SGNET : automated protocol learning for the observation of malicious threats

Un des prealables au developpement de defenses fiables pour la protection d'un reseau informatique est la collection de donnees quantitatives sur les menaces qui le visent depuis l'Internet. Ce besoin de « connaitre notre ennemi » induit un interet croissant pour la collecte et l'exploitation des informations sur les activites malveillantes observables. La creation de bases de donnees recensant ces evenements n'est pas une tâche facile. En effet, il faut pouvoir tenir compte de la diversite quantitative et spatiale des attaques. La collecte des donnees doit etre pratiquee sur une grande echelle car les sources et destinations d'attaques ne sont pas uniformement reparties sur l'espace des adresses IP. En meme temps, les techniques de collecte de donnees doivent etre suffisamment sophistiquees pour extraire une quantite suffisante d'informations sur chaque activite et permettre des deductions sur les phenomenes observes. Il faut donc pouvoir deployer un grand nombre de capteurs et chacun de ces capteurs doit etre a meme de fournir des informations riches. Ce travail propose une solution qui concilie facilite de deploiement et richesse de collecte. Il introduit de nouvelles techniques pour construire des systemes de collecte de donnees simples mais evolutives, capables de fournir des informations detaillees sur les evenements observes. Ces techniques sont mises en pratique dans un systeme distribue qui a recueilli des informations sur une periode de 8 mois dans 23 differents reseaux situes dans le monde entier (Europe, Australie, Etats Unis). Ces informations ont ete organisees dans un base de donnees, et une methode d'analyse a ete proposee et validee sur ces donnees.