Retour au site du LAAS-CNRS

Mots-Clés / Keywords

Performance and dependability evaluation; Architectural building blocks; System verification; Electrical power system evaluation;

Mots-Clés / Keywords

Attack injection; Malicious behavior; Monitor and data collection; Honeypots; Statistical analysis;

Résumé

Le développement de méthodes permettant l'observation et la caractérisation d'attaques sur Internet est important pour améliorer notre connaissance sur le comportement des attaquants. En particulier, les informations issues de ces analyses sont utiles pour établir des hypothèses réalistes et mettre en oeuvre des mécanismes de protection pour y faire face. Les travaux présentés dans cette thèse s'inscrivent dans cette optique en utilisant des pots de miel comme moyen pour collecter des données caractérisant des activités malveillantes sur Internet. Les pots de miel sont des systèmes informatiques volontairement vulnérables et visant à attirer les attaquants afin d'étudier leur comportement. Nos travaux et contributions portent sur deux volets complémentaires. Le premier concerne le développement d'une méthodologie et de modèles stochastiques permettant de caractériser la distribution des intervalles de temps entre attaques, la propagation et les corrélations entre les processus d'attaques observés sur plusieurs environnements, en utilisant comme support les données issues de pots de miel basse interaction d´eployés dans le cadre du projet Leurré.com. Le deuxième volet de nos travaux porte sur le développement et le déploiement d'un pot de miel haute interac- tion permettant d'étudier aussi la progression d'une attaque au sein d'un système, en considérant comme exemple des attaques visant le service ssh. L'analyse des données collectées nous a permis d'observer différentes étapes du processus d'intrusion et de montrer la pertinence de notre d'approche.

Abstract

Observation, characterization and modeling of attack pro- cesses on the Internet The development of appropriate methods to observe and characterize attacks on the Internet is important to improve our knowledge about these threats and the behavior of the attackers. In particular, information obtained from such analyses are useful to establish realistic assumptions and to implement protection mechanisms to cope with these threats. The work presented in this thesis falls within this context using honeypots as a means to collect data characterizing the malicious activities on the Internet. A honeypot is a computer system that is deliberately vulnerable and is aimed at attracting the attackers to study their behavior. Our work and contributions cover two main objectives. The first one concerns the development of a methodology and stochastic models to characterize the distribution of the time intervals between attacks, the propagation of attacks and the correlations between the attack processes observed on several honeypot environments, using data collected from low interaction honeypots deployed in the context of the Leurré.com project. The second part of our work focuses on the development and deployment of a high interaction honeypot to explore the progression of an attack within a system, considering as an example attacks against the ssh service. The analysis of data collected allowed us to observe different stages of an intrusion and to demonstrate the relevance of our approach.

Mots-Clés / Keywords

Sécurité; Internet; Pot de miel; Evaluation quantitative; Intrusion; Security; Honeypots; Quantitative evaluation;

Mots-Clés / Keywords

Honeypots; Botnet; Malware; Worms;

Résumé

Les pots de miel haute-interaction permettent d'observer les attaquants évoluer au sein d'une machine compromise. Ils sont intéressants pour mieux comprendre le fonctionnement de ces derniers. Cependant, l'observation se limite en général au pot de miel lui-même car les tentatives de compromission d'autres machines depuis le pot de miel sont limitées. Il nous semble très instructif de pouvoir suivre le parcours d'un attaquant sur différentes machines. Cet article propose, à cette fin, un mécanisme de redirection dynamique de connexions initiées depuis un pot de miel. Ce mécanisme, dont l'originalité réside dans son aspect dynamique, donne l'illusion à un attaquant qu'il dialogue effectivement depuis notre pot de miel avec une autre machine d'Internet alors qu'il est simplement redigiré vers un autre pot de miel. Ce mécanisme de redirection a été implémenté et testé sur un noyau Linux. Nous en présentons ici les concepts et l'implémentation.