"Distributed System of Honeypot Sneosrs: Discrimination and Correlative Analysis of Attack Processes"
"Système distribué de capteurs pots de miel: discrimination et analyse corrélative des processus d'attaques"
Résumé
Security systems cannot be efficiently designed without both a good preliminary understanding of malicious activities which might occur in the wild and a good comprehension of attack processes. Unfortunately, it seems that this knowledge is either not available or remains anecdotal and often biased. The goal of this thesis is primarily to make progress on understanding the malicious activities that occur and to provide a methodology that would help to acquire this knowledge. It is necessary in a first step to work on a valuable dataset. To address this problem, we have deployed a worldwide distributed network of sensors, also called Honeypots. Honeypots are machines that are not publicly advertised. They have contributed to capture a huge amount of suspicious data over several months. In the scope of this thesis, we propose a framework, called HoRaSis (for Honeypot Traffic Analysis), which aims at automatically extracting meaningful information out of this remarkable dataset. It basically consists in two major stages: i) the discrimination and ii) the correlative analysis of the collected traffic. More precisely, we first discriminate collected activities according to the fingerprints they let on each sensor. This stage must also consider the potential disturbances introduced by the network. The proposed solution relies on dedicated clustering and classification techniques. We then identify all previous fingerprints which share strong common characteristics. This task is performed thanks to a graph-theory approach, and, in particular, the search of maximal weighted cliques within graphs. Different characteristics based on our preliminary experiments have been considered. Several cases exemplify the value of combining these two stages. Thanks to the proposed HoRaSis framework, we prove that a rigorous and methodical analysis of honeypot traffic clearly helps to get a better understanding of malicious activities.
Il est difficilement concevable de construire les systèmes de sécurité sans avoir une bonne connaissance préalable des activités malveillantes pouvant survenir dans le réseau. Malheureusement, celle-ci n'est pas aisément disponible, ou du moins elle reste anecdotique et souvent biaisée. Cette thèse a pour objectif principal de faire progresser l'acquisition de ce savoir par une solide méthodologie. Dans un premier temps, il convient de travailler sur un ensemble intéressant de données. Nous avons déployé un réseau distribué de sondes, aussi appelées pots de miel, à travers le monde. Ces pots de miel sont des machines sans activité particulière, qui nous ont permis de capturer un gros volume de données suspectes sur plusieurs mois. Nous présentons dans cette thèse une méthodologie appelée HoRaSis (pour Honeypot Traffic Analysis), qui a pour but d'extraire automatiquement des informations originales et intéressantes à partir de cet ensemble remarquable de données. Elle est formée de deux étapes distinctes: i) la discrimination puis ii) l'analyse corrélative du trafic collecté. Plus précisément, nous discriminons d'abord les activités observées qui partagent une empreinte similaire sur les sondes. La solution proposée s'appuie sur des techniques de classification et de regroupement. Puis, dans une seconde phase, nous cherchons à identifier les précédentes empreintes qui manifestent des caractéristiques communes. Ceci est effectué sur les bases d'une technique de graphes et de recherche de cliques. Plus qu'une technique, l'approche HoRaSis que nous proposons témoigne de la richesse des informations pouvant être récupérées à partir de cette vision originale du trafic malicieux de l'Internet. Elle prouve également la nécessité d'une analyse rigoureuse et ordonnée du trafic pour parvenir à l'obtention de cette base de connaissances susmentionnée.
Loading...