- Programme d’alerte basé sur des pots de miel. - Ce rapport introduit mon travail de stage à Eurecom qui vise à construire un programme d’alertes basé sur deux applications intéressantes dans le domaine de sécurité. - Le travail consiste à tester OWL, un outil de corrélation d’alertes développé par France Télécom et à construire le programme d’alertes. - 2.1 P LATEFORMES DES POTS DE MIEL. - CHAPITRE 3 PROGRAMME D’ALERTE BASE SUR DES POTS DE MIEL DISTRIBUES. - 3.1 T EST DE L ’ ENVIRONNEMENT OWL. - 3.2 P ROGRAMME D ’ ALERTE BASE SUR DES POTS DE MIEL DISTRIBUES. - Plateformes distribuées des pots de miel...9. - Structure parallèle du programme ...23. - Données sur deux plateforme chargées par Snort et le programme ...32. - Outils d’attaque détectés par le programme ...33. - Outils d'attaque détectés par Snort ...33. - IPs triées par le nombre d'alertes, capturées par le programme ...35. - Source triées par le nombre d'alertes, capturées par Snort ...35. - Correspondances entre des clusters et des signatures Snort...36. - Attaques effectuées par la source X.X.X.X, détectées par le programme ...37. - Attaques effectuées par la source X.X.X.X , détectées par Snort...37. - Attaques effectuées par la source Y.Y.Y.Y, détectées par le programme ...38. - Attaques effectuées par la source Y.Y.Y.Y, détectées par Snort ...38. - Un exemple d'une alerte au format IDMEF générée par le programme ...41. - En effet, les pots de miel sont des machines créées pour gagner des informations sur des attaques sur l’Internet. - compose de trois pots de miel qui sont en fait trois machines virtuelles. - Le but de ces pots de miel est de collecter des attaques sur l’Internet. - Dans [2], en utilisant des données capturées par les plateformes des pots de miel, M. - Cette liste de signatures représente donc les caractéristiques des attaques ayant déjà été observées par les différents pots de miel. - Nous nous sommes intéressés à développer un programme d’alerte. - Pour chaque nouvelle activité, le programme compare avec les signatures existantes et envoie le résultat de cette recherche à OWL - une console de corrélation d’alertes développée par France Télécom, au format standard IDMEF.. - • Développer le programme d’alerte, définir un format IDMEF pour des alertes générées.. - Ce chapitre présente tous les travaux concernant ce stage : les plateformes des pots de miel,. - Chapitre 3 : Programme d’alerte. - 2.1 Plateformes des pots de miel. - Nous commençons par la plateforme répartie des pots de miel déployée par Eurecom et ensuite l’algorithme de regroupement des attaques proposé par M. - Grâce au résultat de cet algorithme appliqué sur les données collectées par cette plateforme pendant un an, nous pouvons développer ce programme d’alerte. - Puis nous abordons le format IDMEF dans lequel le programme génère des alertes. - 2.1 Plateformes des pots de miel 2.1.1 Architecture générale. - Plateformes distribuées des pots de miel. - Sur chaque plateforme sont installés des pots de miel afin de surveiller des attaquants. - Un pot de miel. - Une plateforme se compose de trois machines virtuelles ou trois pots de miel. - Ces pots de miel sont simulés en utilisant VMWare ou Honeyd. - Cela permet d’éviter le cas où les pots de miel sont utilisés pour attaquer les autres.. - Les clusters obtenus sont utilisés comme des signatures dans le programme d’alerte. - 3.1 Test de l’environnement OWL. - Chapitre 3 Programme d’alerte basé sur des pots de miel distribués. - Ensuite nous discuterons le processus de construction du programme d’alerte. - Enfin, nous décrivons les scripts pour faire des corrélations des alertes générées par le programme.. - 3.2 Programme d’alerte basé sur des pots de miel distribués 3.2.1 Architecture générale. - 3.2 Programme d’alerte basé sur des pots de miel distribués. - Le programme maintient une liste de clusters. - Le programme utilise la liste comme une base de connaissance lors de la détection des attaques. - Cette liste de clusters est obtenue en analysant des trafics sur des plateformes de pots de miel [2].. - Par contre, le programme générera une alerte qui signale la détection d'un nouvel outil d'attaque. - Comme illustré dans la figure 8, le programme se compose de quatre fonctions principales.. - Lors que le programme démarre, les clusters sont chargés dans la mémoire. - Perl est particulièrement performant pour le