Visitez notre kiosque à CANSEC les 27-28 mai
Les réseaux de machines zombies HTTP dominent actuellement le paysage des menaces, dépassant les architectures IRC et P2P. Leur succès repose sur leur facilité de déploiement et leur capacité à se fondre dans le trafic web légitime. Cette recherche propose une approche holistique combinant trois détecteurs indépendants qui exploitent les traces laissées dans le trafic DNS.
Le premier détecteur analyse les caractéristiques des noms de domaine impliqués dans les requêtes DNS. Les réseaux zombies utilisent massivement les algorithmes de génération de domaines et le DNS à rotation rapide pour échapper au filtrage par adresses IP. Ces techniques laissent des signatures distinctives: noms de domaine inhabituellement longs, ratio élevé de réponses NXDOMAIN indiquant des domaines inexistants, valeurs TTL extrêmement courtes, et distribution géographique dispersée des adresses IP résolues.
Le deuxième détecteur profile les applications individuelles selon leurs interactions DNS. Chaque application légitime présente un pattern prévisible: types de requêtes spécifiques, valeurs TTL stables, structure de domaines cohérente. L'analyse de ces patterns permet d'identifier les applications qui dévient du comportement attendu. Par exemple, Skype génère exclusivement des requêtes CNAME avec un TTL stable, tandis qu'Avast utilise uniquement des requêtes de type A avec une valeur TTL de 299 secondes.
Le troisième détecteur exploite la régularité temporelle des communications. Contrairement aux architectures IRC qui maintiennent des connexions permanentes, les réseaux zombies HTTP utilisent un modèle par extraction: les machines infectées contactent périodiquement leurs serveurs de commande et contrôle selon un calendrier défini. Cette régularité dans l'intervalle entre requêtes successives constitue un indicateur fiable.
L'évaluation utilise des données publiques du projet Stratosphere IPS combinées à un environnement de test déployant neuf trousses d'exploitation différentes, incluant Zyklon, Zeus, Citadel et BlackEnergy. Trois algorithmes d'apprentissage machine ont été comparés pour chaque détecteur: forêts aléatoires, arbres de décision J48 et classificateur naïf bayésien.
Les forêts aléatoires surpassent systématiquement les autres approches. Le détecteur de domaines atteint 99,3% de précision avec 0,2% de faux positifs. Le détecteur d'applications obtient 95,4% de précision avec 3,9% de faux positifs. Le détecteur de séries temporelles affiche 99,5% de précision avec seulement 0,4% de faux positifs.
Cette approche multi-détecteurs exploite différentes fenêtres temporelles selon le contexte: 24 heures pour le profilage d'applications, 10 minutes pour l'analyse temporelle, et 1 minute pour l'analyse des domaines. Cette complémentarité permet une couverture exhaustive des différents types de réseaux zombies HTTP.
