[go: up one dir, main page]

WO2008006997A1 - Procédé de détection de points d'accès simulés dans un réseau sans fil - Google Patents

Procédé de détection de points d'accès simulés dans un réseau sans fil Download PDF

Info

Publication number
WO2008006997A1
WO2008006997A1 PCT/FR2007/051465 FR2007051465W WO2008006997A1 WO 2008006997 A1 WO2008006997 A1 WO 2008006997A1 FR 2007051465 W FR2007051465 W FR 2007051465W WO 2008006997 A1 WO2008006997 A1 WO 2008006997A1
Authority
WO
WIPO (PCT)
Prior art keywords
frames
access point
wireless network
reception
analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/FR2007/051465
Other languages
English (en)
Inventor
Laurent Butti
Stanislas Francfort
Franck Veysset
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Publication of WO2008006997A1 publication Critical patent/WO2008006997A1/fr
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Definitions

  • the present invention relates to the detection of simulated access points, or false access points, in a wireless network. It applies in particular to IEEE 802.11 type technologies standardized by the Institute of Electronical and Electronics Engineers (IEEE).
  • access point relates to the detection of access points artificially created by software, or access points simulated or emulated, or false access points ("fake access point" in English).
  • a malicious user, to create simulated access points will generally use a terminal, for example a "PC"("PersonalComputer” in English), equipped with a Linux operating system and a WiFi network card: 802.11 network card allowing the terminal to connect to a wireless network; the malicious user will configure his WiFi network card to simulate / emulate false access points, that is to say send 802.11 compliant frames, and coherent with frames issued by a genuine access point.
  • the intrusion detection system will see this hundred access points in addition to those he sees classically. It will be able to say that these access points are illegitimate because their "MAC" addresses ("Medium Access Control” in English) are likely to be different from the MAC addresses of access points allowed in the wireless network.
  • the intrusion detection software will present data relating to all these access points to an administrator in charge of the supervision of the network, via a user interface ("GUI" for "Graphical User Interface” in English), and store said data in a database for archiving.
  • GUI Graphic User Interface
  • the intrusion detection software Present and manage unnecessary and uninteresting data for the wireless network administrator. This will result in a very large amount of data to be analyzed.
  • the creation of many simulated APs is similar to a flood attack in which a system or service is flooded with fake messages that are processed and eventually saturate the system or service.
  • the creation of simulated access points renders intrusion detection software completely ineffective.
  • a simulated access point would have the same MAC address as a legitimate access point and would be arranged to transmit data with the same characteristics as those issued by a legitimate access point
  • the method as described above would be ineffective because the frames transmitted by the legitimate access point and the simulated access point would be such that the difference between the time information of the frames transmitted by the simulated access point and the frames transmitted by the authentic access point would correspond to the expected value since the simulated access point would be arranged to transmit such frames.
  • the invention relates to a method for detecting simulated access points in a wireless network, characterized in that it comprises the steps of:
  • the method according to the invention uses the fact that the authentic access points, which are systems dedicated to the access point function, have real-time properties that the operating systems do not have. terminals on which are simulated gateways.
  • a typical operating system has many concurrent tasks to perform; therefore, it is not practically possible for operating systems to have real-time properties.
  • the characteristic frames of the access points have temporal properties relative to their time of emission, it is possible, by observing the transmission behavior of different systems that are supposed to be access points, to detect inconsistencies in the data. effective transmission times of the frames. It can be concluded that when a system has sent out frames that appear to be inconsistent in this respect, it is a simulated access point.
  • the observation takes into account the actual traffic in the wireless network; network probes have the role of capturing this traffic.
  • the captured frames are dated by the probes. It is thus possible to estimate, from the instant of reception of the frames by the probes, the actual transmission time of these frames.
  • the analysis for detecting inconsistencies in the estimated transmission times of the frames uses available or computable information, such as the times of reception of successive frames which correspond to the estimated effective transmission instants, or the duration which separates the instants estimated effective emission of two successive frames. This information makes it possible to define several metrics, which has the advantage of being able to decline the detection method according to different embodiments. Since detection methods are subject to false positives, multiplying the metrics to combine them can only limit the detection of false positives.
  • Another advantage of the invention resides in the fact that the method uses information of actually received frames.
  • the packet loss has no implication on the detection method and the method is not sensitive to channel hops in the radio channel.
  • the analysis step also takes into account time tags included in the frames and intended to represent the sending dates of said frames.
  • Characteristic frames of the access points comprise temporal information representative of the transmission time of the frame by the access point. In addition, among these frames, some are issued at regular intervals.
  • the analysis with a view to detecting inconsistencies on the estimated effective transmission times of the frames also uses available or computable information such as the time labels specified in the TIMESTAMP field of the frame and the time that separates the frames. time tags of two successive frames.
  • time labels of two successive frames.
  • the use of parameters such as time labels allows you to define new metrics and refine the detection of simulated access points.
  • the information used by the method are coherent with each other since they belong to the same frame.
  • a statistical function (f), a number (n) of frames to which the analysis relates, parameters specific to said frames derived from the device have been chosen. of transmission and a predetermined threshold (s), said statistical function (f) being applied to said parameters during the analysis step, and said transmission device being considered as a simulated access point when the result of the function (f) does not respect the predefined threshold (s).
  • detection techniques are subject to false positives.
  • an access point classified as a simulated access point may not be one.
  • the threshold (s) predefined is calibrated based on an observation of a sample of frames of predetermined size.
  • the threshold can be set arbitrarily, based on previous observation results. It can be set when starting up the system. It is also possible to calculate the threshold and to calibrate it, for example periodically, according to the traffic observed so far, according to events such as the detection of a new MAC address in the network, or a specific event that triggers the calibration of the threshold.
  • a possible calibration function will be based on the frames observed so far and may have as parameters the parameters used by the method for detecting simulated access points.
  • the wireless network is of the IEEE 802.1 1 type and the frames are PROBE RESPONSE and BEACON frames.
  • the invention also relates to a simulated access point detection device in a wireless network, comprising: means for reception by a probe of the transmission device address and times of reception by said probe relating to characteristic frames of said wireless network,
  • the invention also relates to a simulated access point detection system in a wireless network, comprising:
  • the invention also relates to a computer program on a data medium and loadable in the internal memory of a computer associated with a simulated access point detection system in a wireless network, the program comprising portions of code for performing the steps of the method according to the invention when the program is executed on said computer.
  • the invention also relates to a partially or completely removable data storage means comprising computer program code instructions for executing the steps of the method according to the invention.
  • FIG. 1 is a block diagram of a wireless network in which the invention is implemented.
  • FIG. 2 shows the steps of the method for detecting simulated access points according to the invention.
  • FIG. 3 is an example of a detection system according to one embodiment of the invention.
  • FIG. 4 is a first measurement curve which illustrates the implementation of the method according to the invention.
  • Figure 5 is a second curve which illustrates the implementation of the method according to the invention; a comparison between measurements from a legitimate access point and an emulated access point is shown.
  • frame is meant here a set of data forming a block transmitted in a network and containing useful data and service information, generally located in a header area of the block.
  • a frame may be described as a data packet, datagram, data block, or other expression of this type.
  • the term “frame” also refers to the physical signals corresponding to such a set of data, that is to say both an electromagnetic signal and an analog signal obtained by sensing this electromagnetic signal, or that a signal digital obtained by digitizing this analog signal, or other.
  • access point characteristic frames are sent during exchanges with one or more customers, especially when associating a client with an access point; the association corresponding to the connection of a customer to the network by radio link. These frames conform to the method of associating a client with an access point according to the 802.1 1 standard.
  • a first identification phase of the access point is performed passively by the client who seeks to associate with an access point. .
  • the client listens to one or more radio channels, sequentially or simultaneously, to search for specific frames, called beacon frames. Beacon frames are called "BEACON" frames in the 802.1 1 standard.
  • BEACON frames are sent regularly by the access point and contain various information including: a network identifier ("SSID", or Service Set Identifier in English), the MAC address of the access point, and communication parameters that can be used by the access point.
