Thèse de Clément Boin

Détection d'attaques DDoS dans le contexte d'un fournisseur cloud de grande envergure

L'objet de cette thèse est la conception et le développement d'un système de détection des attaques DDoS volumétriques, intégré au sein d'une infrastructure en nuage (cloud). Cette nouvelle proposition vise à remplacer un système préexistant qui a été jugé peu adaptable et complexe à exploiter par les ingénieurs d'OVHcloud. Afin d'atteindre cet objectif, le travail de thèse est articulé autour de quatre axes majeurs. Tout d'abord, une revue exhaustive de la littérature scientifique est entreprise pour appréhender les problématiques associées à la détection des attaques volumétriques dans le contexte spécifique des environnements en nuage. Les attaques DDoS, depuis leur avènement au début des années 2000, n'ont cessé de gagner en sophistication et en ampleur. Les environnements tels que celui d'OVHcloud font l'objet de centaines d'attaques DDoS quotidiennes, dont certaines dépassent le seuil du téraoctet de trafic. Dans une première contribution, l'examen détaillé d'une année d'attaques visant l'infrastructure d'OVHcloud révèle que peu de travaux antérieurs tiennent compte de tels niveaux de volumétrie. Cette constatation initiale met en évidence la nécessité d'adapter les solutions de pointe existantes afin qu'elles puissent être appliquées dans des environnements à haute performance. Dans un second volet, il est démontré que les ensembles de données disponibles pour la recherche sont peu compatibles sur le plan statistique avec les conditions observées dans le cadre de cette étude. Les métriques largement utilisées dans la littérature scientifique ne parviennent pas à capturer la réalité quotidienne. Cette lacune génère des problématiques, tant du point de vue de la conception de solutions adaptées à ce contexte spécifique que de la reproductibilité des travaux de recherche. Du point de vue des hébergeurs, l'absence de jeux de données appropriés s'explique partiellement par les difficultés rencontrées par le milieu académique pour accéder aux infrastructures industrielles, majoritairement sous l'égide de grandes multinationales du secteur privé. Les considérations liées à la confidentialité des données à caractère personnel présentes dans de tels jeux de données constituent également un frein. C'est ainsi que dans un troisième apport significatif, une proposition de générateur de trafic est formulée, respectant les propriétés statistiques spécifiques à l'infrastructure cloud étudiée. Fort de cette compréhension accrue des problématiques internes aux fournisseurs de services en nuage pour la détection des attaques DDoS, ainsi que des défis liés à la reproduction de situations réelles, incluant à la fois le trafic nominal et les attaques, un quatrième et dernier volet, sous la forme d'un brevet industriel, est consacré à la description d'une architecture de système de détection des attaques DDoS volumétriques. Cette architecture doit permettre l'intégration d'algorithmes de détection, tout en restant maintenable par les experts métier. De plus, elle doit être conçue pour résoudre les problématiques relatives à la charge réseau générée par une infrastructure accueillant des millions de clients à travers le monde.

Jury

M. Gilles GRIMAUD Université de Lille Directeur de thèse, M. David BROSSET École Navale de Brest Rapporteur, M. Etienne RIVIèRE UCLouvain Rapporteur, Mme Vania MARANGOZOVA-MARTIN Université de Grenoble Alpes Examinatrice, M. Guiseppe LIPARI Université de Lille Examinateur, M. Michaël HAUSPIE Université de Lille Co-directeur de thèse, M. Tristan GROLEAT OVHcloud Invité.

Thèse de l'équipe 2XS soutenue le 18/12/2023