Analyse des logs pour les besoins de détection de logiciels malveillants
Auteur / Autrice : | Routa Moussaileb |
Direction : | Yann Busnel, Jean-Louis Lanet |
Type : | Thèse de doctorat |
Discipline(s) : | Informatique |
Date : | Soutenance le 08/10/2020 |
Etablissement(s) : | Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire |
Ecole(s) doctorale(s) : | École doctorale Mathématiques et sciences et technologies de l'information et de la communication (Rennes) |
Partenaire(s) de recherche : | Laboratoire : Lab-STICC_IMTA_CID_IRIS - Département Systèmes Réseaux, Cybersécurité et Droit du numérique - Laboratoire en sciences et techniques de l'information, de la communication et de la connaissance |
Jury : | Président / Présidente : Pascal Urien |
Examinateurs / Examinatrices : Yann Busnel, Jean-Louis Lanet, Jean-Yves Marion, Maroun Chamoun, Nora Cuppens, José M. Fernandez, Hélène Le Bouder | |
Rapporteur / Rapporteuse : Jean-Yves Marion |
Mots clés
Mots clés contrôlés
Mots clés libres
Résumé
Les rançongiciels demeurent la menace informatique principale pour les particuliers, les entreprises et les gouvernements. Les conséquences de ces attaques peuvent causer des pertes irréversibles si les exigences des attaquants ne sont pas satisfaites à temps. Cette thèse cible les rançongiciels Windows. Ils affectent les données des utilisateurs sauvegardées sur les ordinateurs ainsi que de nombreux services publics. Quatre étapes de l’attaque des rançongiciels sont définies : infection, déploiement, destruction et transaction. Les contre-mesures sont regroupées selon les techniques utilisées et attribuées à chaque phase de l'attaque. Cette thèse présente trois contributions. Le premier mécanisme de détection est situé dans la couche du système de fichiers. Il est basé sur la traversée du système qui permet d’exposer les comportements malveillants. Cette thèse propose également une analyse du trafic réseau. Les échantillons sont collectés pour une détection au niveau des paquets. Une étude des notes de rançon est faite pour situer la contre-mesure réseau dans l'étape appropriée de l’intrusion. La dernière contribution donne un aperçu des attaques, particulièrement des Doxware. Un modèle de quantification qui explore le système de fichiers Windows à la recherche de données importantes est présenté et complémenté par les pots de miels pour protéger les fichiers sensibles. Enfin, cette thèse offre des perspectives permettant d'établir un meilleur plan d’action pour les chercheurs.