Observation du trafic malveillant à l'aide d'un cadriciel permettant la composition et la parallélisation d'inspecteurs de points d'interconnexion

Alberdi, Ion

09 April 2010

Notre thèse stipule qu'au vu de l'ampleur des agissements malveillants dans l'Internet, les logiciels d'extrémité doivent être surveillés. Pour limiter le nombre de points de surveillance, nous proposons de surveiller les logiciels depuis un point d'interconnexion. Nous avons dans ce but conçu Luth, un outil permettant de composer et de paralléliser un ensemble d'inspecteurs de points d'interconnexion (appelés MI) qui implémentent des mini IDS, IPS ou pare-feux, tout en vérifiant la correction et l'optimalité de ces derniers, à l'aide d'un langage de configuration et des algorithmes associés. Nous utilisons ensuite cet outil pour surveiller des logiciels d'extrémité permettant l'observation de trafic malveillant. Premièrement, après avoir démontré la nécessité de surveiller des pots de miels collecteurs de logiciels malveillants en concevant une attaque originale, nous montrons comment nous configurons Luth pour bloquer les attaques précédemment créées tout en laissant passer les attaques émulées par le pot de miel. Dans un second temps, nous utilisons Luth pour implémenter un bac-à-sable permettant d'analyser dynamiquement et aussi sûrement que voulu, les communications réseaux des logiciels malveillants. Nous montrons comment les informations obtenues par cette analyse permettent de regrouper ces logiciels et ainsi de limiter le nombre de binaires à analyser manuellement. Ensuite nous montrons comment nous générons automatiquement des signatures permettant la détection de ces virus depuis un point d'interconnexion.

[INFO] Computer Science

virus

Vulnérabilités

Attaques

Pare-feu

Pot de miel

Bac à sable

I-Cluster : Agrégation des ressources inexploitées d'un intranet et exploitation pour l'instanciation de services de calcul intensif

Richard, Bruno

12 December 2003

Notre étude s'intéresse aux machines en jachère disponibles sur un intranet afin de les agréger en grappes virtuelles de calcul scientifique. Dans le cadre du projet I-Cluster, nous avons étudié et réalisé l'infrastructure permettant de tirer parti de manière transparente des PC inexploités d'un réseau d'entreprise. En particulier, nous présentons des mécanismes novateurs permettant de faire passer un PC entre deux modes de travail "utilisateur" et "calcul", exclusifs l'un par rapport à l'autre. Ces mécanismes sont basés sur l'identification des ressources de calcul disponibles, la détection de leurs périodes d'inexploitation à l'aide de leur profil d'utilisation observé, d'un système de prédiction de fenêtres de tir et d'un bac à sable d'isolation de code. Par ailleurs, nous proposons un annuaire de gestion distribuée des ressources disponibles, le « nuage I-Cluster », fonctionnant en mode pair-à-pair sans serveur, auto-organisant et passant à l'échelle sur plusieurs dizaines de milliers de machines.

Calcul parallèle

métacalcul

grappe virtuelle

pair-à-pair (peer-to-peer)

isolation d'exécution

bac à sable

bavardage

réplication optimiste