FR2954547A1 - Procede de detection d’un detournement de ressources informatiques - Google Patents

Procede de detection d’un detournement de ressources informatiques Download PDF

Info

Publication number
FR2954547A1
FR2954547A1 FR0959335A FR0959335A FR2954547A1 FR 2954547 A1 FR2954547 A1 FR 2954547A1 FR 0959335 A FR0959335 A FR 0959335A FR 0959335 A FR0959335 A FR 0959335A FR 2954547 A1 FR2954547 A1 FR 2954547A1
Authority
FR
France
Prior art keywords
parameter
resources
network
external network
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0959335A
Other languages
English (en)
Other versions
FR2954547B1 (fr
Inventor
Laurent Clevy
Antony Martin
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel Lucent SAS
Original Assignee
Alcatel Lucent SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to FR0959335A priority Critical patent/FR2954547B1/fr
Application filed by Alcatel Lucent SAS filed Critical Alcatel Lucent SAS
Priority to CN201080057935.3A priority patent/CN102792306B/zh
Priority to KR1020127016005A priority patent/KR101443472B1/ko
Priority to PCT/FR2010/052639 priority patent/WO2011083226A1/fr
Priority to EP10805798A priority patent/EP2517139A1/fr
Priority to JP2012545374A priority patent/JP5699162B2/ja
Priority to US13/515,316 priority patent/US9104874B2/en
Publication of FR2954547A1 publication Critical patent/FR2954547A1/fr
Application granted granted Critical
Publication of FR2954547B1 publication Critical patent/FR2954547B1/fr
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

La présente invention concerne un procédé de détection d'un détournement de ressources informatiques (111), situées dans un réseau interne (100) mettant en œuvre des critères de sécurité et de confidentialité propres à ce réseau interne (100), reliées à un réseau externe (102), dépourvu de tels critères de sécurité et de confidentialité, au moyen d'une connexion (104) gérée par un fournisseur d'accès, caractérisé en ce qu'il comprend les étapes suivantes: - L'étape (106) de mémoriser un paramètre (108) de connexions mis en œuvre par les ressources informatiques (111) pour communiquer avec le réseau externe (102), - L'étape (112) de traiter ce paramètre (108) mémorisé selon une fonction irréversible, générant un code unique correspondant audit paramètre mémorisé mais ne permettant pas l'identification dudit paramètre à partir du code généré correspondant, et - L'étape (114) de transmettre à un serveur (118) localisé dans le réseau externe ledit code généré afin que ce serveur (118) puisse effectuer une analyse de l'activité des ressources informatiques (111) à partir dudit code unique et détecter un détournement des ressources informatiques .

