FR2864282A1 - Procede de gestion d'un ensemble d'alertes issus de sondes de detection d'intrusions d'un systeme de securite d'informations. - Google Patents
Procede de gestion d'un ensemble d'alertes issus de sondes de detection d'intrusions d'un systeme de securite d'informations. Download PDFInfo
- Publication number
- FR2864282A1 FR2864282A1 FR0314833A FR0314833A FR2864282A1 FR 2864282 A1 FR2864282 A1 FR 2864282A1 FR 0314833 A FR0314833 A FR 0314833A FR 0314833 A FR0314833 A FR 0314833A FR 2864282 A1 FR2864282 A1 FR 2864282A1
- Authority
- FR
- France
- Prior art keywords
- alert
- alerts
- attribute
- alarms
- valued
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 33
- 238000007726 management method Methods 0.000 title 1
- 239000000523 sample Substances 0.000 claims abstract description 34
- 238000000034 method Methods 0.000 claims abstract description 20
- 238000004590 computer program Methods 0.000 claims abstract description 4
- 230000008569 process Effects 0.000 claims description 7
- 230000004044 response Effects 0.000 claims description 7
- 230000008520 organization Effects 0.000 description 2
- 230000021615 conjugation Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
L'invention concerne un procédé de gestion d'un ensemble d'alertes issues de sondes de détection d'intrusions (11a, 11b, 11c) d'un système de sécurité d'informations (1) comportant un système de gestion d'alertes (13), chaque alerte étant définie par un identifiant d'alerte et un contenu d'alerte, le procédé comportant les étapes suivantes :-associer à chacune des alertes issues des sondes de détection d'intrusions (11a, 11b, 11c), une description comportant une conjonction d'une pluralité d'attributs valués appartenant à une pluralité de domaines d'attributs ;-organiser les attributs valués appartenant à chaque domaine d'attributs en une structure taxinomique définissant des relations de généralisation entre lesdits attributs valués, la pluralité des domaines d'attributs formant ainsi une pluralité de structures taxinomiques ;-compléter la description de chacune desdites alertes par des ensembles de valeurs induites par les structures taxinomiques à partir des attributs valués desdites alertes pour former des alertes complètes ;-stocker lesdites alertes complètes dans un système de fichiers logique (21) pour en permettre la consultation.
Description
Arrière-plan de l'invention
L'invention concerne un procédé de gestion d'un ensemble d'alertes issues de sondes de détection d'intrusions.
La sécurité des systèmes d'information passe par le déploiement de systèmes de détection d'intrusions IDS comportant des sondes de détection d'intrusions qui émettent des alertes vers des systèmes de gestion d'alertes.
En effet, les sondes de détection d'intrusions sont des composants actifs du système de détection d'intrusions qui analysent une ou plusieurs sources de données à la recherche d'événements caractéristiques d'une activité intrusive et émettent des alertes vers les systèmes de gestion d'alertes. Un système de gestion des alertes centralise les alertes provenant des sondes et effectue éventuellement une analyse de l'ensemble de ces alertes.
Les sondes de détection d'intrusions génèrent un très grand nombre d'alertes qui peut comprendre plusieurs milliers par jour en fonction des configurations et de l'environnement.
L'excès d'alertes peut résulter d'une combinaison de plusieurs phénomènes. Tout d'abord, de fausses alertes représentent jusqu'à 90% du nombre total d'alertes. Ensuite, les alertes sont souvent trop granulaires, c'est-à-dire que leur contenu sémantique est très pauvre. Enfin les alertes sont souvent redondantes et récurrentes.
Ainsi, l'excès d'alertes rend leur compréhension et leur manipulation difficile par un opérateur de sécurité humain.
2864282 2 Le traitement amont des alertes au niveau du système de gestion est donc nécessaire pour faciliter le travail d'analyse de l'opérateur de sécurité.
Les systèmes de gestion d'alertes actuels consistent à stocker les alertes dans un système de gestion de bases de données relationnelles (SGBDR). L'opérateur de sécurité peut ainsi interroger ce système de gestion SGBDR en lui soumettant une requête portant sur les propriétés des alertes. Le système de gestion SGBDR fournit en retour à l'opérateur, l'ensemble des alertes dont la description satisfait la requête.