  • SSID network identifier
  • the customer thus has information enabling him to initiate a communication with the access point and possibly to choose the most appropriate access point if several access points are detected.
  • the identification phase is actively performed by the client, this is particularly the case when the access points are operating in " hidden".
  • the client sends an access point search frame, called the "PROBE REQUEST" frame in the 802.11 standard.
  • the PROBE REQUEST frames contain, among others, the desired network identifier (SSID) and the MAC address of the client.
  • An access point corresponding to the requested network which receives a PROBE REQUEST frame responds by sending a PROBE RESPONSE frame which includes information among which: the network identifier (SSID), the MAC address of the point of access access, the MAC address of the client, and communication parameters usable by the access point.
  • the BEACON and PROBE RESPONSE frames include a parameter, called "TIMESTAMP" in the 802.11 standard, which is a time tag.
  • the temporal label of a frame comprises a temporal information relating to the transmission of this frame, constituted here of the value of a clock of the access point which transmitted the frame at the instant of transmission of this frame.
  • the clock is usually set to zero when the access point is started.
  • the time tag is generated by the pilot program of the 802.11 radio card at the time of transmission of the frame. It is thus possible, for example, to know how long the access point has been started.
  • This time tag is mandatory for BEACON and PROBE RESPONSE frames. It is coded on 64 bits.
  • BEACON frames are sent regularly.
  • the time separating two BEACON frames corresponds to a fixed time interval which is indicated by an interval information, called "BEACON INTERVAL" in the 802.11 standard, present in the frame.
  • the invention implements the analysis of the estimated transmission times of the frames transmitted by the access points.
  • Probes placed in the wireless network are listening to the radio channel. They pick up the frames that circulate on the radio channel and are arranged to measure the times of reception of these frames. From the times of reception of the frames measured by the probes, it is estimated the actual transmission times of these frames.
  • the difference between the instant of emission and the instant of reception of the same frame corresponds to the propagation time on the radio channel.
  • This time is usually small, even negligible, or it is easily calculable from the distance between an access point and a probe; it is in any case constant when considering a probe and an access point immobile.
  • the estimated transmission time of a frame is deduced from the moment of reception of the frame by the probe.
  • the authentic access points dedicated to the access point function, have real-time properties that the operating systems, for example Linux, do not have. may be because they are not dedicated to a particular function.
  • a real-time system differs from another computer system by taking into account time constraints whose respect is as important as the proper execution of the tasks entrusted to it, in other words the real-time system must not simply execute these tasks, he must also deliver them within prescribed deadlines.
  • An authentic access point is dedicated to its access point function and inherently has real-time properties. Thus, the management of frames, transmission and reception, is processed in real time.
  • a terminal for example a "PC" (Personal Computer) which simulates an access point using a network card configured to function as an access point, emulates the access point to an application level.
  • the application is not master of the moment the operating system will execute the commands of the application, for example the emission of frames compatible with the standard 802.11.
  • a PC can not operate in real time because the operating system, for example Linux, which controls it, must manage the execution of a set of competing tasks.
  • the invention is described hereinafter in its particular application to the detection of simulated access points in an 802.11 type wireless network.
  • the 802.11 network schematized in Figure 1 comprises a number of authentic access points 1 distributed over the coverage area of a network.
  • these authentic access points are connected to an IP 2 type network, which may be the Internet or an Intranet.
  • IP 2 type network which may be the Internet or an Intranet.
  • several WiFi probes 4, 4 ' are deployed so as to be in radio range of the access points 1 and a device 3 for detecting simulated access points, or supervisor 3 is connected either directly or via the IP network 2 to said WiFi probes 4, 4 '.
  • the probes are arranged to capture the frames that circulate on the radio channel and transmit information on the captured frames to the supervisor 3.
  • the supervisor 3 is arranged to collect, process the information received from the probes 4, 4 'and from BEACON frames and PROBE RESPONSE, and proceed to the analysis of this information.
  • a client 6 is likely to associate with an access point by 802.11 frame exchanges.
  • FIG. 1 Also shown in FIG. 1 is a simulated access point 5; the simulated access point 5 is simulated logically on a PC not shown, using an 802.11 network card, set to operate as an access point. It sends frames conforming to the 802.11 standard.
  • the BEACON and PROBE RESPONSE frames are analyzed.
  • the two types of frames can be processed separately.
  • FIG. 2 An embodiment of the method according to the invention for distinguishing simulated access points from authentic access points is illustrated by the diagram of FIG. 2.
  • the radio channel is listened to passively. Listening can be done on all channels of the 802.11 standard frequency band, or on one channel at a time by channel jumping on a regular basis. In the case of channel jumps, many frames will be lost. However, since the BEACON frames are issued repetitively, we will receive BEACON frames anyway that will allow the analysis.
  • a test step 11 following the reception of a frame on the radio channel, it is tested whether the received frame is of BEACON or PROBE RESPONSE type. If the result of the test is positive, in a step 12 subsequent to the reception of the BEACON or PROBE RESPONSE type frame, it is proceeded to the identification of the frames comprising the same address of the transmission device and to the extraction of information included in the received frame: - MAC address of the sending access point;
  • step 11 If the result of the test performed in step 11 is negative, then the initial step of listening to the radio channel is taken.
  • step 13 following the extraction of information from the BEACON or PROBE RESPONSE frame carried out in step 12, this information is stored.
  • an array For storing the information, for example, an array is associated with a MAC address, this array includes N-lines, and for each line associated with a frame Li, O ⁇ i ⁇ N, boxes for storing the following elements: "ArrivalTime” : instant of reception of the frame, in microseconds, as provided by the probe which carries out the radio capture. This moment is assimilated to the estimated effective transmission time of the frame. "BSSTimestamp”: time tag, in microseconds, which is in the TIMESTAMP field of the received frame.
  • DeltaTime value calculated and corresponding to: Receiving instant of the current frame Li - Instant of reception of the previous frame Li - 1, with i> 1. Or, ArrivalTime_l_i - ArrivalTime_l_i-1.
  • DeltaBSS value calculated and corresponding to: time tag of the Li - time tag frame of the Li - 1 frame, with i> 1.
  • the information is stored in a data structure of a memory not shown.
  • DeltaBSS_n will be hashed with a known hash algorithm.
  • an analysis phase B of said information makes it possible to detect access points simulated.
  • test step 14 it is checked whether an analysis of the information stored in step 13 should be performed.
  • the test may relate, for example, to the size of a sample of captured frames, to the date on which a previous analysis phase took place, on a command from an administrator in charge of implementing the method according to the 'invention. If the result of the test is negative, then it is placed in the initial step of listening to the radio channel.
  • step 15 the information stored in step 13 is analyzed in order to detect simulated access points.
  • the analysis is based on the principle of coherence of the estimated effective transmission times of the frames.
  • the estimated effective transmission times are assimilated to the reception times of the frames at the WiFi probes.
  • the analysis can be done in different ways:
  • the coherence can be measured by observing the estimated effective transmission times of the frames picked up by the probes on the wireless network.
  • step 15 it is necessary to choose beforehand a statistical function f and a size n of the sample on which to apply the function.
  • the choice of the function f and the size n of the sample make it possible to obtain a fine analysis resulting from the real observation of the traffic and to reduce the rate of false positives.
  • the X and Y parameters can take the values ArrivalTime, BSSTimestamp, DeltaTime, or DeltaBSS.
  • X_k and Y_k the parameters relating to the frame k.
  • the parameters must relate to the same type of information.
  • the first parameter corresponds to a duration
  • DeltaTime or DeltaBSS then the second parameter will also relate to a duration. If the first parameter corresponds to a moment, ArrivalTime or
  • the second parameter will also cover a moment. If the parameters X and Y are the same, then they will relate to two successive frames. If they are different, they will be on the same frames.
  • k1 and k2 the positions of the frames in the array; k1 and k2 may be k for the current frame, or k-1 for the previous frame.
  • a trigger threshold s Thus a property to check for consistency between dates and is represented by the following formula: f (X_k1 - X_k2 - C) ⁇ s, where C is a constant.
  • the threshold s is relatively small, of the order of 50 milliseconds and always less than one-tenth of a second. However, for obvious reasons of adaptation to a particular environment, where access points may have, depending on their type, different characteristics, in terms of performance for example, it is possible for the administrator to refine the threshold. s.
  • a step 16 of verification of the property it is checked whether the threshold s is exceeded for the sample, the function, and the parameters X and Y chosen in step 15. If the threshold s is exceeded and therefore, that the property is not verified, so abnormal operation has been observed for a MAC address. More specifically, an inconsistency on the estimated effective transmission instants of the frames transmitted by the access point that has this MAC address, was observed. It is assumed that the access point clocks and listening probes on the radio channel operate in the same way, even if they are not synchronized on the same date. In an alternative embodiment of the invention, the clocks of the probes and access points are synchronized with a known time service of the "NTP" (Network Time Protocol) type.