Description

Procédé de détection d'un détournement de ressources informatiques La présente invention concerne un procédé de détection d'un détournement de ressources informatiques. Un nombre croissant d'utilisateurs disposent de ressources informa-tiques, tels que des ordinateurs personnels ou des téléphones portables, connectées à des réseaux publics comme le réseau Internet. Ces connexions peuvent alors être mises à profit par des tiers mal-veillants, également dénommés « pirates » ou « hackers », pour contaminer ces ressources au moyen de logiciels, dénommés virus, et détourner leur activité au profit d'opérations abusives, voire illicites.
Généralement les utilisateurs des ressources détournées manquent d'une formation en informatique leur permettant de protéger leurs ordinateurs de façon satisfaisante et/ou de détecter la contamination desdites ressources. De fait les détournements des ressources informatiques sont généra- lement mises en oeuvre de façon à ne pas perturber le fonctionnement des ressources, ce qui permet notamment de ne pas éveiller les soupçons de l'utilisateur desdites ressources quant à une contamination. Tel est le cas des virus informatiques dénommés « Bots », ou « Bot-Nets » pour « Network of Bots », qui se propagent en minimisant l'impact visible sur les ordinateurs contaminés. Il convient de noter que de tels virus peuvent néanmoins effectuer des opérations de piratage particulièrement dommageables pour les utilisateurs des ressources contaminées et détournées. A titre d'exemple, de tels virus « discrets » connus peuvent subtiliser des données confidentielles, tels que des numéros de codes et de comptes bancaires, pour les communiquer à des tiers qui utiliseront ces données confidentielles de façon frauduleuse.
Egalement, on connait des virus discrets qui commandent l'envoi de courrier abusif, ou « SPAM » en anglais, de « Distributed Denial of Services » (DDOS) qui génère l'envoi en grand volume (depuis plusieurs centaines ou milliers de machines infectées) de messages réseau erronés, en direction d'un site du réseau Internet afin d'en perturber ou d'en stopper le service, voire même qui commandent l'hébergement de contenus illégaux relatifs à, par exemple, de la pédophilie. Dans ce cas, de tels virus portent atteinte à la réputation, voire à la responsabilité juridique, de l'utilisateur des ressources détournées.
En effet, il apparaît que les utilisateurs encourent le risque d'être tenu pour responsables des dommages commis par leurs ressources informa-tiques contaminés si ces utilisateurs ne démontrent pas avoir mis en place des mesures de sécurité adéquates, ce qui n'est pas simple pour un utilisateur non spécialisé en informatique.
Finalement un dernier problème avec de tels virus « discrets » réside dans leur forte capacité de contamination puisque, à défaut de constater un dysfonctionnement de ses ressources contaminées, un utilisateur tardera un temps significatif û au cours duquel se propagera la contamination û avant d'agir éventuellement à l'égard du virus.
Afin de détecter de tels détournements des ressources informatiques, il est connu de mettre en oeuvre des logiciels anti-virus dont les performances sont limitées à des virus préalablement identifiés, selon une approche statique selon laquelle les signatures, ou empreintes, de virus dans les bases d'antivirus sont statiques, alors même que des nouveaux virus sont fréquemment générés avec, pour certains, la propriété de modifier dynamiquement leur empreinte numérique. En outre, un nombre limité d'utilisateurs effectue des mises à jour régulières de leur anti-virus. Par ailleurs, les utilisateurs de ressources informatiques sont confrontés au problème de la confidentialité des données, notamment lorsqu'un tel utilisateur se présente sous la forme d'une entreprise dans laquelle opère une pluralité de salariés. En effet, dans ce cas, les législations de nombreux états, par exemple en France, interdisent la prise de connaissance, par l'entreprise ou par un fournisseur d'accès, des connexions effectuées par un salarié à titre privé ou par un abonné au service d'accès au réseau Internet de telle sorte qu'il est n'est pas permis de détecter des connexions à des sites potentiellement dangereux.
La présente invention résulte de la constatation que, en dehors d'un réseau interne formé par des ressources informatiques soumises à des contraintes de sécurité et de confidentialité, il est possible d'identifier un détournement desdites ressources informatiques du réseau interne en analysant leur comportement, c'est-à-dire leurs connexions et/ou leurs communica- tions effectuées, vis-à-vis d'un réseau externe dépourvu de ces contraintes de sécurité et de confidentialité, typiquement un réseau public comme le réseau Internet. L'invention comprend également la constatation que dans de nombreux cas, par exemple lorsque l'utilisateur est une entreprise de petite ou de moyenne taille, voire un particulier, cet utilisateur ne dispose pas des moyens pour analyser le comportement de ces ressources et détecter un détournement de ces dernières par une telle analyse comportementale. C'est pourquoi, la présente invention concerne un procédé de détection d'un détournement de ressources informatiques, situées dans un réseau interne mettant en oeuvre des critères de sécurité et de confidentialité propres à ce réseau interne, reliées à un réseau externe, dépourvu de tels critères de sécurité et de confidentialité, au moyen d'une connexion gérée par un fournisseur d'accès, caractérisé en ce qu'il comprend les étapes sui-vantes: - L'étape de mémoriser un paramètre de connexion mis en oeuvre par les ressources informatiques pour communiquer avec le réseau externe, - L'étape de traiter ce paramètre mémorisé selon une fonction irréversible, générant un code unique correspondant au paramètre mémorisé mais ne permettant pas l'identification dudit paramètre mémorisé, et - L'étape de transmettre à un serveur localisé dans le réseau externe ledit code généré afin que ce serveur puisse effectuer une analyse de l'activité des ressources informatiques à partir dudit code unique et détecter un détournement des ressources informatiques.
