EP1700453A1 - Method for managing a set of alarms emitted by sensors for detecting intrusions of a information security system - Google Patents

Method for managing a set of alarms emitted by sensors for detecting intrusions of a information security system

Info

Publication number
EP1700453A1
EP1700453A1 EP04816392A EP04816392A EP1700453A1 EP 1700453 A1 EP1700453 A1 EP 1700453A1 EP 04816392 A EP04816392 A EP 04816392A EP 04816392 A EP04816392 A EP 04816392A EP 1700453 A1 EP1700453 A1 EP 1700453A1
Authority
EP
European Patent Office
Prior art keywords
alert
alerts
attribute
description
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP04816392A
Other languages
German (de)
French (fr)
Inventor
Benjamin Morin
Hervé Debar
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Publication of EP1700453A1 publication Critical patent/EP1700453A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes

Definitions

  • the description of a given alert is supplemented by recovering from the generalization relationships of the plurality of taxonomic structures and recursively, a set comprising the more general value attributes and which has not already been present in the description of '' another alert previously completed.
  • the attributes valued in the taxonomic structure are organized according to a directed acydic graph.
  • the invention also relates to a computer program designed to implement the above method, when it is executed by the alert management system.
  • the name of the organization corresponds to the "netname" field contained in the databases of the IANA TM organization, which manages the allocation of IP addresses.
  • Internal IP addresses and private IP addresses (non-routable) can be generalized into local network identifiers defined by an administrator of the intrusion detection system 1.
  • the names of organizations can be generalized to the value "ext" and the identifiers local networks can be generalized to the “int” value.
  • the value attribute domain "victim" has IP addresses. These victims' IP addresses can be generalized to the address of the corresponding local network.
  • These IP addresses can also be generalized into machine names, obtained by name resolution mechanisms. Machine names can be generalized into host “functions” (for example web server), defined by the site administrator.

Abstract

The invention relates to a method for managing a set of alarms emitted by intrusion detecting sensors (11a, 11b, 11c) of an information security system (1) comprising an alarm managing system (13), wherein each alarm is identified by an alarm identifier and an alarm content consisting in assigning a description comprising a conjunction of a plurality of valued attributes allocated to a plurality of attribute ranges to each alarm emitted by said intrusion detecting sensors (11a, 11b, 11c), organising the valued attributes allocated to each attribute range into a taxonomic structure defining generalisation ratios between said valued attributes and the plurality of attribute ranges forming the structure of taxonomic structures, completing the description of each said alarm by a set of values induced by the taxonomic structures from the valued attribute of said alarms in order to form completed alarms and in storing said completed alarms in a logic files (21) in such a way that it is possible to reference thereon.

