La vitrine de diffusion des mémoires et thèses de l'ÉTS
RECHERCHER

Détection des rootkits niveau noyau basée sur LTTng

Slaimia, Tarek (2015). Détection des rootkits niveau noyau basée sur LTTng. Mémoire de maîtrise électronique, Montréal, École de technologie supérieure.

[img]
Prévisualisation
PDF
Télécharger (2MB) | Prévisualisation
[img]
Prévisualisation
PDF
Télécharger (915kB) | Prévisualisation

Résumé

Les mécanismes de détection des logiciels malveillants, basés sur le traçage des activités de l’espace utilisateur, peuvent être facilement contournés par les rootkits niveau du noyau. Ce mémoire propose une solution de détection des techniques d’attaques utilisées par ce type de rootkits en se basant sur le traçage de l’activité du noyau Linux avec l’outil LTTng. Cette solution est basée sur l’analyse des données statiques et dynamiques du noyau Linux. Elle est conçue suivant deux axes : le premier est l’intégration des techniques de détection de rootkits dans les modules noyaux du traceur LTTng et le deuxième est l’utilisation des traces de LTTng contenant les données du noyau dans l’approche de détection basée sur des techniques d’apprentissage automatique. Ce deuxième axe a subi une optimisation des valeurs des vecteurs d’entrée correspondants aux différentes attaques et a subi encore le paired T-test pour la sélection du meilleur classificateur d’apprentissage. La validation de cette solution est faite sur un environnement de test conçu spécialement pour ce type de rootkits.

Titre traduit

Kernel level rootkit detection based on LTTng

Résumé traduit

The malware detection mechanisms, based on tracing the user space activities, can be easily bypassed by the kernel level rootkits. This thesis proposes a solution to detect attack techniques used by this type of rootkits using the tracing of linux kernel activities with the LTTng tool. This solution is based on the analysis of static and dynamic data of the linux kernel. It is designed along two axes: the first one is the integration of rootkit detection techniques in the kernel modules of the LTTng tracer and the second one is the use of the generated traces of LTTng containing the kernel data in the detection approach based on machine learning technique. The second axis has undergone optimization of input vectors corresponding to the different values of attacks and still underwent a paired t-test for selecting the best machine learning classifier. The validation of this solution was made on a test environment specifically designed for this type of rootkits.

Type de document: Mémoire ou thèse (Mémoire de maîtrise électronique)
Renseignements supplémentaires: "Mémoire présenté à l'École de technologie supérieure comme exigence partielle à l'obtention de la maîtrise en génie concentration technologies de l'information". Bibliographie : pages 148-153.
Mots-clés libres: Trousses administrateur pirate Prévention. Logiciels malveillants Prévention. Apprentissage automatique. Sécurité informatique. rootkit niveau noyau, apprentissage automatique, LTTng, noyau Linux
Directeur de mémoire/thèse:
Directeur de thèse
Gherbi, Abdelouahed
Co-directeurs de mémoire/thèse:
Co-directeurs de thèse
Talhi, Chamseddine
Programme: Maîtrise en ingénierie > Génie
Date de dépôt: 23 oct. 2015 18:38
Dernière modification: 23 oct. 2015 18:38
URI: http://espace.etsmtl.ca/id/eprint/1530

Actions (Identification requise)

Dernière vérification avant le dépôt Dernière vérification avant le dépôt

Statistique

Plus de statistique...