Grâce à l'invention, un opérateur extérieur au réseau interne peut analyser le comportement desdites ressources tout en respectant les critères de confidentialité et de sécurité du réseau interne. Ainsi, un utilisateur ayant des moyens d'analyse informatique limités peut faire appel à un opérateur extérieur ayant les moyens, et l'expertise, nécessaires pour détecter un détournement de ses ressources tout en préservant la confidentialité et la sécurité de ses connexions. Typiquement, le paramètre de connexion peut être un nom de domaine, du type (google.fr), et/ou un nom du serveur de mail sortant du type (smtp.neuf.fr) où smtp est le protocole de courrier sortant pour « Simple Mail Transfer Protocol » en anglais. En appliquant à une pluralité de noms de domaine et/ou de serveurs de mail sortant le procédé, ce dernier peut alors détecter une activité dont l'intensité et/ou la diversité permet de suspecter un détournement des res- sources analysées. Dans une réalisation, le procédé comprend l'étape de considérer au moins un des éléments suivant comme un paramètre de connexion : un con-tenu d'un en-tête et/ou d'un corps d'un paquet transmis du réseau interne au réseau externe, des identifiants compris dans des requêtes du type DNS émises par le réseau interne vers le réseau externe, des identifiants de destinataires de courriers électroniques adressés du réseau interne vers le ré-seau externe. Selon une réalisation, le procédé comprend l'étape d'utiliser une fonction de hachage pour générer un code unique à partir dudit paramètre de connexion comme, en particulier, un nom de domaine ou une adresse de serveur de courrier. Dans une réalisation, le procédé comprend l'étape d'effectuer dans le réseau interne une analyse interne du paramètre de connexion, préalable-ment à son traitement, afin de détecter un détournement des ressources ou de générer un nouveau paramètre de connexion. Selon une réalisation, le procédé comprend l'étape supplémentaire de transmettre un rapport de l'analyse interne au serveur distant.
Dans une réalisation, le procédé comprend l'étape de transmettre des paramètres non codés avec les codes uniques générés transmis au serveur distant. Selon une réalisation, le procédé comprend l'étape de considérer des informations relatives aux conditions d'utilisation de l'utilisateur pour se connecter au réseau externe pour détecter un détournement des ressources informatiques. Dans une réalisation, le procédé comprend l'étape de considérer des informations relatives aux conditions d'accès de l'utilisateur au réseau ex- terne, ces informations étant transmises par le fournisseur d'accès, pour détecter un détournement des ressources. L'invention concerne également des ressources informatiques, situées dans un réseau interne mettant en oeuvre des critères de sécurité et de confidentialité propres à ce réseau interne, reliées à un réseau externe, dépour- vu de tels critères de sécurité et de confidentialité, au moyen d'une connexion gérée par un fournisseur d'accès, caractérisé en ce qu'il comprend: - Des moyens pour mémoriser un paramètre de connexions mis en oeuvre pour communiquer avec le réseau externe, - Des moyens pour traiter ce paramètre mémorisé selon une fonction irré- versible, générant un code unique pour ce paramètre mémorisé, ne permet-tant pas l'identification dudit paramètre à partir du code généré correspondant, et - Des moyens pour transmettre à un serveur localisé dans le réseau externe lesdits codes générés afin que ce serveur puisse effectuer une analyse de l'activité des ressources informatiques à partir dudit code unique et détecter un détournement des ressources informatiques selon un procédé conforme à l'une des réalisations précédentes. L'invention concerne également un serveur de détection d'un détournement de ressources informatiques, situées dans un réseau interne met- tant en oeuvre des critères de sécurité et de confidentialité propres à ce ré-seau interne, reliées à un réseau externe, dépourvu de tels critères de sécurité et de confidentialité, au moyen d'une connexion gérée par un fournisseur d'accès, caractérisé en ce que, le serveur étant situé dans le réseau ex- terne, il comprend des moyens pour effectuer une analyse des ressources informatiques à partir de codes uniques générés par ces ressources informatiques selon un procédé conforme à l'une des réalisations précédentes. D'autres caractéristiques et avantages de l'invention apparaîtront à la lumière de la description ci-dessous, effectuée à titre illustrative et non limi- tatif, en référence aux figures ci-jointes sur lesquelles : - la figure 1 représente une mise en oeuvre de l'invention de façon schématique, et - la figure 2 est un tableau d'analyse mis en oeuvre par un serveur conforme à l'invention. En référence à la figure 1, un procédé de détection d'un détourne-ment de ressources informatiques 101 conformément à l'invention est mis en oeuvre vis-à-vis d'un réseau interne 100 mettant en oeuvre des critères de sécurité et de confidentialité propres à ce réseau interne.
Dans cet exemple, ce réseau interne 100 est un réseau intranet d'une entreprise comprenant une pluralité de terminaux interconnectés, le critère de confidentialité comprenant l'interdiction d'identifier les noms de domaines requis par un terminal déterminé tandis que le critère de sécurité comprend l'utilisation obligatoire d'une connexion 104 à haut débit, type ADSL pour Asymmetric Subscriber Line en anglais, pour communiquer avec un réseau externe 102 formé, dans cet exemple, par le réseau Internet. Alors même que le réseau Internet 102 est dépourvu des critères de sécurité et de confidentialité précédemment mentionnés, un fournisseur d'accès gérant la connexion 104 peut implémenter un procédé de détection des détournements des ressources informatiques du réseau 100 grâce à l'invention depuis ce réseau externe 102. A cet effet le réseau interne 100 effectue l'étape 106 de filtrer et de mémoriser des paramètres 108 de connexions mises en oeuvre par les ressources informatiques 101 pour communiquer avec le réseau externe 102.