  • NTP Network Time Protocol
  • Another advantage of the method according to the invention is that it can also be used to detect attacks by spoofing MAC addresses. Indeed, if the address of a first authentic and legitimate access point is usurped by a second authentic and illegitimate access point, the frames from the first and second authentic access points will be stored in a table that concerns the same MAC address and will be analyzed as if they originated from the same access point. Many inconsistencies will be revealed by the analysis because by definition, the successive frames coming from two different access points have a priori no reason to be consistent.
  • n 2
  • f absolute value
  • X DeltaTime
  • Y DeKaBSS
  • n 2
  • the property to check is: absolute value (DeltaTime_k - DeltaBSS_k) ⁇ s
  • C the constant C is zero. This value must be equal to zero since DeltaTime_k represents the duration which separates the arrival times of two successive frames, and DeltaBSS_k the duration which separates the dates of sending of these two frames. In the case of an authentic access point, these durations are identical.
  • f absolute value
  • X ArrivalTime
  • Y BSSTimestamp
  • n 2
  • the property to check is: absolute value (ArrivalTime_k - BSSTimestamp_k) ⁇ s; the constant C is zero.
  • This value represents the difference between the actual estimated transmission time of a frame measured by the probe, and the sending date of this frame specified by the access point. The difference must correspond to the radio propagation time. It must therefore be close to zero, or even zero.
  • f absolute value
  • X ArrivalTime
  • Y ArrivalTime
  • k1 k-1
  • k2 k
  • n 2
  • the property to check is: absolute value (Arriva ITi m e_k-1 - ArrivalTime_k -BEACON INTERVAL) ⁇ s;
  • BEACON frames being transmitted at regular intervals the difference between the estimated transmission times of two successive frames must be equal to the value of this interval.
  • the value of the interval is BEACON INTERVAL.
  • WO2006035140 discloses a method for detecting MAC address spoofing based on the difference between the time tags of BEACON frames transmitted by a device identified by a MAC address. According to the method described in the application, this difference, for two frames not necessarily successive, must be equal to a multiple of BEACON INTERVAL. However this process is subject to false positives. Indeed, there may be a slight slip in time when sending the frames; the value specified in the TIMESTAMP parameter of the frames takes into account this slight slip in time. Thus, the measurement recommended by the method of the request between two non-successive frames may not be strictly equal to a multiple of BEACON INTERVAL.
  • n 50
  • f variance
  • X DeltaTime
  • Y DeltaBSS
  • n 50
  • the property to check is: variance (50 frames) (DeltaTime_k - DeltaBSS_k) ⁇ s.
  • a statistical function of standard deviation type with a sample size for example 30; a statistical function of average type with a sample size, for example of 10; a median type statistical function with a sample size of, for example, 20; a mean statistical function of the maxima over the n previous frames, n being the size of the sample, for example 50.
  • the invention is of course not limited to the above examples.
  • the analysis relates only to the BEACON frames of the array, it is possible, for performance reasons, to apply a mask on the basis of information in order to present only the BEACON frames. In this case, the DeltaTime and DeltaBSS values are calculated for BEACON frames only.
  • the analysis phase B takes place in parallel with the listening phase A of the radio channel and the construction of the information base, when for example a sufficiently large sample of information will have been collected.
  • the size of the sample corresponds to the number of frames for which all the information stored in step 4 could be filled.
  • the sample size will be set by the administrator, and will depend on a desired success rate.
  • the minimum sample size is 2 and the largest maximum size, for example 1000, or more. It is estimated that with a sample of information of 50, one achieves a very satisfactory success rate. It should be noted that the first received frame does not make it possible to inform the elements DeltaTime and DeltaBSS, because the preceding frame does not exist.
  • Detection techniques such as that described in Figure 2, are subject to false positives. This is inherent in any detection technique. However some techniques are more reliable than others, it is possible to assign to each a different weight. A correlation therefore consists in realizing a global detection function which depends both on the result of each of the weight-weighted detection techniques of the latter. It is then possible to perform a correlation at the output of the analyzer according to the weights, in order to increase the confidence in the alert that will be raised, because it will be correlated to others.
  • the threshold is a predefined value.
  • the threshold is calculated by means of a so-called calibration function.
  • the value of the threshold is calibrated, that is to say that it adapts to, for example, a real traffic observed on the radio channel.
  • the threshold is thus refined and calculated as a function of traffic.
  • the threshold is a function of the observation of a sample of predetermined size.
  • the threshold may be calibrated during system startup, or periodically, or for any new MAC address detected, or depending on a triggering event of that calibration.
  • Figure 3 illustrates an architecture of a simulated access point detection system according to an embodiment of the invention.
  • each probe 4, 4 ' comprises a device for passive listening of the radio channel. It comprises transmission means, for example circuits 40 and 40 ', for the interface with the wired part of the network, and circuits 41, 41' for applying reception processing to the signals picked up by the antenna 42, 42 'of the probe.
  • the probes 4, 4 ' also comprise processors 43, 43' which execute programs implementing the reception part of the 802.1 1 protocols, in particular the MAC protocol.
  • Each event includes the time at which the frame was picked up by the probe, the MAC address of the source that sent the frame, the TIMESTAMP parameter, or time tag, the frame and the type of the frame.
  • the probes 4, 4 'sensing a given frame at substantially the same moment we can associate a single capture instant with each set of events (Ei, Ei ') and (E 2 , E 2 ').
  • the supervisor 3 comprises receiving means 30 which receive, via links 6, 6 'connecting the probes 4, 4' to the supervisor 3, the sets of events (E 1 , E 1 ') and (E 2 , E 2 ') sent by the probes 4, 4'. After reception, the events are transmitted to management means 31 for storage.
  • the relevant information associated with the received events is temporarily stored in a data structure, not shown, associated for example with each MAC address.
  • the data structure is for example a table.
  • the relevant information includes the arrival time of the frame, the time stamp contained in the parameter
  • TIMESTAMP of the frame Information is calculated from the relevant information and also stored in said data structure. This calculated information comprises the difference between the arrival times of two successive frames, the difference between the time tags of two successive frames.
  • the management means 31 may incorporate selection means for selecting the frame types on which an analysis will be performed.
  • the selection means may for example comprise a mask to be applied to the data table in order to present, for the analysis, only BEACON type frames. In this case, the information from the relevant information is calculated after application of the mask; in this case they will only be used on BEACON frames.
  • the supervisor 3 also comprises analysis means 32 arranged to select and apply one or more metrics defined by the method according to the invention on the data stored in the table provided by the management means 31.
  • the supervisor 3 further comprises detection means 33, arranged to raise an alarm when inconsistencies are detected in the data stored in the table by the analysis means 32.
  • the management and analysis means are located in the probes 4, 4 '. These go back to the supervisor 3 of the alarms raised by the probes following the detection of suspicious events.
  • the supervisor manages the reception of the alarms raised by the probes. In particular, it associates a single alarm with alarms raised and received by different probes, which correspond to the detection of the same suspicious events.
  • FIG. 4 illustrates the implementation of the method according to the invention in a real 802.11 environment. The method is implemented at a probe
  • FIG. 4 illustrates the representation of the information base, more precisely of the DeltaTime_k - DeltaBSS_k formula for a MAC address during an observation period.
  • the abscissa represents the samples collected and the ordinate represents the formula (in milliseconds).
  • FIG. 5 illustrates a second example of implementation of the method according to the invention.
  • the curve here illustrates the same formula as previously applied by observing the frames transmitted by an authentic access point (MAC1 curve) and a simulated access point (MAC2 curve). It is found that the curve MAC1 is flat and tends to 0. This curve corresponds to what is expected from a genuine access point with intrinsic real-time capabilities. This curve is the one associated with the authentic access point.
  • the MAC2 curve has many oscillations. This is the curve associated with the simulated access point.
  • FIG. 5 shows a slight shift of approximately 2 milliseconds between the two curves MAC1 and MAC2. This offset shows a delay in the emission of the frame by the simulated access point.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Procédé de détection de points d'accès simulés dans un réseau sans fil. L'invention concerne un procédé de détection de points d'accès simulés dans un réseau sans fil, caractérisé en ce qu'il comprend les étapes de : - obtention (10, 11) de trames caractéristiques dudit réseau sans fil, - mesure (12) des instants de réception desdites trames et identification des trames comprenant une même adresse de dispositif d'émission, - analyse (15) des instants d'émission effectifs estimés desdites trames, déduits des instants de réception desdites trames, et - détection (16) d'un point d'accès simulé lorsque l'analyse des instants d'émission effectifs estimés desdites trames révèle une violation des contraintes temporelles d'un système temps-réel.