traitement du texte donc il est convenable pour le programme qui doit analyser beaucoup de données en texte.. - • n 1 , n 2 , n 3 : le nombre de paquets envoyés aux pots de miel 1, 2, 3. - Le programme est assez flexible pour ajouter d'autres attributs facilement. - Lorsque le programme s’initialise, les clusters sont chargés dans la mémoire.. - 3.2.3 Calcul de l’expression de Levenshtein. - chaîne(attaque_i) retourne la chaîne de l’attaque i. - Pour assurer la capture sans perte des paquets, le programme est organisé en deux processus parallèles. - Comme cela a été dit, une plateforme est composée de trois pots de miel. - format réduit pour le programme est présenté par le modèle orienté objet dans la figure 16.. - • Target : machine cible de l’événement. - Cette classe contient des informations concernant la machine d’origine de l’événement qui a généré l’alerte. - Cette classe contient des informations concernant la machine cible de l’événement qui a généré l’alerte. - Dans notre cas, ce sont des pots de miels dans une plateforme. - Ces informations sont définies par le fournisseur de l’alerte. - Dans ce cas, nous fournissons des informations afin de caractériser un outil d’attaque comme la séquence de ports, le protocole, le nombre de pots de miel attaqués, le nombre de paquets, etc. - Nous lançons en même temps Snort et le programme d’alerte pour détecter cette adresse. - Toutes les alertes générées par Snort et par le programme sont analysées. - Ces données sont chargées par Snort et par le programme d'alerte.. - Données sur deux plateforme chargées par Snort et le programme. - • aaaa.honeypot: Les données sur la plate-forme aaaa, chargées par le programme.. - • bbbb.honeypot: Les données sur la plate-forme bbbb, chargées par le programme.. - On voit que pour toutes les deux plateformes, le nombre de sources capturées par le programme est beaucoup plus supérieur que le nombre de sources capturées par Snort. - Pour la plate-forme aaaa, seulement 855 machines source sont capturées par Snort lorsque 13731 machines sont capturées par le programme. - Pour la plate-forme bbbb, seulement 1954 machines sont détectées par Snort par rapport à 18131 machines détectées par le programme. - De la même façon, le nombre de signatures détectées par Snort est très limité par rapport à celles détectées par le programme. - Seulement 40 signatures différentes sur la plateforme bbbb et 4 signatures sur la plateforme aaaa sont détectées par Snort tandis que 3019 signatures sur la plateforme bbbb et 2854 signatures sur la plateforme aaaa sont détectées par le programme. - Cela signifie que le programme fournit plus d'informations sur les attaques que Snort. - Outils d’attaque détectés par le programme. - Par conséquent, le programme peut mettre à jour sans cesse et immédiatement sa base de connaissances avec de nouveaux outils d'attaque détectées.. - En général, pour une source d'attaque, le programme génère moins d'alertes que Snort. - IPs triées par le nombre d'alertes, capturées par le programme. - Source triées par le nombre d'alertes, capturées par Snort. - Ces figures illustrent le nombre d'alertes générées par le programme et par Snort pour quelques sources d'attaque sur la plateforme bbbb. - Cette liste sera utilisée comme référence pour des outils détectés par le programme.. - Attaques effectuées par la source X.X.X.X , détectées par le programme. - Selon le programme, la machine X.X.X.X a attaqué le port 80 des trois pots de miel. - Attaques effectuées par la source Y.Y.Y.Y, détectées par le programme. - Nous avons introduit le problème de détection d’intrusions en exploitant les données contextuelles fournies par des pots de miel. - Nous avons parlé d’abord des plateformes réparties des pots de miel déployées à plusieurs endroits sur l’Internet. - Les pots de miel collectent des trafics malveillants et les envoient chaque jour à une base centrale. - Ces clusters sont utilisés comme les signatures dans le programme d’alerte que nous avons développé après.. - Puis, nous avons présenté les tâches à réaliser liées au test de l’outil OWL et au développement du programme d’alerte. - Les alertes générées par le programme ont été comparées avec les alertes Snort. - Le programme a été testé et validé par des données de plusieurs plateformes. - Www.snort.org.. - Un exemple d'une alerte au format IDMEF générée par le programme