environnementi
9 13 14 28 31 32 42 62
environnementj 9 41% 4% 11% 4% 11% 13% 7% 9%
13 13% 14% 15% 3% 9% 33% 8% 5%
14 14% 4% 24% 5% 7% 9% 29% 7%
28 13% 5% 14% 35% 5% 9% 12% 6%
31 15% 3% 7% 2% 54% 9% 5% 5%
32 18% 7% 8% 3% 7% 36% 6% 16%
42 9% 5% 38% 4% 6% 8% 23% 6%
62 26% 2% 11% 3% 7% 15% 8% 26%
Tab. 2.13 – Probabilit´esPG(tj,k) pour les 8 environnements
environnementi
9 13 14 28 31 32 42 62
environnementj 9 – 6% 18% 7% 19% 22% 12% 15%
13 15% – 17% 4% 10% 38% 9% 5%
14 18% 6% – 7% 9% 12% 38% 10%
28 20% 8% 22% – 8% 14% 19% 9%
31 32% 7% 16% 5% – 20% 10% 10%
32 28% 11% 13% 4% 11% – 9% 25%
42 12% 6% 50% 5% 8% 11% – 8%
62 36% 3% 15% 5% 10% 21% 11% – Tab. 2.14 – Probabilit´esQG(tj,k) pour les 8 environnements
En regardant plus particuli`erement les probabilit´es du tableau 2.14, pour appr´ecier en particulier le poids relatif des propagations entre les environnements, nous pou- vons observer une forte d´ependance entre certains environnements. C’est le cas des environnements 42 et 14. Par exemple, la probabilit´e de visiter 14 `a partir de 42 est de l’ordre de 50% `a comparer `a 5% pour la probabilit´e de visiter 28 `a partir de 42.
Cependant, les propagations entre deux environnements ne sont pas n´ecessairement du mˆeme ordre de grandeur dans les deux sens (la probabilit´e de propagation de 14 vers 42 est de l’ordre de 38%).
Nous pouvons constater aussi que les probabilit´es de passer d’un environnement `a certains environnements restent faibles. C’est le cas par exemple des environnements 13 et 28. Ceci peut r´esulter du fait que ces deux environnements poss`edent l’activit´e la plus faible.
Enfin, il est aussi int´eressant d’observer que certains environnements (31 et 62) pr´esentent des comportements ´equivalents en sortie (c’est-`a-dire que les probabilit´es QG(t31,k) et QG(t62,k) sont du mˆeme ordre de grandeur).
CHAPITRE 2. CARACT´ERISATION DES PROCESSUS D’ATTAQUES `A PARTIR DES POTS DE MIEL BASSE INTERACTION
Fig. 2.19 – Graphe de propagation associ´e aux 8 environnements
plate-forme Leurre.com pour ´elaborer des mod`eles stochastiques caract´erisant le processus d’occurrence des attaques observ´ees et leur propagation. Nous avons ´etudi´e plus particuli`erement les distributions des intervalles de temps entre attaques et l’´evo- lution du nombre d’attaques par unit´e de temps sur diff´erents environnements toutes sources confondues et en fonction de leur origine g´eographique. Nous avons aussi ´etu- di´e des corr´elations entre les activit´es observ´ees sur plusieurs environnements, ainsi que les propagations d’attaques entre ces environnements.
La m´ethodologie propos´ee s’appuie sur des outils statistiques permettant en parti- culier d’identifier des p´eriodes de silence suspectes susceptibles de biaiser les analyses si elle ne sont pas identifi´ees en tant que telles, et de guider la s´election d’un ensemble de donn´ees et d’environnements pertinent pour ´elaborer des mod`eles et effectuer des analyses comparatives significatives.
La mod´elisation des intervalles de temps entre attaques a permis d’identifier une distribution de probabilit´e constitu´ee d’un m´elange d’une loi de Pareto g´en´eralis´ee et d’une loi de Weibull, qui est bien adapt´ee pour d´ecrire les activit´es d’attaques observ´ees sur les diff´erents environnements ´etudi´es. Cette distribution met en ´evidence deux types de trafics malveillants qui cohabitent : des attaques en rafales et des attaques monotones plus espac´ees dans le temps. Ces mod`eles peuvent ˆetre utilis´es pour g´en´erer du trafic malveillant repr´esentatif des activit´es observ´ees sur les pots de miel basse interaction. Cependant, l’utilisation de ces mod`eles dans une optique pr´evisionnelle ou pour am´eliorer l’efficacit´e des m´ecanismes de d´etection reste un probl`eme ouvert.
65
Par ailleurs, les analyses de corr´elation et les mod`eles de r´egression lin´eaire ´etudi´es dans ce chapitre ont permis d’identifier certains comportements surprenants, concer- nant en particulier la corr´elation entre l’´evolution du trafic toutes sources confondues et le trafic provenant de certains pays uniquement, qui ne repr´esentent pas une part importante du trafic observ´e. Ces analyses ont aussi permis d’identifier des environne- ments de pots de miel qui pr´esentent des ´evolutions et des comportements similaires alors qu’ils ne sont pas localis´es g´eographiquement au mˆeme endroit et ne poss`edent pas des adresses proches. Nous avons aussi montr´e que les analyses de propagation sont aussi utiles pour caract´eriser les processus d’attaque observ´es.
Ces observations montrent que les mod`eles que nous avons ´etudi´es apportent des
´eclairages compl´ementaires aux analyses pr´esent´ees dans d’autres travaux effectu´es dans ce domaine.
Les donn´ees que nous avons consid´er´ees dans ce chapitre sont issues de pots de miel basse interaction. Elles permettent d’analyser les comportements des attaquants qui interrogent les pots de miel sans pour autant pouvoir p´en´etrer au cœur du syst`eme.
Nous sommes aussi int´eress´es par l’analyse du comportement des attaquants qui ont r´eussi `a prendre le contrˆole d’un syst`eme cible. Les chapitres suivants ont pour objectif de r´epondre `a ce besoin en utilisant des pots de miel haute interaction.
Chapitre 3
D´ eveloppement d’un pot de miel haute interaction
3.1 Introduction
Les donn´ees et analyses pr´ec´edentes sont int´eressantes pour ´etudier l’intensit´e et l’´evolution des attaques sur Internet, pour l’´elaboration de mod`eles. Cependant, les pots de miel utilis´es ne laissent pas la possibilit´e aux attaquants de s’introduire au cœur du syst`eme. Le comportement des attaquants au sein du syst`eme est important
`a analyser pour affiner nos connaissances sur leur mani`ere d’op´erer. Un pot de miel d’interaction plus ´elev´ee est n´ecessaire. Il doit, en particulier, nous permettre d’obser- ver l’´evolution de l’attaquant dans le syst`eme. Le but de ce chapitre est de pr´esenter une architecture de pot de miel haute interaction r´epondant `a ce besoin. Dans un premier temps, nous caract´erisons les pots de miel haute interaction et nous en ´etu- dions diff´erentes impl´ementations. Ensuite, nous pr´esentons notre impl´ementation de pot de miel.