Analyse et inférence de propriétés dans les protocoles industriels

Documents pareils
Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

SIP. Sommaire. Internet Multimédia

M1 Informatique, Réseaux Cours 9 : Réseaux pour le multimédia

Voix sur IP Étude d approfondissement Réseaux

SIP A. Aoun - La Visioconférence SIP - 1

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

Dr.Web Les Fonctionnalités

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

Rapport du projet Qualité de Service

Services Réseaux - Couche Application. TODARO Cédric

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Voix sur IP. Généralités. Paramètres. IPv4 H323 / SIP. Matériel constructeur. Asterisk

21 mars Simulations et Méthodes de Monte Carlo. DADI Charles-Abner. Objectifs et intérêt de ce T.E.R. Générer l'aléatoire.

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

La VOIP :Les protocoles H.323 et SIP

Notions de sécurités en informatique

VoIP ( H323,SIP) et sécurits. curité. Kamel HJAIEJ SUP COM

VoIP - TPs Etude et implémentation

Comment optimiser ses moyens de métrologie?

Réunion du 1er Avril VoIP : théorie et réalité opérationnelle. info@ipercom.com

VOIP. QoS SIP TOPOLOGIE DU RÉSEAU

L identité numérique. Risques, protection

GENERALITES. COURS TCP/IP Niveau 1

Critères d évaluation pour les pare-feu nouvelle génération

Principaux utilisateurs du Réseau

Cours n 12. Technologies WAN 2nd partie

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Déploiement sécuritaire de la téléphonie IP

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Groupe Eyrolles, 2004, ISBN :

Créée en 2002, la société PineApp est pionnière sur le. Le siège de la société se trouve aux États-Unis, avec des

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

Sécurité et Firewall

La sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security

Outils d administration

IKare Guide utilisateur

Introduction aux antivirus et présentation de ClamAV

SEMINAIRES & ATELIERS EN TÉLÉCOMMUNICATIONS RESEAUX

(structure des entêtes)

10 façons d optimiser votre réseau en toute sécurité

Exemple de configuration ZyWALL USG

MANUEL D INSTALLATION D UN PROXY

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Microsoft Internet Security and Acceleration Déploiement et gestion de Microsoft Internet Security and Acceleration Server 2000

Laboratoire de Haute Sécurité. Télescope réseau et sécurité des réseaux

NOTIONS DE RESEAUX INFORMATIQUES

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

La VoIP: Les protocoles SIP, SCCP et H323. Jonathan BRIFFAUT Alexandre MARTIN

Skype (v2.5) Protocol Data Structures (French) Author : Ouanilo MEDEGAN

Catalogue «Intégration de solutions»

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

Présentation Internet

Sécurité de la ToIP Mercredi 16 Décembre CONIX Telecom

Projet Système & Réseau

Master e-secure. VoIP. RTP et RTCP

Entensys Corporation UserGate Proxy & Firewall Guide du revendeur

La voix sur IP n'est pas un gadget, et présente de réels bénéfices pour l'entreprise.

1 LE L S S ERV R EURS Si 5

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Devoir Surveillé de Sécurité des Réseaux

ADSL. Étude d une LiveBox. 1. Environnement de la LiveBox TMRIM 2 EME TRIMESTRE LP CHATEAU BLANC CHALETTE/LOING NIVEAU :

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security

Figure 1a. Réseau intranet avec pare feu et NAT.

Votre Réseau est-il prêt?

