blocking processing of the connection, correction and / or deletion of the malicious data dm, resynchronization of the connection and release of the connection, may possibly be carried out directly by the analysis engine 3, as represented in FIG. figure 3.
Dans cet exemple représenté à la figure 3, le moteur d'analyse 3 ayant reçu de EXP le paquet de données D correspondant à ATTACKDATA et ayant détecté la présence de la donnée malicieuse dm dans ce paquet de données D, effectue la suppression de dm, de sorte qu'il ne transmet à DEST que la donnée D égale à DATA, c'est-à-dire une donnée D nettoyée.  In this example shown in FIG. 3, the analysis engine 3 having received from EXP the data packet D corresponding to ATTACKDATA and having detected the presence of the malicious datum dm in this data packet D, performs the deletion of dm, so that it transmits to DEST only the data D equal to DATA, that is to say a data D cleaned.
A cette donnée D égale à DATA, transmise à DEST, sont associés le numéro de séquence Seq égal à 4, la valeur d'acquittement Acq égale à 0, et la valeur de taille Sz qui est égale à 4.  To this data D equal to DATA, transmitted to DEST, are associated the sequence number Seq equal to 4, the acknowledgment value Acq equal to 0, and the size value Sz which is equal to 4.
On voit donc que la correction du paquet de données D induirait un décalage dans les séquences, de sorte que si aucun traitement n'est effectué, le destinataire B ne pourra pas accuser réception de la façon attendue par EXP, et le mécanisme d'acquittement selon le protocole de communication s'en trouve perturbé.  It can thus be seen that the correction of the data packet D would induce an offset in the sequences, so that if no processing is performed, the recipient B can not acknowledge receipt in the manner expected by EXP, and the acknowledgment mechanism according to the communication protocol is disturbed.
C'est pourquoi le destinataire DEST du paquet de données D va renvoyer à l'expéditeur EXP un accusé réception, indiquant par l'intermédiaire de la valeur d'acquittement Acq égale à 8 qu'il a bien reçu une donnée de taille 8That is why the DEST recipient of the data packet D will send back to the sender EXP an acknowledgment, indicating via the value acknowledgment Acq equal to 8 that he received a data of size 8
(correspondant au cumul de la taille de la donnée précédente et de la taille de la nouvelle donnée). (corresponding to the cumulative size of the previous data and the size of the new data).
Comme pour la séquence précédente, dans la mesure où il s'agit ici d'une étape d'acquittement, sans transmission de donnée, la valeur de taille Sz est 0.  As for the previous sequence, since this is an acknowledgment step, without data transmission, the size value Sz is 0.
Or, l'expéditeur EXP attend un acquittement sur la base d'une valeur Acq égale à 14 correspondant au cumul de la taille du précédent paquet de données déjà acquitté (DATA) et de la taille du paquet de données en cours de traitement (ATTACKDATA).  However, the sender EXP expects an acknowledgment on the basis of an Acq value equal to 14 corresponding to the accumulation of the size of the previous data packet already acknowledged (DATA) and the size of the data packet being processed (ATTACKDATA ).
Aussi, le moteur d'analyse 3 applique un facteur de correction fc égal à 6, au cumul qui passe de 8 à 14, pour éviter le phénomène de décalage précité..  Also, the analysis engine 3 applies a correction factor fc equal to 6, the cumulative increase from 8 to 14, to avoid the phenomenon of aforementioned shift.
Ce facteur de correction fc correspond effectivement à la différence entre la taille de la donnée D avant correction et la taille de cette donnée D après correction, soit 6 (pour 10 moins 4) dans l'exemple représenté à la figure 3.  This correction factor fc effectively corresponds to the difference between the size of the data D before correction and the size of this data D after correction, ie 6 (for 10 minus 4) in the example represented in FIG.
