Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
a Equipe CheckSem, Laboratoire Le2i, Université de Bourgogne, Dijon, FRANCEb School of Computer Science & Informatics, University College Dublin, IRLANDE
Représentation d’évènements et peuplement d’ontologie appliqués au domaine de la criminalistique
informatique
1
27 Janvier 2015
Yoan Chabota,b, Aurélie Bertauxa, Christophe Nicollea and M-Tahar Kechadib
Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
2
Plan de la présentation
Enoncé du problème Verrous Etat de l’art
Reconstruction de
scénarios
Travaux futursContributions
Conclusion
Modèle pour la
représentation
d’évènements
Limites de l’existant
Connaissances génériques
Traçabilité des informations
Connaissances métiers
PeuplementChaîne
d’extractionExploitation
de l’ontologie
Exploitation des connaissances
Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
Reconstruction de scénarios pour le domaine de la criminalistique
informatique
Objectif Déterminer le déroulement de l’incident (1) en
respectant les exigences légales (2)
3
Traces
Conclusions de l’enquête Chronologie
Enoncé du problème
Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
4
Exigences légales• Crédibilité • Reproductibilité• Véracité • Précision
Verrous
Verrous techniques
Scène de crime numérique
• Grands volumes de données • Hétérogénéité
Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
5
Etat de l’art
log2timeline par Kristinn GudjonssonSuper-chronologies basées sur un grand nombre de sources de traces
• Journaux d’évènements Windows• Historiques de navigateurs Web• Journaux Apache• Métadonnées de documents PDF• Journaux de Firewall• etc.
ECF, FORE, Finite state machine approach, Zeitline, Neural networks appraoch, CyberForensic TimeLab, etc.
Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
6
Limites de l’existant
Contraintes :• Automatisation des processus• Complétude et sémantisation• Consultation des informations• Traçabilité
Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
7
Approche
Automatisation des processus • Définition de la sémantique des données• Inférence et analyse
Complétude du modèle• Expressivité des langages ontologiques• OWL 2 RL
Consultation des informations• Outils d’interrogation• Représentation sous forme de graphes
Traçabilité des informations• Représentation des activités d’investigation
Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
8
Connaissances génériques
Evènement
création
Localisation
TempsObjetEst daté
Est localisé
Sujet
impacteparticipe
utilisationmodification
suppression
Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
Connaissances métiers
9
Fichiers
• Exécutable• Liens• Archives• Image• PDF• OLECF
Comptes
• Windows• Unix• Skype
Objets Web
• Page Web• Ressource Web• Marque page• Cookie• Site Web• Préférence• Formulaire
Communication
• Message instantané
• SMS• MMS• Email
Clés de registre
Web
• Firefox• Chrome• Internet Explorer• Opera• Safari
Windows
• Filestat• Tâches planifiées• Liens• OLECF• Corbeille• Prefetch• Registre
Autres sources
• Google Drive• Java IDX• Skype
Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
Traçabilité des informations
10
Tâche d’investigation
Utilise
Contribue à
Localisation
Temps
Outil
Est daté
Est localisé
Enquêteur
Entité
Est identifié parEst supporté par
Sujet Evènement Objet
est unest un est un
Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
Exemple
11
utilise crée
Evènement
Ressource web Fichier exe
googleChrome intervalle1Est datéparticipe
Tâche d’investigationlog2timeline intervalle2
Est identifié par
utilise Est daté
size : 244336url : https://download-installer.cdn.mozilla.net...
size : 244336path : C:\\Users\\User1\\Downloads\\Firefox Setup…
type : Chrome Historysubtype : Download of a file
localisation
Est localisé
Technique type : Information SourceTechnique name : Extraction using log2timelineSource name : Google Chrome History
Téléchargement d’un fichier distant à l’aide du navigateur Chrome :
Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
Traces présentes sur la scène de l’incident
Opérateurs d’extraction et de
peuplement
Opérateurs
d’analyse
Chronologie avancée
Conclusions
Ontologie et opérateurs
Ontologie
12
log2timeline