Dans cette réalisation, on considère au moins un des éléments sui- vant comme un paramètre de connexion pouvant être ainsi filtré et mémori- sé: - un contenu d'un en-tête et/ou d'un corps de paquets de données transmis du réseau interne 100 au réseau externe 102. De fait le contenu du corps et/ou de l'en-tête de certains paquets peuvent se révéler caractéristique d'un détournement de ressources tout comme une activité suspecte comme, par exemple, un taux d'envoi de courriels relativement important (plusieurs messages par seconde) et/ via plusieurs fournisseurs de mail sortant (serveur SMTP), supérieur à 2. - des identifiants 108 compris dans des requêtes transmises à un serveur du type DNS du réseau externe.
A ce titre, il convient de rappeler qu'un serveur DNS a pour rôle de résoudre une requête émise à l'égard d'un nom de domaine, par exemple www.alcatel-lucent.com. Plus précisément, le serveur DNS a des bases de données associant un nom de domaine à au moins une adresse IP, pour « Internet Protocol » en anglais, qui se présente sous une forme telle que 93.178.174.3. Dès lors, les requêtes auprès des serveurs DNS permettent de con-naître l'activité des ressources internes 101 en termes, par exemple, de diversité de serveurs avec lesquelles ces ressources communiquent, étant entendu que cette diversité est généralement anormalement élevée lors- qu'un détournement des ressources internes 101 se produit. - des identifiants des serveurs courriers, types serveurs smtp, traitant les courriers électroniques adressés au réseau externe comme, dans ce cas, au moyen du protocol SMTP pour « Simple Mail Transfer Protocol » en anglais. De fait, à nouveau, des ressources détournées présentent une acti- vité particulièrement élevée et variable lorsque, par exemple, ils génèrent du courrier abusif ou « spam ». Sur la base de ces paramètres, l'invention met en oeuvre une étape 112 pour traiter ces paramètres 108 mémorisés selon une fonction irréversible générant un code unique à partir de chaque paramètre mémorisé, de façon à bloquer toute identification postérieure du paramètre traité à partir du code correspondant.
Dans cette réalisation de l'invention, on utilise une fonction de hachage pour coder un paramètre mémorisé en un code unique comme, par exemple, les fonctions MD5 ou SHA-1. Ainsi la confidentialité des paramètres de connexion est préservée mais permet néanmoins une analyse du comportement des ressources 111, notamment en termes de diversité et de quantité de connexions effectuées. Il convient de noter qu'on peut effectuer, dans le réseau interne 100, une analyse 110 des paramètres, préalablement à leur traitement, afin de détecter en interne un détournement des ressources et/ou de générer de nouveaux paramètres, par exemple statistiques, ultérieurement transmis û étape 114 - dans un rapport assurant la confidentialité des communications effectuées par les ressources 101. En référence à la figure 2, une telle analyse préalable ou interne peut mettre en oeuvre un récapitulatif des connexions effectuées, par exemple des noms de DNS requis û e.g. « 4thfirework.com » ou « fireholiday.com » - avec un récapitulatif de paramètres qui permettent de suspecter ou de caractériser un détournement de ressources dans les réseaux dits « fast flux », détournant l'usage du protocole DNS comme, par exemple : - « messages occurrences » qui vise à analyser si les adresses re- tournées pour différentes requêtes d'un même nom de domaine proviennent de différents serveurs du réseau internet. De fait, les adresses associées à des noms de domaines liés au BotNets sont des adresses de machines de particuliers, situées partout dans le monde, sans aucun lien géographie, technique ou administratif, ce qui devrait pourtant être le cas pour un nom de domaine régulier et/ou légal. - une durée de vie (Time to Live ou TTL) pour les données DNS retournées, de quelques secondes seulement, Une telle étape 114 peut être mise en oeuvre à partir d'une pluralité de rapports lorsque, par exemple, différentes connexions 104 sont mises en oeuvre. Dans cette réalisation il est également envisagé que des données non codées, i.e. des paramètres de connexions non traités, soient directe- ment transmis à l'étape 114 avec des données codées, puis à un serveur 118 extérieur lorsque les contraintes de confidentialité le permettent. De fait, cet ensemble d'informations est transmis, lors d'une étape 116, audit serveur 118 localisé dans le réseau externe 102. Ce serveur 118 peut ainsi effectuer une analyse externe de des codes uniques, générés à l'étape 112, et des éventuels paramètres de connexion transmis à l'étape 110, afin d'étudier l'activité des ressources informatiques 111 et de détecter û étape 120 - un détournement des ressources informatiques. A cet effet, on compare le comportement des ressources 111, en termes de connexion, avec des comportements prédéterminés correspondant à différents types de contamination. Par exemple, des comportements de « fast flux » peuvent être détectés en identifiant des comportements DNS spécifiques, comme déjà décrits ci-dessus, ou en reconnaissant des noms de domaines spécifiques à des virus lorsque ces noms de domaines peuvent être transmis. De même, des détournements des ressources pour effectuer du spam peuvent être détectés par analyse du comportement SMTP des ressources 111, i.e. relatifs aux destinataires des courriers transmis par ces ressources 111, ou dans le contenu des courriers transmis identifiant un site du réseau Internet pour lequel est effectué le spam ou un virus du type bot-net. En fonction de l'abonnement de l'utilisateur des ressources 111, d'autres procédés de détection peuvent être mis en oeuvre. Par exemple, un particulier ne met généralement pas en oeuvre chez lui un serveur http de telle sorte que la réception par les ressources 111 d'une requête selon le protocole HTTP peut être considéré comme un indice de détournement et déclencher un message à l'adresse de cet utilisateur, selon une page sécurisée HTTPS telle que : « Cher