De façon équivalente, on peut dire que ce facteur de correction fc correspond effectivement à la différence entre la taille de la donnée malicieuse dm avant correction et la taille de cette donnée malicieuse dm après correction, soit 6 (pour 6 moins 0) dans l'exemple représenté à la figure 3 dans lequel la correction est une suppression.  Equivalently, it can be said that this correction factor fc effectively corresponds to the difference between the size of the malicious data dm before correction and the size of this malicious datum dm after correction, ie 6 (for 6 minus 0) in the example shown in Figure 3 in which the correction is a deletion.
Dans cet exemple, on a schématiquement considéré que le paquet de données D correspondant à ATTACKDATA contenait une partie malicieuse dm égale à ATTACK et une partie saine DATA, et l'on a donc effectué une suppression de cette données malicieuse dm.  In this example, it has been schematically considered that the data packet D corresponding to ATTACKDATA contained a malicious portion dm equal to ATTACK and a healthy portion DATA, and therefore this malicious data dm was deleted.
Le raisonnement est équivalent si l'on considère que le paquet de donnée D correspondant à ATTACKDATA constitue lui-même la donnée malicieuse, auquel cas on modifie cette donnée malicieuse pour la rendre saine.  The reasoning is equivalent if one considers that the packet of data D corresponding to ATTACKDATA constitutes itself the malicious data, in which case one modifies this malicious data to make it healthy.
Dans les deux cas, le facteur de correction fc mentionné plus haut est égal à 6.  In both cases, the correction factor fc mentioned above is equal to 6.
Ainsi, le moteur d'analyse 3 peut renvoyer à l'expéditeur EXP la valeur d'acquittement 14 qu'il attend.  Thus, the analysis engine 3 can return to the sender EXP the acknowledgment value 14 that it expects.
La connexion est alors resynchronisée, et le pare-feu peut débloquer cette connexion pour un retour dans le premier mode de fonctionnement A dans lequel le prochain paquet de données va être analysé. The connection is then resynchronized, and the firewall can unblock this connection for a return to the first operating mode A in which the next data packet will be analyzed.
Si les paquets de données ont été mis en attente pendant le blocage temporaire de la connexion, comme expliqué plus haut, le premier paquet de données arrivé pendant 1e blocage est transmis et analysé par le moteur d'analyse 3,  If the data packets have been put on hold during the temporary blocking of the connection, as explained above, the first data packet arrived during the blocking is transmitted and analyzed by the analysis engine 3,
Si, par contre, aucun mécanisme de mise en attente des paquets de données n'est prévu, c'est le premier paquet de données arrivant après le déblocage de la connexion qui est transmis et analysé par le moteur d'analyse 3, les précédents paquets étant alors perdus.  If, on the other hand, no mechanism for stopping the data packets is provided, it is the first data packet arriving after the unblocking of the connection that is transmitted and analyzed by the analysis engine 3, the previous ones packets being lost.
L'ensemble de la description ci-dessus est donné à titre d'exemple et n'est donc pas limitatif de l'invention.  The whole of the description above is given by way of example and is not therefore limiting of the invention.
En particulier, l'invention ne se limite pas à une resynchronisation de la connexion temporairement bloqué par application d'un facteur de correction dans le mécanisme d'acquittement. Plus généralement, cette resynchronisation est fonction du protocole de communication et consiste à rendre la correction des données malicieuses transparente pour l'expéditeur en lui faisant croire que le paquet de données concerné a été intégralement transmis au destinataire.  In particular, the invention is not limited to resynchronizing the temporarily blocked connection by applying a correction factor in the acknowledgment mechanism. More generally, this resynchronization is a function of the communication protocol and consists in making the correction of the malicious data transparent to the sender by making him believe that the data packet concerned has been fully transmitted to the recipient.

