Vous êtes ici : Accueil » Kiosque » Annonce

Identification

Identifiant: 
Mot de passe : 

Mot de passe oublié ?
Détails d'identification oubliés ?

Annonce

28 novembre 2018

Déploiement de techniques de canaux cachées pour la détection d’exfiltration de données


Catégorie : Stagiaire


Offre de stage (M2) entre février et juillet 2019 :

Déploiement de techniques de canaux cachées pour la détection d’exfiltration de données

Contexte du stage

La fuite de données sensibles et/ou confidentielles est l’une des principales menaces étudiées dans le domaine de la sécurité informatique. Une récente étude du CESIN montre que plus de 30 % des entreprises ont été concernées au cours des 12 derniers mois. Or, ce type d’attaques est particulièrement dangereux compte tenu de sa menace potentielle à moyen et long terme.Malgré cette menace avérée, il est surprenant de constater qu’à ce jour, peu, voire pas, d’outils de détection des canaux cachés ont été proposés.

Les chercheurs du programme scientifique et technologique Cyber-sécurité de l’Institut Charles Delaunay travaillent depuis des années sur la dissimulation d’information dans les médias avec une reconnaissance, désormais, dans la communauté internationale. Il est souhaité étendre ces activités, en partenariat avec les chercheurs impliqués dans les recherches en sécurité réseaux, afin de concevoir des méthodes de détection pour la dissimulation d’information dans les canaux cachés.

 

Objectifs du stage

L’objectif de ce stage est double. D’une part il s’agira de faire un état de l’art sur les outils d’exfiltration d’information par utilisation des canaux cachés (tunnels HTTP, DNS, modification des entêtes des paquets, etc.), afin notamment d’évaluer les techniques qui présentent la menace la plus importante. D’autre part, il s’agit de développer un outil fiable pour la détection statistique d’une méthode de dissimulation d’information par canaux cachés. Par fiable, il est entendu que la méthode de détection proposée présente une très faible probabilité de faux-positifs et que cette dernière puisse être calculée. Pour cela, il s’agira d’utiliser les méthodes issues de la théorie des tests d’hypothèses. La finalité sera la création d’un démonstrateur qui sera capable de mettre en place la technique identifiée de communication par canal caché et sa contre-mesure en matière de détection.

Travail du stagiaire

Le principal travail attendu par le stagiaire se découpe en trois étapes :

  1. Une étude bibliographique sur les techniques actuelles de dissimulation d’informations par canal caché sera nécessaire afin de faire une analyse des risques. De même, si nécessaire, une étude sur les méthodes de détection statistique est attendue.

  2. Ensuite, La principale réalisation technique attendue est l’implémentation, en condition réelle, d’une technique de canal caché. Cette attaque devra être choisie en fonction de l’analyse de la tâche 1 et devra être caractérisée par l’étudiant au travers de simulations.

  3. Enfin, la principale réalisation scientifique attendue est la conception et l’implémentation d’une méthode de détection de l’attaque. Idéalement, les propriétés de cette méthode de détection devront être calculées et mesurées ensuite par simulation (à moyenne voire grande échelle) afin de s’assurer du bon fonctionnement de la méthode proposée.

Compétences nécessaires

Idéalement, les candidats doivent maîtriser les outils mathématiques de la détection statistique et de l’analyse de données, avoir de solides connaissances dans le fonctionnement des réseaux informatiques et maîtriser la programmation (typiquement en python) afin d’implémenter la modification et/ou la création de paquets pour la dissimulation d’information (IP/TCP/DNS, selon la méthode choisie).

Conditions du stage

Le stage se déroule au sein du laboratoire de recherche STMR (Sciences et Technologie pour la Maîtrise des risques)de l'Université de Technologie de Troyes et s'inscrit dans la thématique transversale « Cyber-sécurité ». Un bureau, partagé par plusieurs étudiants en stage, sera alloué au stagiaire avec un ordinateur fixe pour le travail.

La rémunération de stage se situe autour de 455 € par mois.

Si le travail de l'étudiant est pleinement satisfaisant, une prolongation de ce stage de M2 par une thèse de doctorat sera envisagée.

Contacts

Rémi Cogranne (UTT, bureau H109) : remi.cogranne@utt.fr 03 25 75 96 72
Guillaume Doyen (UTT, bureau E001) : guillaume.doyen@utt.fr 03 25 71 85 70

Références

[Mur05a] Murdoch, Steven J., and Stephen Lewis. "Embedding covert channels into TCP/IP." Proc. Information Hiding, 2005.
[Zan07a] Zander, S., Armitage, G. and Branch, P. "A survey of covert channels and countermeasures in computer network protocols". IEEE Communications Surveys & Tutorials, vol. 3, no. 9, pp.44-57, 2007.
[Cab09a] Cabuk, S., Brodley, C. E., & Shields, C. "IP covert channel detection", ACM Trans on Information and System Security (TISSEC), 2009.
[Ell13a] Ellens, W., Zuraniewski, P., Sperotto, A., Schotanus, H., Mandjes, M. and Meeuwissen, E., "Flow-based detection of DNS tunnels". In IFIP International Conference on Autonomous Infrastructure, Management and Security, pp. 124-135, 2013, June.
[Igl16a] Iglesias, F., Annessi, R. and Zseby, T. "DAT detectors: uncovering TCP/IP covert channels by descriptive analytics." Security and Communication Networks, vol. 15, no. 9, pp.3011-3029, 2016.

 

Dans cette rubrique

(c) GdR 720 ISIS - CNRS - 2011-2018.