XMeta : une approche bayésienne pour le computer forensicsBernard Jouga,Thomas Duval

L'analyse forensique (ou analyse post-mortem) aide les administrateurs système et les enquêteurs en leur fournissant des outils et des techniques qui leur permettent de comprendre une attaque informatique, de restaurer un système sain et de trouver le(s) attaquant(s). Cette activité est aujourd'hui en grande partie empirique et repose sur l'expérience des enquêteurs.

Nous proposons dans cet article d'utiliser les réseaux bayésiens pour automatiser (sous certaines conditions) les investigations informatiques. Notre modèle, XMeta, est basé sur la connaissance de l'architecture et de la configuration des systèmes d'information, sur les indices accumulés tout au long de l'enquête et sur les résultats des enquêtes précédentes. Ces informations sont enregistrées dans une base de données mise à jour à chaque nouvelle enquête, et qui permet de proposer des hypothèses pour l'enquête en cours.

L'intérêt de notre méthode est ensuite illustré par l'étude d'une affaire bien connue: l'attaque du réseau de Tsutomu Shimomura par Kevin Mitnick.