Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Vers un regroupement multicrit` eres comme outil d’aide ` a l’attribution d’att

Vers un regroupement multicrit` eres comme outil d’aide ` a l’attribution d’attaque dans le cyber-espace Olivier Thonnard To cite this version: Olivier Thonnard. Vers un regroupement multicrit` eres comme outil d’aide ` a l’attribution d’attaque dans le cyber-espace. domain other. T´ el´ ecom ParisTech, 2010. Fran¸ cais. <pastel- 00006003> HAL Id: pastel-00006003 https://pastel.archives-ouvertes.fr/pastel-00006003 Submitted on 16 Apr 2010 HAL is a multi-disciplinary open access archive for the deposit and dissemination of sci- entiﬁc research documents, whether they are pub- lished or not. The documents may come from teaching and research institutions in France or abroad, or from public or private research centers. L’archive ouverte pluridisciplinaire HAL, est destin´ ee au d´ epˆ ot et ` a la diﬀusion de documents scientiﬁques de niveau recherche, publi´ es ou non, ´ emanant des ´ etablissements d’enseignement et de recherche fran¸ cais ou ´ etrangers, des laboratoires publics ou priv´ es. École Doctorale d’Informatique, Télécommunications et Électronique de Paris Thèse présentée pour obtenir le grade de docteur de l’Ecole Nationale Supérieure des Télécommunications Spécialité : Informatique Olivier Thonnard Vers un regroupement multicritères comme outil d’aide à l’attribution d’attaque dans le cyber-espace Soutenue le 31 Mars 2010 devant le jury composé de Prof. Dr. Hervé Debar (Telecom SudParis) Rapporteurs Dr. Mohamed Kaaniche (LAAS-CNRS) Prof. Dr. Daniel A. Keim (Univ. of Konstanz) Examinateurs Prof. Dr. Engin Kirda (EURECOM) Prof. Dr. Michel Grabisch (Univ. Paris I Panthéon-Sorbonne) Prof. Dr. Marc Dacier (EURECOM) Directeurs de thèse Prof. Dr. Wim Mees (Ecole Royale Militaire) École Doctorale d’Informatique, Télécommunications et Électronique de Paris PhD Thesis submitted in partial fulﬁllment of the requirements for the degree of Doctor of Philosophy of the Ecole Nationale Supérieure des Télécommunications Specialty : Computer Science Olivier Thonnard A multi-criteria clustering approach to support attack attribution in cyberspace Defense date: 31 March 2010 Committee in charge: Prof. Dr. Hervé Debar (Telecom SudParis) Reviewers Dr. Mohamed Kaaniche (LAAS-CNRS) Prof. Dr. Daniel A. Keim (Univ. of Konstanz) Examiners Prof. Dr. Engin Kirda (EURECOM) Prof. Dr. Michel Grabisch (Univ. Paris I Panthéon-Sorbonne) Prof. Dr. Marc Dacier (EURECOM) Advisors Prof. Dr. Wim Mees (Royal Military Academy) 3 “ A man should look for what is, and not for what he thinks should be.” Albert Einstein “ Chance is a word void of sense; nothing can exist without a cause.” Voltaire 4 5 Abstract In the recent years, the security community has observed a paradigm shift in the nature of attack phenomena in the Internet. Many security experts have acknowledged the fact that the cyber-crime scene is becoming increasingly organized and more consolidated. As organized crime has always gone where money could be made, cyber-criminals have, not surprisingly, developed an underground economy by which they are able to monetize all sort of malicious activities, like identity theft, fraud, spam, phishing, extortion, etc. Most of those illegal activities are presumably enabled by creating large groups of compromised machines (also called botnets) that are remotely controlled and coordinated by criminal organizations. Even though there are some plausible indicators about the origins, causes, and conse- quences of these new malicious activities, very few claims can be backed up by scientiﬁc evidence. In particular, many questions remain regarding the attribution of the attacks and the organization of cybercrime. The main reason is that no global threat analysis framework exists to rigorously investigate emerging attacks using diﬀerent data sources and diﬀerent viewpoints. Up to now, much emphasis has been put on the development of data collection infrastructures, such that detailed information could be gathered on various aspects of Internet threats. However, current analysis techniques remain rather immature, and do not allow us to discover or extract new relevant knowledge about those coordinated attack phenomena. The main contribution of this thesis consists in developing an analytical method to sys- tematically address this complex problem related to attack attribution in cyberspace. Our approach is based on a novel combination of a graph-based clustering technique with a data aggregation method inspired by multi-criteria decision analysis (MCDA). More speciﬁcally, we show that it is possible to analyze large-scale attack phenomena from diﬀerent view- points, revealing meaningful patterns with respect to various attack features. Secondly, we show how to systematically combine all those viewpoints such that the behavioral proper- ties of attack phenomena are appropriately modeled in the aggregation process. Consequently, our global threat analysis method can attribute (apparently) diﬀerent security events to a common root cause or phenomenon, based on the combination of all available evidence. Perhaps even more importantly, our attack attribution technique can also enable a precise analysis of the modus operandi of the attackers. This can help an analyst to get better insights into how cybercriminals operate in the real-world, but also which strategies they are using. Finally, thanks to its generic aspect, we are able to apply the very same approach to a broad range of security data sets without any fundamental modiﬁcation. An experimental validation on two completely diﬀerent data sets (i.e., honeypot traces and rogue antivirus websites) demonstrates the applicability and the eﬀectiveness of our attack attribution method. 