Advanced Security Monitoring and Assessment
Audit et monitorage de la sécurité
Abstract
This document describes my main research activities, performed over the pas few years. It starts with a summarized historical overview of my activities and continues with detailed content on a selection of topics. The document starts with syntax driven approaches for service and network fingerprinting scheme, showing how parse trees of captured messages are serving to learn distinctive features capable to perform fingerprinting. We consider next the case of unknown protocols and propose an unsupervised learning method based on support vector clustering - SCV. The follow-up part of the document considers the behavioral fingerprinting, based on the analysis of temporal and state machine induced feature. We introduce the TR-FSM, a tree structured parametrized finite state machine having time annotated edges. A TR-FSM represents a fingerprint for device/stack. Several such fingerprints are associated with a device. We propose a supervised learning method, where support vector machines do use kernel functions defined over the space of TR-FSMs. We validated our approach using SIP as a target protocol. We address also the security monitoring of VoIP and present new monitoring approaches for VoIP specific environments. We address next the the practical outcomes of our fuzzing approach. We summarize the fuzzing architecture and give an overview on some of the most surprising vulnerabilities that we have found. We present a short positioning of our work with respect to relevant ongoing international activities in the sixth chapter. The final chapter of this manuscript concludes and points out the future activities to be undertaken.
Ce manuscrit synthétise les activités de recherche que nous avons menées, au cours des ces dernières années dans le domaine de la gestion de réseaux, et contient une présentation des enjeux pour la décénie à venir. Il contient également un projet de recherche ambitieux visant á répondre aux défis de la sécurité de l'Internet du futur. Nous présentons nos travaux sur l'audit de sécurité en abordant le problème du "fingerprinting", c'est à dire la détection par prise d'empreintes d'une couche protocolaire et/ou d'un équipement. La prise d'empreintes d'un système est une action essentielle dans l'audit de sécurité d'un réseau. L'objectif de ce processus consiste dans la détection d'une version spécifique d'un service/équipement par l'analyse du trafic véhiculé sur le réseau. Nous avons elaboré deux approches de "fingerprinting". La première s'appuie sur l'analyse des arbres d'analyse syntactique pour les messages d'un protocole. Nous abordons ensuite la problématique du "fingerprinting" pour le cas des protocoles dont nous ne disposons pas de spécifications. L'approche que nous présentons est capable d'inférer les divers types de messages et de construire une (ou plusieurs) machine d'états. Ces machines d'états sont les fondements pour définir le comportement. Nous proposons à la suite une approche de fingerprinting qui permet la prise en compte du comportement d'une souche protocolaire. Nous développons ensuite la problématique liée à la surveillance de sécurité d'un réseau. Celle-ci comprend deux parties principales: le monitoring pour la détection d'intrusions et un pot de miel pour la VoIP. La dernière contribution est une approche pro-active élevée pour la détection de failles de sécurité par un processus de type "fuzzing".
Loading...