Laurent Clevy, vous avez reçu ce message parce que vous avez souscrit un abonnement au service de « surveillance d'intrusion de ré-seau » de votre fournisseur. Veuillez suivre le lien sécurisé ci-dessous afin de redéfinir votre profil Web puisque nous avons peut être détecté un comportement anormal de votre ordinateur. https://local/webprofile/LC En cliquant sur ce lien « https://locallwebprofile/LC » l'utilisateur - dé- nommé Laurent Clevy dans cet exemple û reçoit un message tel que : « Hebergez-vous un site http afin que des tiers accèdent à des infor- mations stockées dans votre ordinateur ? Oui / Non ». Ainsi, l'utilisateur peut aider à la détection d'un comportement anormal de ses ressources comme, dans d'autres exemples, en indiquant les serveurs auxquels il adresse volontaires des courriers. Egalement, l'utilisateur peut être requis pour permettre un stockage complet û étape 122 û de connexions effectuées afin de réaliser des ana-lyses sur une période de temps glissante, les données stockées depuis un délai prédéterminé étant effacées. La présente invention est susceptible de nombreuses variantes, notamment lorsque sa mise en oeuvre par l'intermédiaire d'un abonnement lors de l'ouverture d'une ligne d'accès au réseau Internet à haut débit. Dans ce cas, il est possible d'envisager un abonnement de l'utilisateur au service de détection des détournements de ressources, ce service effectuant une veille vis-à-vis des requêtes DNS et/ou SMTP afin de détecter des activités caractéristiques des ressources contaminées.
Un tel abonnement peut être effectué par téléphone, puis configuré par l'utilisateur lui-même lorsqu'il installe les moyens nécessaires pour assurer sa liaison 104 û typiquement un boîtier ADSL pour « Asymmetric Subscriber Line » en anglais lorsque les ressources informatiques 101 sont des ordinateurs.
Dans d'autres cas, par exemple lorsque ces ressources 101 sont des terminaux mobiles comme des téléphones, des smartsphones, des PDA pour « Personal Digital Assistant » en anglais et/ou des ordinateurs portables, la configuration des moyens requis pour mettre en oeuvre les étapes 108, 110, 112 et 114 précédemment mentionnées peuvent être configurées dans le terminal lors de sa fabrication, ces ressources étant limitées compte tenu des faibles moyens requis pour cette mise en oeuvre. Par la suite, l'abonnement peut comprendre trois niveaux de services avec une assistance croissante en termes de rapidité, d'alerte, de stockage préventif de données et de disponibilité des techniciens en charge d'aider l'utilisateur des ressources 101. En outre, dans ce cas d'abonnement, des informations peuvent être fournies par le fournisseur d'accès lors de différentes étapes: - Lors de l'étape 106 de filtrage et de mémorisation des paramètres de connexions, des informations relatives à une ou plusieurs adresses de courriers électroniques de l'utilisateur peuvent être transmises û étape 124 û pour permettre l'identification de serveurs dédiés au transport et/ou au stockage de ces mails afin que les connexions des ressources à ces serveurs soient considérées comme prévisibles. - Lors de l'étape 112 de hachage, des informations relatives à une éventuelle autorisation de stocker des paquets transmis qui permet ainsi d'analyser des paquets pour lesquels une infection est suspectée. Suite à une telle autorisation détenue par le fournisseur d'accès, une analyse de ces paquets peut être effectuée, par exemple sur une fenêtre temporaire glissante telle que les paquets stockés depuis un délai prédéterminé sont effacés. - Lors d'une étape 128 de traitement préventif d'un détournement des ressources comprenant, par exemple ; un stockage complet des paquets transmis par les ressources 111, d'une sauvegarde de données personnelles scannées via un logiciel anti-virus à jour et d'une proposition de télé-chargement de logiciels sécurisés, en particulier pour naviguer sur le réseau Internet et transmettre des courriers électroniques. Dans ce cas, le fournisseur peut fournir û étape 130 û des informations relatives à la souscription de l'utilisateur des ressources 111 à ce service de traitement préventif, par exemple vis-à-vis d'options acquises ou non dans son abonnement. - Lors d'une étape 132 de traitement de base comprenant, dans cette réalisation, la communication à l'utilisateur de la détection d'une activité dé- tournée de ses ressources 111, d'un avertissement sur le risque de piratage de données personnelles, d'un diagnostic limité et d'une adresse de contact d'une assistance à distance.
Dans ce cas, le fournisseur peut fournir û étape 134 û des informations relatives à un abonnement à ce service de traitement préventif ou à un service de traitement à distance 136 - visant à désinfecter les ressources 111 contaminées et de proposer un devis pour des opérations ultérieures de trai- terrent û ou de traitement 138 sur place û visant à fournir un technicien sur le site des ressources 111 dans un délai requis afin d'identifier les ressources 111 contaminées, sauvegarder des données stratégiques et éventuellement proposer une solution de remplacement. Comme illustré sur la figure 1, les étapes 132, 136 et 138 peuvent être mises en oeuvre successivement en fonction de l'abonnement dont dispose l'utilisateur des ressources 111 vis-à-vis de l'opérateur effectuant l'analyse de leur comportement. La présente invention est susceptible de nombreuses variantes. De fait, elle a été décrite en faisant principalement référence à des noms de domaine et/ou à des noms de serveur de mail sortant car, actuellement, les autres paramètres réseau des connexions dans le réseau Internet sont généralement anonymes ou fournis par l'operateur internet (adresse IP) mais il est clair que l'invention peut être mis en oeuvre avec des paramètres équivalents selon d'autres protocoles de communications que le protocole Internet.
En outre, il est clair que l'invention peut être opérée en mettant en oeuvre l'analyse de plusieurs paramètres de connexions ainsi que combinée avec différents procédés de détection de contamination par virus informa-tique.25