Description

Titre de l'inventionTitle of invention
Procédé de gestion d'un ensemble d'alertes issues de sondes de détection d'intrusions d'un système de sécurité d'informations.Method for managing a set of alerts from intrusion detection probes of an information security system.
Arrière-plan de l'invention L'invention concerne un procédé de gestion d'un ensemble d'alertes issues de sondes de détection d'intrusions. La sécurité des systèmes d'information passe par le déploiement de systèmes de détection d'intrusions « IDS » comportant des sondes de détection d'intrusions qui émettent des alertes vers des systèmes de gestion d'alertes. En effet, les sondes de détection d'intrusions sont des composants actifs du système de détection d'intrusions qui analysent une ou plusieurs sources de données à la recherche d'événements caractéristiques d'une activité intrusive et émettent des alertes vers les systèmes de gestion d'alertes. Un système de gestion des alertes centralise les alertes provenant des sondes et effectue éventuellement une analyse de l'ensemble de ces alertes. Les sondes de détection d'intrusions génèrent un très grand nombre d'alertes qui peut comprendre plusieurs milliers par jour en fonction des configurations et de l'environnement. L'excès d'alertes peut résulter d'une combinaison de plusieurs phénomènes. Tout d'abord, de fausses alertes représentent jusqu'à 90% du nombre total d'alertes. Ensuite, les alertes sont souvent trop granulaires, c'est-à-dire que leur contenu sémantique est très pauvre.Background of the Invention The invention relates to a method for managing a set of alerts from intrusion detection probes. The security of information systems requires the deployment of “IDS” intrusion detection systems comprising intrusion detection probes that issue alerts to alert management systems. In fact, intrusion detection probes are active components of the intrusion detection system that analyze one or more data sources in search of events characteristic of an intrusive activity and issue alerts to management systems alert. An alert management system centralizes alerts from probes and optionally performs an analysis of all of these alerts. The intrusion detection probes generate a very large number of alerts which can include several thousands per day depending on the configurations and the environment. The excess of alerts can result from a combination of several phenomena. First, false alerts account for up to 90% of the total number of alerts. Then, the alerts are often too granular, that is to say that their semantic content is very poor.
Enfin les alertes sont souvent redondantes et récurrentes. Ainsi, l'excès d'alertes rend leur compréhension et leur manipulation difficile par un opérateur de sécurité humain. Le traitement amont des alertes au niveau du système de gestion est donc nécessaire pour faciliter le travail d'analyse de l'opérateur de sécurité. Les systèmes de gestion d'alertes actuels consistent à stocker les alertes dans un système de gestion de bases de données relationnelles (SGBDR). L'opérateur de sécurité peut ainsi interroger ce système de gestion SGBDR en lui soumettant une requête portant sur les propriétés des alertes. Le système de gestion SGBDR fournit en retour à l'opérateur, l'ensemble des alertes dont la description satisfait la requête. L'inconvénient de ces systèmes est le fait que les alertes fournies à l'opérateur peuvent être nombreuses et granulaires, ce qui rend leur analyse fastidieuse.Finally, alerts are often redundant and recurrent. Thus, the excess of alerts makes them difficult to understand and manipulate by a human security operator. Upstream processing of alerts at the management system level is therefore necessary to facilitate the analysis work of the security operator. Current alert management systems consist of storing alerts in a relational database management system (RDBMS). The security operator can thus interrogate this RDBMS management system by submitting a request relating to the properties of the alerts. The RDBMS management system provides in return to the operator, all the alerts whose description meets the request. The disadvantage of these systems is the fact that the alerts provided to the operator can be numerous and granular, which makes their analysis tedious.
Ob et et résumé de l'invention L'invention a pour but de remédier à ces inconvénients, et de fournir une méthode simple de gestion d'un ensemble d'alertes issues de sondes de détection d'intrusions pour permettre une consultation flexible, aisée et rapide de cet ensemble d'alertes. Ces buts sont atteints grâce à un procédé de gestion d'un ensemble d'alertes issues de sondes de détection d'intrusions d'un système de sécurité d'informations comportant un système de gestion d'alertes, chaque alerte étant définie par un identifiant d'alerte et un contenu d'alerte, caractérisé en ce qu'il comporte les étapes suivantes : -associer à chacune des alertes issues des sondes de détection d'intrusions, une description comportant une conjonction d'une pluralité d'attributs values appartenant à une pluralité de domaines d'attributs ; -organiser les attributs values appartenant à chaque domaine d'attribut en une structure taxinomique définissant des relations de généralisation entre lesdits attributs values, la pluralité des domaines d'attributs formant ainsi une pluralité de structures taxinomiques ; -compléter la description de chacune desdites alertes par des ensembles de valeurs induites par les structures taxinomiques à partir des attributs values desdites alertes pour former des alertes complètes ; -stocker lesdites alertes complètes dans un système de fichiers logique pour en permettre la consultation. Ainsi, le stockage des alertes complètes dans un système de fichiers logique permet à un opérateur de sécurité de consulter le système de gestion d'alertes d'une manière efficace, rapide, et flexible afin d'obtenir une vision précise de l'ensemble des alertes issues des sondes de détection d'intrusions. La consultation des alertes complètes peut être réalisée par une succession d'interrogations et/ou de navigations dans lesdites alertes complètes de sorte qu'en réponse à une requête, le système de gestion d'alertes fournit des attributs values pertinents permettant de distinguer un sous-ensemble d'alertes complètes parmi un ensemble d'alertes complètes satisfaisant la requête afin de permettre le raffinement de ladite requête. De préférence, les attributs values pertinents sont en priorité les plus généraux en regard de la pluralité des structures taxinomiques. Avantageusement, en réponse à la requête, le système de gestion d'alertes fournit en outre des identifiants d'alertes satisfaisant la requête et dont la description ne peut pas être raffinée par rapport à ladite requête. L'identifiant d'alerte est un couple formé d'un identifiant de la sonde de détection d'intrusions qui produit l'alerte et d'un numéro de série d'alerte affecté par ladite sonde. Le contenu de chaque alerte comporte un message textuel fourni par la sonde de détection d'intrusions correspondante. Chaque attribut value comporte un identifiant d'attribut et une valeur d'attribut. Selon un aspect de l'invention, chaque identifiant d'attribut est associé à un domaine d'attributs parmi les domaines suivants : domaine de l'attaque, domaine de l'identité de l'attaquant, domaine de l'identité de la victime et domaine de la date de l'attaque. Avantageusement, la description d'une alerte donnée est complétée en récupérant à partir des relations de généralisation de la pluralité de structures taxinomiques et de manière récursive, un ensemble comportant les attributs values plus généraux et n'ayant pas déjà été présents dans la description d'une autre alerte précédemment complétée. Selon un aspect particulier de l'invention, les attributs values dans la structure taxinomique sont organisés selon un graphe acydique dirigé. L'invention vise aussi un programme informatique conçu pour mettre en œuvre le procédé ci-dessus, lorsqu'il est exécuté par le système de gestion d'alertes.Ob and and summary of the invention The invention aims to remedy these drawbacks, and to provide a simple method of managing a set of alerts