Outrepasser les limites des techniques classiques de Prise d'Empreintes grace aux Reseaux de Neurones

Résumé Nous présentons la détection distante de systèmes d’exploitation comme un problème d’inférence : à partir d’une série d’observations (les réponses de la machine cible à un ensemble de tests), nous voulons inférer le type de système d’exploitation qui génèrerait ces observations avec une plus grande probabilité. Les techniques classiques utilisées pour réaliser cette analyse présentent plusieurs limitations. Pour outrepasser ces limites, nous proposons l’utilisation de Réseaux de Neurones et d’outils statistiques. Nous présenterons deux modules fonctionnels : un module qui utilise les points finaux DCE-RPC pour distinguer les versions de Windows, et un module qui utilise les signatures de Nmap pour distinguer les versions de systèmes Windows, Linux, Solaris, OpenBSD, FreeBSD et NetBSD. Nous expliquerons les détails de la topologie et du fonctionnement des réseaux de neurones utilisés, et du réglage fin de leurs paramètres. Finalement nous montrerons des résultats expérimentaux positifs.