Claims (10)

  1. REVENDICATIONS1. Procédé de détection d'un détournement de ressources infor- matiques (111), situées dans un réseau interne (100) mettant en oeuvre des critères de sécurité et de confidentialité propres à ce réseau interne (100), reliées à un réseau externe (102), dépourvu de tels critères de sécurité et de confidentialité, au moyen d'une connexion (104) gérée par un fournisseur d'accès, caractérisé en ce qu'il comprend les étapes suivantes: - L'étape (106) de mémoriser un paramètre (108) de connexions mis en oeuvre par les ressources informatiques (111) pour communiquer avec le réseau externe (102), - L'étape (112) de traiter ce paramètre (108) mémorisé selon une fonc- tion irréversible, générant un code unique correspondant audit para-mètre mémorisé mais ne permettant pas l'identification dudit paramètre à partir du code généré correspondant, et - L'étape (114) de transmettre à un serveur (118) localisé dans le ré-seau externe ledit code généré afin que ce serveur (118) puisse effec- tuer une analyse de l'activité des ressources informatiques (111) à par-tir dudit code unique et détecter un détournement des ressources informatiques.
  2. 2. Procédé selon la revendication 1 caractérisé en ce qu'il comprend l'étape de considérer au moins un des éléments suivant comme un paramètre (108) de connexion : un contenu d'un en-tête et/ou d'un corps d'un paquet transmis du réseau interne au réseau externe, des identifiants compris dans des requêtes du type DNS émises par le ré-seau interne vers le réseau externe, des identifiants de serveurs de courriers électroniques sortants adressés du réseau interne vers le ré- seau externe.
  3. 3. Procédé selon la revendication 1 ou 2 caractérisé en ce qu'il comprend l'étape (112) d'utiliser une fonction de hachage pour générer un code unique à partir dudit paramètre (108) mémorisé.
  4. 4. Procédé selon l'une des revendications précédentes caractérisé en ce qu'il comprend l'étape (110) d'effectuer dans le réseau interne (100) une analyse interne dudit paramètre (108), préalablement à son traitement, afin de détecter un détournement des ressources (111) et/ou de générer un nouveau paramètre (108) de connexion.
  5. 5. Procédé selon la revendication 4 caractérisé en ce qu'il comprend l'étape (114) de transmettre un rapport de l'analyse interne au serveur distant (118).
  6. 6. Procédé selon l'une des revendications précédentes caractéri- sé en ce qu'il comprend l'étape de transmettre des paramètres de connexion (108) avec les codes uniques générés transmis au serveur dis-tant (118).
  7. 7. Procédé selon l'une des revendications précédentes caractérisé en ce qu'il comprend l'étape (124) de considérer des informations relatives aux conditions d'utilisation d'un utilisateur des ressources (111) pour se connecter au réseau externe (102) afin de détecter un détournement des ressources informatiques.
  8. 8. Procédé selon l'une des revendications précédentes caractérisé en ce qu'il comprend l'étape (130, 134) de considérer des informa- tions relatives aux conditions d'accès d'un utilisateur des ressources (111) au réseau externe (102), ces informations étant transmises par le fournisseur d'accès, pour détecter un détournement des ressources.
  9. 9. Ressources informatiques (111), situées dans un réseau in-terne (100) mettant en oeuvre des critères de sécurité et de confidentia- lité propres à ce réseau interne (100), reliées à un réseau externe (102), dépourvu de tels critères de sécurité et de confidentialité, au moyen d'une connexion (104) gérée par un fournisseur d'accès, caractérisé en ce qu'il comprend: - Des moyens pour mémoriser un paramètre (108) de connexion mis en oeuvre pour communiquer avec le réseau externe (102), - Des moyens pour traiter ce paramètre (108) mémorisé selon une fonction irréversible (112), générant un code unique correspondant au-dit paramètre (108) mémorisé et ne permettant pas l'identification dudit paramètre mémorisé (108) à partir du code généré correspondant, et - Des moyens pour transmettre (114) à un serveur (118) localisé dans le réseau externe (102) ledit code généré afin que ce serveur puisse ef- fectuer une analyse de l'activité des ressources informatiques (111) à partir dudit code unique et détecter un détournement des ressources informatiques selon un procédé conforme à l'une des revendications précédentes.
  10. 10. Serveur (118) de détection d'un détournement de ressources informatiques (111), situées dans un réseau interne (100) mettant en oeuvre des critères de sécurité et de confidentialité propres à ce réseau interne, reliées à un réseau externe (102), dépourvu de tels critères de sécurité et de confidentialité, au moyen d'une connexion (104) gérée par un fournisseur d'accès, caractérisé en ce que, le serveur (118) étant situé dans le réseau externe (102), il comprend des moyens pour effectuer une analyse des ressources informatiques à partir de codes uniques générés par ces ressources informatiques selon un procédé conforme à l'une des revendications 1 à 8.20
FR0959335A 2009-12-21 2009-12-21 Procede de detection d?un detournement de ressources informatiques Expired - Fee Related FR2954547B1 (fr)