Description

Procédé de détection de points d'accès simulés dans un réseau sans fil
La présente invention concerne la détection de points d'accès simulés, ou faux points d'accès, dans un réseau sans fil. Elle s'applique notamment aux technologies de type IEEE 802.11 normalisées par l'Institute of Electronical and Electronics Engineers (IEEE).
Plus particulièrement, elle a trait à la détection de points d'accès créés artificiellement par logiciel, ou points d'accès simulés ou émulés, ou faux points d'accès ("fake access point" en anglais).
Les faux points d'accès, ou points d'accès simulés, font croire aux clients et logiciels d'écoute d'un réseau sans fil, par exemple à des logiciels de détection d'intrusion "WiFi" (de l'anglais Wireless Fidelity), que de nombreux points d'accès sont présents dans la zone géographique où se situent les clients et logiciels d'écoute. Un utilisateur malintentionné, pour créer des points d'accès simulés va généralement utiliser un terminal, par exemple un "PC" ("Personal Computer" en anglais), équipé d'un système d'exploitation Linux et d'une carte réseau WiFi : carte réseau à la norme 802.11 permettant au terminal de se connecter à un réseau sans fil ; l'utilisateur malintentionné va configurer sa carte réseau WiFi pour simuler/émuler de faux points d'accès, c'est-à-dire envoyer des trames conformes au standard 802.11 , et cohérentes avec des trames émises par un point d'accès authentique. Ainsi, si l'utilisateur est capable de créer une centaine de points d'accès simulés alors le système de détection d'intrusion verra cette centaine de points d'accès en plus de ceux qu'il voit classiquement. Il sera capable de dire que ces points d'accès sont illégitimes car leurs adresses "MAC" ("Médium Access Control" en anglais) seront vraisemblablement différentes des adresses MAC des points d'accès autorisés dans le réseau sans fil. Cependant, le logiciel de détection d'intrusion présentera des données relatives à tous ces points d'accès à un administrateur en charge de la supervision du réseau, via une interface utilisateur ("GUI" pour "Graphical User Interface" en anglais), et stockera lesdites données dans une base de données pour archivage. Ainsi, le logiciel de détection d'intrusion présentera et gérera des données inutiles et inintéressantes pour l'administrateur du réseau sans fil. Il en résultera une quantité très importante de données à analyser. La création de nombreux points d'accès simulés se rapproche d'une attaque par inondation au cours de laquelle un système ou un service est inondé de faux messages qui sont traités et qui finissent par saturer le système ou le service. Ici, la création de points d'accès simulés rend complètement inefficace un logiciel de détection d'intrusion.
On connaît, d'après la demande de brevet publiée sous le n°WO2006035140, un procédé de détection d'usurpation de point d'accès basé sur l'analyse d'informations temporelles contenues dans des trames. Une écoute de la voie radio permet de récupérer des trames échangées. Des trames spécifiques identifiant des points d'accès sont stockées. Lorsque deux trames provenant d'un même point d'accès sont mémorisées, des informations temporelles présentes dans les trames sont comparées. Si la différence entre les informations temporelles ne correspond pas à une valeur attendue, alors il y a détection d'une usurpation d'adresse et éventuellement déclenchement d'une alarme signalant l'usurpation d'adresse de point d'accès.
Dans le cas où un point d'accès simulé aurait la même adresse MAC qu'un point d'accès légitime et serait agencé pour émettre des données avec les mêmes caractéristiques que celles émises par un point d'accès légitime, le procédé tel que décrit ci-dessus s'avérerait inefficace car les trames émises par le point d'accès légitime et le point d'accès simulé seraient telles que la différence entre les informations temporelles des trames émises par le point d'accès simulé et des trames émises par le point d'accès authentique correspondrait à la valeur attendue puisque le point d'accès simulé serait agencé pour émettre de telles trames.
Ainsi, il n'est pas possible de transposer directement la détection d'usurpation d'adresse à la détection de points d'accès simulés, dans le cas où les points d'accès simulés auraient des adresses MAC identiques à celles de points d'accès authentiques. En effet même si le point d'accès simulé émettait des trames ayant des caractéristiques proches de celles émises par le point d'accès authentique, l'analyse préconisée dans la demande ci-dessus ne serait pas assez fine.
En outre, dans le cas où les adresses MAC des points d'accès simulés sont différentes de celles de points d'accès authentiques, la méthode décrite s'avère complètement inefficace.
Il existe donc un besoin pour un procédé de détection de points d'accès simulés.
A cette fin, l'invention concerne un procédé de détection de points d'accès simulés dans un réseau sans fil, caractérisé en ce qu'il comprend les étapes de :
- obtention de trames caractéristiques dudit réseau sans fil,
- mesure des instants de réception desdites trames et identification des trames comprenant une même adresse de dispositif d'émission,
- analyse des instants d'émission effectifs estimés desdites trames, déduits des instants de réception desdites trames, et
- détection d'un point d'accès simulé lorsque l'analyse des instants d'émission effectifs estimés desdites trames révèle une violation des contraintes temporelles d'un système temps-réel.
En effet, le procédé selon l'invention utilise le fait que les points d'accès authentiques, qui sont des systèmes dédiés à la fonction de point d'accès, ont des propriétés temps-réel que n'ont pas les systèmes d'exploitation de terminaux sur lesquels sont simulés logiciellement des points d'accès. Un système d'exploitation classique a de nombreuses tâches concurrentes à exécuter ; il n'est donc pas possible en pratique pour des systèmes d'exploitation d'avoir des propriétés temps-réel. Ainsi puisque des trames caractéristiques des points d'accès possèdent des propriétés temporelles relatives à leur instant d'émission, il est possible, en observant le comportement en émission de différents systèmes censés être des points d'accès, de détecter des incohérences au niveau des instants d'émission effectifs des trames. On peut en conclure lorsqu'un système a émis des trames qui se révèlent être incohérentes à cet égard, qu'il s'agit d'un point d'accès simulé. L'observation prend en compte le trafic réel dans le réseau sans fil ; des sondes réseau ont pour rôle de capter ce trafic. Les trames captées sont datées par les sondes. On peut ainsi estimer, à partir de l'instant de réception des trames par les sondes, l'instant d'émission effectif de ces trames. L'analyse en vue de détecter des incohérences sur les instants d'émission estimés des trames utilise des informations disponibles ou calculables, comme les instants de réception de trames successives qui correspondent aux instants d'émission effectifs estimés, ou la durée qui sépare les instants d'émission effectifs estimés de deux trames successives. Ces informations permettent de définir plusieurs métriques, ce qui présente l'intérêt de pouvoir décliner le procédé de détection selon différents modes de réalisation. Les méthodes de détection étant sujettes aux faux positifs, multiplier les métriques pour les combiner ne peut que limiter la détection de faux positifs.
Un autre intérêt de l'invention réside dans le fait que le procédé utilise des informations de trames réellement reçues. Ainsi, la perte de paquets n'a aucune implication sur le procédé de détection et le procédé n'est pas sensible à des sauts de canaux dans la voie radio.
Dans une réalisation particulière de l'invention, l'étape d'analyse prend en compte en outre des étiquettes temporelles comprises dans les trames et censées représenter les dates d'envoi desdites trames.
Des trames caractéristiques des points d'accès comprennent une information temporelle représentative de l'instant d'émission de la trame par le point d'accès. En outre, parmi ces trames, certaines sont émises à intervalle régulier. Ainsi, de façon avantageuse, l'analyse en vue de détecter des incohérences sur les instants d'émission effectifs estimés des trames utilise également des informations disponibles ou calculables comme les étiquettes temporelles précisées dans le champ TIMESTAMP de la trame et la durée qui sépare les étiquettes temporelles de deux trames successives. L'utilisation de paramètres tels que les étiquettes temporelles permet de définir de nouvelles métriques et d'affiner la détection de points d'accès simulés. En outre, les informations utilisées par le procédé (instant d'émission estimé, étiquette temporelle) sont cohérentes entre elles puisqu'elles appartiennent à la même trame.
Dans une réalisation particulière de l'invention, en vue de ladite étape d'analyse il a été choisi une fonction statistique (f), un nombre (n) de trames sur lequel porte l'analyse, des paramètres propres auxdites trames issues du dispositif d'émission et un seuil (s) prédéfini, ladite fonction statistique (f) étant appliquée auxdits paramètres pendant l'étape d'analyse, et ledit dispositif d'émission étant considéré comme un point d'accès simulé lorsque le résultat de la fonction (f) ne respecte pas le seuil (s) prédéfini.
D'une manière générale, les techniques de détection sont sujettes aux faux positifs. Dans notre cas, il est possible qu'un point d'accès classé point d'accès simulé n'en soit pas un. L'utilisation de fonctions statistiques, qui permettent de porter l'analyse sur un nombre de trames qui peut être important, par exemple on peut observer 100 trames successives, permet d'augmenter le niveau de confiance dans le procédé de détection.
Dans une réalisation alternative de l'invention, le seuil (s) prédéfini est calibré en fonction d'une observation d'un échantillon de trames de taille prédéterminée. Le seuil peut être fixé de manière arbitraire, en fonction de résultats d'observation précédents. Il peut être fixé lors de la mise en route du système. Il est également possible de calculer le seuil et de le calibrer, par exemple périodiquement, en fonction du trafic observé jusqu'à présent, en fonction d'événements comme la détection d'une nouvelle adresse MAC dans le réseau, ou un événement spécifique qui déclenche le calibrage du seuil. Une fonction de calibrage possible se basera sur les trames observées jusqu'à présent et pourra avoir comme paramètre les paramètres utilisés par le procédé de détection de points d'accès simulés.
