Analyse comparative de méthodes de capture de traces d'attaques

Jérôme François 1
1 MADYNES - Management of dynamic networks and services
INRIA Lorraine, LORIA - Laboratoire Lorrain de Recherche en Informatique et ses Applications
Résumé : Il est clair qu'avec l'expansion des réseaux informatiques et notamment d'Internet, le nombre de menaces envers les machines les composant ne cesse d'augmenter. Il est donc nécessaire de s'en protéger et cela demande donc une connaissance de celles-ci. Il existe plusieurs moyens pour connaître les différentes menaces et un des moyens est l'analyse de trafic malveillant. Au cours de mon stage de Master, j'ai utilisé deux méthodes de capture de trafic : un télescope qui récupère le trafic à destination de tout un sous réseau de classe A soit 224 adresses et un honeynet composé de plusieurs machines réparties sur l'ensemble d'Internet (43 plate-formes de 3 adresses). Le but est donc de comparer ces méthodes pas seulement en terme de résultats mais aussi en terme d'analyses faisables. Une méthode générique utilisant les graphes d'intersections a été utilisée permettant notamment de détecter la distribution des données selon les adresses. Il en est ressorti que pour les adresses attaquées, le télescope présentait une forte redondance pas forcément utile. Concernant les ports visés, le télescope et le honeynet sont tous les deux capables de voir la faible diversité des ports visés mais ils sont complémentaires au niveau des ports visés en eux-mêmes c'est à dire les numéros de port. Le honeynet a quant à lui mis en évidence une certaine sophistication des générateurs de nombres aléatoires des outils d'attaques. Enfin, les 2 méthodes ont permis de mettre en évidence des problèmes de configuration au niveau des pare-feux et des routeurs.
Type de document :
Rapport
[Stage] 2006, pp.42
Liste complète des métadonnées

https://hal.inria.fr/inria-00112114
Contributeur : Jérôme François <>
Soumis le : mardi 7 novembre 2006 - 15:30:44
Dernière modification le : jeudi 11 janvier 2018 - 06:19:49

Identifiants

  • HAL Id : inria-00112114, version 1

Collections

Citation

Jérôme François. Analyse comparative de méthodes de capture de traces d'attaques. [Stage] 2006, pp.42. 〈inria-00112114〉

Partager

Métriques

Consultations de la notice

150