Claims

REVENDICATIONS
1. Procédé de détection et de prévention d'intrusions dans un réseau informatique ( 1) comportant un pare-feu (2), consistant notamment à analyser des paquets de données (D) circulant sur une connexion, par l'intermédiaire d'un moteur d'analyse (3) du pare-feu (2), ledit moteur d'analyse (3) étant apte à détecter la présence de données malicieuses (dm), et ledit pare-feu (2) étant apte à corriger et/ou supprimer les données malicieuses (dm) préalablement détectées avant de transmettre les paquets de données (D) sur ledit réseau (1), A method for detecting and preventing intrusions into a computer network (1) having a firewall (2), including analyzing data packets (D) traveling on a connection, via a an analysis engine (3) of the firewall (2), said analysis engine (3) being able to detect the presence of malicious data (dm), and said firewall (2) being adapted to correct and / or delete the malicious data (dm) previously detected before transmitting the data packets (D) on said network (1),
caractérisé en ce que, ledit pare-feu (2) étant apte à fonctionner dans un premier mode (A) dans lequel il laisse circuler lesdits paquets de données (D) sur ladite connexion vers le réseau (1), et dans un deuxième mode (B) dans lequel ladite connexion est temporairement bloquée,  characterized in that said firewall (2) being operable in a first mode (A) in which it allows said data packets (D) to flow on said connection to the network (1), and in a second mode (B) wherein said connection is temporarily blocked,
tant que le moteur d'analyse (3) ne détecte aucune donnée malicieuse (dm) dans un paquet de données (D), le pare-feu (2) fonctionne dans le premier mode (A),  as long as the analysis engine (3) does not detect any malicious data (dm) in a data packet (D), the firewall (2) operates in the first mode (A),
et lorsque ledit moteur d'analyse (2) détecte la présence d'une ou plusieurs données malicieuses (dm) dans un paquet de données (D), le pare-feu (2) passe dans le deuxième mode (B), corrige et/ou supprime les données malicieuses (dm) du paquet de données (D), resynchronise la connexion puis débloque la connexion pour un retour dans le premier mode de fonctionnement (A).  and when said analysis engine (2) detects the presence of one or more malicious data (dm) in a data packet (D), the firewall (2) goes into the second mode (B), corrects and / or deletes the malicious data (dm) from the data packet (D), resynchronizes the connection and then unblocks the connection for a return to the first operating mode (A).
2. Procédé selon la revendication 1, caractérisé en ce que, dans le deuxième mode de fonctionnement (B), la correction et/ou suppression des données malicieuses (dm) du paquet de données (D), la resynchronisation de la connexion et le déblocage de la connexion pour un retour du pare-feu (2) dans le premier mode de fonctionnement (A), sont réalisées par le moteur d'analyse (3).  2. Method according to claim 1, characterized in that, in the second operating mode (B), the correction and / or deletion of the malicious data (dm) of the data packet (D), the resynchronization of the connection and the unblocking the connection for a return of the firewall (2) in the first operating mode (A), are performed by the analysis engine (3).
3. Procédé selon l'une quelconque des revendications 1 et 2, caractérisé en ce que dans le deuxième mode de fonctionnement (B), les nouveaux paquets de données circulant sur la connexion sont mis en attente, jusqu'au déblocage de ladite connexion, 3. Method according to any one of claims 1 and 2, characterized in that in the second operating mode (B), the new data packets circulating on the connection are put on hold, until unblocking said connection,
4. Procédé selon l'une quelconque des revendications 1 à 3, caractérisé en ce qu'il comporte une étape consistant à appliquer un facteur de correction (fc) à une valeur d'acquittement (Acq) et à renvoyer à l'expéditeur du paquet de données (D) ladite valeur d'acquittement (Acq) corrigée, ledit facteur de correction (fc) étant fonction de la différence entre la taille de la donnée malicieuse (dm) avant et après la modification et/ou suppression de cette donnée malicieuse (dm).  4. Method according to any one of claims 1 to 3, characterized in that it comprises a step of applying a correction factor (fc) to an acknowledgment value (Acq) and to send back to the sender of the data packet (D) said corrected acknowledgment value (Acq), said correction factor (fc) being a function of the difference between the size of the malicious datum (dm) before and after the modification and / or deletion of this datum malicious (dm).