from intrusion detection probes to allow flexible, easy consultation and quick of this set of alerts. These goals are achieved by a method of managing a set of alerts from intrusion detection probes of an information security system comprising an alert management system, each alert being defined by an identifier. alert and alert content, characterized in that it comprises the following steps: -associating with each of the alerts from the intrusion detection probes, a description comprising a conjunction of a plurality of value attributes belonging to a plurality of attribute domains; organize the value attributes belonging to each attribute domain into a taxonomic structure defining generalization relationships between said value attributes, the plurality of attribute domains thus forming a plurality of taxonomic structures; complete the description of each of said alerts with sets of values induced by the taxonomic structures from the value attributes of said alerts to form complete alerts; -store said full alerts in a logical file system to allow consultation. Thus, storing complete alerts in a logical file system allows a security operator to consult the alert management system in an efficient, fast and flexible manner in order to obtain an accurate view of all of the alerts from intrusion detection probes. The consultation of complete alerts can be carried out by a succession of interrogations and / or navigations in said complete alerts so that in response to a request, the alert management system provides relevant value attributes making it possible to distinguish a sub -set of complete alerts among a set of complete alerts satisfying the request in order to allow the refinement of said request. Preferably, the relevant value attributes are in priority the most general with regard to the plurality of taxonomic structures. Advantageously, in response to the request, the alert management system also provides alert identifiers satisfying the request and the description of which cannot be refined with respect to said request. The alert identifier is a pair formed by an identifier of the intrusion detection probe which produces the alert and an alert serial number assigned by said probe. The content of each alert includes a text message provided by the corresponding intrusion detection probe. Each value attribute has an attribute identifier and an attribute value. According to one aspect of the invention, each attribute identifier is associated with an attribute domain among the following domains: domain of the attack, domain of the identity of the attacker, domain of the identity of the victim and date range of the attack. Advantageously, the description of a given alert is supplemented by recovering from the generalization relationships of the plurality of taxonomic structures and recursively, a set comprising the more general value attributes and which has not already been present in the description of '' another alert previously completed. According to a particular aspect of the invention, the attributes valued in the taxonomic structure are organized according to a directed acydic graph. The invention also relates to a computer program designed to implement the above method, when it is executed by the alert management system.
Brève description des dessins D'autres particularités et avantages de l'invention ressortiront à la lecture de la description faite, ci-après, à titre indicatif mais non limitatif, en référence aux dessins annexés, sur lesquels : -la figure 1 est une vue très schématique d'un système de sécurité d'informations comportant un système de gestion d'alertes selon l'invention ; -la figure 2 est un organigramme illustrant les étapes du procédé de gestion d'un ensemble d'alertes, selon l'invention ; -la figure 3A illustre un exemple d'une documentation associée à des signatures d'attaques ; et -la figure 3B montre de façon très schématique une structure taxinomique associée à l'exemple de la figure 3A. Description détaillée de modes de réalisation La figure 1 illustre un exemple d'un système de détection d'intrusions 1 relié à travers un routeur 3 à un réseau externe 5 et à un réseau interne 7a et 7b à architecture distribuée. Le système de détection d'intrusions 1 comporte plusieurs sondes de détection d'intrusions lia, 11b, lie, et un système de gestion d'alertes 13. Ainsi, une première sonde lia de détection d'intrusions surveille les alertes venant de l'extérieur, une deuxième sonde 11b surveille une partie du réseau interne 7a comprenant des stations de travail 15 et une troisième sonde lie surveille une autre partie du réseau interne 7b comprenant des serveurs 17 délivrant des informations au réseau externe 5. Le système de gestion d'alertes 13 comporte un hôte 19 dédié au traitement des alertes, un système de fichiers logique 21, et une unité de sortie 23. Le système de fichiers logique peut être du type « LISFS » proposé par Padioleau et Ridoux, dans une conférence (Usenix Annual Technical Conférence 2003) intitulée "A Logic File System". Dans le système de fichiers logique LISFS, les fichiers sont des objets auxquels sont associées des descriptions, exprimées dans une logique propositionnelle. La description d'un fichier est une conjonction de propriétés. Les propriétés des fichiers sont les répertoires du système de fichiers, si bien que le chemin d'un fichier est sa description. Un chemin est donc une formule logique. Un emplacement du système de fichiers contient l'ensemble des fichiers dont la description satisfait la formule correspondant au chemin de l'emplacement Comme dans un système de fichiers classique, des commandes spécifiques permettent de naviguer et manipuler les fichiers et leurs descriptions. Ainsi, les sondes lia, 11b, lie déployées dans le système de détection d'intrusions 1 envoient (flèches 26) leurs alertes 25 au système de gestion d'alertes 13. Ce dernier, conformément à l'invention, procède à une gestion de cet ensemble d'alertes et à son stockage dans le système de fichiers logique 21 pour en permettre la consultation à travers l'unité de sortie 23 d'une manière flexible. En effet, l'hôte 19 du système de gestion d'alertes 13 comprend des moyens de traitements pour procéder à cette gestion des alertes. Ainsi, un programme informatique conçu pour mettre en oeuvre la présente invention peut être exécuté par le système de gestion d'alertes. La figure 2 est un organigramme illustrant les étapes du procédé de gestion d'un ensemble O d'alertes issues de sondes de détection d'intrusions selon l'invention. Chaque alerte o de cet ensemble O d'alertes est définie par un identifiant d'alerte et un contenu d'alerte. En effet, une alerte oe O peut être définie par un identifiant d'alertes unique id(ό) donné par un couple (s,n) où s est l'identifiant de série de la sonde de détection d'intrusions qui produit l'alerte et n est un numéro de série d'alerte affecté par cette sonde à l'alerte o . Le contenu m0 de l'alerte o comporte un message textuel fourni par la sonde de détection d'intrusions qui a produit l'alerte et qui est destiné à l'opérateur de sécurité. L'étape El consiste à associer à chacune des alertes issues des sondes de détection d'intrusions lia, 11b, lie, une description d{o) comportant une conjonction d'une pluralité d'attributs values {do ij appartenant à une pluralité ou un ensemble de domaines d'attributs {A}. Ainsi, une description d(o) d'une alerte est une conjonction de p attributs values, c'est-à-dire d(o)= do l Λ---Λdo p . Un attribut value d0j est un couple (a,v) comportant un identifiant d'attribut a et une valeur d'attribut v . Chaque identifiant d'attribut a est associé à un domaine d'attribut A parmi les domaines suivants : domaine de l'attaque, domaine de l'identité de l'attaquant, domaine de l'identité de la victime et domaine de la date de l'attaque. D'une manière générale, un domaine d'attribut A est formé d'un ensemble discret muni d'une relation d'ordre partiel A définissant le domaine de l'attribut value do i. L'étape E2 consiste à organiser les attributs values do i appartenant à chaque domaine d'attribut A en une structure taxinomique définissant des relations de généralisation (ou spécialisation) entre ces attributs