Abstract : Rançon de son succès, l’Internet est victime d’anomalies de trafic (pannes, augmentations soudaines, attaques). Pour comparer les statistiques du trafic régulier avec celles en situation anormale, nous menons des campagnes de mesures collectant du trafic régulier et du trafic contenant des anomalies. Ces mesures sont effectuées sur le réseau Renater par le projet MetroSec, en produisant des anomalies de type dénis de service (Dos) à partir de logiciels d’attaque réels (tfn2k, trin00) visant différents services (ICMP, SYN, UDP, TCP), OU des anomalies de „foules subites”. Nous introduisons un modèle de trafic multirésolution, non gaussien et à mémoire longue et les estimateurs adéquats. Le modèle décrit à tous les niveaux d’agrégation tant le trafic normal que du trafic avec anomalies. Nous montrons qu’il permet de détecter si des anomalies sont présentes ou non et si ces anomalies sont dues à des foules subites ou à des attaques Dos.
