has played an increasing role in honeypot operations. It allows to automatically generate Statemodels and scripts being able to act as realistic counterpart for capturing unknown malware. This work proposes a novel approach in the field of NPRE. By passively listening to network traces, our system automatically derives the protocol state machines of the peers involved allowing the analyst to understand its intrinsic logic. We present a new methodology to extract the relevant fields from arbitrary binary protocols to construct a statemodel. We prove our methodology by deriving the statemachine of documented protocols ARP, DHCP and TCP. We then apply it to Kademlia, the results show the usefulness to support binary reverse engineering processes and detect a new undocumented feature. I.

Cette thèse industrielle présente une approche nouvelle vers l'identification et classification des flux réseaux dans le contexte des tunnels cryptés (VPN). Le bût est la découverte des grandeurs invariants par rapport à la fonction de cryptage des tunnels. La classification de trafic VPN se distingue de l'analyse de paquets classique car le contenu du paquet n'est pas disponible en texte claire. Pour extraire de l'information, on applique des méthodes du Traffic Mining, une filière du Data Mining. Le travail étude la statistique et le comportement temporel de différents protocoles réseaux basé sur la distribution des longueurs de paquets et leur temps inter-arrivé. La première partie de ce travail décrit en détail comment les tunnels VPN peuvent être analysé avec des méthodes du Traffic Mining, elle présente les informations qui peuvent être prise du trafic crypté et comment il faut les combiner pour extraire des données statistiques. Nous utilisons les transformations de Fourier pour extraire des caractéristiques qui ne sont pas visible dans le domaine temporel. Nous proposons une technique d'échantillonnage qui accentue les caractéristiques dans le Spectrum résultant.