University Sétif 1 FERHAT ABBAS Faculty of Sciences
Détail de l'auteur
Auteur Zibouda Aliouat n´ee Zouaoui |
Documents disponibles écrits par cet auteur
Ajouter le résultat dans votre panier Affiner la recherche
Titre : D´etection des cyber-attaques dans l’internet des objets Type de document : texte imprimé Auteurs : Rafika Saadouni, Auteur ; Amina Khacha, Auteur ; Zibouda Aliouat n´ee Zouaoui, Directeur de thèse Année de publication : 2022 Importance : 1 vol (67 f .) Format : 29cm Langues : Français (fre) Catégories : Thèses & Mémoires:Informatique Mots-clés : IoT
Big data
système de surveillanceIndex. décimale : 004 Informatique Résumé :
Le d´eveloppement croissant des dispositifs IoT (Internet des objets) cr´e´e une grande
surface d’attaque pour les cybercriminels afin de mener des cyberattaques. Parmis
les solutions cr´e´ees pour garder la s´ecurit´e est la cr´eation d’un IDS (un syst`eme de
d´etection d’intrusion) plus intelligent avec l’apprentissage profond. L’objectif de ce travail
est d’´etudier les performances des m´ethodes d’apprentissage profond et s´electionner
les r´eseaux de neurones les plus efficace pour faire une combinaison entre eux afin
d’obtenir un mod`ele hybride performant permettant de r´esoudre les probl`emes des
r´eseaux en s´ecurit´e. Nous avons ´evalu´e les m´ethodes propos´ees avec les trois ensembles
de donn´ees NSL-KDD, CICIDS-2017 et EDGE-IIOt. Nous avons ´egalement pr´esent´e
une ´etude comparative avec deux algorithmes d’apprentissage automatique dans deux
types de classification (binaire et multi-classes), en utilisant diff´erentes m´etriques dans
l’´evaluation des performances importants pour la d´etection des intrusions (taux de
d´etection, taux de fausses alarmes et temps de d´etection). Les r´esultats exp´erimentaux
ont montr´e que les performances des approches de deep learning (DL) propos´ees sont
sup´erieures `a celles des algorithmes de machine learning (ML) traditionnels et les
mod`eles propos´e hybrides mieux que le mod`ele pure.Côte titre : MAI/0638 En ligne : https://drive.google.com/file/d/1pWlSTAy1JiaEdWdWtA4i8Xpw1pOQlMGO/view?usp=share [...] Format de la ressource électronique : D´etection des cyber-attaques dans l’internet des objets [texte imprimé] / Rafika Saadouni, Auteur ; Amina Khacha, Auteur ; Zibouda Aliouat n´ee Zouaoui, Directeur de thèse . - 2022 . - 1 vol (67 f .) ; 29cm.
Langues : Français (fre)
Catégories : Thèses & Mémoires:Informatique Mots-clés : IoT
Big data
système de surveillanceIndex. décimale : 004 Informatique Résumé :
Le d´eveloppement croissant des dispositifs IoT (Internet des objets) cr´e´e une grande
surface d’attaque pour les cybercriminels afin de mener des cyberattaques. Parmis
les solutions cr´e´ees pour garder la s´ecurit´e est la cr´eation d’un IDS (un syst`eme de
d´etection d’intrusion) plus intelligent avec l’apprentissage profond. L’objectif de ce travail
est d’´etudier les performances des m´ethodes d’apprentissage profond et s´electionner
les r´eseaux de neurones les plus efficace pour faire une combinaison entre eux afin
d’obtenir un mod`ele hybride performant permettant de r´esoudre les probl`emes des
r´eseaux en s´ecurit´e. Nous avons ´evalu´e les m´ethodes propos´ees avec les trois ensembles
de donn´ees NSL-KDD, CICIDS-2017 et EDGE-IIOt. Nous avons ´egalement pr´esent´e
une ´etude comparative avec deux algorithmes d’apprentissage automatique dans deux
types de classification (binaire et multi-classes), en utilisant diff´erentes m´etriques dans
l’´evaluation des performances importants pour la d´etection des intrusions (taux de
d´etection, taux de fausses alarmes et temps de d´etection). Les r´esultats exp´erimentaux
ont montr´e que les performances des approches de deep learning (DL) propos´ees sont
sup´erieures `a celles des algorithmes de machine learning (ML) traditionnels et les
