Soutenance de thèse : Alex HUANG FENG

Détection d'Anomalies dans les Réseaux FAI : Normes, Architecture et Algorithmes pour une utilisation réelle par les Opérateurs réseaux

Doctorant : Alex HUANG FENG

Laboratoire INSA : CITI - Centre d'innovation en Télécommunications et Intégration de Services
École doctorale n°512 lnfoMaths - Informatique et Mathématiques de Lyon

Les réseaux IP sont une infrastructure essentielle. Leurs perturbations peuvent affecter des services critiques et avoir des conséquences économiques et sociétales importantes. La détection rapide des incidents est donc essentielle pour les fournisseurs de connectivité. Cette thèse explore une architecture de détection d'anomalies dans un réseau réel de fournisseur d'accès. La plupart des travaux existants s'appuient sur des approches statistiques déconnectées du contexte opérationnel, ce qui limite leur adoption en production. Cette thèse propose une approche centrée sur le réseau, reposant sur des inspections déterministes basées sur des règles. Plutôt que des modèles statistiques, elle formalise l'expertise opérationnelle via des règles inspirées des pratiques des ingénieurs dans l'analyse des métriques de télémétrie. Le système traite les données collectées, les associe aux clients concernés et applique ces règles pour détecter des écarts au comportement attendu. Les alertes générées sont donc directement exploitables : elles identifient les clients impactés et précisent les symptômes observés. Nous appliquons cette méthode aux deux services de connectivité les plus rentables : les VPN BGP/MPLS de couche 3 et l'accès à Internet. Trois questions guident l'étude : (i) quels sont les prérequis pour déployer un système de détection d'anomalies en production, (ii) quels protocoles de télémétrie répondent le mieux aux besoins des fournisseurs, et (iii) quelles stratégies reflètent le mieux la manière dont les ingénieurs conçoivent le comportement du réseau. Il s'agit du premier travail axé sur la détection d'anomalies dans les réseaux BGP/MPLS VPN. Pour l'accès à Internet, nous ciblons les problèmes internes au réseau de fournisseur, y compris ceux invisibles pour les utilisateurs, mais économiquement critiques pour l'opérateur. Le système est déployé chez Swisscom, où il surveille plus de 13 000 clients VPN. Il traite 760 000 messages de télémétrie par seconde et a détecté une grande variété d'incidents, dont bugs logiciels, erreurs DNS et coupures de fibres. Depuis son déploiement, plus de 20 incidents réels ont été identifiés, aidant les équipes à réagir plus vite et à adapter les procédures de maintenance. La thèse présente plusieurs cas d'études montrant comment le système a accéléré la détection et son intégration avec les processus opérationnels. Nos résultats montrent que l'efficacité des systèmes de détection repose sur leur alignement avec les pratiques des ingénieurs de terrain. Les inspections basées sur des règles constituent une alternative pertinente aux approches purement statistiques.