Des milliers d’applications et de services divers circulent quotidiennement dans les réseaux utilisés par les gouvernements, l’industrie et des particuliers. Il est possible de dissimuler des attaques dans ces flots d’information en déguisant le trafic du réseau afin qu’il semble légitime. En général, il est possible d’établir une correspondance avec les numéros de ports TCP et UDP qui servent à établir des communications pour des services de réseau particuliers. Par exemple, le port TCP 80 est habituellement associé au trafic HTTP. Toutefois, des intrus peuvent déguiser une activité interdite afin d’éviter la détection en utilisant des numéros de port non standards ou même standards mais d’une manière non conforme.

Le Groupe de recherche sur la sécurité des réseaux du Centre de recherches sur les communications (CRC) s’affaire à cibler les flots d’information qui dissimulent des attaques. La recherche et les expériences réalisées avec un outil interne de validation du concept ont démontré que les applications et les services communs possèdent des caractéristiques semblables à des signatures. Les différences entre les signatures connues et observées peuvent indiquer s’il y a des attaques en cours. La recherche doit relever certains défis, comme la découverte des activités illégitimes dans des réseaux à débit et à volume élevés ainsi que dans les protocoles conçus pour cacher le détail des renseignements transportés.

Pour de plus amples renseignements, cliquez ici