6 7 Résumé Ces dernières années, les experts en sécurité ont observé un changement radical dans la nature des phénomènes d’attaque sur Internet. La plupart des experts ont d’ailleurs re- connu le fait que le phénomène global de cybercriminalité est devenu de plus en plus organisé et consolidé. Il est bien connu que le crime organisé s’est toujours développé là où d’importants proﬁts ﬁnanciers peuvent être réalisés, c’est pourquoi il n’est pas surprenant qu’une nouvelle économie “underground” se soit développée par laquelle les cybercriminels peuvent monétiser toutes sortes d’activités malveillantes, telles que le vol d’identité, la fraude, le spam, l’hameçonnage, l’extorsion, etc. La plupart de ces activités illégales sem- blent être facilitées par la création de véritables armées de machines compromises (appelées “botnets”) qui sont contrôlées à distance et coordonnées par des organisations criminelles. Même s’il existe des indices probables indiquant les origines, les causes et les con- séquences de ces nouvelles activités malveillantes, assez peu d’aﬃrmations peuvent être réellement soutenues et démontrées par des preuves scientiﬁques. En particulier, pas mal de questions subsistent concernant l’attribution des attaques et l’organisation de la cy- bercriminalité. Ceci est principalement dû au fait qu’il n’existe pas d’outil d’analyse de menace globale qui permet d’investiguer des phénomènes d’attaque en utilisant diﬀérentes sources de données et diﬀérents points de vue. Jusqu’à présent, beaucoup d’eﬀorts ont été consacrés au développement d’infrastructures de collecte de données, de sorte que des infor- mations précises et détaillées puissent être rassemblées à propos des menaces sur Internet. Par contre, les techniques d’analyse actuelles restent, quant à elles, plutôt immatures et ne permettent pas d’extraire des connaissances nouvelles et pertinentes sur ces phénomènes d’attaque coordonnés. La contribution principale de ce travail est le développement d’une méthode analytique permettant d’aborder de manière systématique le problème de l’attribution d’attaque dans le cyber-espace. Le caractère innovant de l’approche choisie consiste à combiner une tech- nique de regroupement basée sur les graphes, avec une méthode de fusion de données in- spirée par le domaine de l’analyse décisionnelle multicritères (MCDA). Plus spéciﬁquement, nous démontrons d’abord qu’il est possible d’analyser des phénomènes d’attaque distribués à grande échelle à partir de diﬀérents points de vue révélant des motifs de corrélation in- téressants par rapport à des caractéristiques d’attaque diverses. Ensuite, nous démontrons comment combiner systématiquement tous ces points de vue de sorte que les propriétés comportementales des phénomènes étudiés soient modélisées de manière adéquate dans le processus d’agrégation de données. Grâce à la combinaison appropriée de tous les indices disponibles, cette méthode globale d’analyse de menace peut non seulement attribuer des événements semblant diﬀérents à première vue, à une même cause d’origine ou à un même phénomène, mais l’aspect sans doute le plus intéressant est qu’elle facilite aussi l’analyse des modes opératoires des attaquants. Par conséquent, ceci permet à un analyste d’avoir une meilleure vue globale sur les stratégies réellement utilisées par les cybercriminels. Finalement, grâce à son aspect générique, la méthode peut aisément être appliquée à un large éventail de données, sans que cela ne nécessite de changement fondamental. Une validation expérimentale sur deux ensembles de données complètement diﬀérents (i.e., des traces d’attaque collectées par des honeypots et des sites web distribuant de faux logiciels antivirus) démontre l’applicabilité et l’eﬃcacité de notre méthode d’attribution d’attaque. 8 9 Acknowledgements The very ﬁrst person I would like to thank is my advisor, Marc Dacier, without whom this thesis would not have been possible. Working with him is always challenging and it was a very enriching experience for me. I am very grateful for his guidance and his constant commitment to my research. In particular, I appreciated his impressive knowledge in many areas, his insight into security problems, and the sound advice he has provided during the numerous technical discussions we had together. Also, I would like to thank sincerely my co-advisor from the Royal Military Academy, Wim Mees, who helped me to make progress in the right direction when it was necessary. He deﬁnitively inspired me in many ways thanks to his valuable expertise uploads/Science et Technologie/ vers-un-regroupement-multicriteres-comme-outil-d-x27-aide-a-l-x27-attribution-d-x27-attaque-dans-le-cyber-espace.pdf