Les systèmes de détection des réseaux de zombies fonctionneraient-ils mieux sans notre intervention?

//Les systèmes de détection des réseaux de zombies fonctionneraient-ils mieux sans notre intervention?

Les systèmes de détection des réseaux de zombies fonctionneraient-ils mieux sans notre intervention?

Analyse du comportement de réseaux de zombies : performance des systèmes fondés sur l’analyse des données et un minimum d’information prédéfinie

Le problème des réseaux de zombies prend de l’ampleur. Mais de quoi s’agit-il? Ce sont des réseaux d’ordinateurs infectés par un maliciel permettant de les contrôler sans la permission de leur propriétaire. Les systèmes et les méthodes qu’ils utilisent pour fonctionner changent constamment et en compliquent donc la détection. Cela dit, ils doivent d’une façon ou d’une autre suivre un processus de mise à jour automatisée, et c’est en surveillant leurs communications qu’on peut les détecter. L’arrivée de nouvelles méthodes de fonctionnement nuit à la détection des nouveaux réseaux de zombies au moyen de données tirées d’anciens maliciels. Si l’on veut créer des solutions à long terme, il faut se pencher sur ce qui fait l’efficacité d’un détecteur de réseau de zombies.

Haddadi et Zincir-Heywood ont comparé cinq systèmes de détection utilisant différentes méthodes de reconnaissance des maliciels. Elles ont utilisé des ensembles de données mis à jour régulièrement et analysé le contenu des messages ainsi que celui extrait du flux de communications. Quatre méthodes de détection reposaient sur les données tirées de maliciels existants.

Les chercheuses ont réalisé des essais pour comparer les cinq systèmes : Snort, BotHunter, Tranalyzer-2, FlowAF et un système d’analyse des données utiles de paquets.

Système Description
Snort Système de détection et de prévention des intrusions qui compare les paquets de données à des signatures prédéfinies (ensembles de règles) en fonction de connaissances acquises. Accessible au public.
BotHunter Système partant du principe que tous les processus d’infection des réseaux de zombies sont semblables; détection des paquets infectés en fonction d’actions précises des maliciels à différentes étapes de leur cycle de vie. Accessible au public.
FlowAF Système utilisant un algorithme d’apprentissage automatique pour classer les communications provenant de réseaux de zombies en fonction des intervalles entre les paquets ou entre les transmissions unidirectionnelles.
Tranalyser-2 Systèmes utilisant un algorithme d’apprentissage automatique pour détecter les maliciels en fonction des caractéristiques des transmissions unidirectionnelles de paquets, plutôt qu’en analysant les paquets individuellement. Le système choisit lui-même les caractéristiques les plus utiles plutôt que celles présélectionnées par un spécialiste.
Système d’analyse des données utiles de paquets Système misant sur la comparaison à des types connus de paquets de maliciels en fonction de leurs caractéristiques (p. ex. port, protocole ou taille).

Snort, BotHunter, FlowAF et le système d’analyse des données utiles de paquets utilisent tous des données prédéfinies par un spécialiste pour déterminer les règles et caractéristiques de détection des maliciels. Le système d’analyse du flux Tranalyzer-2 utilise un minimum de données prédéfinies pour extraire un large spectre de caractéristiques de détection. Les chercheuses ont mis à l’essai les cinq systèmes au moyen de 25 ensembles de données de maliciels accessibles au public. Les résultats indiquent que les systèmes Tranalyzer-2 et FlowAF surpassent les autres, ce qui suggère que l’utilisation de caractéristiques précises pourrait limiter la capacité d’un système à détecter de nouvelles menaces. En effet, il est logique qu’un système doive pouvoir adapter sa méthode de détection en fonction de ce qui se produit dans son environnement. Les méthodes de classement permettant de détecter les anomalies dans les communications sans utiliser de données prédéfinies seraient meilleures à long terme, puisqu’elles s’adaptent. Il semble que les caractéristiques les plus utiles à la détection des maliciels soient celles liées au flux de communications et, plus précisément, à l’intervalle entre les paquets de données. On peut donc conclure que le flux de communications des réseaux de zombies, même décentralisés, est suffisamment différent de celui d’un utilisateur normal pour être détecté.

Les systèmes dont la détection repose sur des critères prédéfinis sont désavantagés, car les logiciels malveillants évoluent constamment, limitant l’utilité des données recueillies par le passé.

Les systèmes utilisant la découverte de modèles malveillants en supplément de données prédéfinies – et sans se fier à celles-ci – pourraient s’avérer plus efficaces pour détecter les réseaux de zombies inconnus.

Haddadi, F. & Zincir-Heywood A. N. (2017). “Botnet behaviour analysis: How would a data analytics-based system with minimum a priori information perform?” International Journal of Network Management.

By | 2018-01-24T09:29:34+00:00 janvier 23rd, 2018|Serene Risc|Commentaires fermés sur Les systèmes de détection des réseaux de zombies fonctionneraient-ils mieux sans notre intervention?