Observation, caractérisation et modélisation de processus d'attaques sur Internet

par Eric Alata

Thèse de doctorat en Systèmes informatiques

Sous la direction de Vincent Nicomette et de Mohamed Kaâniche.

Soutenue en 2007

à Toulouse, INSA , en partenariat avec Laboratoire d'Analyse et d'Architecture des Systèmes (Toulouse1968-....) (laboratoire) .


  • Résumé

    Le développement de méthodes permettant l’observation et la caractérisation d’attaques sur Internet est important pour améliorer notre connaissance sur le comportement des attaquants. En particulier, les informations issues de ces analyses sont utiles pour établir des hypothèses réalistes et mettre en oeuvre des mécanismes de protection pour y faire face. Les travaux présentés dans cette thèse s’inscrivent dans cette optique en utilisant des pots de miel comme moyen pour collecter des données caractérisant des activités malveillantes sur Internet. Les pots de miel sont des systèmes informatiques volontairement vulnérables et visant à attirer les attaquants afin d’étudier leur comportement. Nos travaux et contributions portent sur deux volets complémentaires. Le premier concerne le développement d’une méthodologie et de modèles stochastiques permettant de caractériser la distribution des intervalles de temps entre attaques, la propagation et les corrélations entre les processus d’attaques observés sur plusieurs environnements, en utilisant comme support les données issues de pots de miel basse interaction déployés dans le cadre du projet Leurré. Com. Le deuxième volet de nos travaux porte sur le développement et le déploiement d’un pot de miel haute interaction permettant d’étudier aussi la progression d’une attaque au sein d’un système, en considérant comme exemple des attaques visant le service ssh. L’analyse des données collectées nous a permis d’observer différentes étapes du processus d’intrusion et de montrer la pertinence de notre d’approche

  • Titre traduit

    Observation, characterization and modeling of attack processes on the Internet


  • Résumé

    The development of appropriate methods to observe and characterize attacks on the Internet is important to improve our knowledge about these threats and the behavior of the attackers. In particular, information obtained from such analyses are useful to establish realistic assumptions and to implement protection mechanisms to cope with these threats. The work presented in this thesis falls within this context using honeypots as a means to collect data characterizing the malicious activities on the Internet. A honeypot is a computer system that is deliberately vulnerable and is aimed at attracting the attackers to study their behavior. Our work and contributions cover two main objectives. The first one concerns the development of a methodology and stochastic models to characterize the distribution of the time intervals between attacks, the propagation of attacks and the correlations between the attack processes observed on several honeypot environments, using data collected from low interaction honeypots deployed in the context of the Leurré. Com project. The second part of our work focuses on the development and deployment of a high interaction honeypot to explore the progression of an attack within a system, considering as an example attacks against the ssh service. The analysis of data collected allowed us to observe different stages of an intrusion and to demonstrate the relevance of our approach.

Consulter en bibliothèque

La version de soutenance existe sous forme papier

Informations

  • Détails : 1 vol. (146 p.)
  • Annexes : Bibliogr. p. 135-146

Où se trouve cette thèse\u00a0?

  • Bibliothèque : Institut national des sciences appliquées. Bibliothèque centrale.
  • Disponible pour le PEB
  • Cote : 2007/903/ALA

Cette version existe également sous forme de microfiche :

  • Bibliothèque : Université de Lille. Service commun de la documentation. Bibliothèque universitaire de Sciences Humaines et Sociales.
  • Non disponible pour le PEB
  • Cote : 2007ISAT0048
Voir dans le Sudoc, catalogue collectif des bibliothèques de l'enseignement supérieur et de la recherche.