De façon avantageuse, le réseau sans fil est de type IEEE 802.1 1 et les trames sont des trames PROBE RESPONSE et BEACON.
L'invention concerne aussi un dispositif de détection de point d'accès simulé dans un réseau sans fil, comprenant : - des moyens de réception de la part d'une sonde de l'adresse de dispositif d'émission et des instants de réception par ladite sonde relatifs à des trames caractéristiques dudit réseau sans fil,
- des moyens d'analyse des instants d'émission effectifs estimés desdites trames, déduits des instants de réception desdites trames, et
- des moyens de détection d'un point d'accès simulé lorsque l'analyse des instants d'émission effectifs estimés desdites trames révèle une violation des contraintes temporelles d'un système temps-réel.
L'invention concerne également un système de détection de point d'accès simulé dans un réseau sans fil, comprenant :
- des moyens d'obtention de trames caractéristiques dudit réseau sans fil,
- des moyens de mesure des instants de réception desdites trames, et
- des moyens d'envoi de l'adresse de dispositif d'émission et des instants de réception à un dispositif de détection.
L'invention concerne aussi un programme d'ordinateur sur un support de données et chargeable dans la mémoire interne d'un ordinateur associé à un système de détection de point d'accès simulé dans un réseau sans fil, le programme comprenant des portions de code pour l'exécution des étapes du procédé selon l'invention lorsque le programme est exécuté sur ledit ordinateur.
L'invention concerne également un moyen de stockage de données partiellement ou totalement amovible, comportant des instructions de code de programme informatique pour l'exécution des étapes du procédé selon l'invention.
De nombreux détails et avantages de l'invention seront mieux compris à la lecture de la description d'un mode particulier de réalisation en référence aux schémas annexés donnés à titre non limitatif et dans lesquels :
La figure 1 est un schéma synoptique d'un réseau sans fil dans lequel l'invention est mise en œuvre.
La figure 2 présente les étapes du procédé de détection de points d'accès simulés selon l'invention. La figure 3 est un exemple de système de détection selon un mode de réalisation de l'invention.
La figure 4 est une première courbe de mesures qui illustre la mise en oeuvre du procédé selon l'invention. La figure 5 est une seconde courbe qui illustre la mise en oeuvre du procédé selon l'invention ; une comparaison entre des mesures issues d'un point d'accès légitime et d'un point d'accès émulé est montrée.
Par le terme « trame », on désigne ici un ensemble de données formant un bloc transmis dans un réseau et renfermant des données utiles et des informations de service, généralement situées dans une zone d'en-tête du bloc. Selon le contexte, une trame peut être qualifiée de paquet de données, de datagramme, de bloc de données, ou autre expression de ce type. Par extension, le terme « trame » désigne également les signaux physiques correspondant à un tel ensemble de données, c'est-à-dire aussi bien un signal électromagnétique qu'un signal analogique obtenu en captant ce signal électromagnétique, ou qu'un signal numérique obtenu en numérisant ce signal analogique, ou autre.
Tout d'abord, il convient de détailler certains types de trames caractéristiques de points d'accès. Ces trames sont émises lors d'échanges avec un ou des clients, notamment lors d'une association d'un client à un point d'accès; l'association correspondant à la connexion d'un client au réseau par liaison radio. Ces trames sont conformes au procédé d'association d'un client à un point d'accès selon le standard 802.1 1 . Dans un premier déroulement classique d'association d'un client à un point d'accès, une première phase d'identification du point d'accès est réalisée de manière passive par le client qui cherche à s'associer à un point d'accès. Le client écoute un ou plusieurs canaux radio, de manière successive ou simultanée, pour rechercher des trames spécifiques, dites trames de balise. Les trames de balise sont appelées trames "BEACON" dans le standard 802.1 1 . Les trames BEACON sont envoyées régulièrement par le point d'accès et contiennent différentes informations parmi lesquelles : un identifiant du réseau ("SSID", ou Service Set Identifier en anglais), l'adresse MAC du point d'accès, et des paramètres de communication utilisables par le point d'accès. Le client dispose ainsi des informations lui permettant d'entamer une communication avec le point d'accès et éventuellement de choisir le point d'accès le plus approprié si plusieurs points d'accès sont détectés.
Dans un second déroulement classique d'une association d'un client à un point d'accès, la phase d'identification est réalisée de manière active par le client, c'est notamment le cas lorsque les points d'accès fonctionnent en mode "caché". Le client envoie une trame de recherche de points d'accès, nommée trame "PROBE REQUEST" dans le standard 802.11. Les trames PROBE REQUEST contiennent, entre autres, l'identifiant du réseau (SSID) recherché et l'adresse MAC du client. Un point d'accès correspondant au réseau demandé qui reçoit une trame PROBE REQUEST répond par l'envoi d'une trame PROBE RESPONSE qui comporte des informations parmi lesquelles : l'identifiant du réseau (SSID), l'adresse MAC du point d'accès, l'adresse MAC du client, et des paramètres de communication utilisables par le point d'accès.
Les trames BEACON et PROBE RESPONSE comprennent un paramètre, appelé "TIMESTAMP" dans la norme 802.11 , qui est une étiquette temporelle. L'étiquette temporelle d'une trame comprend une information temporelle relative à l'émission de cette trame, constituée ici de la valeur d'une horloge du point d'accès ayant émis la trame à l'instant d'émission de cette trame. L'horloge est généralement mise à zéro lors du démarrage du point d'accès. L'étiquette temporelle est générée par le programme pilote de la carte radio 802.11 à l'instant d'émission de la trame. Il est ainsi possible, par exemple, de connaître depuis combien de temps le point d'accès a été démarré. Cette étiquette temporelle est obligatoire pour les trames de types BEACON et PROBE RESPONSE. Elle est codée sur 64 bits. Elle est exprimée en microsecondes, ce qui permet de représenter 264 microsecondes, soit environ 585000 années. Les trames BEACON sont envoyées régulièrement. Le temps séparant deux trames BEACON correspond à un intervalle de temps fixe qui est indiqué par une information d'intervalle, appelée "BEACON INTERVAL" dans le standard 802.11 , présente dans la trame. Comme on va le voir, l'invention met en oeuvre l'analyse des instants d'émission estimés des trames émises par les points d'accès. Des sondes placées dans le réseau sans fil sont à l'écoute de la voie radio. Elles captent les trames qui circulent sur la voie radio et sont agencées pour mesurer les instants de réception de ces trames. A partir des instants de réception des trames mesurés par les sondes, il est estimé les instants d'émission effectifs de ces trames. En effet, la différence entre l'instant d'émission et l'instant de réception d'une même trame correspond au temps de propagation sur la voie radio. Ce temps est généralement petit, voire négligeable, ou bien il est facilement calculable à partir de la distance qui sépare un point d'accès d'une sonde; il est en tous cas constant lorsqu'on considère une sonde et un point d'accès immobiles. Ainsi l'instant d'émission estimé d'une trame est déduit de l'instant de réception de la trame par la sonde.
Grâce à ces informations, il est alors possible d'identifier avec précision qu'une trame a été émise par un point d'accès simulé, ou par un point d'accès authentique. L'invention repose sur une propriété importante des points d'accès authentiques : les points d'accès authentiques, dédiés à la fonction de point d'accès, ont des propriétés temps-réel que les systèmes d'exploitation, par exemple Linux, ne peuvent avoir du fait qu'ils ne sont pas dédiés à une fonction particulière. Un système temps-réel se distingue d'un autre système informatique par la prise en compte de contraintes temporelles dont le respect est aussi important que la bonne exécution des tâches qui lui sont confiées, autrement dit le système temps-réel ne doit pas simplement exécuter ces tâches, il doit en outre les délivrer dans des délais imposés. Un point d'accès authentique est dédié à sa fonction de point d'accès et possède intrinsèquement des propriétés temps-réel. Ainsi, la gestion des trames, émission et réception, est traitée en temps réel. Au contraire, un terminal, par exemple un "PC" (de l'anglais "Personal Computer") qui simule un point d'accès à l'aide d'une carte réseau paramétrée pour fonctionner comme un point d'accès, émule le point d'accès à un niveau applicatif. L'application n'est pas maîtresse du moment où le système d'exploitation exécutera les commandes de l'application, par exemple l'émission de trames compatibles avec le standard 802.11. En pratique, un PC ne peut fonctionner en temps-réel car le système d'exploitation, par exemple Linux, qui le commande, doit gérer l'exécution d'un ensemble de tâches concurrentes.
L'invention est décrite ci-après dans son application particulière à la détection de points d'accès simulés dans un réseau sans fil de type 802.11.
Le réseau 802.11 schématisé sur la figure 1 comporte un certain nombre de points d'accès authentiques 1 répartis sur la zone de couverture d'un réseau. Dans l'exemple représenté sur la figure 1 , ces points d'accès authentiques sont reliés à un réseau de type IP 2, qui peut être l'Internet ou un Intranet. Pour la mise en œuvre de l'invention, plusieurs sondes WiFi 4, 4' sont déployées de façon à être à portée radio des points d'accès 1 et un dispositif 3 de détection de points d'accès simulés, ou superviseur 3 est relié soit directement, soit par l'intermédiaire du réseau IP 2 auxdites sondes WiFi 4, 4'. Les sondes sont agencées pour capter les trames qui circulent sur la voie radio et transmettre des informations sur les trames captées au superviseur 3. Le superviseur 3 est agencé pour collecter, traiter les informations reçues des sondes 4, 4' et issues des trames BEACON et PROBE RESPONSE, et procéder à l'analyse de ces informations. Un client 6 est susceptible de s'associer à un point d'accès par échanges de trames 802.11.
Est également représenté sur la figure 1 un point d'accès simulé 5; le point d'accès simulé 5 est simulé logiciellement sur un PC non représenté, à l'aide d'une carte réseau 802.11 , paramétrée pour fonctionner comme un point d'accès. Il émet des trames conformes au standard 802.11.