values. Il existe une taxinomie par domaine d'attribut. Ainsi, la pluralité des domaines d'attributs forme une pluralité de structures taxinomiques. La structure taxinomique des attributs values est de manière générique un graphe acydique dirigé. Les relations taxinomiques sont modélisées par des axiomes. Ainsi, un attribut value d plus spécifique qu'un autre attribut value d' est modélisé par un axiome d \= d c'est-à-dire que l'attribut value d' est une conséquence logique de l'attribut value d . Autrement dit, une alerte qui possède l'attribut value spécifique d possède automatiquement l'attribut value moins spécifique d' . L'étape E3 consiste à compléter la description de chacune des alertes issues des sondes de détection d'intrusions lia, 11b, lie, par des ensembles de valeurs induites par les structures taxinomiques, à partir des attributs values de ces alertes initiales, pour former des alertes complètes. En effet, les attributs values des alertes produites par les sondes de détection d'intrusions sont les plus spécifiques des taxinomies. Ainsi, à la réception d'une alerte donnée, le système de gestion d'alertes 13 peut par exemple compléter la description de cette alerte en récupérant à partir des relations de généralisation de la pluralité de structures taxinomiques et de manière récursive, un ensemble comportant les attributs values plus généraux et n'ayant pas déjà été présents dans la description d'une autre alerte précédemment complétée. Autrement dit, la description d'une alerte donnée est complétée par un processus qui consiste à remonter dans une taxinomie donnée à partir d'un attribut value donné. Si un attribut value existe déjà dans la description d'une autre alerte précédemment traitée, alors le processus de remontée s'arrête, sinon il est ajouté et le processus est réitéré à partir de cet attribut value ajouté. Ci-dessous est un exemple d'un algorithmeBrief description of the drawings Other particularities and advantages of the invention will emerge on reading the description given below, by way of indication but not limitation, with reference to the appended drawings, in which: FIG. 1 is a view very schematic of an information security system comprising an alert management system according to the invention; FIG. 2 is a flowchart illustrating the steps of the method for managing a set of alerts, according to the invention; FIG. 3A illustrates an example of documentation associated with signatures of attacks; and FIG. 3B very schematically shows a taxonomic structure associated with the example of FIG. 3A. Detailed description of embodiments FIG. 1 illustrates an example of an intrusion detection system 1 connected through a router 3 to an external network 5 and to an internal network 7a and 7b with distributed architecture. The intrusion detection system 1 comprises several intrusion detection probes 11a, 11b, lie, and an alert management system 13. Thus, a first intrusion detection probe 11a monitors the alerts coming from the outside, a second probe 11b monitors part of the internal network 7a comprising work stations 15 and a third probe 11b monitors another part of the internal network 7b comprising servers 17 delivering information to the external network 5. The management system alerts 13 includes a host 19 dedicated to processing alerts, a logical file system 21, and an output unit 23. The logical file system can be of the "LISFS" type proposed by Padioleau and Ridoux, in a conference (Usenix Annual Technical Conference 2003) entitled "A Logic File System". In the LISFS logical file system, files are objects with associated descriptions, expressed in propositional logic. The description of a file is a combination of properties. The properties of the files are the directories of the file system, so that the path of a file is its description. A path is therefore a logical formula. A file system location contains all the files whose description satisfies the formula corresponding to the location path. As in a classic file system, specific commands allow you to navigate and manipulate the files and their descriptions. Thus, the probes 11a, 11b, 11e deployed in the intrusion detection system 1 send (arrows 26) their alerts 25 to the system for managing alerts 13. The latter, in accordance with the invention, manages this set of alerts and stores it in the logical file system 21 to allow consultation thereof through the output unit 23 in a flexible way. In fact, the host 19 of the alert management system 13 includes processing means for carrying out this alert management. Thus, a computer program designed to implement the present invention can be executed by the alert management system. FIG. 2 is a flowchart illustrating the steps of the method for managing a set O of alerts originating from intrusion detection probes according to the invention. Each alert o in this set O of alerts is defined by an alert identifier and alert content. Indeed, an alert oe O can be defined by a unique alert identifier id (ό) given by a pair (s, n) where s is the serial identifier of the intrusion detection probe which produces the alert and n is an alert serial number assigned by this probe to alert o. The content m 0 of the alert o includes a text message provided by the intrusion detection probe which produced the alert and which is intended for the security operator. Step El consists in associating with each of the alerts from the intrusion detection probes 11a, 11b, lie, a description d {o) comprising a conjunction of a plurality of value attributes {d oi j belonging to a plurality or a set of attribute domains {A}. Thus, a description d (o) of an alert is a conjunction of p value attributes, i.e. d (o) = d ol Λ --- Λd op . A value attribute d 0j is a pair (a, v) comprising an attribute identifier a and an attribute value v. Each attribute identifier a is associated with an attribute domain A from the following domains: attack domain, attacker identity domain, victim identity domain and date date domain the attack. In general, an attribute domain A is formed of a discrete set provided with a partial order relation A defining the domain of the attribute value d oi . Step E2 consists in organizing the value attributes d oi belonging to each attribute domain A into a taxonomic structure defining generalization (or specialization) relationships between these value attributes. There is a taxonomy by attribute domain. Thus, the plurality of attribute domains forms a plurality of taxonomic structures. The taxonomic structure of the value attributes is generically a directed acydic graph. The taxonomic relationships are modeled by axioms. Thus, a value attribute d more specific than another value attribute d 'is modeled by an axiom d \ = d that is to say that the attribute value d' is a logical consequence of the attribute value d. In other words, an alert that has the specific value attribute d automatically has the less specific value attribute of. Step E3 consists of completing the description of each of the alerts from the intrusion detection probes 11a, 11b, lie, by sets of values induced by the taxonomic structures, from the value attributes of these initial alerts, to form full alerts. Indeed, the value attributes of the alerts produced by the intrusion detection probes are the most specific of the taxonomies. Thus, on receipt of a given alert, the alert management system 13 can, for example, complete the description of this alert by recovering from generalization relationships the plurality of taxonomic structures and recursively, a set comprising more general value attributes that have not already been present in the description of another previously completed alert. In other words, the description of a given alert is completed by a process which consists in going back in a given taxonomy from a given value attribute. If a value attribute already exists in the description of another previously processed alert, then the escalation process stops, otherwise it is added and the process is repeated from this added value attribute. Below is an example of an algorithm