Réseaux CPL par la pratique

Calcul de la bande passante réelle consommée par appel suivant le codec utilisé

Messagerie. Dominique MARANT CRI Lille 1. Octobre 2006

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Gamme d appliances de sécurité gérées dans le cloud

Spécialiste Systèmes et Réseaux

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Les sites Internet dynamiques. contact : Patrick VINCENT pvincent@erasme.org

Vulnérabilités et sécurisation des applications Web

Plan. Programmation Internet Cours 3. Organismes de standardisation

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

2. DIFFÉRENTS TYPES DE RÉSEAUX

Les bases de données

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

SIP. Plan. Introduction Architecture SIP Messages SIP Exemples d établissement de session Enregistrement

Le filtrage de niveau IP

Les cahiers pratiques de Anonymat.org. SocksCap32. Edition du 20 Octobre 2000

Culture informatique. Cours n 9 : Les réseaux informatiques (suite)

La Gestion des Applications la plus efficace du marché

RCS : Rich Communication Suite. EFORT

VTX FTP. Transfert de fichiers business par FTP - Manuel de l'utilisateur. Informations complémentaires : info@vtx.

Internet et Programmation!

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Application des Spécifications détaillées pour la Retraite, architecture portail à portail

Date Titre de la présentation COMMENT VÉRIFIER LES PERFORMANCES RESSENTIES PAR L UTILISATEUR D UNE APPLICATION MOBILE JANV 2015

Réseaux. 1 Généralités. E. Jeandel

Adresse directe fichier : Adresse url spécifique sur laquelle le lien hypertext du Client doit être

Caches web. Olivier Aubert 1/35

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Arguments clés. (1) : disponible sur certaines offres

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

18 TCP Les protocoles de domaines d applications

Pourquoi un SBC? Brique d interconnexion entre domaines IP. V. Durepaire - 6 mars

Transcription:

Analyse et inférence de propriétés dans les protocoles industriels Stuxnet, Duqu, Flame vs Aramis Emmanuel Perrier Laboratoire d Informatique de Grenoble Équipes Drakkar et Vasco 101010110001101000010101 110011011110011010100001 011011110011011010111011 011100011011000001111011 110011111110000011000011 000110011101101010001100 001101010101100000001101 010100110111001011111010 100110000110111001001100 001010011100001001001101 101111010010010111111001 010110111110111100010110 011110010001001111000100 asco Afadl, 7 juin 2016

SCADA : Supervisory Control and Data Acquisition 1 / 15

Comment améliorer la sécurité? 2 / 15 Cartographier l environnement, détecter une modification dans l environnement Identification de paramétrage applicatif, mise en évidence de paramétrages erronés Détection d attaques (DoS, malware, ) Filtrage fin du trafic

Comment améliorer la sécurité? 3 / 15 Faire coopérer deux approches : Classification de flux applicatif et détection d intrusion, Maciej Korczyński, 2012 Classification du trafic Détection de vulnérabilité au sein d application web, Karim Hossen, 2014 Inférence de modèle

Objectifs et buts de la classification du trafic 4 / 15 Buts : Filtrage du trafic Détection d attaques Qualité de service Moyens : Caractérisation du trafic (Web, VoIP, p2p, games, attack, ) Caractérisation de l application (Google, Skype, Dropbox, ) Classification du protocole (HTTP, HTTPS, FTP, Skype, ) Difficultés : Trafic varié, inconnu Trafic chiffré Trafic complexe (port aléatoire, inhabituel, )

Approches pour la classification du trafic 5 / 15 Approches de classification Contenu Indépendant du contenu Port Corps Caractéristiques du flux Comportement du host En-tête Message En-tête L2-L4 En-tête du protocol applicatif Fig. 1 : Approches pour la classification du trafic

Méthodes de classification de trafic 6 / 15 Méthodes de classification Heuristique Filtrage de motif Reconnaissance de motif Apprentissage supervisé Apprentissage non-supervisé Fig. 2 : Méthodes de classification de trafic

Classification de trafic avec SPID Méthode d apprentissage supervisé dans l outil SPID (Statistical Protocol IDentification) 1- Séparation en flux 2- Analyse des flux 3- Opération paquets flux Mesure des attributs : - byte frequency - byte pairs reoccuring count -byte value offset hash - Modélisation du traffic ou Classification du traffic Fig. 3 : Principe de fonctionnement de SPID La classification du trafic résulte de la comparaison des deux distributions de probabilités obtenues lors de l apprentissage et de la mesure en cours. 7 / 15

Définition et sélection des attributs 8 / 15 Il existe un ensemble d attributs prédéfini qui sont efficaces pour les protocoles réseaux les plus répandus. Exemples : direction bytes meter : débit ascendant/descendant action-reaction of first bytes : valeur des 3 premiers octets dans les deux premiers paquets de sens différent byte value+offset : valeur combiné à la position des octets Sélection des attributs par une méthode d introduction progressive.