5. Système de détection et de prévention d'intrusions dans un réseau informatique ( 1) comportant un pare-feu (2) comprenant un moteur d'analyse (3) apte à analyser des paquets de données (D) circulant sur une connexion et à détecter la présence de données malicieuses (dm), ledit pare-feu (2) étant apte à corriger et/ou supprimer les données malicieuses (dm) préalablement détectées avant de transmettre les paquets de données (D) sur ledit réseau (1),  5. System for detecting and preventing intrusions in a computer network (1) comprising a firewall (2) comprising an analysis engine (3) capable of analyzing data packets (D) circulating over a connection and detecting the presence of malicious data (dm), said firewall (2) being able to correct and / or delete the malicious data (dm) previously detected before transmitting the data packets (D) on said network (1) ,
caractérisé en ce que ledit pare-feu (2) est apte à fonctionner dans un premier mode (A) dans lequel il laisse circuler lesdits paquet de données (D) sur ladite connexion vers le réseau ( 1), et dans un deuxième mode (B), déclenché par la détection de données malicieuses (dm) par ledit moteur d'analyse (3), dans lequel deuxième mode (B) ladite connexion est temporairement bloquée, et en ce que dans ce deuxième mode (B), ledit pare-feu (2) est apte à corriger et/ou supprimer les données malicieuses (dm) du paquet de données, à resynchroniser la connexion puis à débloquer la connexion en sorte de retourner dans le premier mode de fonctionnement (A).  characterized in that said firewall (2) is operable in a first mode (A) in which it allows said data packets (D) to flow on said connection to the network (1), and in a second mode ( B), triggered by the detection of malicious data (dm) by said analysis engine (3), wherein said second mode (B) said connection is temporarily blocked, and in that second mode (B) said said -feu (2) is able to correct and / or delete the malicious data (dm) of the data packet, to resynchronize the connection and then to unblock the connection so as to return to the first operating mode (A).
6. Système selon la revendication 5, caractérisé en ce que, dans le deuxième mode de fonctionnement (B), le moteur d'analyse (3) est apte à mettre en œuvre la correction et/ou suppression des données malicieuses (dm) du paquet de données (D), la resynchronisation de la connexion et le déblocage de la connexion pour un retour du pare-feu (2) dans le premier mode de fonctionnement (A).  6. System according to claim 5, characterized in that, in the second operating mode (B), the analysis engine (3) is able to implement the correction and / or deletion of the malicious data (dm) of the data packet (D), the resynchronization of the connection and the unblocking of the connection for a return of the firewall (2) in the first operating mode (A).
7. Système selon l'une quelconque des revendications 5 et 6, caractérisé en ce que, dans le deuxième mode de fonctionnement (B), le pare-feu (2) est apte à mettre en attente les nouveaux paquets de données circulant sur la connexion. 7. System according to any one of claims 5 and 6, characterized in that in the second operating mode (B), the firewall (2) is able to put on hold the new data packets flowing on the connection.
8. Système selon l'une quelconque des revendications 5 à 7, caractérisé en ce que le pare-feu (2), éventuellement par l'intermédiaire du moteur d'analyse 8. System according to any one of claims 5 to 7, characterized in that the firewall (2), possibly via the analysis engine
(3), est apte à appliquer un facteur de correction (fc) à une valeur d'acquittement (Acq) et à renvoyer à l'expéditeur du paquet de données (D) ladite valeur d'acquittement (Acq) corrigée, ledit facteur de correction (fc) étant fonction de la différence entre la taille de la donnée malicieuse (dm) avant et après la modification et/ou suppression de cette donnée malicieuse (dm). (3), is adapted to apply a correction factor (fc) to an acknowledgment value (Acq) and to return to the sender of the data packet (D) said corrected acknowledgment value (Acq), said factor correction (fc) depending on the difference between the size of the malicious data (dm) before and after the modification and / or deletion of this malicious data (dm).
PCT/FR2012/051493 2011-06-29 2012-06-28 Method for detecting and preventing intrusions in a computer network, and corresponding system WO2013001241A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1155824A FR2977432B1 (en) 2011-06-29 2011-06-29 METHOD FOR DETECTING AND PREVENTING INTRUSIONS IN A COMPUTER NETWORK, AND CORRESPONDING SYSTEM
FR1155824 2011-06-29