Fichier CSV
• Corrélation d’évènements• Identification d’actions
illicites• Résumé de chronologies
Opérateurs de
consolidation
• Connexions de graphes• Inférence à base de règles
Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
Extraction et peuplement
13
Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
Corrélation d’évènements
14
Corrélation d’objets Corrélation de sujets
Corrélation temporelle Corrélation basée sur les connaissances métiers
Corrélation d’évènements
e1 e2
e3
Event
Object
o2
o3
o1
rdf:typerdf:type
rdf:type
rdf:type
sadfc:creation
sadfc:utilization
sadfc:creation
sadfc:modification
sadfc:modification
𝐶𝑜𝑟𝑟𝑒𝑙𝑎𝑡𝑖𝑜𝑛𝑂 (𝑒 ,𝑥 )=|𝑂𝑒∩𝑂𝑥|/max ¿
1/3 1/30
Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
Corrélation d’évènements
15
Corrélation d’objets Corrélation de sujets
Corrélation temporelle Corrélation basée sur les connaissances métiers
Corrélation d’évènements
e1 e2
e3s1
s2
s3
s4sadfc:participation
sadfc:participation
sadfc:participation
sadfc:consequence
sadfc:participation
Event
rdf:type
Subject
PersonProcess
rdf:type
rdf:type
rdfs:subClassOf
rdfs:subClassOf
rdf:type
rdf:type
𝐶𝑜𝑟𝑟𝑒𝑙𝑎𝑡𝑖𝑜𝑛𝑆 (𝑒 , 𝑥 )=|𝑆𝑒∩𝑆𝑥|/max ¿
1/200
Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
Corrélation d’évènements
16
Corrélation d’objets Corrélation de sujets
Corrélation temporelle Corrélation basée sur les connaissances métiers
Corrélation d’évènements
𝐶𝑜𝑟𝑟𝑒𝑙𝑎𝑡𝑖𝑜𝑛𝑇 (𝑒 ,𝑥 )=𝛼×𝑠𝑡𝑎𝑟𝑡𝑠 (𝑒 ,𝑥 )+𝛼×𝑒𝑞𝑢𝑎𝑙𝑠 (𝑒 ,𝑥 )+𝑚𝑒𝑒𝑡𝑠 (𝑒 , 𝑥 )+𝑜𝑣𝑒𝑟𝑙𝑎𝑝𝑠 (𝑒 ,𝑥 )+𝑑𝑢𝑟𝑖𝑛𝑔 (𝑒 ,𝑥 )+ h𝑓𝑖𝑛𝑖𝑠 𝑒𝑠 (𝑒 ,𝑥 )+𝑏𝑒𝑓𝑜𝑟𝑒 (𝑒 ,𝑥 )
Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
Corrélation d’évènements
17
Corrélation d’objets Corrélation de sujets
Corrélation temporelle Corrélation basée sur les connaissances métiers
Corrélation d’évènements
A si la règle est satisfaite et 0 sinon
2014-06-20T13:57:16.544000+00:00 | Creation Time | WEBHIST | Firefox History | Bookmark URL CheckSem - Semantic Intelligence Research (http://checksem.u-bourgogne.fr/www/)| sqlite | TSK:/Users/Yoan/AppData/Roaming/Mozilla/Firefox/Profiles/94zxtt2a.default/places.sqlite | - | 3 | 373176
2014-06-20T13:57:21.474000+00:00 | Page Visited | WEBHIST | Firefox History | http://checksem.u-bourgogne.fr/www/ (CheckSem - Semantic Intelligence Research Host: checksem.u-bourgogne.fr visited from: http://checksem.u-bourgogne.fr/www/ (checksem.u-bourgogne.fr) Transition: BOOKMARK | sqlite | TSK:/Users/Yoan/AppData/Roaming/Mozilla/Firefox/Profiles/94zxtt2a.default/places.sqlite | - | 3 | 373182
Création d’un marque page
Visite d’une page
Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
Corrélation d’évènements
18
1,143• : o1 1/1 = 1• : 0/1 = 0• : 2014-07-03T07:36:39 <-> 2014-07-03T07:36:46 0,143
𝐶𝑜𝑟𝑟𝑒𝑙𝑎𝑡𝑖𝑜𝑛 (𝑒 , 𝑥 )=𝐶𝑜𝑟𝑟𝑒𝑙𝑎𝑡𝑖𝑜𝑛𝑇 (𝑒 ,𝑥 )+𝐶𝑜𝑟𝑟𝑒𝑙𝑎𝑡𝑖𝑜𝑛𝑆 (𝑒 ,𝑥 )+𝐶𝑜𝑟𝑟𝑒𝑙𝑎𝑡𝑖𝑜𝑛𝑂 (𝑒 , 𝑥 )+𝐶𝑜𝑟𝑟𝑒𝑙𝑎𝑡𝑖𝑜𝑛𝐾𝐵𝑅 (𝑒 ,𝑥)
Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
Corrélation d’évènements
19
• : 0/1= 0• : 0/1= 0• : 2014-07-03T07:36:39 <-> 2010-11-20T04:58:26 0
Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
Volume Hétérogénéité
Représentation unifiée des
connaissances
Extracteurs dédiés à chaque
source
Crédibilité et Reproductibilit
é
Traçabilité des informations
Contributions
20
Automatisation des traitements
Technologies supportant la
charge
Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
21
Travaux futurs
Diversité
• Antivirus• Android/Mac
Analyse
• Composition d’évènements• Identification d’actions illicites
Efficacité
• Cas moyen : 500 000 évènements• Volumétrie : 20 000 000 triplets
Interface
• Chronologies avancées et interactives• Outils d’interrogation et de consultation avancées
Yoan
Cha
bot –
yoa
n.ch
abot
@ch
ecks
em.fr
- Eq
uipe
de
proj
et C
heck
sem
– L
abor
atoi
re E
lect
roni
que
Info
rmati
que
et Im
age
(LE2
I – U
MR
CNRS
515
8) I
UT
Dijo
n-Au
xerr
e –
Uni
vers
ité d
e Bo
urgo
gne,
BP
4787
0, 2
1078
Dijo
n Ce
dex,
Fra
nce
a Equipe CheckSem, Laboratoire Le2i, Université de Bourgogne, Dijon, FRANCEb School of Computer Science & Informatics, University College Dublin, IRLANDE
Représentation d’évènements et peuplement d’ontologie appliqués au domaine de la criminalistique
informatique
27 Janvier 2015
Yoan Chabota,b, Aurélie Bertauxa, Christophe Nicollea and M-Tahar Kechadib
22