Priority Applications (7)

Application Number Priority Date Filing Date Title
FR0959335A FR2954547B1 (fr) 2009-12-21 2009-12-21 Procede de detection d?un detournement de ressources informatiques
KR1020127016005A KR101443472B1 (ko) 2009-12-21 2010-12-08 컴퓨터 리소스의 하이재킹 검출 방법
PCT/FR2010/052639 WO2011083226A1 (fr) 2009-12-21 2010-12-08 Procédé de détection d'un détournement de ressources informatiques
EP10805798A EP2517139A1 (fr) 2009-12-21 2010-12-08 Procédé de détection d'un détournement de ressources informatiques
CN201080057935.3A CN102792306B (zh) 2009-12-21 2010-12-08 用于检测计算机资源劫持的方法
JP2012545374A JP5699162B2 (ja) 2009-12-21 2010-12-08 コンピュータ資源の乗っ取りを検出する方法
US13/515,316 US9104874B2 (en) 2009-12-21 2010-12-08 Method for detecting the hijacking of computer resources

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0959335A FR2954547B1 (fr) 2009-12-21 2009-12-21 Procede de detection d?un detournement de ressources informatiques

Publications (2)

Publication Number Publication Date
FR2954547A1 true FR2954547A1 (fr) 2011-06-24
FR2954547B1 FR2954547B1 (fr) 2012-10-12

Family

ID=42291509

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0959335A Expired - Fee Related FR2954547B1 (fr) 2009-12-21 2009-12-21 Procede de detection d?un detournement de ressources informatiques

Country Status (7)

Country Link
US (1) US9104874B2 (fr)
EP (1) EP2517139A1 (fr)
JP (1) JP5699162B2 (fr)
KR (1) KR101443472B1 (fr)
CN (1) CN102792306B (fr)
FR (1) FR2954547B1 (fr)
WO (1) WO2011083226A1 (fr)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9191399B2 (en) * 2012-09-11 2015-11-17 The Boeing Company Detection of infected network devices via analysis of responseless outgoing network traffic
US9407647B2 (en) * 2014-03-11 2016-08-02 Vectra Networks, Inc. Method and system for detecting external control of compromised hosts
US9396332B2 (en) 2014-05-21 2016-07-19 Microsoft Technology Licensing, Llc Risk assessment modeling
CN108737327B (zh) * 2017-04-14 2021-11-16 阿里巴巴集团控股有限公司 拦截恶意网站的方法、装置、系统和存储器
US10764309B2 (en) 2018-01-31 2020-09-01 Palo Alto Networks, Inc. Context profiling for malware detection
US11159538B2 (en) * 2018-01-31 2021-10-26 Palo Alto Networks, Inc. Context for malware forensics and detection
US11956212B2 (en) 2021-03-31 2024-04-09 Palo Alto Networks, Inc. IoT device application workload capture

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005088938A1 (fr) * 2004-03-10 2005-09-22 Enterasys Networks, Inc. Procede de manipulation par symetrie de trafic de reseau avec confidentialite d'information
WO2005091107A1 (fr) * 2004-03-16 2005-09-29 Netcraft Limited Composant de securite pour application navigateur sur internet et procede et dispositif s'y rapportant
WO2007081960A2 (fr) * 2006-01-10 2007-07-19 Advanced Digital Forensic Solutions, Inc. Systèmes et procédés d'identification, partage et gestion des données à l'échelle de l'entreprise dans un contexte commercial
US20070300286A1 (en) * 2002-03-08 2007-12-27 Secure Computing Corporation Systems and methods for message threat management
WO2008090531A2 (fr) * 2007-01-23 2008-07-31 Alcatel Lucent Mécanisme d'isolement pour systèmes terminaux potentiellement contaminés
US20080256619A1 (en) * 2007-04-16 2008-10-16 Microsoft Corporation Detection of adversaries through collection and correlation of assessments

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100856149B1 (ko) * 1999-11-26 2008-09-03 네테카 인코포레이티드 전자 메일 서버 및 전자 메일 통신을 용이하게 하기 위한 방법
WO2007075813A2 (fr) 2005-12-23 2007-07-05 Advanced Digital Forensic Solutions, Inc. Systemes et procedes d'identification, partage, et gestion de donnees a l'echelle d'entreprises et procedes de recherche de donnees legistes
JP4287456B2 (ja) * 2006-10-26 2009-07-01 株式会社東芝 サービス不能攻撃を防止するサーバ装置、方法およびプログラム
US8352738B2 (en) * 2006-12-01 2013-01-08 Carnegie Mellon University Method and apparatus for secure online transactions
US8312536B2 (en) * 2006-12-29 2012-11-13 Symantec Corporation Hygiene-based computer security
KR20090037540A (ko) * 2007-10-12 2009-04-16 한국정보보호진흥원 클라이언트 애플리케이션을 탐지하기 위한 복합형 네트워크탐지 방법
US7836142B2 (en) * 2008-02-22 2010-11-16 Time Warner Cable, Inc. System and method for updating a dynamic domain name server
US7921212B2 (en) * 2008-10-14 2011-04-05 At&T Intellectual Property I, L.P. Methods and apparatus to allocate bandwidth between video and non-video services in access networks

