A multi-criteria clustering approach to support attack attribution in cyberspace - Archive ouverte HAL Access content directly
Theses Year : 2010

A multi-criteria clustering approach to support attack attribution in cyberspace

Vers un regroupement multicritères comme outil d'aide à l'attribution d'attaque dans le cyber-espace

(1, 2)
1
2

Abstract

Many security experts have recently acknowledged the fact that the cyber-crime scene becomes increasingly organized and more consolidated. Even though there are some plausible indicators about the origins, causes, and consequences of these new malicious activities observed in the Internet, very few claims can be backed up by scientific evidence. In particular, many questions remain regarding the attribution of the attacks and the organization of cybercrime. The main contribution of this thesis consists in developing an analytical method to systematically address the problem of attack attribution in cyberspace. Our approach is based on a novel combination of a graph-based clustering technique with a data aggregation method inspired by multi-criteria decision analysis (MCDA). More specifically, we show that it is possible to analyze large-scale attack phenomena from separate viewpoints, revealing meaningful patterns with respect to various attack features. Secondly, we show how to systematically combine all those viewpoints such that the behavioral properties of attack phenomena are appropriately modeled in the aggregation process. Consequently, our global threat analysis method can attribute apparently different security events to a common root cause or phenomenon, based on the combination of all available evidence. Perhaps more importantly, our attack attribution technique can also emphasize the modus operandi of the attackers. This can help an analyst to get insights into how cybercriminals operate in the real-world, but also which strategies they are using.
Récemment, les experts en sécurité ont reconnu le fait que le phénomène global de cybercriminalité est devenu mieux organisé et plus consolidé. Même s'il existe des indices probables indiquant les origines, les causes et les conséquences de ces nouvelles activités malveillantes sur Internet, peu d'affirmations peuvent être réellement soutenues par des preuves scientifiques. En particulier, un certain nombre de questions subsiste concernant l'attribution des attaques et l'organisation des activités cybercriminelles. La contribution principale de ce travail est le développement d'une méthode analytique permettant d'aborder de manière systématique le problème de l'attribution d'attaque dans le cyber-espace. Le caractère innovant de l'approche choisie consiste à combiner une technique de regroupement basée sur les graphes, avec une méthode de fusion de données inspirée par le domaine de l'analyse décisionnelle multicritères (MCDA). Plus spécifiquement, nous démontrons qu'il est possible d'analyser des phénomènes d'attaque distribués à partir de différents points de vue qui peuvent être combinés systématiquement, tout en modélisant de manière adéquate les propriétés comportementales des phénomènes étudiés. Cette méthode d'analyse globale de menaces permet non seulement d'attribuer différents événements à une même cause d'origine ou à un même phénomène, mais l'aspect sans doute le plus intéressant est qu'elle facilite aussi l'analyse des modes opératoires des attaquants, offrant ainsi à l'analyste une meilleure compréhension des stratégies réellement utilisées par les cybercriminels.
Fichier principal
Vignette du fichier
phdfinal.pdf (6.76 Mo) Télécharger le fichier
Loading...

Dates and versions

pastel-00006003 , version 1 (16-04-2010)

Identifiers

  • HAL Id : pastel-00006003 , version 1

Cite

Olivier Thonnard. Vers un regroupement multicritères comme outil d'aide à l'attribution d'attaque dans le cyber-espace. domain_other. Télécom ParisTech, 2010. Français. ⟨NNT : ⟩. ⟨pastel-00006003⟩
663 View
1680 Download

Share

Gmail Facebook Twitter LinkedIn More