mod`eles propos´e hybrides mieux que le mod`ele pure.Côte titre : MAI/0638 En ligne : https://drive.google.com/file/d/1pWlSTAy1JiaEdWdWtA4i8Xpw1pOQlMGO/view?usp=share [...] Format de la ressource électronique : Exemplaires (1)
Code-barres Cote Support Localisation Section Disponibilité MAI/0638 MAI/0638 Mémoire Bibliothéque des sciences Français Disponible
Disponible
Titre : Patient Zero Detection using Digital Forensics Type de document : texte imprimé Auteurs : Dallal Mayouf, Auteur ; Zibouda Aliouat n´ee Zouaoui, Directeur de thèse Editeur : Setif:UFA Année de publication : 2024 Importance : 1 vol (64 f .) Format : 29 cm Langues : Anglais (eng) Catégories : Thèses & Mémoires:Informatique Mots-clés : Cybersecurity
Cyber Incident
Incident Response
Digital Forensics
Patient Zero
Indicators of Compromise (IoCs)Index. décimale : 004 - Informatique Résumé : This thesis examines critical aspects of cybersecurity, incident response, and digital
forensics, specifically focusing on identifying Patient Zero in cyber incidents. Beginning
with an overview of cybersecurity fundamentals, including common threats and
incident response methodologies, the study explores digital forensics techniques essential
for investigation. The concept of Patient Zero is introduced as pivotal in understanding
the initial compromise point during security breaches. A novel methodology
is proposed for enhancing Patient Zero identification through systematic extraction
and correlation of Indicators of Compromise (IoCs). The practical application of this
methodology is demonstrated through a detailed use case analysis using Velociraptor,
showcasing its efficacy in real-world scenarios. By bridging theory with practical implementation,
this thesis advances incident response strategies by providing a structured
approach to pinpointing the origin of cybersecurity breaches.Note de contenu : Sommaire
Table of contents 2
List of figures 3
List of tables 1
General Introduction 1
1 Cybersecurity and Digital Forensics 2
1.1 CyberSecurity Review . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.1.1 What is Cybersecurity . . . . . . . . . . . . . . . . . . . . . . . 3
1.1.2 Cyber threats . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.1.3 Most Common Attacks . . . . . . . . . . . . . . . . . . . . . . . 4
1.1.4 Cybersecurity Challenges . . . . . . . . . . . . . . . . . . . . . . 6
1.1.5 Security measures . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.1.6 Cyber Incident . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.1.7 Incident Identification . . . . . . . . . . . . . . . . . . . . . . . 9
1.2 Incident Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.2.1 Understanding Incident Response . . . . . . . . . . . . . . . . . 12
1.2.2 Incident Response Stages . . . . . . . . . . . . . . . . . . . . . . 12
1.3 Digital Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.3.1 Definition and Scope . . . . . . . . . . . . . . . . . . . . . . . . 14
1.3.2 Digital Forensics types . . . . . . . . . . . . . . . . . . . . . . . 14
1.3.3 Digital Forensics Process . . . . . . . . . . . . . . . . . . . . . . 15
1.3.4 Key Techniques in Digital Forensics . . . . . . . . . . . . . . . . 16
1.4 Insufficience of remediation in system’s security . . . . . . . . . . . . . 17
2 Patient Zero Identification 18
2.1 Patient Zero Identification Concept . . . . . . . . . . . . . . . . . . . . 19
2.2 Necessary Knowledge . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.2.1 Artifacts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.2.2 Indicators of Compromise . . . . . . . . . . . . . . . . . . . . . 21
2.2.3 IoCs Hunting Challenges and Proposed Solutions . . . . . . . . 23
2.2.4 Direct and Indirect IoCs . . . . . . . . . . . . . . . . . . . . . . 24
2.2.5 Artifacts and related IoCs . . . . . . . . . . . . . . . . . . . . . 25
