Simulation précise du réseau interconnectant des machines virtuelles basées sur de la virtualisation matérielle pour une analyse minimisant les perturbations
le 8 décembre 2025
ENS Rennes
Soutenance de thèse de Léo Cosseron (ENS Rennes / Institut de physique de Rennes)
Spécialité : Informatique
/medias/photo/vignettesoutenanceinfo_1611741809948-jpg
Résumé :
Pour analyser des malware, les spécialistes en sécurité étudient des échantillons dans des sandboxes. Les concepteurs de malware implémentent des méthodes dites d'évasion pour détecter la présence d'une sandbox d'analyse, et masquer le comportement malveillant de leur malware. Une partie de ces méthodes d'évasion reposent sur de l'analyse temporelle. Dans le cadre de cette thèse, nous nous intéressons aux méthodes d'évasion qui se basent sur les performances du réseau. Par exemple, un malware peut faire des mesures de performances sur sa communication avec un serveur contrôlé par l'attaquant, et comparer ses résultats avec ceux d'une distribution connue à l'avance. Pour rendre les sandboxes résistantes à ce type d'attaques, notre approche consiste à interconnecter des machines virtuelles avec un simulateur réseau. Notre solution découple l'horloge virtuelle de chaque machine virtuelle de l'horloge physique
de l'hôte, afin de synchroniser chaque horloge virtuelle avec l'horloge du simulateur. Ces travaux de thèse s’articulent selon deux axes applicatifs. Le premier axe « système » consiste à étudier comment créer un environnement réseau permettant de prédire les performances d’applications distribués. Le second axe « sécurité » est l’étude de l’intégration avec des sandboxes, dont certains outils d'analyse liés au temps peuvent interférer avec notre approche.
Abstract :
To analyse malware, security specialists study samples in sandboxes. Malware designers implement so-called evasion methods to detect the presence of an analysis sandbox and hide the malicious behaviour of their malware. Some of these evasion methods rely on temporal analysis. In this thesis, we focus on evasion methods based on network performance. For example, malware can measure performance on its communication with a server controlled by the attacker and compare its results with those of a distribution known in advance. To make sandboxes resistant to this type of attack, our approach consists of interconnecting virtual machines with a network simulator. Our solution decouples the virtual clock of each virtual machine from the physical clock of the host, in order to synchronise each virtual clock with the clock of the simulator. This thesis work focuses on two areas of application. The first area, ‘system’, consists of studying how to create a network environment that can predict the performance of distributed applications. The second area, ‘security’, is the study of integration with sandboxes, some of whose time-related analysis tools can interfere with our approach.
- Thématique(s)
- Recherche - Valorisation
Mise à jour le 3 juin 2026
Archives
- Séminaires 2024-2025
- Séminaires 2023-2024
- Séminaires 2022-2023
- Séminaires 2021-2022
- Séminaires 2020-2021
- Séminaires 2019-2020
- Séminaires 2018-2019
- Séminaires 2017-2018
- Séminaires 2016-2017
- Séminaires 2015-2016
- Séminaires 2014-2015
- Séminaires 2013-2014
- Séminaires 2012-2013
- Séminaires 2011-2012
- Séminaires 2010-2011
- Séminaires 2009-2010
- Séminaires 2008-2009
- Séminaires 2007-2008
- Séminaires 2006-2007
- Séminaires 2005-2006
- Séminaires 2004-2005
- Séminaires 2003-2004
- Séminaires 2002-2003
Composition du jury
- Valérie VIET TRIEM TONG, Professeure des universités, CentraleSupélec Rennes (examinatrice)
- Gaël THOMAS, Directeur de recherche, Inria Saclay (examinateur)
- Arnaud LEGRAND, Directeur de recherche, CNRS Grenoble (rapporteur)
- Michaël HAUSPIE, Maître de conférences, HDR, Université de Lille (rapporteur)
- Louis RILLING, Ingénieur chercheur, DGA Bruz (co-directeur)
- Martin QUINSON, Professeur des universités, ENS Rennes (co-directeur)