Affordable Access

Download Read

Observation, caractérisation et modélisation de processus d’attaques sur Internet

Authors
Publisher
INSA de Toulouse
Keywords
  • SystèMes Informatiques
  • Ddc:004

Abstract

Le développement de méthodes permettant l’observation et la caractérisation d’attaques sur Internet est important pour améliorer notre connaissance sur le comportement des attaquants. En particulier, les informations issues de ces analyses sont utiles pour établir des hypothèses réalistes et mettre en oeuvre des mécanismes de protection pour y faire face. Les travaux présentés dans cette thèse s’inscrivent dans cette optique en utilisant des pots de miel comme moyen pour collecter des données caractérisant des activités malveillantes sur Internet. Les pots de miel sont des systèmes informatiques volontairement vulnérables et visant à attirer les attaquants afin d’étudier leur comportement. Nos travaux et contributions portent sur deux volets complémentaires. Le premier concerne le développement d’une méthodologie et de modèles stochastiques permettant de caractériser la distribution des intervalles de temps entre attaques, la propagation et les corrélations entre les processus d’attaques observés sur plusieurs environnements, en utilisant comme support les données issues de pots de miel basse interaction déployés dans le cadre du projet Leurré.com. Le deuxième volet de nos travaux porte sur le développement et le déploiement d’un pot de miel haute interaction permettant d’étudier aussi la progression d’une attaque au sein d’un système, en considérant comme exemple des attaques visant le service ssh. L’analyse des données collectées nous a permis d’observer différentes étapes du processus d’intrusion et de montrer la pertinence de notre d’approche._______________________________________________________________________________________________ The development of appropriate methods to observe and characterize attacks on the Internet is important to improve our knowledge about these threats and the behavior of the attackers. In particular, information obtained from such analyses are useful to establish realistic assumptions and to implement protection mechanisms to cope with these threats. The work presented in this thesis falls within this context using honeypots as a means to collect data characterizing the malicious activities on the Internet. A honeypot is a computer system that is deliberately vulnerable and is aimed at attracting the attackers to study their behavior. Our work and contributions cover two main objectives. The first one concerns the development of a methodology and stochastic models to characterize the distribution of the time intervals between attacks, the propagation of attacks and the correlations between the attack processes observed on several honeypot environments, using data collected from low interaction honeypots deployed in the context of the Leurré.com project. The second part of our work focuses on the development and deployment of a high interaction honeypot to explore the progression of an attack within a system, considering as an example attacks against the ssh service. The analysis of data collected allowed us to observe different stages of an intrusion and to demonstrate the relevance of our approach.

There are no comments yet on this publication. Be the first to share your thoughts.