CHAPITRE 2. CARACT´ERISATION DES PROCESSUS D’ATTAQUES `A PARTIR DES POTS DE MIEL BASSE INTERACTION
de ce pays, et ce pour tous les environnements. Ensuite, pour tous les environnements et globalement, les mod`eles obtenus sont convenables, hormis pour les environnements 13, 28 et 31, pour lesquels toute corr´elation avec les pays reste faible de fa¸con g´en´erale.
Les mˆemes remarques peuvent ˆetre ´etablies pour la Chine et le Canada. Quant `a ce dernier pays, ce qui est remarquable est la faible proportion des sessions originaires de ce pays quelque soit l’environnement consid´er´e. Un pays qui contribue significati- vement aux attaques en terme de nombre de sessions peut ˆetre utilis´e pour ´etablir un mod`ele lin´eaire acceptable. Il est aussi int´eressant de noter que les environnements 14 et 42 pr´esentent des tendances ´equivalentes par rapport aux corr´elations des activit´es observ´ees sur chacun des environnements toute origine confondue et par rapport aux activit´es issues de certains pays. Ces r´esultats renforcent ceux observ´es au tableau 2.10 montrant une forte corr´elation entre les activit´es de ces deux environnements. Ils sont aussi surprenants dans la mesure o`u ces deux environnements sont situ´es dans des sites g´eographiques diff´erents et ont des adresses distantes.
Fig. 2.18 – Exemple de propagation d’un ver
l’environnementei et imm´ediatement apr`es l’environnementej, alors nous supposons qu’il y a eu une propagation depuis l’environnementei vers l’environnement ej, issue du processus d’attaque de l’adresse adr.
Une propagation est identifi´ee par un couple de sessions. L’ensemble des propaga- tions observ´ees, not´eP Rs, peut ˆetre construit de la mani`ere suivante :
P r={(ls, ls′)∈LS2/ls6=ls′∧adr(ls) =adr(ls′)∧date(ls)≤date(ls′)∧
6 ∃ls′′∈LS/adr(ls′′) =adr(ls)∧date(ls)< date(ls′′)≤date(ls′)} (2.30)
Sur la base de l’ensemble des propagations, nous construisons un graphe de pro- pagation. Il s’agit d’un graphe orient´e, G, compos´e de nœuds, l’ensemble V, et de transitions, l’ensembleE,G= (V, T). Un nœudvj repr´esente un environnement. Une transitiontj,kdepuis le nœudvj vers le nœudvkrepr´esente l’ensemble des propagations r´ealis´ees depuis l’environnement associ´e au nœud vj vers l’environnement associ´e au nœud vk. Une transition est donc un couple tj,k = (vj, vk). Deux probabilit´es, not´ees PG(tj,k) et QG(tj,k), sont associ´ees `a chaque transition.
PG(tj,k) correspond `a la probabilit´e d’occurrence de la propagation associ´ee en tenant compte de l’ensemble des sessions enregistr´ees pour l’environnement vj. La probabilit´ePG(tj,k) est le rapport entre le nombre de propagations r´ealis´ees entre les environnementsvj etvket le nombre de propagations r´ealis´ees depuis l’environnement vj. QG(tj,k) correspond `a la probabilit´e d’occurrence de la propagation associ´ee en tenant compte uniquement des sessions correspondant `a des propagations en sortie devj La probabilit´eQG(tj,k) est le rapport entre le nombre de propagations r´ealis´ees entre les environnementsvj etvk et le nombre de propagations r´ealis´ees en sortie de l’environnement vj.
CHAPITRE 2. CARACT´ERISATION DES PROCESSUS D’ATTAQUES `A PARTIR DES POTS DE MIEL BASSE INTERACTION
PG(tj,k) = |{(ls, ls′)∈P Rs/env(ls) =env(vj)∧env(ls′) = env(vk)}|
|{(ls, ls′)∈P Rs/env(ls) = env(vj)}| (2.31) QG(tj,k) = |{(ls, ls′)∈P Rs/env(ls) = env(vj)∧env(ls′) =env(vk)}|
|{(ls, ls′)∈P Rs/env(ls) =env(vj)∧ls6=ls′}| , ∀j 6=k (2.32) Au stade actuel de nos travaux, le temps ´ecoul´e entre les visites successives vers les diff´erents environnements n’est pas pris en compte. Introduire des mesures li´ees au temps qui s’est ´ecoul´e entre deux transitions successives pourrait nous permettre d’affiner ce mod`ele. En particulier, nous pourrions consid´erer qu’une propagation se produit uniquement si le temps s´eparant deux visites `a deux environnements diff´erents est inf´erieur `a un seuil (par exemple de l’ordre de quelques heures voire quelques minutes).