« CompléterDescription » décrivant un processus pour compléter la description d'une alerte. CompléterDescription s'il n'existe pas do i faire pour chaque d0'j e D faire CompléterDescription( d0' ) fait mkdird^' l-ld^ fait Cet algorithme teste tout d'abord l'existence d'un attribut value donné d0j. Si cet attribut d0j n'existe pas, on récupère l'ensemble"Complete Description" describing a process to complete the description of an alert. CompléterDescription if it does not exist to oi for each d 0 ' j e D do Complete Description (d 0 ') does mkdird ^ 'l-ld ^ done This algorithm first tests the existence of a given value attribute d 0j . If this attribute d 0j does not exist, we recover the set
D = ψg'j : do i |= d0'j) des attributs values qui sont plus abstraits au regardD = ψ g ' j : d oi | = d 0 ' j ) of the value attributes which are more abstract with regard
des taxinomies. Ensuite pour chaque élément d0 ' j appartenant à D, l'algorithme CompléterDescription est appelé récursivement. A la fin, l'attribut value est ajouté au système de gestion d'alertes par la commande « mkdir» qui fait partie des commandes du système de fichiers logique LISFS. Finalement l'étape E4 de la figure 2, consiste à stocker les alertes, qui ont été complétées à l'étape précédente, dans le système de fichiers logique 21 pour en permettre la consultation. Ci-dessous est un exemple d'un algorithme « StockerAlerte » décrivant un processus pour stocker une nouvelle alerte dans un système de fichiers logique du type LISFS. StockerAlerte Pour chaque do i faire CompléterDescription^ do i ) fait cp m0 do l--ldo n /α Cet algorithme complète de manière itérative pour chaque élément de description do i, une alerte donnée o en appelant l'algorithmetaxonomies. Then for each element of 0 ' j belonging to D, the ComplementDescription algorithm is called recursively. At the end, the value attribute is added to the alert management system by the "mkdir" command which is part of the LISFS logical file system commands. Finally, step E4 of FIG. 2, consists of storing the alerts, which were completed in the previous step, in the logical file system 21 to allow consultation thereof. Below is an example of a "StoreAlert" algorithm describing a process for storing a new alert in a logical file system like LISFS. Store Alert For each d oi to Complete Description ^ d oi ) cp m 0 d o l - ld on / α This algorithm completes iteratively for each description element d oi , a given alert o by calling the algorithm
« CompléterDescription » décrit ci-dessus. Lorsque tous les éléments de description de l'alerte donnée sont complétés, alors l'alerte complète et son contenu sont stockés par une commande de stockage « cp », qui prend en paramètre le contenu de l'alerte mo f la description de l'alerte d0tl l—ld0tΛ et l'identifiant de l'alerte α . Le stockage des alertes complètes dans le système de fichiers logique 21 permet leur consultation par une succession d'interrogations et/ou de navigations dans l'ensemble des alertes complètes. Ainsi, en réponse à une requête d'un opérateur de sécurité, le système de gestion d'alertes 13 fournit des attributs values pertinents permettant de distinguer un sous-ensemble d'alertes complètes parmi un ensemble d'alertes complètes satisfaisant la requête afin de permettre le raffinement de cette requête. Une requête de l'opérateur de sécurité est une formule logique , qui combine des conjugaisons Λ , des disjonctions v, et des négations"Complete Description" described above. When all the description elements of the given alert are completed, then the complete alert and its content are stored by a storage command "cp", which takes as parameter the content of the alert m of the description of the alert d 0tl l — ld 0tΛ and the identifier of the alert α. The storage of full alerts in the logical file system 21 allows their consultation by a succession of interrogations and / or browsing in all of the full alerts. Thus, in response to a request from a security operator, the alert management system 13 provides relevant value attributes making it possible to distinguish a subset of full alerts from a set of full alerts satisfying the request in order to allow the refinement of this query. A request from the security operator is a logical formula, which combines conjugations Λ, disjunctions v, and negations
-i d'attributs values. D'une manière générale, la description d{o) d'une alerte o satisfait une requête , si la requête / est une conséquence logique de la description d(o). L'ensemble des alertes satisfaisant la requête /, appelé l'extension de / , est ainsi donné par eχt(/) = { o e O : d(o) |= / }. L'ensemble A des attributs values pertinents est l'ensemble des attributs values appartenant à des domaines d'attributs values A, tel que pour tout attribut value pertinent p de A, l'ensemble d'alertes complètes satisfaisant la conjonction de la requête courante / avec l'attribut value pertinent p est contenu strictement dans l'ensemble d'alertes complètes satisfaisant la requête courante / . Ainsi, cet ensemble A des attributs values pertinents qui permettent de distinguer des alertes entre elles, peut être défini de la façon suivante : A - {pe A : c ext(f A p) c ext( ) }. L'ensemble A peut être considéré comme un ensemble des liens de navigation, en définissant chaque attribut value pertinent p comme un lien de navigation. L'opérateur de sécurité peut ainsi raffiner sa requête courante / en choisissant un lien de navigation pe A fourni par le système de gestion d'alertes 13. La requête courante / de l'opérateur de sécurité se transforme ainsi en la nouvelle requête / Λ p . Avantageusement, pour réduire encore plus le nombre de réponses, le système de gestion d'alertes 13 fournit, en priorité, les attributs values pertinents les plus généraux en regard de la pluralité de structures taxinomiques. L'ensemble Amsκ des attributs values pertinents les plus généraux est alors donné par l'ensemble maχ|=(-4) qui peut être défini de la façon suivante : ma |=(^)= {pe A : il n'existe pas p'e A,p'≠ ρ,p \= p' }. Ainsi, cet ensemble max|=(.4), est l'ensemble de tout attribut value pertinent p de A qui n'a pas un attribut value plus général. En outre, en réponse à la requête courante /, le système de gestion d'alertes fournit un ensemble O d'identifiants d'alertes dont la description satisfait la requête courante / et ne pouvant pas être raffinée, c'est-à-dire décrite plus précisément, par rapport à cette requête / . Ainsi, l'ensemble O des identifiants d'alertes comporte tout identifiant d'alerte dont la description satisfait la requête courante / et telle qu'il n'existe aucun attribut value pertinent p tel que la conjonction de / et de p soit satisfaite par la description de cette même alerte. Ainsi, cet ensemble O peut être défini de la façon suivante :-i of value attributes. In general, the description d {o) of an alert o satisfies a request, if the request / is a logical consequence of the description d (o). The set of alerts satisfying the request /, called the extension of /, is thus given by eχt (/) = {oe O: d (o) | = /}. The set A of relevant value attributes is the set of value attributes belonging to value attribute fields A, such as for any relevant value attribute p of A, the set of full alerts satisfying the conjunction of the current request / with the relevant value attribute p is contained strictly in the set of full alerts satisfying the current query /. Thus, this set A of relevant value attributes which make it possible to distinguish alerts between them, can be defined as follows: A - {pe A: c ext (f A p) c ext ()}. The set A can be considered as a set of navigation links, by defining each relevant value attribute p as a navigation link. The security operator can thus refine his current request / by choosing a navigation link eg A provided by the alert management system 13. The current request / by the security operator is thus transformed into the new request / Λ p. Advantageously, to further reduce the number of responses, the alert management system 13 provides, as a priority, the most general relevant value attributes with regard to the plurality of taxonomic structures. The set A msκ of the most general relevant value attributes is then given by the set maχ | = (-4) which can be defined as follows: ma | = (^) = {pe A: there exists not p'e A, p '≠ ρ, p \ = p'}. Thus, this set max | = (.4), is the set of any relevant value attribute p of A which does not have a more general value attribute. In addition, in response to the current request /, the alert management system provides a set O of alert identifiers whose description satisfies the current request / and which cannot be refined, that is to say described more precisely, in relation to this request /. Thus, the set O of alert identifiers includes any alert identifier whose description satisfies the current request / and such that there is no relevant value attribute p such that the conjunction of / and p is satisfied by the description of this same alert. Thus, this set O can be defined as follows:
O = { id(ό) : o e O, d(o) |= / , et il n'existe pas p e A avec d(o) |= / Λ p }. On notera que le système de fichiers logique 21 tel que LISFS offre des commandes permettant de naviguer (commande « cd »), interroger (commande « Is »), et stocker (commandes « cp » et mkdir ») des objets. Par exemple, dans LISFS, une requête permettant d'obtenir les alertes dont la victime est un proxy web et dont l'attaquant n'est pas interne s'exprime de la façon suivante : Is / "victime web proxy"/! "attaquant interne". D'une manière générale, une alerte provenant d'une sonde de détection d'intrusions est un quadruplet d'attributs values. Les quatre attributs envisagés sont : attaque,, attaquant, victime, et date. Le domaine de l'attribut value « attaque » est constitué des identifiants de signatures d'attaques contenus dans les alertes générées par les sondes de détection d'intrusions lia, 11b, lie. Le domaine de l'attribut value d'attaque comporte aussi les vulnérabilités éventuellement exploitées par une attaque. Les vulnérabilités sont plus abstraites, c'est-à-dire plus générales, que les identifiants d'attaques. Les autres valeurs utilisées pour qualifier les attaques sont issues des mots clés employés pour qualifier les attaques dans une documentation des sondes de détection d'intrusions lia, 11b, lie. A titre d'exemple, on peut utiliser la sonde Snortl™ et le champ « msg » de la documentation des signatures. En effet, la figure 3A illustre un exemple de documentation associée aux signatures d'attaques. La colonne 31 du tableau 33 comporte des nombres entiers désignant les signatures d'attaques. La colonne 35 du tableau 33 comporte les documentations associées à ces signatures d'attaques. Ainsi, dans chaque ligne du tableau 33, une documentation est associée à chaque signature d'attaque. Chaque description comporte des mots clés relatifs par exemple au type d'attaque, au protocole réseau utilisé, et au succès ou à l'échec de l'attaque. La figure 3B montre une structure taxinomique 37 définissant des relations de généralisation 39 entre les attributs values contenus dans le tableau 33. Cette structure taxinomique 37 est organisée selon des connaissances expertes, à partir des mots clés de la documentation des signatures du tableau 33. On notera que, les signatures d'attaques 31 constituent les attributs values les plus spécifiques. Le domaine de l'attribut value « attaquants » comporte des adresses IP. Les adresses IP externes sont généralisables par le nom de l'organisme propriétaire de la plage d'adresses IP à laquelle appartient l'adresse. Le nom de l'organisme correspond au champ « netname » contenu dans des bases de données de l'organisme IANA™, qui gère l'attribution d'adresses IP. Les adresses IP internes et les adresses IP privées (non routables), sont generalisables en identifiants de réseaux locaux définis par un administrateur du système de détection d'intrusions 1. Enfin les noms des organismes sont generalisables en la valeur « ext» et les identifiants des réseaux locaux sont generalisables en la valeur « int ». Le domaine de l'attribut value « victime » comporte des adresses IP. Ces adresses IP des victimes peuvent être généralisées en l'adresse du réseau local correspondant. Ces adresses IP peuvent aussi être généralisées en noms de machines, obtenus par des mécanismes de résolution de noms. Les noms de machines peuvent être généralisés en « fonctions» d'hôtes (par exemple serveur web), définis par l'administrateur du site. Les noms de machines sont generalisables en identifiants de réseaux locaux définis par l'administrateur du réseau (par exemple DMZ). Le domaine de l'attribut value « date » comporte Phorodatage des alertes au format JJ-MM-AAAA hh:mm:ss. Les dates sont généralisées successivement en minutes, heure, jour, et mois dans l'année. Ces généralisations correspondent finalement à des abstractions de plus en plus grossières de la date d'une attaque. O = {id (ό): oe O, d (o) | = /, and there is no pe A with d (o) | = / Λ p}. Note that the logical file system 21 such as LISFS offers commands allowing to navigate (“cd” command), interrogate (“Is” command), and store (“cp” and mkdir ”commands) objects. For example, in LISFS, a request to obtain alerts for which the victim is a web proxy and whose attacker is not internal is expressed as follows: Is / "victim web proxy" /! "internal attacker". Generally speaking, an alert from an intrusion detection probe is a quadruple of value attributes. The four attributes considered are: attack, attacker, victim, and date. The domain of the attribute value “attack” consists of the identifiers of signature of attacks contained in the alerts generated by the intrusion detection probes lia, 11b, lie. The domain of the attack value attribute also includes the vulnerabilities possibly exploited by an attack. The vulnerabilities are more abstract, that is to say more general, than attack identifiers. The other values used to qualify the attacks come from the keywords used to qualify the attacks in a documentation of the intrusion detection probes lia, 11b, lie. As an example, you can use the Snortl ™ probe and the "msg" field in the signature documentation. Indeed, FIG. 3A illustrates an example of documentation associated with the signatures of attacks. Column 31 of Table 33 has whole numbers designating the signatures of attacks. Column 35 of Table 33 includes the documentation associated with these attack signatures. Thus, in each line of table 33, documentation is associated with each attack signature. Each description includes keywords relating for example to the type of attack, the network protocol used, and the success or failure of the attack. FIG. 3B shows a taxonomic structure 37 defining generalization relationships 39 between the value attributes contained in table 33. This taxonomic structure 37 is organized according to expert knowledge, using the keywords from the documentation of the signatures in table 33. On note that, the attack signatures 31 constitute the most specific value attributes. The domain of the value attribute “attackers” contains IP addresses. External IP addresses can be generalized by the name of the organization owning the range of IP addresses to which it belongs the address. The name of the organization corresponds to the "netname" field contained in the databases of the IANA ™ organization, which manages the allocation of IP addresses. Internal IP addresses and private IP addresses (non-routable) can be generalized into local network identifiers defined by an administrator of the intrusion detection system 1. Finally, the names of organizations can be generalized to the value "ext" and the identifiers local networks can be generalized to the “int” value. The value attribute domain "victim" has IP addresses. These victims' IP addresses can be generalized to the address of the corresponding local network. These IP addresses can also be generalized into machine names, obtained by name resolution mechanisms. Machine names can be generalized into host “functions” (for example web server), defined by the site administrator. Machine names can be generalized into local network identifiers defined by the network administrator (for example DMZ). The value attribute field "date" includes the timestamping of alerts in DD-MM-YYYY format hh: mm: ss. The dates are successively generalized in minutes, hour, day, and month in the year. These generalizations ultimately correspond to increasingly crude abstractions of the date of an attack.