Dans un mode de réalisation préféré du procédé selon l'invention, les trames BEACON et PROBE RESPONSE sont analysées. Il est possible de traiter séparément les deux types de trames.
Une mode de réalisation du procédé selon l'invention pour distinguer les points d'accès simulés de points d'accès authentiques est illustrée par le schéma de la figure 2. Dans une étape initiale 10, il est procédé à une écoute de la voie radio de manière passive. L'écoute peut se faire sur tous les canaux de la bande de fréquence utilisée selon le standard 802.11 , ou sur un seul canal à la fois en effectuant des sauts de canal de façon régulière. Dans le cas de sauts de canal, de nombreuses trames seront perdues. Cependant, comme les trames BEACON sont émises de manière répétitive, on recevra de toute façon des trames BEACON qui permettront de faire l'analyse.
Dans une étape de test 11 , consécutive à la réception d'une trame sur la voie radio, il est testé si la trame reçue est de type BEACON ou PROBE RESPONSE. Si le résultat du test est positif, dans une étape 12 consécutive à la réception de la trame de type BEACON ou PROBE RESPONSE, il est procédé à l'identification des trames comprenant une même adresse de dispositif d'émission et à l'extraction d'informations comprises dans la trame reçue : - adresse MAC du point d'accès émetteur ;
- instant de réception de la trame. Cet instant, ou date, est mesuré par la sonde qui réalise la capture radio ;
- étiquette temporelle en microsecondes, qui est contenue dans le champ TIMESTAMP de la trame reçue. La valeur de ce champ est positionnée par le point d'accès lors de l'émission de la trame. Elle représente la date d'envoi de la trame.
Si le résultat du test effectué à l'étape 11 est négatif, alors on se place dans l'étape initiale 10 d'écoute de la voie radio.
Dans une étape 13, consécutive à l'extraction des informations de la trame BEACON ou PROBE RESPONSE effectuée à l'étape 12, il est procédé au stockage de ces informations.
Pour stocker les informations, on associe par exemple un tableau à une adresse MAC, ce tableau comprend N-lignes, et pour chaque ligne associée à une trame Li, O < i ≤ N, des cases pour stocker les éléments suivants : "ArrivalTime" : instant de réception de la trame, en microsecondes, telle que fournie par la sonde qui réalise la capture radio. Cet instant est assimilé au temps d'émission effectif estimé de la trame. "BSSTimestamp" : étiquette temporelle, en microsecondes, qui figure dans le champ TIMESTAMP de la trame reçue.
"DeltaTime" : valeur calculée et correspondant à : Instant de réception de la trame courante Li - Instant de réception de la trame précédente Li-1 , avec i > 1. Soit, ArrivalTime_l_i - ArrivalTime_l_i-1 .
"DeltaBSS" : valeur calculée et correspondant à : étiquette temporelle de la trame Li - étiquette temporelle de la trame Li-1 , avec i > 1 . Soit BSSTimestamp_Li - BSSTimestamp_Li-1 .
Dans le cas où le procédé est mis en œuvre par un programme d'instructions exécutables, les informations sont stockées dans une structure de données d'une mémoire non représentée. Dans une réalisation avantageuse de l'invention, et pour des raisons de performance, les valeurs DeltaTime_n et
DeltaBSS_n seront hachées grâce à un algorithme de hachage connu.
Suite aux étapes 10 à 13 correspondant à une phase A d'écoute de la voie radio, de collecte, et de construction de la base d'informations à analyser, une phase d'analyse B desdites informations permet de détecter des points d'accès simulés.
Dans une étape 14 de test il est vérifié si une analyse des informations stockées à l'étape 13 doit être effectuée. Le test peut porter par exemple, sur la taille d'un échantillon de trames captées, sur la date à laquelle une précédente phase d'analyse a eu lieu, sur une commande d'un administrateur en charge de mettre en œuvre le procédé selon l'invention. Si le résultat du test est négatif, alors on se place dans l'étape initiale 10 d'écoute de la voie radio.
Si le résultat du test effectué à l'étape 14 est positif alors il est procédé, dans une étape 15, à une analyse des informations stockées à l'étape 13 en vue de détecter des points d'accès simulés. L'analyse repose sur le principe de cohérence des instants d'émission effectifs estimés des trames. Les instants d'émission effectifs estimés sont assimilés aux instants de réception des trames au niveau des sondes WiFi. L'analyse peut être faite de différentes façons :
- analyse des instants d'émission effectifs estimés de trames successives. Cette analyse est pertinente pour les trames BEACON puisqu'elles sont émises à intervalles réguliers. Ainsi, elles seront également reçues à intervalles réguliers. Une observation qui révélerait des écarts entre des émissions successives de trame par rapport à l'intervalle qui sépare l'envoi de deux trames successives serait suspicieuse. La valeur de cet intervalle est précisée dans le paramètre INTERVAL BEACON des trames BEACON.
- analyse de la différence entre l'instant d'émission effectif estimé d'une trame et l'étiquette temporelle de la même trame tel qu'elle figure dans le paramètre TIMESTAMP de ladite trame. Cette différence doit être proche de zéro. En effet, elle doit être égale au temps de propagation radio puisque le paramètre TIMESTAMP représente la date d'envoi de la trame tel que précisé par le point d'accès.
- analyse de la différence entre la durée qui sépare l'arrivée de deux trames successives, et la durée qui sépare la date d'envoi de ces deux trames. La durée qui sépare la date d'envoi de deux trames est calculée à partir du paramètre TIMESTAMP des trames. La différence entre les durées doit être nulle, puisque le temps de propagation est le même pour les deux trames successives.
Ainsi, la cohérence peut être mesurée par observation des instants d'émission effectifs estimés des trames captées par les sondes sur le réseau sans fil.
Pour mener à bien l'étape 15, il est nécessaire de choisir au préalable une fonction statistique f et une taille n de l'échantillon sur lequel appliquer la fonction. Le choix de la fonction f et de la taille n de l'échantillon permettent d'obtenir une analyse fine issue de l'observation réelle du trafic et de réduire le taux de faux positifs. Il est également nécessaire de choisir parmi les informations disponibles dans la base d'informations construite à l'étape 13 deux paramètres notés X et Y à comparer parmi les éléments stockés. Ainsi, les paramètres X et Y peuvent prendre les valeurs ArrivalTime, BSSTimestamp, DeltaTime, ou DeltaBSS. On notera X_k et Y_k les paramètres relatifs à la trame k. Pour être comparables, les paramètres doivent porter sur le même type d'information. Ainsi, si le premier paramètre correspond à une durée, DeltaTime ou DeltaBSS, alors le second paramètre portera également sur une durée. Si le premier paramètre correspond à un instant, ArrivalTime ou
BSSTimeStamp, alors le second paramètre portera également sur un instant. Si les paramètres X et Y sont les mêmes, alors ils porteront sur deux trames successives. S'ils sont différents, ils porteront sur les mêmes trames. On note k1 et k2 les positions des trames dans le tableau ; k1 et k2 peuvent valoir k pour la trame courante, ou k-1 pour la trame précédente. Enfin, il est nécessaire de choisir un seuil s de déclenchement. Ainsi une propriété à vérifier pour évaluer la cohérence entre les dates et est représentée par la formule suivante : f(X_k1 - X_k2 - C) < s, où C est une constante. Pratiquement, le seuil s est relativement petit, de l'ordre de 50 millisecondes et toujours inférieur au dixième de seconde. Cependant, pour des raisons évidentes d'adaptation à un environnement particulier, où des points d'accès peuvent avoir, selon leur type, des caractéristiques différentes, en termes de performance par exemple, il est possible pour l'administrateur d'affiner le seuil s.
Dans une étape 16 de vérification de la propriété, il est vérifié si le seuil s est dépassé pour l'échantillon, la fonction, et les paramètres X et Y choisis à l'étape 15. Si le seuil s est dépassé et donc, que la propriété n'est pas vérifiée, alors un fonctionnement anormal a été observé pour une adresse MAC. Plus précisément, une incohérence sur les instants d'émission effectifs estimés des trames émises par le point d'accès qui a cette adresse MAC, a été observée. On suppose que les horloges des points d'accès et des sondes en écoute sur la voie radio fonctionnent de la même manière, même si elles ne sont pas synchronisées sur la même date. Dans une réalisation alternative de l'invention, les horloges des sondes et des points d'accès sont synchronisés avec un service de temps connu de type "NTP" (de l'anglais "Network Time Protocol").
Si le seuil s est dépassé dans l'étape de vérification 16, alors il est déclenché une alarme dans une étape 17.
Un autre avantage du procédé selon l'invention est qu'il peut également être utilisé pour détecter des attaques par usurpation d'adresses MAC. En effet, si l'adresse d'un premier point d'accès authentique et légitime est usurpée par un second point d'accès authentique et illégitime, les trames issues des premier et second points d'accès authentiques seront stockées dans un tableau qui concerne la même adresse MAC et seront analysées comme si elles émanaient du même point d'accès. De nombreuses incohérences seront révélées par l'analyse car par définition, les trames successives émanant de deux points d'accès différents n'ont a priori aucune raison d'être cohérentes.
Des exemples de fonction, de taille d'échantillon et de choix de paramètres permettront d'illustrer l'étape 15.
Un exemple de fonction statistique est la valeur absolue. La taille n de l'échantillon est 2, et des instanciations possibles de la formule présentée ci- avant sont les suivantes : f=valeur absolue, X=DeltaTime, Y=DeKaBSS, k1 =k2=k, n=2 ; la propriété à vérifier est : valeur absolue (DeltaTime_k - DeltaBSS_k) < s; la constante C est nulle. Cette valeur doit être égale à zéro puisque DeltaTime_k représente la durée qui sépare les instants d'arrivée de deux trames successives, et DeltaBSS_k la durée qui sépare les dates d'envoi de ces deux trames. Dans le cas d'un point d'accès authentique, ces durées sont identiques. f=valeur absolue, X=ArrivalTime, Y=BSSTimestamp, k1 =k2=k, n=2 ; la propriété à vérifier est donc : valeur absolue (ArrivalTime_k - BSSTimestamp_k) < s; la constante C est nulle.