2.7.3 Illustration
Les r´esultats obtenus avec les 8 environnements s´electionn´es dans notre ´etude sont pr´esent´es dans cette section. Le tableau 2.12 contient le nombre de propagations r´ealis´ees entre chaque paire d’environnements. Sur la base de ce tableau, nous pouvons calculer les diff´erentes valeurs des probabilit´es PG(tj,k) et QG(tj,k). Les r´esultats sont pr´esent´es aux figures 2.13 et 2.14. A titre d’illustration, la figure 2.19 fournit une repr´esentation graphique des probabilit´es QG(tj,k).
environnement i
9 13 14 28 31 32 42 62
environnementj 9 8029 744 2098 828 2258 2562 1411 1733 13 700 768 802 178 478 1747 430 249 14 2161 700 3792 835 1042 1424 4486 1144 28 679 272 768 1872 284 488 663 316 31 2342 476 1135 362 8415 1443 746 728 32 3026 1149 1376 443 1209 6032 934 2783 42 1186 612 4875 457 765 1071 2948 760 62 2658 204 1138 343 726 1532 840 2662 Tab. 2.12 – Nombre de propagations entre environnements
Tout d’abord, nous constatons que le graphe est fortement connexe et complet.
Quelque soit le couple d’environnements consid´er´e, il existe deux arcs orient´es entre ces deux environnements. Cependant, les probabilit´es ne sont pas homog`enes : aucun nœud ne poss`ede des arcs aux probabilit´es du mˆeme ordre de grandeur.
En consid´erant les valeurs report´ees dans le tableau 2.13, nous pouvons consta- ter que g´en´eralement, les probabilit´es de rester dans l’environnement sont faibles. La valeur la plus ´elev´ee est de l’ordre de 54%, pour l’environnement 31. Ceci laisse suppo- ser que les attaquants ont tendance `a visiter plusieurs environnements successivement (c’est le cas, par exemple, lors des activit´es de scan).
63
environnementi
9 13 14 28 31 32 42 62
environnementj 9 41% 4% 11% 4% 11% 13% 7% 9%
13 13% 14% 15% 3% 9% 33% 8% 5%
14 14% 4% 24% 5% 7% 9% 29% 7%
28 13% 5% 14% 35% 5% 9% 12% 6%
31 15% 3% 7% 2% 54% 9% 5% 5%
32 18% 7% 8% 3% 7% 36% 6% 16%
42 9% 5% 38% 4% 6% 8% 23% 6%
62 26% 2% 11% 3% 7% 15% 8% 26%
Tab. 2.13 – Probabilit´esPG(tj,k) pour les 8 environnements
environnementi
9 13 14 28 31 32 42 62
environnementj 9 – 6% 18% 7% 19% 22% 12% 15%
13 15% – 17% 4% 10% 38% 9% 5%
14 18% 6% – 7% 9% 12% 38% 10%
28 20% 8% 22% – 8% 14% 19% 9%
31 32% 7% 16% 5% – 20% 10% 10%
32 28% 11% 13% 4% 11% – 9% 25%
42 12% 6% 50% 5% 8% 11% – 8%
62 36% 3% 15% 5% 10% 21% 11% – Tab. 2.14 – Probabilit´esQG(tj,k) pour les 8 environnements
En regardant plus particuli`erement les probabilit´es du tableau 2.14, pour appr´ecier en particulier le poids relatif des propagations entre les environnements, nous pou- vons observer une forte d´ependance entre certains environnements. C’est le cas des environnements 42 et 14. Par exemple, la probabilit´e de visiter 14 `a partir de 42 est de l’ordre de 50% `a comparer `a 5% pour la probabilit´e de visiter 28 `a partir de 42.
Cependant, les propagations entre deux environnements ne sont pas n´ecessairement du mˆeme ordre de grandeur dans les deux sens (la probabilit´e de propagation de 14 vers 42 est de l’ordre de 38%).
Nous pouvons constater aussi que les probabilit´es de passer d’un environnement `a certains environnements restent faibles. C’est le cas par exemple des environnements 13 et 28. Ceci peut r´esulter du fait que ces deux environnements poss`edent l’activit´e la plus faible.
Enfin, il est aussi int´eressant d’observer que certains environnements (31 et 62) pr´esentent des comportements ´equivalents en sortie (c’est-`a-dire que les probabilit´es QG(t31,k) et QG(t62,k) sont du mˆeme ordre de grandeur).