Claims

Revendications claims
1. Procédé de gestion d'un ensemble d'alertes issues de sondes de détection d'intrusions (lia, 11b, lie) d'un système de sécurité d'informations (1) comportant un système de gestion d'alertes (13), chaque alerte étant définie par un identifiant d'alerte et un contenu d'alerte, caractérisé en ce qu'il comporte les étapes suivantes : -associer à chacune des alertes issues des sondes de détection d'intrusions (lia, îlb, lie), une description comportant une conjonction d'une pluralité d'attributs values appartenant à une pluralité de domaines d'attributs ;1. Method for managing a set of alerts from intrusion detection probes (11a, 11b, lie) of an information security system (1) comprising an alert management system (13) , each alert being defined by an alert identifier and an alert content, characterized in that it comprises the following steps: -associate with each of the alerts from the intrusion detection probes (lia, îlb, lie) , a description comprising a conjunction of a plurality of value attributes belonging to a plurality of attribute domains;
-organiser les attributs values appartenant à chaque domaine d'attributs en une structure taxinomique définissant des relations de généralisation entre lesdits attributs values, la pluralité des domaines d'attributs formant ainsi une pluralité de structures taxinomiques ;organize the value attributes belonging to each attribute domain into a taxonomic structure defining generalization relationships between said value attributes, the plurality of attribute domains thus forming a plurality of taxonomic structures;
-compléter la description de chacune desdites alertes par des ensembles de valeurs induites par les structures taxinomiques à partir des attributs values desdites alertes pour former des alertes complètes ; -stocker lesdites alertes complètes dans un système de fichiers logique (21) pour en permettre la consultation.complete the description of each of said alerts with sets of values induced by the taxonomic structures from the value attributes of said alerts to form complete alerts; -store said full alerts in a logical file system (21) to allow consultation.
2. Procédé selon la revendication 1, caractérisé en ce que la consultation des alertes complètes est réalisée par une succession d'interrogations et/ou de navigations dans lesdites alertes complètes de sorte qu'en réponse à une requête, le système de gestion d'alertes (13) fournit des attributs values pertinents permettant de distinguer un sous-ensemble d'alertes complètes parmi un ensemble d'alertes complètes satisfaisant la requête afin de permettre le raffinement de ladite requête. 2. Method according to claim 1, characterized in that the consultation of the complete alerts is carried out by a succession of interrogations and / or navigations in the said complete alerts so that in response to a request, the management system of alerts (13) provides relevant value attributes making it possible to distinguish a subset of full alerts from a set of full alerts satisfying the request in order to allow the refinement of said request.
3. Procédé selon la revendication 2, caractérisé en ce que les attributs values pertinents sont en priorité les plus généraux au regard de la pluralité de structures taxinomiques.3. Method according to claim 2, characterized in that the relevant value attributes are in priority the most general with regard to the plurality of taxonomic structures.
4.Procédé selon l'une quelconque des revendications 2 et 3, caractérisé en ce qu'en réponse à la requête, le système de gestion d'alertes (13) fournit en outre des identifiants d'alertes satisfaisant la requête et dont la description ne peut pas être raffinée par rapport à ladite requête.4. Method according to any one of claims 2 and 3, characterized in that in response to the request, the alert management system (13) also provides alert identifiers satisfying the request and the description of which cannot be refined with respect to said request.
5.Procédé selon la revendication 1, caractérisé en ce que l'identifiant d'alerte est un couple formé d'un identifiant de la sonde de détection d'intrusions (lia, 11b, lie) qui produit l'alerte et d'un numéro de série d'alerte affecté par ladite sonde.5. Method according to claim 1, characterized in that the alert identifier is a pair formed by an identifier of the intrusion detection probe (11a, 11b, lie) which produces the alert and a alert serial number assigned by said probe.
β.Procédé selon la revendication 1, caractérisé en ce que le contenu de chaque alerte comporte un message textuel fourni par la sonde de détection d'intrusions (lia, 11b, lie) correspondante.β.A method according to claim 1, characterized in that the content of each alert includes a text message provided by the corresponding intrusion detection probe (11a, 11b, lie).
7.Procédé selon l'une quelconque des revendications 1 à 6, caractérisé en ce que chaque attribut value comporte un identifiant d'attribut et une valeur d'attribut.7. Method according to any one of claims 1 to 6, characterized in that each value attribute comprises an attribute identifier and an attribute value.
δ.Procédé selon la revendication 7, caractérisé en ce que chaque identifiant d'attribut est associé à un domaine d'attributs parmi les domaines suivants : domaine de l'attaque, domaine de l'identité de l'attaquant, domaine de l'identité de la victime et domaine de la date de l'attaque.δ.A method according to claim 7, characterized in that each attribute identifier is associated with an attribute domain among the following domains: attack domain, attacker identity domain, domain of identity of victim and area of date of attack.
9.Procédé selon la revendication 1, caractérisé en ce que la description d'une alerte donnée est complétée en récupérant à partir des relations de généralisation de la pluralité de structures taxinomiques et de manière récursive, un ensemble comportant les attributs values plus généraux et n'ayant pas déjà été présents dans la description d'une autre alerte précédemment complétée.9. Method according to claim 1, characterized in that the description of a given alert is completed by recovering from the relationships of generalization of the plurality of taxonomic structures and recursively, a set comprising the more general value attributes and not having already been present in the description of another alert previously completed.
lO.Procédé selon l'une quelconque des revendications 1 à 9, caractérisé en ce que les attributs values dans la structure taxinomique sont organisés selon un graphe acydique dirigé.10. The method according to any one of claims 1 to 9, characterized in that the attributes valued in the taxonomic structure are organized according to a directed acydic graph.
11. Programme informatique caractérisé en ce qu'il est conçu pour mettre en œuvre le procédé selon l'une quelconque des revendications 1 à 10 lorsqu'il est exécuté par le système de gestion d'alertes (13). 11. Computer program characterized in that it is designed to implement the method according to any one of claims 1 to 10 when it is executed by the alert management system (13).
EP04816392A 2003-12-17 2004-12-16 Method for managing a set of alarms emitted by sensors for detecting intrusions of a information security system Withdrawn EP1700453A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0314833A FR2864282A1 (en) 2003-12-17 2003-12-17 Alarm management method for intrusion detection system, involves adding description of alarms to previous alarm, using values established by taxonomic structures, and storing added alarms in logical file system for analysis of alarms
PCT/FR2004/003252 WO2005060205A1 (en) 2003-12-17 2004-12-16 Method for managing a set of alarms emitted by sensors for detecting intrusions of a information security system

Publications (1)

Publication Number Publication Date
EP1700453A1 true EP1700453A1 (en) 2006-09-13

Family

ID=34630264

Family Applications (1)

Application Number Title Priority Date Filing Date
EP04816392A Withdrawn EP1700453A1 (en) 2003-12-17 2004-12-16 Method for managing a set of alarms emitted by sensors for detecting intrusions of a information security system

Country Status (4)

Country Link
US (1) US7810157B2 (en)
EP (1) EP1700453A1 (en)
FR (1) FR2864282A1 (en)
WO (1) WO2005060205A1 (en)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7899901B1 (en) 2002-12-02 2011-03-01 Arcsight, Inc. Method and apparatus for exercising and debugging correlations for network security system
US7376969B1 (en) 2002-12-02 2008-05-20 Arcsight, Inc. Real time monitoring and analysis of events from multiple network security devices
US7788722B1 (en) 2002-12-02 2010-08-31 Arcsight, Inc. Modular agent for network security intrusion detection system
US8176527B1 (en) 2002-12-02 2012-05-08 Hewlett-Packard Development Company, L. P. Correlation engine with support for time-based rules
US7607169B1 (en) 2002-12-02 2009-10-20 Arcsight, Inc. User interface for network security console
US7219239B1 (en) 2002-12-02 2007-05-15 Arcsight, Inc. Method for batching events for transmission by software agent
US7650638B1 (en) 2002-12-02 2010-01-19 Arcsight, Inc. Network security monitoring system employing bi-directional communication
US7260844B1 (en) 2003-09-03 2007-08-21 Arcsight, Inc. Threat detection in a network security system
US8015604B1 (en) 2003-10-10 2011-09-06 Arcsight Inc Hierarchical architecture in a network security system
US9027120B1 (en) 2003-10-10 2015-05-05 Hewlett-Packard Development Company, L.P. Hierarchical architecture in a network security system
US7565696B1 (en) 2003-12-10 2009-07-21 Arcsight, Inc. Synchronizing network security devices within a network security system
US8528077B1 (en) 2004-04-09 2013-09-03 Hewlett-Packard Development Company, L.P. Comparing events from multiple network security devices
US7509677B2 (en) 2004-05-04 2009-03-24 Arcsight, Inc. Pattern discovery in a network security system
US7644438B1 (en) 2004-10-27 2010-01-05 Arcsight, Inc. Security event aggregation at software agent
US9100422B1 (en) 2004-10-27 2015-08-04 Hewlett-Packard Development Company, L.P. Network zone identification in a network security system
US7809131B1 (en) 2004-12-23 2010-10-05 Arcsight, Inc. Adjusting sensor time in a network security system
US7647632B1 (en) 2005-01-04 2010-01-12 Arcsight, Inc. Object reference in a system
US8850565B2 (en) * 2005-01-10 2014-09-30 Hewlett-Packard Development Company, L.P. System and method for coordinating network incident response activities
US7844999B1 (en) 2005-03-01 2010-11-30 Arcsight, Inc. Message parsing in a network security system
FR2888440A1 (en) * 2005-07-08 2007-01-12 France Telecom METHOD AND SYSTEM FOR DETECTING INTRUSIONS
CN101350745B (en) * 2008-08-15 2011-08-03 北京启明星辰信息技术股份有限公司 Intrude detection method and device
US8566947B1 (en) * 2008-11-18 2013-10-22 Symantec Corporation Method and apparatus for managing an alert level for notifying a user as to threats to a computer
US9244713B1 (en) * 2014-05-13 2016-01-26 Nutanix, Inc. Method and system for sorting and bucketizing alerts in a virtualization environment
US10313396B2 (en) * 2016-11-15 2019-06-04 Cisco Technology, Inc. Routing and/or forwarding information driven subscription against global security policy data

