La vitrine de diffusion des mémoires et thèses de l'ÉTS
RECHERCHER

Détection d'anomalies basée sur l'hôte, pour les systèmes à ressources limitées

Téléchargements

Téléchargements par mois depuis la dernière année

Plus de statistiques...

Ben Attia, Maroua (2015). Détection d'anomalies basée sur l'hôte, pour les systèmes à ressources limitées. Mémoire de maîtrise électronique, Montréal, École de technologie supérieure.

[thumbnail of BEN_ATTIA_Maroua.pdf]
Prévisualisation
PDF
Télécharger (1MB) | Prévisualisation
[thumbnail of BEN_ATTIA_Maroua-web.pdf]
Prévisualisation
PDF
Télécharger (916kB) | Prévisualisation

Résumé

Le reconditionnement des applications légitimes pour injecter du code malveillant, est un vecteur d'attaque important ciblant les téléphones intelligents Android. Cette attaque peut être détectée principalement en surveillant le comportement des applications pour des écarts potentiels. Toutefois, l'exécution de cette approche de détection sur un environnement mobile n’est pas simple en raison de contraintes de ressources imposées par les téléphones intelligents.

Ce travail de recherche met l'accent sur la facilité d'utilisation des algorithmes de détection d'anomalies sur les systèmes embarqués à ressources limitées et propose un cadre de détection léger pour les dispositifs basés sur Android. Ce cadre permet de gérer le compromis entre la précision de détection et la consommation des ressources. La solution proposée permet la construction locale et à distance d'un comportement normal en fonction de différents algorithmes de détection de comportements malicieux appliqués aux traces d’appels système. Dans nos expériences, nous avons appliqué le modèle de détection d'anomalie proposé à trois échantillons des malwares réels et auto-créés, de trois applications mobiles légitimes différentes.

Les résultats montrent que notre cadre de détection sur l'appareil est capable de réaliser un bon compromis entre la sécurité et la facilité d'utilisation sans compter sur un serveur distant.

Titre traduit

On-device anomaly detection for resource-limited systems

Résumé traduit

An important attack vector targeting Android Smartphone is repackaging legitimate applications to inject malicious activities. This kind of attack can be detected mainly by monitoring the behavior of applications for potential deviations. However, running this detection approach on a mobile environment is not straightforward due to resource constraints imposed by smartphones.

This thesis focuses on the usability of on-device anomaly detection algorithms on small-scale embedded systems and proposes a lightweight detection framework for Android-based devices that handles the trade-offs between detection accuracy and resource consumption. The proposed solution allows for the local and remote construction of normal behavior based on various anomaly detection algorithms applied to system calls traces. In our experiments, we applied the proposed anomaly detection model to real and self-written malware samples of three different legitimate mobile applications.

The results shows that our on-device detection framework is able to achieve a good compromise between security and usability without relying on a remote server.

Type de document: Mémoire ou thèse (Mémoire de maîtrise électronique)
Renseignements supplémentaires: "Mémoire présenté à l'École de technologie supérieure comme exigence partielle à l'obtention de la maîtrise avec mémoire en génie des technologies de l'information". Bibliographie : pages 150-158.
Mots-clés libres: Logiciels malveillants Prévention. Détection d'anomalies (Sécurité informatique) Applications mobiles. Surveillance des menaces informatiques. Téléphones intelligents Sécurité Mesures. ressources limitées, profilage, n-grams
Directeur de mémoire/thèse:
Directeur de mémoire/thèse
Talhi, Chamseddine
Codirecteur:
Codirecteur
Hamou-Lhadj, Wahab
Programme: Maîtrise en ingénierie > Génie des technologies de l'information
Date de dépôt: 10 nov. 2015 21:52
Dernière modification: 10 nov. 2015 21:52
URI: https://espace.etsmtl.ca/id/eprint/1548

Gestion Actions (Identification requise)

Dernière vérification avant le dépôt Dernière vérification avant le dépôt