Cette valeur représente la différence entre l'instant d'émission estimé effectif d'une trame mesurée par la sonde, et la date d'envoi de cette trame précisée par le point d'accès. La différence doit correspondre au temps de propagation radio. Elle doit donc être proche de zéro, voire égale à zéro. L'exemple suivant s'applique aux trames BEACON uniquement : f=valeur absolue, X=ArrivalTime, Y=ArrivalTime, k1=k-1 , k2=k, n=2 ; la propriété à vérifier est donc : valeur absolue (Arriva ITi m e_k-1 - ArrivalTime_k -BEACON INTERVAL) < s;
Les trames BEACON étant émises à intervalle régulier, la différence entre les instants d'émission estimés de deux trames successives doit être égale à la valeur de cet intervalle. La valeur de l'intervalle est BEACON INTERVAL.
On connaît de la demande publiée sous le n°WO2006035140 un procédé de détection d'usurpation d'adresse MAC basé sur la différence entre les étiquettes temporelles de trames BEACON émises par un dispositif identifié par une adresse MAC. Selon le procédé décrit dans la demande, cette différence, pour deux trames non forcément successives, doit être égale à un multiple de BEACON INTERVAL. Cependant ce procédé est sujet aux faux positifs. En effet, il peut se produire un léger glissement dans le temps lors de l'envoi des trames ; la valeur précisée dans le paramètre TIMESTAMP des trames tient compte de ce léger glissement dans le temps. Ainsi, la mesure préconisée par le procédé de la demande entre deux trames non successives pourra ne pas être strictement égal à un multiple de BEACON INTERVAL. Disposant des informations relatives aux instants d'émission, il est possible d'améliorer le taux de faux positifs en appliquant le procédé selon l'invention aux instants d'émission. Ainsi, en prenant par exemple la fonction statistique f valeur absolue, X=BSSTimestamp, Y=BSSTimestamp, k1 =k-1 , k2=k, n=2, la propriété à vérifier est: valeur absolue (BSSTimestamp_k-1 - BSSTimestamp_k - BEACON INTERVAL) < s;
Un autre exemple de fonction statistique est la variance. La taille n de l'échantillon est par exemple 50 et une instanciation possible de la formule présentée ci-avant est la suivante : f=variance, X=DeltaTime, Y=DeltaBSS, k1 =k2=k, n=50 ; la propriété à vérifier est donc : variance (50 trames)(DeltaTime_k - DeltaBSS_k) < s. D'autres exemples de fonctions statistiques et de taille d'échantillons sont possibles : Une fonction statistique de type écart-type avec une taille d'échantillon, par exemple de 30 ; une fonction statistique de type moyenne avec une taille d'échantillon, par exemple de 10 ; une fonction statistique de type médiane avec une taille d'échantillon par exemple de 20 ; une fonction statistique de type moyenne des 5 maxima sur les n trames précédentes, n étant la taille de l'échantillon, par exemple 50. L'invention n'est bien sûr pas limitée aux exemples ci-dessus. Lorsque l'analyse ne porte que sur les trames BEACON du tableau, il est possible, pour des raisons de performances, d'appliquer un masque sur la base d'informations afin de ne présenter que les trames BEACON. Dans ce cas, les valeurs DeltaTime et DeltaBSS sont calculées pour les trames BEACON uniquement. Dans une réalisation alternative de l'invention, la phase d'analyse B se déroule en parallèle de la phase d'écoute A de la voie radio et de construction de la base d'informations, lorsque par exemple un échantillon suffisamment important d'informations aura été collecté. La taille de l'échantillon correspond au nombre de trames pour lesquelles toutes les informations stockées à l'étape 4 ont pu être renseignées. La taille de l'échantillon sera paramétrée par l'administrateur, et dépendra d'un taux de réussite souhaité. La taille minimale de l'échantillon est de 2 et la taille maximale importante, par exemple 1000, ou plus. On estime qu'avec un échantillon d'informations de 50, on parvient à un taux de réussite très satisfaisant. Il est à noter que la première trame reçue ne permet pas de renseigner les éléments DeltaTime et DeltaBSS, car la trame précédente n'existe pas.
Les techniques de détection, comme celle décrite à la figure 2, sont sujettes aux faux positifs. C'est inhérent à toute technique de détection. Cependant certaines techniques étant plus fiables que d'autres, il est possible d'attribuer à chacune un poids différent. Une corrélation consiste donc à réaliser une fonction de détection globale qui dépende à la fois du résultat de chacune des techniques de détection pondéré par le poids de ces dernières. Il est alors possible de réaliser une corrélation en sortie de l'analyseur en fonction des poids, afin d'augmenter la confiance dans l'alerte qui sera levée, car elle sera corrélée à d'autres.
Dans cette réalisation de l'invention le seuil est une valeur prédéfinie. Dans une réalisation alternative de l'invention, le seuil est calculé grâce à une fonction dite de calibrage. Ainsi, la valeur du seuil est calibrée, c'est-à-dire qu'elle s'adapte à, par exemple, un trafic réel observé sur la voie radio. Le seuil est ainsi affiné et calculé au mieux en fonction du trafic. Des fonctions de calibrage de seuil sont par exemple définies par les formules suivantes : seuil=2*moyenne(ArrivalTime), calculé à partir des 50 premières trames reçues; seuil=3*médiane(DeltaBSS), calculé à partir des 10 premières trames reçues.
Ainsi le seuil est fonction de l'observation d'un échantillon de taille prédéterminée.
Le seuil peut se calibrer lors de la mise en route du système, ou périodiquement, ou pour toute nouvelle adresse MAC détectée, ou en fonction d'un événement déclencheur de ce calibrage.
La figure 3 illustre une architecture d'un système de détection de points d'accès simulés selon un mode de réalisation de l'invention.
Comme représenté sur la figure 3, chaque sonde 4, 4' comprend un dispositif d'écoute passive de la voie radio. Elle comporte des moyens de transmission, par exemple des circuits 40 et 40', pour l'interface avec la partie filaire du réseau, et des circuits 41 , 41' pour appliquer des traitements de réception aux signaux captés par l'antenne 42, 42' de la sonde. Les sondes 4, 4' comprennent également des processeurs 43, 43' qui exécutent des programmes mettant en œuvre la partie réception des protocoles 802.1 1 , notamment du protocole MAC. Chaque sonde 4, 4' envoie des événements E1 , E1 \ E2, E2' vers le superviseur 3, chaque événement correspondant à une trame captée par la sonde. Dans cet exemple, chaque sonde 4, 4' envoie un événement pour chaque trame captée. Chaque événement comprend l'instant auquel la trame a été captée par la sonde, l'adresse MAC de la source qui a émis la trame, le paramètre TIMESTAMP, ou étiquette temporelle, de la trame et le type de la trame. Les sondes 4, 4' captant une trame donnée sensiblement au même moment, on peut associer un seul instant de capture à chaque ensemble d'événements (Ei , Ei') et (E2, E2').
Le superviseur 3 comprend des moyens de réception 30 qui reçoivent, via des liaisons 6, 6' reliant les sondes 4, 4' au superviseur 3, les ensembles d'événements (E1, E1') et (E2, E2') envoyés par les sondes 4, 4'. Après réception, les événements sont transmis à des moyens de gestion 31 pour stockage.
Les informations pertinentes associées aux événements reçus sont temporairement stockées dans une structure de données non représentée associée par exemple à chaque adresse MAC. La structure de donnée est par exemple un tableau. Les informations pertinentes comprennent l'instant d'arrivée de la trame, l'étiquette temporelle contenue dans le paramètre
TIMESTAMP de la trame. Des informations sont calculées à partir des informations pertinentes et stockées également dans ladite structure de données. Ces informations calculées comprennent la différence entre les instants d'arrivée de deux trames successives, la différence entre les étiquettes temporelles de deux trames successives.
Les moyens de gestion 31 peuvent incorporer des moyens de sélection pour choisir les types de trame sur lesquels une analyse sera effectuée. Les moyens de sélection peuvent par exemple comprendre un masque à appliquer sur le tableau de données afin de ne présenter, en vue de l'analyse, que les trames de type BEACON. Dans ce cas, les informations issues des informations pertinentes sont calculées après application du masque; elles ne porteront dans ce cas que sur les trames BEACON. Le superviseur 3 comprend également des moyens d'analyse 32 agencés pour choisir et appliquer une ou plusieurs métriques définies par le procédé selon l'invention sur les données stockées dans le tableau fourni par les moyens de gestion 31 .
Le superviseur 3 comprend en outre des moyens de détection 33, agencés pour lever une alarme lorsqu'il est détecté des incohérences dans les données stockées dans le tableau par les moyens d'analyse 32. Dans une réalisation alternative de l'invention non représentée, les moyens de gestion et d'analyse sont situés dans les sondes 4, 4'. Celles-ci remontent au superviseur 3 des alarmes levées par les sondes suite à la détection d'événements suspicieux. Le superviseur gère la réception des alarmes levées par les sondes. Il associe notamment une seule alarme à des alarmes levées et reçues par des sondes différentes, qui correspondent à la détection des mêmes événements suspicieux.
La figure 4 illustre la mise en œuvre du procédé selon l'invention dans un environnement 802.11 réel. Le procédé est implémenté au niveau d'une sonde
802.11. La figure 4 illustre la représentation de la base d'informations, plus précisément de la formule DeltaTime_k - DeltaBSS_k pour une adresse MAC pendant une période d'observation. L'abscisse représente les échantillons collectés et l'ordonnée représente la formule (en millisecondes). On constate de nombreuses oscillations avec un pic jusqu'à 70 millisecondes. Ces oscillations résultent du caractère non temps-réel d'un système d'exploitation d'un PC depuis lequel sont envoyées les trames 802.11.
Il s'avère que le point d'accès observé est bien un point d'accès simulé.
La figure 5 illustre un deuxième exemple de mise en œuvre du procédé selon l'invention. La courbe illustre ici la même formule que précédemment appliquée en observant les trames émises par un point d'accès authentique (courbe MAC1 ) et un point d'accès simulé (courbe MAC2). On constate que la courbe MAC1 est plate et tend vers 0. Cette courbe correspond à ce que l'on attend de la part d'un point d'accès authentique possédant des capacités temps-réel intrinsèques. Cette courbe est bien celle associée au point d'accès authentique.
La courbe MAC2 présente de nombreuses oscillations. Il s'agit de la courbe associée au point d'accès simulé. On constate sur la figure 5 un léger décalage, d'à peu près 2 millisecondes entre les deux courbes MAC1 et MAC2. Ce décalage témoigne d'un retard à l'émission de la trame par le point d'accès simulé.