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IT1275710B1 (en) * 1995-03-31 1997-10-17 Alcatel Italia METHOD AND SYSTEM FOR THE DYNAMIC MANAGEMENT IN REAL TIME OF THE STORAGE OF ERRORS WHICH ARE NOT KNOWN A PRIORI AMOUNT
US6445774B1 (en) * 1997-11-17 2002-09-03 Mci Communications Corporation System for automated workflow in a network management and operations system
US6393386B1 (en) * 1998-03-26 2002-05-21 Visual Networks Technologies, Inc. Dynamic modeling of complex networks and prediction of impacts of faults therein
US6707795B1 (en) * 1999-04-26 2004-03-16 Nortel Networks Limited Alarm correlation method and system
US7203962B1 (en) * 1999-08-30 2007-04-10 Symantec Corporation System and method for using timestamps to detect attacks
US6647400B1 (en) * 1999-08-30 2003-11-11 Symantec Corporation System and method for analyzing filesystems to detect intrusions
US7159237B2 (en) * 2000-03-16 2007-01-02 Counterpane Internet Security, Inc. Method and system for dynamic network intrusion monitoring, detection and response
GB2361382A (en) * 2000-04-12 2001-10-17 Mitel Corp Tree hierarchy and description for generated logs
CA2313908A1 (en) * 2000-07-14 2002-01-14 David B. Skillicorn Intrusion detection in networks using singular value decomposition
US6732153B1 (en) * 2000-05-23 2004-05-04 Verizon Laboratories Inc. Unified message parser apparatus and system for real-time event correlation
DE60116877T2 (en) * 2000-08-11 2006-09-14 British Telecommunications P.L.C. SYSTEM AND METHOD FOR RECORDING EVENTS
US7917393B2 (en) * 2000-09-01 2011-03-29 Sri International, Inc. Probabilistic alert correlation
GB0022485D0 (en) * 2000-09-13 2000-11-01 Apl Financial Services Oversea Monitoring network activity
US7379993B2 (en) * 2001-09-13 2008-05-27 Sri International Prioritizing Bayes network alerts
US7437762B2 (en) * 2001-11-29 2008-10-14 International Business Machines Corporation Method, computer program element and a system for processing alarms triggered by a monitoring system
US20030101260A1 (en) * 2001-11-29 2003-05-29 International Business Machines Corporation Method, computer program element and system for processing alarms triggered by a monitoring system
US6801940B1 (en) * 2002-01-10 2004-10-05 Networks Associates Technology, Inc. Application performance monitoring expert
US7026926B1 (en) * 2002-08-15 2006-04-11 Walker Iii Ethan A System and method for wireless transmission of security alarms to selected groups
AU2003265811A1 (en) * 2002-08-26 2004-03-11 Guardednet, Inc. Determining threat level associated with network activity
KR100456634B1 (en) * 2002-10-31 2004-11-10 한국전자통신연구원 Alert transmission apparatus and method for policy-based intrusion detection & response
US7712133B2 (en) * 2003-06-20 2010-05-04 Hewlett-Packard Development Company, L.P. Integrated intrusion detection system and method
US20050086529A1 (en) * 2003-10-21 2005-04-21 Yair Buchsbaum Detection of misuse or abuse of data by authorized access to database

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2005060205A1 *

Also Published As

Publication number Publication date
FR2864282A1 (en) 2005-06-24
US7810157B2 (en) 2010-10-05
US20070150579A1 (en) 2007-06-28
WO2005060205A1 (en) 2005-06-30

Similar Documents

Publication Publication Date Title
WO2005060205A1 (en) Method for managing a set of alarms emitted by sensors for detecting intrusions of a information security system
US11245581B2 (en) Selective event stream data storage based on historical stream data
US11343268B2 (en) Detection of network anomalies based on relationship graphs
US11748358B2 (en) Feedback on inferred sourcetypes
EP1695485B1 (en) Method for automatically classifying a set of alarms emitted by sensors for detecting intrusions of a information security system
US20170142143A1 (en) Identifying notable events based on execution of correlation searches
KR101031449B1 (en) Systems and methods for search query processing using trend analysis
US8527486B2 (en) Mobile application discovery through mobile search
US20080228695A1 (en) Techniques for analyzing and presenting information in an event-based data aggregation system
Al-Saggaf et al. Data mining and privacy of social network sites’ users: Implications of the data mining problem
US20130054477A1 (en) System to identify multiple copyright infringements
Zeng et al. Semantic IoT data description and discovery in the IoT-edge-fog-cloud infrastructure
Thomas To what problem is distributed information retrieval the solution?
Buntain et al. # pray4victims: Consistencies in Response to Disaster on Twitter
Spangher et al. Characterizing search-engine traffic to internet research agency web properties
SalahEldeen et al. Reading the correct history? Modeling temporal intention in resource sharing
CA2921758A1 (en) Automated information extraction and indexing scripts with packet analyzer
US11714698B1 (en) System and method for machine-learning based alert prioritization
Hunn et al. How to implement online warnings to prevent the use of child sexual abuse material
KR20240015280A (en) Systems and methods for search query processing using trend analysis
US11907227B1 (en) System and method for changepoint detection in streaming data
US11531718B2 (en) Visualization of entity profiles
Rajan et al. Features and Challenges of web mining systems in emerging technology
WO2018015515A1 (en) Methods for opinion sharing, computer programs and hardware for implementing methods
US11501112B1 (en) Detecting, diagnosing, and directing solutions for source type mislabeling of machine data, including machine data that may contain PII, using machine learning

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20060712

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU MC NL PL PT RO SE SI SK TR

RIN1 Information on inventor provided before grant (corrected)

Inventor name: DEBAR, HERVE

Inventor name: MORIN, BENJAMIN

DAX Request for extension of the european patent (deleted)
GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

RIC1 Information provided on ipc code assigned before grant

Ipc: H04L 12/26 20060101AFI20111125BHEP

Ipc: H04L 29/06 20060101ALI20111125BHEP

Ipc: G06F 17/30 20060101ALI20111125BHEP

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20120508