2.3 Patient Zero Identification methodology . . . . . . . . . . . . . . . . . 26
2.3.1 IoCs Extraction . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.3.2 Timeline and Correlation . . . . . . . . . . . . . . . . . . . . . . 28
2.3.3 Patient Zero Identification . . . . . . . . . . . . . . . . . . . . . 29
2.4 Proposed Methodology . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.4.1 IoC Extraction Using Velociraptor . . . . . . . . . . . . . . . . . 30
2.4.2 Timeline and IoC Correlation with Velociraptor . . . . . . . . . 31
2.4.3 Identifying Patient Zero with Velociraptor . . . . . . . . . . . . 32
2.5 A Flexible Roadmap For Each Incident . . . . . . . . . . . . . . . . . . 32
3 Use Case Analysis and Result Discussion 34
3.1 Work Environment and Tools . . . . . . . . . . . . . . . . . . . . . . . 35
3.1.1 Realistic Security Company . . . . . . . . . . . . . . . . . . . . 35
3.1.2 Services and Expertise . . . . . . . . . . . . . . . . . . . . . . . 35
3.1.3 Oracle VM VirtualBox . . . . . . . . . . . . . . . . . . . . . . . 37
3.1.4 Ubuntu Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.1.5 Windows 10 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.1.6 Windows Server 2016 . . . . . . . . . . . . . . . . . . . . . . . . 38
3.1.7 Data Exfiltration . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.1.8 OneDrive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.1.9 Velociraptor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.1.10 Realistic Security Artifacts . . . . . . . . . . . . . . . . . . . . . 40
3.1.11 RDP Bitmap Cache Parser . . . . . . . . . . . . . . . . . . . . . 40
3.1.12 RdpCacheStitcher . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.2 Use Case . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.2.1 Scenario Description . . . . . . . . . . . . . . . . . . . . . . . . 41
3.2.2 Configuration and Setup . . . . . . . . . . . . . . . . . . . . . . 41
3.2.3 Scenario Implementation . . . . . . . . . . . . . . . . . . . . . . 42Côte titre : MAI/0854 Patient Zero Detection using Digital Forensics [texte imprimé] / Dallal Mayouf, Auteur ; Zibouda Aliouat n´ee Zouaoui, Directeur de thèse . - [S.l.] : Setif:UFA, 2024 . - 1 vol (64 f .) ; 29 cm.
Langues : Anglais (eng)
Catégories : Thèses & Mémoires:Informatique Mots-clés : Cybersecurity
Cyber Incident
Incident Response
Digital Forensics
Patient Zero
Indicators of Compromise (IoCs)Index. décimale : 004 - Informatique Résumé : This thesis examines critical aspects of cybersecurity, incident response, and digital
forensics, specifically focusing on identifying Patient Zero in cyber incidents. Beginning
with an overview of cybersecurity fundamentals, including common threats and
incident response methodologies, the study explores digital forensics techniques essential
for investigation. The concept of Patient Zero is introduced as pivotal in understanding
the initial compromise point during security breaches. A novel methodology
is proposed for enhancing Patient Zero identification through systematic extraction
and correlation of Indicators of Compromise (IoCs). The practical application of this
methodology is demonstrated through a detailed use case analysis using Velociraptor,
showcasing its efficacy in real-world scenarios. By bridging theory with practical implementation,
this thesis advances incident response strategies by providing a structured
approach to pinpointing the origin of cybersecurity breaches.Note de contenu : Sommaire
Table of contents 2
List of figures 3
List of tables 1
General Introduction 1
1 Cybersecurity and Digital Forensics 2
1.1 CyberSecurity Review . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.1.1 What is Cybersecurity . . . . . . . . . . . . . . . . . . . . . . . 3
