Classification, détection et prévention des abus de noms de domaine
Auteur / Autrice : | Sourena Maroofi |
Direction : | Andrzej Duda, Maciej Korczynski |
Type : | Thèse de doctorat |
Discipline(s) : | Informatique |
Date : | Soutenance le 15/11/2021 |
Etablissement(s) : | Université Grenoble Alpes |
Ecole(s) doctorale(s) : | École doctorale Mathématiques, sciences et technologies de l'information, informatique (Grenoble ; 1995-....) |
Partenaire(s) de recherche : | Laboratoire : Laboratoire d'informatique de Grenoble (2007-....) |
Equipe de recherche : Equipe de recherche Drakkar (Grenoble ; 20..-....) | |
Jury : | Président / Présidente : Vivien Quéma |
Rapporteur / Rapporteuse : Laurent Toutain, Philippe Owezarski |
Mots clés
Mots clés contrôlés
Mots clés libres
Résumé
Le système de noms de domaine (DNS) joue un rôle important dans l'infrastructure Internet actuelle. Des milliers de noms de domaine sont enregistrés chaque jour à des fins différentes. Parmi ceux-ci, certains sont enregistrés quotidiennement par des mécréants et utilisés de manière abusive sous différentes formes, telles que des campagnes de spam, des attaques de phishing et la distribution de logiciels malveillants. Cette thèse présente trois contributions liées à l'abus de DNS comme suit :La conception d'un système de réputation DNS pour distinguer les noms de domaine enregistrés de manière malveillante des noms de domaine compromis. Le système proposé (COMAR) est capable de classer les noms de domaine en fonction de plusieurs caractéristiques extraites des enregistrements de ressources DNS, de l'âge du domaine, de l'historique du domaine et du contenu du site Web sous-jacent. Toutes les ressources que nous utilisons pour extraire les caractéristiques sont accessibles au public, ce qui rend le système pratique pour toute organisation n'ayant pas accès à un ensemble de données privilégié.Évaluation des entités anti-hameçonnage existantes et de leurs performances concernant les attaques de phishing avancées utilisant des techniques d'évasion. Nous enregistrons plus de 100 noms de domaine et simulons des attaques de phishing en créant de faux sites Web de phishing et en utilisant des techniques d'évasion. Ensuite, nous signalons ces sites de phishing aux entités anti-hameçonnage et surveillons leur comportement sur notre serveur. L'objectif est de vérifier s'ils sont capables de contourner les techniques d'évasion.Évaluer l'adoption d'extensions de sécurité pour les e-mails afin de prévenir l'usurpation d'identité. Les extensions de sécurité des e-mails sont considérées comme des outils efficaces pour prévenir l'usurpation d'identité. Cependant, le faible taux de déploiement de ces extensions conduit à des milliers d'emails usurpés par jour. Cette recherche mesure le taux d'adoption des extensions de sécurité des e-mails en effectuant deux campagnes de mesure différentes pour i) les domaines enregistrés de manière défensive et ii) le taux d'adoption global pour plus de 200 millions de noms de domaine.