Mise en place d'une solution de détection des pirates et des malwares dans le...
Annexe2 : Etude Comparative Sur Les Honeyclients
1. Élaboré par : Mohamed BEN BOUZID Projet de fin d'étude pour l'obtention du Diplôme Nationale d'Ingénieur en Informatique Annexe 2 : Étude comparative sur les Honeyclients Open Source Société d'accueil : L'Agence Nationale de la Sécurité Informatique (ANSI) Encadré par : Mme. Hela KAFFEL BEN AYED (FST) M. Sami MABROUK (ANSI) Année universitaire 2008/2009
2.
3.
4.
5. Faible interaction Vs. Ha ute interaction Faible interaction Haute interaction Honeypot Simulation des systèmes et des services. De vrais systèmes et services. Honeyclient Simulation des clients et des systèmes Web. De vrais clients et systèmes Web. Avantages Très rapide. Ne consomme pas beaucoup de ressources. Multithread et multi-système. Extensible. Détection des exploits « zero day ». Analyses détaillées des attaques. Un environnement réel de détection d'intrusions. Inconvénients Ne détecte pas les exploits « zero day » Très lent dans l'analyse des attaques. Lourde dans le chargement. architecture complexe et peu extensible.
6. Honeycients à Haute interaction Capture - HPC HoneyClient HoneyMonkey Spycrawler Web Exploit Finder Licence Logiciel Libre GPLv2 Logiciel Libre GPLv2 Propriétaire Propriétaire Logiciel Libre GPLv2 destination Tous les naviagteurs Internet explorer FireFox Internet explorer Internet explorer FireFox Tous les naviagteurs Outil d'analyse des malwares Son propre outil Son propre outil Strider Tools FDR, GB, GK Lavasoft AdAware Son propre outil Date de première version 2006 2004 2005 2005 2006 Version actuelle 2.5.1 2 Septembre 2008 1.0.2 Pas commercialisé Pas commercialisé 2.0 29 Octobre 2007 Système d'exploitation Multi OS Windows Windows Windows Virtualisation de Windows XP Développeur Université de Welington Mitre Microsoft Research Université de Washington Université de Hochschule der Medien - Stuttgart
7. Honeyclients à faible intéraction SpyBye HoneyC HoneyD Monkey-Spider Licence Logiciel Libre GPLv2 Logiciel Libre GPLv2 Logiciel Libre GPLv2 Logiciel Libre GPLv3 destination Tous les navigateurs crawler HTTP, FTP, etc crawler/émail Outil d'analyse des malwares ClamAV Snort Libevent, libpcap, libnet, arpd (packages sous linux) ClamAV Date de première version 2007 2006 2003 2006 Version actuelle 0.3 09 Juin 2007 1.2.0 13 Septembre 2008 1.5c 27 Mai 2007 0.2 23 Mars 2009 Système d'exploitation Multi OS Multi OS Unix/linux BSD et windows avec cyguin Multi OS Développeur Niels Provos Université de Welington - Nouvelle-Zélande Niel Provos Université de Mannheim