Publications (1)

Publication Number Publication Date
WO2013001241A1 true WO2013001241A1 (en) 2013-01-03

Family

ID=46579209

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2012/051493 WO2013001241A1 (en) 2011-06-29 2012-06-28 Method for detecting and preventing intrusions in a computer network, and corresponding system

Country Status (2)

Country Link
FR (1) FR2977432B1 (en)
WO (1) WO2013001241A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6219706B1 (en) * 1998-10-16 2001-04-17 Cisco Technology, Inc. Access control for networks
US20070101422A1 (en) * 2005-10-31 2007-05-03 Carpenter Michael A Automated network blocking method and system
WO2011028176A1 (en) * 2009-09-02 2011-03-10 Resolvo Systems Pte Ltd Method and system for preventing transmission of malicious contents

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6219706B1 (en) * 1998-10-16 2001-04-17 Cisco Technology, Inc. Access control for networks
US20070101422A1 (en) * 2005-10-31 2007-05-03 Carpenter Michael A Automated network blocking method and system
WO2011028176A1 (en) * 2009-09-02 2011-03-10 Resolvo Systems Pte Ltd Method and system for preventing transmission of malicious contents

Also Published As

Publication number Publication date
FR2977432B1 (en) 2013-07-19
FR2977432A1 (en) 2013-01-04

Similar Documents

Publication Publication Date Title
US7657938B2 (en) Method and system for protecting computer networks by altering unwanted network data traffic
EP1872543A1 (en) Method and system for transmitting a multicast stream in data exchange network
US9648038B2 (en) Propagation of viruses through an information technology network
US7593331B2 (en) Enhancing transmission reliability of monitored data
EP1734718A2 (en) Computer-implemented method with real-time response mechanism for detecting viruses in data transfer on a stream basis
EP1411703B1 (en) Method for monitoring the propagation of viruses through a network
FR2933834A1 (en) METHOD FOR MANAGING DATA STREAM TRANSMISSION ON A TUNNEL TRANSPORT CHANNEL, TUNNEL HEAD, COMPUTER PROGRAM PRODUCT, AND CORRESPONDING STORAGE MEDIUM.
FR2954029A1 (en) METHOD FOR TRANSMITTING PACKETS OF A PASSENGER BIDIRECTIONAL DATA STREAM, MANAGER DEVICE, COMPUTER PROGRAM PRODUCT, AND CORRESPONDING STORAGE MEDIUM
Braun et al. Packet sampling for worm and botnet detection in TCP connections
FR2888695A1 (en) DETECTION OF INTRUSION BY MISMATCHING DATA PACKETS IN A TELECOMMUNICATION NETWORK
WO2013001241A1 (en) Method for detecting and preventing intrusions in a computer network, and corresponding system
CN107294877B (en) TCP stream recombination method and device
EP1142182B1 (en) Device and method for processing a data packet sequence
CN110337115B (en) Method for judging WeChat payment perception based on TCP (Transmission control protocol)
WO2015048999A1 (en) Method and proxy node for source to destination packet transfer
US9313224B1 (en) Connectivity protector
EP1369766B1 (en) Propogation of viruses through an information technology network
WO2008096086A2 (en) Method for packet loss processing
EP3035639B1 (en) Method of unauthorized port-scan detection in a computer network, associated computer program and device
EP2625830B1 (en) Method and device for the secure transfer of data
CN115225312A (en) Method and device for safely scanning application layer data
GB2583736A (en) Method for inspection and filtering of TCP streams in gateway router
CA2874047C (en) System and method for diverting established communication sessions
WO2005064886A1 (en) Method for detection and prevention of illicit use of specific network protocols without alteration of legitimate use therof
EP3664377A1 (en) Method and device for measuring a parameter representative of the transmission time on an encrypted tunnel

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12738548

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 12738548

Country of ref document: EP

Kind code of ref document: A1