Claims

REVENDICATIONS
1. Procédé de détection de points d'accès simulés dans un réseau sans fil, caractérisé en ce qu'il comprend les étapes de : - obtention (10, 11 ) de trames caractéristiques dudit réseau sans fil,
- mesure (12) des instants de réception desdites trames et identification des trames comprenant une même adresse de dispositif d'émission,
- analyse (15) des instants d'émission effectifs estimés desdites trames, déduits des instants de réception desdites trames, et - détection (16) d'un point d'accès simulé lorsque l'analyse des instants d'émission effectifs estimés desdites trames révèle une violation des contraintes temporelles d'un système temps-réel.
2. Procédé selon la revendication 1 , dans lequel l'étape d'analyse (15) prend en compte en outre des étiquettes temporelles comprises dans les trames et censées représenter les dates d'envoi desdites trames.
3. Procédé selon la revendication 1 ou la revendication 2, dans lequel, en vue de ladite étape d'analyse (15) il a été choisi une fonction statistique (f), un nombre (n) de trames sur lequel porte l'analyse, des paramètres propres auxdites trames issues du dispositif d'émission et un seuil (s) prédéfini, ladite fonction statistique (f) étant appliquée auxdits paramètres pendant l'étape d'analyse (15), et ledit dispositif d'émission étant considéré comme un point d'accès simulé lorsque le résultat de la fonction (f) ne respecte pas le seuil (s) prédéfini.
4. Procédé selon l'une des revendications précédentes, dans lequel le seuil (s) prédéfini est calibré en fonction d'une observation d'un échantillon de trames de taille prédéterminée.
5. Procédé selon l'une des revendications précédentes, dans lequel le réseau sans fil est de type IEEE 802.11 et les trames sont des trames PROBE RESPONSE et BEACON.
6. Dispositif de détection (3) de point d'accès simulé dans un réseau sans fil, comprenant :
- des moyens (30) de réception de la part d'une sonde (4) de l'adresse de dispositif d'émission et des instants de réception par ladite sonde (4) relatifs à des trames caractéristiques dudit réseau sans fil, - des moyens (32) d'analyse des instants d'émission effectifs estimés desdites trames, déduits des instants de réception desdites trames, et
- des moyens (33) de détection d'un point d'accès simulé lorsque l'analyse des instants d'émission effectifs estimés desdites trames révèle une violation des contraintes temporelles d'un système temps-réel.
7. Système de détection de point d'accès simulé dans un réseau sans fil, comprenant :
- des moyens (42, 42') d'obtention de trames caractéristiques dudit réseau sans fil, - des moyens (41 , 41 ') de mesure des instants de réception desdites trames, et
- des moyens (40, 40') d'envoi de l'adresse de dispositif d'émission et des instants de réception à un dispositif de détection (3).
8. Programme d'ordinateur sur un support de données et chargeable dans la mémoire interne d'un ordinateur associé à un système de détection de point d'accès simulé dans un réseau sans fil, le programme comprenant des portions de code pour l'exécution des étapes du procédé selon l'une quelconque des revendications 1 à 5 lorsque le programme est exécuté sur ledit ordinateur.
9. Moyen de stockage de données partiellement ou totalement amovible, comportant des instructions de code de programme informatique pour l'exécution des étapes d'un procédé selon l'une quelconque des revendications 1 à 5.
PCT/FR2007/051465 2006-07-12 2007-06-19 Procédé de détection de points d'accès simulés dans un réseau sans fil Ceased WO2008006997A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0652930A FR2903831A1 (fr) 2006-07-12 2006-07-12 Procede de detection de points d'acces simules dans un reseau sans fil
FR0652930 2006-07-12

Publications (1)

Publication Number Publication Date
WO2008006997A1 true WO2008006997A1 (fr) 2008-01-17

Family

ID=37421047

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2007/051465 Ceased WO2008006997A1 (fr) 2006-07-12 2007-06-19 Procédé de détection de points d'accès simulés dans un réseau sans fil

Country Status (2)

Country Link
FR (1) FR2903831A1 (fr)
WO (1) WO2008006997A1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109446801A (zh) * 2018-10-22 2019-03-08 武汉极意网络科技有限公司 检测模拟器访问的方法、装置、服务器及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005018162A1 (fr) * 2003-07-28 2005-02-24 Cisco Technology, Inc. Procede, appareil et produit logiciel pour detecter des points d'acces non autorises dans un reseau sans fil
WO2006035140A1 (fr) * 2004-09-30 2006-04-06 France Telecom Procede, dispositif et programme de detection d'usurpation de point d'acces.

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005018162A1 (fr) * 2003-07-28 2005-02-24 Cisco Technology, Inc. Procede, appareil et produit logiciel pour detecter des points d'acces non autorises dans un reseau sans fil
WO2006035140A1 (fr) * 2004-09-30 2006-04-06 France Telecom Procede, dispositif et programme de detection d'usurpation de point d'acces.

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
KOHNO T ET AL: "Remote Physical Device Fingerprinting", SECURITY AND PRIVACY, 2005 IEEE SYMPOSIUM ON OAKLAND, CA, USA 08-11 MAY 2005, PISCATAWAY, NJ, USA,IEEE, 8 May 2005 (2005-05-08), pages 211 - 225, XP010798374, ISBN: 0-7695-2339-0 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109446801A (zh) * 2018-10-22 2019-03-08 武汉极意网络科技有限公司 检测模拟器访问的方法、装置、服务器及存储介质

Also Published As

Publication number Publication date
FR2903831A1 (fr) 2008-01-18

Similar Documents

Publication Publication Date Title
EP2583484B1 (fr) Procédé de sécurisation d&#39;une communication sans fil, dispositif récepteur et système de communication mettant en oeuvre ce procédé
WO2006035140A1 (fr) Procede, dispositif et programme de detection d&#39;usurpation de point d&#39;acces.
EP2643985A1 (fr) Procédé et dispositif de prise d&#39;empreinte de dispositifs de communication sans fil
EP3618471A1 (fr) Procédé de transmission d&#39;une alarme électronique via un téléphone intelligent, et dispositif pour mettre en oeuvre le procédé
CN110650067A (zh) 一种宽带网络性能测试评估方法和系统
EP3866531A1 (fr) Methode d&#39;allocation de ressources pour systeme de communication a etalement de spectre
EP1842389B1 (fr) Procédé, dispositif et programme de détection d&#39;usurpation d&#39;adresse dans un réseau sans fil
WO2008006997A1 (fr) Procédé de détection de points d&#39;accès simulés dans un réseau sans fil
EP3357261B1 (fr) Dispositif pour l&#39;association d&#39;un identifiant de téléphonie mobile et d&#39;un identifiant de réseau informatique
EP3335438B1 (fr) Procédés d&#39;analyse de ressources fréquentielles et de sélection de fréquence d&#39;émission dans un système de communication sans fil
FR2964280A1 (fr) Procede de centralisation d’evenements pour systeme d’information hierarchique multi-niveaux
WO2020221779A1 (fr) Procedes et dispositifs de mesure de reputation dans un reseau de communication
WO2021069580A1 (fr) Procede de generation d&#39;une preuve numerique de l&#39;emission d&#39;un message par une etiquette radio uwb, systeme associe
EP4128578A1 (fr) Procédé de detection d&#39;un drone embarquant un équipement utilisateur, équipements et programmes d&#39;ordinateurs correspondants
EP4222632B1 (fr) Procédé de synchronisation d&#39;une pluralité de serveurs de communications, dispositifs et programmes d&#39;ordinateurs correspondants
FR3160837A1 (fr) Procédé et dispositif de détection et d’identification d’algorithmes cryptographiques dans un réseau de communication.
WO2019223938A1 (fr) Systeme embarque, identifiant et procede d&#39;evaluation d&#39;une distance
EP3202092B1 (fr) Procédé d&#39;accès à des données relatives à au moins une opération mise en oeuvre par un dispositif formant noeud d&#39;un réseau
EP1881435A1 (fr) Procédé et dispositif de detection d&#39;attaques de réseau par déterminer des correlations temporelles de données
FR3160025A1 (fr) Procédés de certification de la survenue d’un évènement impliquant un dispositif utilisateur
EP2728909A1 (fr) Procédé d&#39; obtention d&#39;échantillons numerises de signaux radio, procédé de traitement d&#39; une requête de recherche d&#39;échantillons, procédé de traitement de signaux radio, dispositifs et équipements associés
WO2015177462A1 (fr) Procédé et système de test de qualité de service
CN119484126A (zh) 一种设备指纹确定方法、装置、设备、介质及产品
CN121078431A (zh) 一种无人机身份认证充电管理方法
WO2025003195A1 (fr) Classification d&#39;un jeu de données multi-activités dans un réseau de télécommunications

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 07803892

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

NENP Non-entry into the national phase

Ref country code: RU

122 Ep: pct application non-entry in european phase

Ref document number: 07803892

Country of ref document: EP

Kind code of ref document: A1