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070300286A1 (en) * 2002-03-08 2007-12-27 Secure Computing Corporation Systems and methods for message threat management
WO2005088938A1 (fr) * 2004-03-10 2005-09-22 Enterasys Networks, Inc. Procede de manipulation par symetrie de trafic de reseau avec confidentialite d'information
WO2005091107A1 (fr) * 2004-03-16 2005-09-29 Netcraft Limited Composant de securite pour application navigateur sur internet et procede et dispositif s'y rapportant
WO2007081960A2 (fr) * 2006-01-10 2007-07-19 Advanced Digital Forensic Solutions, Inc. Systèmes et procédés d'identification, partage et gestion des données à l'échelle de l'entreprise dans un contexte commercial
WO2008090531A2 (fr) * 2007-01-23 2008-07-31 Alcatel Lucent Mécanisme d'isolement pour systèmes terminaux potentiellement contaminés
US20080256619A1 (en) * 2007-04-16 2008-10-16 Microsoft Corporation Detection of adversaries through collection and correlation of assessments

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JANAK J. PAREKH: "Privacy-Preserving Event Corroboration", 1 May 2007 (2007-05-01), XP002590919, Retrieved from the Internet <URL:http://www1.cs.columbia.edu/~janak/research/thesis-20070501.pdf> [retrieved on 20100707] *
PATRICK LINCOLN, PHILLIP PORRAS, VITALY SHMATIKOV: "Privacy-preserving sharing and correction of security alerts", PROCEEDINGS OF THE 13TH CONFERENCE ON USENIX SECURITY SYMPOSIUM, vol. 13, 13 August 2004 (2004-08-13), XP002590918, Retrieved from the Internet <URL:http://www.usenix.org/publications/library/proceedings/sec04/tech/full_papers/lincoln/lincoln.pdf> [retrieved on 20100707] *

Also Published As

Publication number Publication date
KR20120084806A (ko) 2012-07-30
CN102792306A (zh) 2012-11-21
US9104874B2 (en) 2015-08-11
US20120272316A1 (en) 2012-10-25
CN102792306B (zh) 2016-05-25
JP2013515419A (ja) 2013-05-02
WO2011083226A1 (fr) 2011-07-14
KR101443472B1 (ko) 2014-09-22
JP5699162B2 (ja) 2015-04-08
FR2954547B1 (fr) 2012-10-12
EP2517139A1 (fr) 2012-10-31

Similar Documents

Publication Publication Date Title
US10326779B2 (en) Reputation-based threat protection
JP7250703B2 (ja) 相関関係駆動型脅威の評価と修復
US8484733B2 (en) Messaging security device
US20150040220A1 (en) System and Method for Unified Communications Threat Management (UCTM) for Converged Voice, Video and Multi-Media Over IP Flows
US20090178131A1 (en) Globally distributed infrastructure for secure content management
FR2954547A1 (fr) Procede de detection d’un detournement de ressources informatiques
Chanti et al. A literature review on classification of phishing attacks
Azad et al. Clustering VoIP caller for SPIT identification
Rao et al. Neutralizing cross-site scripting attacks using open source technologies
Fawcett ExFILD: A tool for the detection of data exfiltration using entropy and encryption characteristics of network traffic
EP3087719B1 (fr) Procédé de ralentissement d&#39;une communication dans un réseau
CN108093078B (zh) 一种文档的安全流转方法
FR3105486A1 (fr) Procédé de détection d’un comportement malveillant dans un réseau de communication, dispositif, équipement d’accès audit réseau, procédé de détection d’une attaque distribuée dans ledit réseau, dispositif, équipement nœud et programmes d’ordinateur correspondants
Fukushi et al. A large-scale analysis of cloud service abuse
FR3079642A1 (fr) Capteur d&#39;intrusion informatique et procede de creation d&#39;un capteur d&#39;intrusion
US11916858B1 (en) Method and system for outbound spam mitigation
US11956216B2 (en) Security system for individually-owned electronic devices
Satyanarayana et al. Security and privacy in online social networks: A survey
Hofbauer et al. CDRAS: An approach to dealing with Man-in-the-Middle attacks in the context of Voice over IP
Aaron et al. Malware Landscape 2021
CN117749517A (zh) 保护个人隐私的垃圾信息处理装置、系统和介质
Valli Developing voip honeypots: a preliminary investigation into malfeasant activity
Chapin et al. Malware Landscape 2023
WO2023192682A1 (fr) Système et procédé d&#39;atténuation de menace
Stephens Network Forensics

Legal Events

Date Code Title Description
GC Lien (pledge) constituted

Effective date: 20130923

RG Lien (pledge) cancelled

Effective date: 20141016

CA Change of address

Effective date: 20150521

CA Change of address

Effective date: 20150521

PLFP Fee payment

Year of fee payment: 7

PLFP Fee payment

Year of fee payment: 8

ST Notification of lapse

Effective date: 20180831