Détection de codes malveillants dans les IOT avec une approche hybride s’appuyant sur l’analyse morphologique et sur l’apprentissage

Objet de la thèse.

L’objectif est de développer un anti-virus embarqué pour faire face aux attaques sur les objets connectés (IOT), et plus généralement sur les systèmes embarqués. Notre idée est de développer une méthode hybride combinant l’analyse morphologique et les modèles prédictifs de l’IA (machine learning) pour avoir un système moins gourmand en ressource de calcul et pouvant fonctionner en autonomie. Cet anti-virus embarqué devra montrer son efficacité et sa capacité à être déployables.

Directeur de thèse : Jean-Yves Marion, Pr UL

Descriptif de la thèse

L’équipe Carbone du LORIA (CNRS, Inria, Université de Lorraine), dans le cadre du Laboratoire de Haute Sécurité (LHS), a développé une méthode de détection de malwares (i.e. de codes malveillants). Cette méthode s‘appuie essentiellement sur l’analyse morphologique que nous avons développée dans l’équipe. Aujourd’hui, un système d’analyse et de détection de malwares, nommé Gorille, fonctionne soit dans une architecture en mode sonde et Endpoint sous les systèmes Windows et Linux, soit en mode analyse de codes binaires.

Les objets connectés et les systèmes embarqués communicants sont entrés dans nos salons (assistants vocaux, box), dans les entreprises (robots, caméras), dans les transports et les communications (trains, voitures et drones, les Embedded computing devices), dans les hôpitaux ou encore dans l’armement. Pour refléter l’ensemble de ces objets et de ces systèmes, nous les nommerons « systèmes connectés » dans ce document.

Malgré leurs spécialisations et malgré une puissance limitée de calcul, ces systèmes connectés vont l’objet d’attaque par des malwares. Le plus connu est le botnet MIRAI qui a compromis environ 150 000 objets connectés pour faire des attaques par déni de service (attaque DDOS). La protection de ces systèmes connectés est trop souvent faible. Or leur connexion à un réseau les transforme en vecteur d’attaque.

Pour à la fois faire face aux attaques par malwares et à la fois pour les anticiper, notre projet est de concevoir un anti-virus embarqué, c’est à dire qui s’exécute dans le système connecté, pour le prémunir des attaques malveillantes.

Aujourd’hui, nous avons développé Gorille un logiciel d’identification de comportements malveillants qui s’appuie sur l’analyse morphologique. En deux mots, l’analyse morphologique consiste à détecter un comportement malveillant en extrayant une abstraction du graphe de contrôle de flot d’un programme. Cet outil Gorille est en test à la DGA et dans d’autres services du Ministère des Armées depuis plusieurs années et il est commercialisé aujourd’hui par la start-up Cyber-Detect.

Les systèmes connectés sont un nouveau défi du fait d’une part de leurs spécialisations et d’autre part de leurs limitations (en puissance de calcul, mémoire, batterie ..). Pour contribuer à atteindre notre objectif, nous avons l’intention d’articuler nos outils d’analyse morphologique avec les techniques d’intelligence artificielle et d’apprentissage pour (i) identifier les comportements malveillants connus même obfusqués et protégés, et (ii) détecter des comportements suspects signes d’une attaque potentiellement inconnue. Cet anti-virus embarqué devra montrer son efficacité et sa capacité à être déployables sur un ensemble de systèmes comme des caméras ou des drones.

Candidat

La virologie informatique nécessite une double compétence. Il faut à la fois aimer la programmation à bas niveau, le système et le réseau, être capable de créativité pour employer ou développer des méthodes théoriques et formelles et les appliquer, et à la fois avoir la capacité de comprendre et d’appliquer les méthodes de machine learning. Le candidat devra avoir cette double compétence.

Cinq références

  1. Mathilde Ollivier, Sébastien Bardin, Richard Bonichon, Jean-Yves Marion: How to kill symbolic deobfuscation for free (or: unleashing the potential of path-oriented protections). Annual Computer Security Applications Conference (ACSAC)2019: 177-189
  2. Cheng, B., et al. «Towards Paving the Way for Large-Scale Windows Malware Analysis: Generic Binary Unpacking with Orders-of-Magnitude Performance Boost.» ACM Conference on Computer and Communications Security (CCS).
  3. Sébastien Bardin, Robin David, Jean-Yves Marion: Backward-Bounded DSE: Targeting Infeasibility Questions on Obfuscated Codes. IEEE Symposium on Security and Privacy 2017: 633-651 Robin David, Sébastien Bardin, Josselin Feist, Laurent Mounier, Marie-Laure Potet, Thanh Dinh Ta, Jean-Yves Marion: Specification of concretization and symbolization policies in symbolic execution. ISSTA 2016: 36-46

Logo d'Inria