Skip to content. | Skip to navigation

Emergences

Lettre d'information n° 35

Image emergences pour impression
Personal tools
You are here: Home 2015 Lettre d'information n° 35 Visualiser pour mieux diagnostiquer
Document Actions

Visualiser pour mieux diagnostiquer

Pour analyser une attaque contre un système, l'être humain reste l'acteur clé. Mais sur son écran, les registres d'événements affichent un déluge de données. Comment y déceler la bonne information ? Prototype de recherche développé à Rennes, Elvis propose une technique innovante de visualisation pour mettre en exergue les phénomènes pertinents.

Pour analyser une attaque contre un système, l'être humain reste l'acteur clé. Mais sur son écran, les registres d'événements affichent un déluge de données. Comment y déceler la bonne information ? Prototype de recherche développé à Rennes, Elvis propose une technique innovante de visualisation pour mettre en exergue les phénomènes pertinents.

Regardez ce graphique. Des utilisateurs d'un site web se connectent en tapant leur mot de passe. On voit les adresses IP des ordinateurs et l'heure de connexion. Vous remarquez tout de suite quelque chose d'étrange : une répétition de connexions qui se reproduit ici d'une façon régulière en dessinant un motif très particulier. Dans la vraie vie, les gens ne se comportent pas d'une façon aussi mécanique. Donc, ce que vous avez devant vous, c'est un botnet : un groupe de machines qui essaye de pénétrer dans le système. Pour rester discret, il change régulièrement d'adresse IP. Il ne teste que quelques mots de passe à chaque fois. Assez peu pour ne pas déclencher l'alerte intrusion. On voit avec ce simple exemple toute l'utilité de développer des outils de visualisation.” Christopher Humphries effectue au sein de l'équipe Cidre (1), à l'école Supelec de Rennes, une thèse de doctorat financée par DGA-MI. Il travaille sur Elvis (2), un prototype de recherche qui permet d'aider les contrôleurs de sécurité à mieux visualiser les attaques.

Cryptographie, firewall, contrôle d'accès... Beaucoup de barrières successives assurent la sécurité a priori sur un système, explique Nicolas Prigent, chercheur dans la même équipe. Mais si malgré tout, un attaquant force ces défenses, il faut pouvoir le détecter et réagir.
Il y a des gens dont c'est le métier. Quand on effectue ainsi du monitoring, qu'on observe par exemple un réseau d'entreprise, on explore en réalité des logs. Autrement dit : des fichiers de journaux d'activités générés par les applications.
” Et c'est là que l'affaire se complique.

Pendant longtemps, les analystes ont parcouru ces logs manuellement. Ce sont des lignes de textes dans lesquelles il faut aller chercher la bonne information.” Une tâche fastidieuse, voire... chimérique. “Les logs se mesurent désormais en teraoctets. Quand on parle de big data, ici le terme n'est pas galvaudé.”  Naturellement, des automatismes ont pris le relais. L'équipe Cidre développe d'ailleurs de tels mécanismes de détection d'intrusion. “Ils regardent ce qui se passe. Ils comparent les événements observés avec leur base de connaissance. Ils ont appris que tel phénomène est le symptôme d'une attaque.

Mais ces automatismes connaissent des limites. “Le problème consiste à définir ce qu'est un comportement normal. Exemple : je sais que telle personne tape toujours son mot de passe très vite sur son clavier. Et là, brusquement, ce n'est plus le cas. S'agit-il d'une usurpation ? Pas sûr. Dans la vie, parfois, les circonstances changent.” Un bras dans le plâtre par exemple. “La rupture de la routine n'est pas forcément symptomatique d'une attaque.” À l'inverse, les attaquants, eux, s'évertuent à reproduire des comportements anodins pour ne pas attirer l'attention. Conclusion : “malgré toute cette technologie, il y a un risque.

Exploiter la connaissance contextuelle

Et c'est là que l'être humain va faire la différence. “Contrairement à la machine, il sait exploiter toute une connaissance contextuelle supplémentaire. Je remarque qu'un tel se connecte au serveur en saisissant le bon mot de passe. Pourtant je doute que cela puisse vraiment être lui car il vient de partir en vacances.”  Par ailleurs, “notre cerveau sait très bien analyser les données présentées sous forme de visuels. Il en extrait de l'information. Il repère les tendances. Il détecte les anomalies. C'est pour cela que dans beaucoup de domaines, on prend des données numériques et on les transforme en graphiques, en courbes, en cartes... C'est très parlant.

Avec Elvis, les chercheurs souhaitent donc proposer une mise en image pour rendre l'information plus pertinente à l'oeil humain, et faciliter ainsi le diagnostic, en particulier après un incident de sécurité. Première difficulté : toutes les applications ne produisent pas des fichiers de journaux identiques. Chacune privilégie certaines informations plutôt que d'autres. Par ailleurs, chacune entrepose les éléments recueillis dans l'ordre qui lui convient le mieux : adresse IP de la machine, numéro de port, login de l'utilisateur... Dans une étape préalable, il va falloir identifier la structure des données dont on souhaite l'affichage. “Cela dit, pour les applications les plus courantes, comme les serveurs web Apache, nous connaissons déjà la syntaxe.

Typage des données

Étape suivante : le typage des données. “Il s'agit de distinguer d'une part les données ordinales, celles que l'on peut classer par tailles, et d'autres part les données catégorielles pour lesquelles il n'existe pas de relation d'ordre. Ainsi on peut classer des messages par leur taille, mais pas des adresses IP. Chacune est une catégorie en elle même.” C'est ce travail de typage qui va permettre ensuite de choisir automatiquement la représentation graphique la plus pertinente en fonction des données. “À partir des adresses IP par exemple, l'utilisateur va pouvoir accéder à une carte lui affichant la localisation des machines qui se connectent à son serveur.

Pour l'instant, Elvis demeure un prototype de recherche.  Mais l'outil donne des résultats prometteurs. “Nous le testons sur des données utilisées dans des concours scientifiques. Il nous a permis de pointer des intrusions que les gagnants de ces concours n'avaient pas repérées.


-----
Notes :

(1) Cidre est une équipe projet Inria, Supelec, Université Rennes 1 et CNRS, commune à l'Irisa (UMR 6074).

(2) ELVIS signifie : Extensible Log VISualization.