Résultats pour la classification des flux Skype Tab. 1 : Performance de la reconnaissance du trafic Skype Trafic Précision % Rappel % Skype 100 100 Autre 100 100 Tab. 2 : Performance de la classification détaillée du trafic Skype Service Skype Précision % Rappel % voix 72.9 57.4 vidéo 60.3 73.2 skypeout 100 96.6 chat 90.2 97.4 upload 100 96.9 download 100 97.5 9 / 15

Objectif et buts de l inférence de modèle 10 / 15 Buts : Identifier le système ou sa configuration Détecter des défauts, des déviations ou des vulnérabilités Produire des oracles et des filtres de comportements complexes Moyen : Modélisation formelle du comportement observable d un système concret Difficultés : Identifier les variables et leurs paramètres possibles Domaine de valeur complexe/important Valeur aléatoire ou dépendante de l environnement Inférence des relations entre les entrées et les sorties

Principe de l inférence 11 / 15 Génère Modèle Tests Interagit Système (boîte-noire) Infère Fig. 4 : Principe de l inférence

Démarche d inférence 12 / 15 S0 e1(5) / s(5,54) e2(5) / Ω S? S? e1(5) / Ω e2(5) / KO e1(5) / s(5,71) e2(5) / Ω Fig. 5 : Exploration

Démarche d inférence 12 / 15 S0 e1(5) / s(5,54) e2(5) / Ω S? S? e1(5) / Ω e2(5) / KO e1(5) / s(5,71) e2(5) / Ω Fig. 5 : Exploration puis détection des états similaires

Démarche d inférence 12 / 15 S0 e1(5) / s(5,54) e2(5) / Ω S? S? e1(5) / Ω e2(5) / KO e1(5) / s(5,71) e2(5) / Ω e2(5) / Ω S0 e1(5) / s(5,54) e2(5) / Ω S? e1(5) / Ω e2(5) / KO Fig. 5 : Exploration puis détection des états similaires

Résultats de la modélisation de serveur SIP 13 / 15 Outil : Simpa Infers Models Pretty Automatically (SIMPA) En 26 requêtes ( 10 secondes) ACK/TIMEOUT ACK/TIMEOUT INVITE/407 S0 REGISTER/200 BYE/482 REGISTER/200 INVITE/407 S0 REGISTER/200 REGISTER/200 BYE/482 ACK/TIMEOUT S1 INVITE/491 REGISTER/200 INVITE/200 REGISTER/200 INVITE/407 ACK/TIMEOUT S2 S3 BYE/TIMEOUT BYE/482 ACK/TIMEOUT BYE/407 ACK/TIMEOUT S1 BYE/407 REGISTER/200 REGISTER/200 INVITE/200 INVITE/407 ACK/TIMEOUT S2 S3 ACK/TIMEOUT INVITE/482 BYE/407 BYE/407 Fig. 6 : Modèles inférés sur sip2sip.net et iptel.org

Conclusion 14 / 15 Méthode de classification du trafic : permet une identification de trafic même chiffré l utilisation de plusieurs proxy ssl réduit l intérêt la détection de l activité d un malware la différentiation des systèmes présents Méthode d inférence de modèle : fournit un modèle complet permet une analyse poussée du système et de son état nécessite une connaissance préalable : interface avec le système nécessite des interactions Deux approches complémentaires.

Applications possibles 15 / 15 assister la définition des règles de filtrage filtrage plus fin du trafic réseau mise en évidence de comportement déviant identification et vérification des systèmes OPC-UA la vérification des règles d autorisation

Questions?

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back