1.1.2 Cyber threats . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.1.3 Most Common Attacks . . . . . . . . . . . . . . . . . . . . . . . 4
1.1.4 Cybersecurity Challenges . . . . . . . . . . . . . . . . . . . . . . 6
1.1.5 Security measures . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.1.6 Cyber Incident . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.1.7 Incident Identification . . . . . . . . . . . . . . . . . . . . . . . 9
1.2 Incident Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.2.1 Understanding Incident Response . . . . . . . . . . . . . . . . . 12
1.2.2 Incident Response Stages . . . . . . . . . . . . . . . . . . . . . . 12
1.3 Digital Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.3.1 Definition and Scope . . . . . . . . . . . . . . . . . . . . . . . . 14
1.3.2 Digital Forensics types . . . . . . . . . . . . . . . . . . . . . . . 14
1.3.3 Digital Forensics Process . . . . . . . . . . . . . . . . . . . . . . 15
1.3.4 Key Techniques in Digital Forensics . . . . . . . . . . . . . . . . 16
1.4 Insufficience of remediation in system’s security . . . . . . . . . . . . . 17
2 Patient Zero Identification 18
2.1 Patient Zero Identification Concept . . . . . . . . . . . . . . . . . . . . 19
2.2 Necessary Knowledge . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.2.1 Artifacts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.2.2 Indicators of Compromise . . . . . . . . . . . . . . . . . . . . . 21
2.2.3 IoCs Hunting Challenges and Proposed Solutions . . . . . . . . 23
2.2.4 Direct and Indirect IoCs . . . . . . . . . . . . . . . . . . . . . . 24
2.2.5 Artifacts and related IoCs . . . . . . . . . . . . . . . . . . . . . 25
2.3 Patient Zero Identification methodology . . . . . . . . . . . . . . . . . 26
2.3.1 IoCs Extraction . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.3.2 Timeline and Correlation . . . . . . . . . . . . . . . . . . . . . . 28
2.3.3 Patient Zero Identification . . . . . . . . . . . . . . . . . . . . . 29
2.4 Proposed Methodology . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.4.1 IoC Extraction Using Velociraptor . . . . . . . . . . . . . . . . . 30
2.4.2 Timeline and IoC Correlation with Velociraptor . . . . . . . . . 31
2.4.3 Identifying Patient Zero with Velociraptor . . . . . . . . . . . . 32
2.5 A Flexible Roadmap For Each Incident . . . . . . . . . . . . . . . . . . 32
3 Use Case Analysis and Result Discussion 34
3.1 Work Environment and Tools . . . . . . . . . . . . . . . . . . . . . . . 35
3.1.1 Realistic Security Company . . . . . . . . . . . . . . . . . . . . 35
3.1.2 Services and Expertise . . . . . . . . . . . . . . . . . . . . . . . 35
3.1.3 Oracle VM VirtualBox . . . . . . . . . . . . . . . . . . . . . . . 37
3.1.4 Ubuntu Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.1.5 Windows 10 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.1.6 Windows Server 2016 . . . . . . . . . . . . . . . . . . . . . . . . 38
3.1.7 Data Exfiltration . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.1.8 OneDrive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.1.9 Velociraptor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.1.10 Realistic Security Artifacts . . . . . . . . . . . . . . . . . . . . . 40
3.1.11 RDP Bitmap Cache Parser . . . . . . . . . . . . . . . . . . . . . 40
3.1.12 RdpCacheStitcher . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.2 Use Case . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.2.1 Scenario Description . . . . . . . . . . . . . . . . . . . . . . . . 41
3.2.2 Configuration and Setup . . . . . . . . . . . . . . . . . . . . . . 41
3.2.3 Scenario Implementation . . . . . . . . . . . . . . . . . . . . . . 42Côte titre : MAI/0854 Exemplaires (1)
Code-barres Cote Support Localisation Section Disponibilité MAI/0854 MAI/0854 Mémoire Bibliothéque des sciences Anglais Disponible
Disponible
