Pour sa premi`ere intrusion 1, l’intrus d’adresse @1 utilise le couple C
1. Aussitˆotconnect´e, il liste les fichiers du r´epertoire courant, ls, et change le mot de passe
du compte courantC
1,passwd. A ce stade, l’´etat du pot de miel a chang´e : le mot de
passe du coupleC
1a ´et´e modifi´e pour devenir le coupleC
2. L’intrus, qui est `a l’originede cette activit´e, fait ´evoluer ses connaissances en mˆeme temps. Plus tard, un autre
intrus, complice du premier, vient pour r´ealiser l’intrusion 2. Il se connecte depuis la
machine d’adresse @2 avec le coupleC
2. Il lance alors les commandeslsetpwd. Dans
cet exemple, nous observons deux intrusions diff´erentes r´ealis´ees par deux intrus
ap-partenant `a la mˆeme communaut´e. Pour identifier les diff´erentes communaut´es, nous
devons recomposer une partie des connaissances ayant permis chaque intrusion.
Fig. 4.24 – Evolution des connaissances de l’intrus
Nous sommes incapables de reconstituer l’int´egralit´e des connaissances de l’intrus.
En revanche, nous pouvons facilement identifier l’adresse de l’intrus, la liste des noms
d’utilisateur et mots de passe valides qu’il a utilis´ees pour l’intrusion et les traces de
l’ensemble des activit´es de l’intrus sur le pot de miel. La partie des connaissances de
l’intrus qui nous int´eresse est nomm´eebagage. Le bagage de l’intrusioniest not´eB(i).
Si deux intrusions poss`edent des connaissances en commun, alors les bagages
corres-pondants peuvent ˆetre tr`es proches. Si deux intrusions ne poss`edent aucune
connais-sance en commun, alors les bagages correspondants sont tr`es ´eloign´es. Inversement,
nous supposons que deux bagages qui sont tr`es proches identifient deux intrusions
ayant des connaissances en commun et deux bagages qui sont ´eloign´es peuvent
identi-fier des intrusions n’ayant aucune connaissance en commun. L’´ecart entre les bagages
nous permettra d’identifier les communaut´es d’attaquants : deux bagages proches
identifient la mˆeme communaut´e.
La distance entre deux bagages doit refl´eter la quantit´e de connaissances partag´ee.
Nous allons d´efinir une distance entre deux bagagesB
ietB
j. Elle sera not´eeD
b(B
i,B
j).
Pour faciliter la notation, nous utilisons une distance g´en´erique, not´ee D
e(E
i,E
j),
entre deux parties E
iet E
jd’un mˆeme espace. Notons I
a(B) l’ensemble des adresses
contenues dans le bagageB, I
n(B) l’ensemble des noms d’utilisateur contenus dansB
et I
m(B) l’ensemble des mots de passe contenus dans B. La distance D
b(B
i,B
j), est
d´efinie comme suit :
CHAPITRE 4. CARACT´ERISATION DES ATTAQUES OBSERV´EES SUR LE POT
DE MIEL HAUTE INTERACTION
D
b(B
i,B
j) = D
e(I
a(B
i), I
a(B
j)) +D
e(I
n(B
i), I
n(B
j)) +D
e(I
m(B
i), I
m(B
j))
|I
a(B
i)|+|I
a(B
j)|+|I
n(B
i)|+|I
n(B
j)|+|I
m(B
i)|+|I
m(B
j)| (4.24)
D
e(E
i,E
j) =|E
i− E
j| · |E
j− E
i|
Nous disposons d’une distance pour mesurer l’´ecart entre intrusions, en terme de
bagages. Elle a ´et´e appliqu´ee sur l’ensemble des intrusions, prises deux `a deux. Les
valeurs obtenues ont ´et´e report´ees dans une matrice. Cette matrice est carr´ee. Elle
poss`ede autant de lignes et de colonnes que d’intrusions, soit 210. A chaque ligne et
colonne est associ´ee une intrusion. Une repr´esentation en est donn´ee `a la figure 4.25.
Dans cette repr´esentation, un point en nuance de gris correspond `a la distance entre
les bagages de la ligne et de la colonne correspondantes. Plus ce point est sombre, plus
petite est cette distance. Les colonnes et les lignes ont ´et´e permut´ees de mani`ere `a
placer un bagage `a cˆot´e de ceux qui lui sont proches. La premi`ere remarque concerne
la nettet´e de l’image : beaucoup d’espaces, sur cette figure, sont blancs. Les distances
correspondantes sont proches de 1. Cela correspond `a des distances entre des bagages
tr`es importantes. De plus, le faible nombre de pav´es sombres indique que beaucoup
de bagages ont pu ˆetre aggr´eg´es ensemble. Pour obtenir les grappes correspondantes,
nous devons convenir d’un seuil. La caract´eristique “nette” de l’image nous indique
que le seuil peut ˆetre ´elev´e et que cela n’aura pas une ´enorme influence sur le nombre
de grappes. Nous employons donc un seuil de 0,8. Ainsi les bagages, pour lesquels la
distance deux `a deux est inf´erieure `a ce seuil, seront regroup´es au sein d’une mˆeme
grappe. Nous obtenons un ensemble de 17 grappes, pr´esent´e dans le tableau 4.26.
Toutes les intrusions au sein d’une mˆeme grappe partagent des connaissances.
Nous pouvons donc affirmer que ces intrusions sont r´ealis´ees par les intrus d’une
mˆeme communaut´e. Certaines de ces communaut´es sont plus actives que d’autres. Le
nombre d’intrusions r´ealis´ees par la communaut´e la plus active est 39. Certaines n’en
ont r´ealis´e que tr`es peu, comme c’est le cas pour la communaut´e correspondant `a la
grappe 8, avec seulement 2 intrusions. Nous sommes `a pr´esent capables de savoir `a
quelle communaut´e correspond une intrusion. L’analyse du comportement des intrus
peut ainsi prendre en compte ce classement pour mener une ´etude plus fine.
4.6.2 Nature des intrus : ˆetres humains ou outils automatiques
Avant d’analyser ce que les intrus font sitˆot connect´es au pot de miel, nous pouvons
identifier leur nature. Ils peuvent ˆetre de deux natures diff´erentes. Soit ils sont des
ˆetres humains, soit ils sont des outils qui reproduisent des comportements simples. Les
ˆetres humains commettent des erreurs dues par exemple `a des manques d’attention,
´etourderies, d´efauts de raisonnement ou encore des empressements. En informatique,
elles se traduisent souvent par des fautes de frappe. Pour les corriger, l’utilisateur
utilise la touche d’effacement arri`ere, de code ascii 127 (^ ?). Il est vraisemblable que
l’observation d’un effacement arri`ere corresponde `a un ˆetre humain et non un outil
automatique. Nous supposons que les intrus ne cherchent pas `a se faire passer pour
des outils automatiques. Leur attention est principalement port´ee sur la mani`ere de
mener leur activit´e sans ˆetre d´emasqu´e.Notre premier crit`ere pour identifier les ˆetres
humains est la pr´esence de fautes de frappe dans les commandes saisies.
0 0.2 0.4 0.6 0.8 1
Fig. 4.25 – Distance entre les intrusions
Indice de la
Dans le document
Observation, caractérisation et modélisation de processus d'attaques sur Internet
(Page 130-133)