L'inconvénient de ces systèmes est le fait que les alertes fournies à l'opérateur peuvent être nombreuses et granulaires, ce qui rend leur analyse fastidieuse.
Objet et résumé de l'invention L'invention a pour but de remédier à ces inconvénients, et de fournir une méthode simple de gestion d'un ensemble d'alertes issues de sondes de détection d'intrusions pour permettre une consultation flexible, aisée et rapide de cet ensemble d'alertes.
Ces buts sont atteints grâce à un procédé de gestion d'un ensemble d'alertes issues de sondes de détection d'intrusions d'un système de sécurité d'informations comportant un système de gestion d'alertes, chaque alerte étant définie par un identifiant d'alerte et un contenu d'alerte, caractérisé en ce qu'il comporte les étapes suivantes: -associer à chacune des alertes issues des sondes de détection d'intrusions, une description comportant une conjonction d'une pluralité d'attributs valués appartenant à une pluralité de domaines d'attributs; - organiser les attributs valués appartenant à chaque domaine d'attribut en une structure taxinomique définissant des relations de généralisation entre lesdits attributs valués, la pluralité des domaines d'attributs formant ainsi une pluralité de structures taxinomiques; 2864282 3 -compléter la description de chacune desdites alertes par des ensembles de valeurs induites par les structures taxinomiques à partir des attributs valués desdites alertes pour former des alertes complètes; -stocker lesdites alertes complètes dans un système de fichiers logique pour en permettre la consultation.
Ainsi, le stockage des alertes complètes dans un système de fichiers logique permet à un opérateur de sécurité de consulter le système de gestion d'alertes d'une manière efficace, rapide, et flexible afin d'obtenir une vision précise de l'ensemble des alertes issues des sondes de détection d'intrusions.
La consultation des alertes complètes peut être réalisée par une succession d'interrogations et/ou de navigations dans lesdites alertes complètes de sorte qu'en réponse à une requête, le système de gestion d'alertes fournit des attributs valués pertinents permettant de distinguer un sous-ensemble d'alertes complètes parmi un ensemble d'alertes complètes satisfaisant la requête afin de permettre le raffinement de ladite requête.
De préférence, les attributs valués pertinents sont en priorité les plus généraux en regard de la pluralité des structures taxinomiques.
Avantageusement, en réponse à la requête, le système de gestion d'alertes fournit en outre des identifiants d'alertes satisfaisant la requête et dont la description ne peut pas être raffinée par rapport à ladite requête.
L'identifiant d'alerte est un couple formé d'un identifiant de la sonde de détection d'intrusions qui produit l'alerte et d'un numéro de série d'alerte affecté par ladite sonde.
Le contenu de chaque alerte comporte un message textuel fourni par la sonde de détection d'intrusions correspondante.
Chaque attribut valué comporte un identifiant d'attribut et une valeur d'attribut.
2864282 4 Selon un aspect de l'invention, chaque identifiant d'attribut est associé à un domaine d'attributs parmi les domaines suivants: domaine de l'attaque, domaine de l'identité de l'attaquant, domaine de l'identité de la victime et domaine de la date de l'attaque.
Avantageusement, la description d'une alerte donnée est complétée en récupérant à partir des relations de généralisation de la pluralité de structures taxinomiques et de manière récursive, un ensemble comportant les attributs valués plus généraux et n'ayant pas déjà été présents dans la description d'une autre alerte précédemment complétée.
Selon un aspect particulier de l'invention, les attributs valués dans la structure taxinomique sont organisés selon un graphe acyclique dirigé.
L'invention vise aussi un programme informatique conçu pour mettre en oeuvre le procédé ci-dessus, lorsqu'il est exécuté par le système de gestion d'alertes.
Brève description des dessins
D'autres particularités et avantages de l'invention ressortiront à la lecture de la description faite, ci-après, à titre indicatif mais non limitatif, en référence aux dessins annexés, sur lesquels: -la figure 1 est une vue très schématique d'un système de sécurité d'informations comportant un système de gestion d'alertes selon l'invention; -la figure 2 est un organigramme illustrant les étapes du procédé de gestion d'un ensemble d'alertes, selon l'invention; -la figure 3A illustre un exemple d'une documentation associée à des signatures d'attaques; et -la figure 3B montre de façon très schématique une structure taxinomique associée à l'exemple de la figure 3A.
2864282 5
Description détaillée de modes de réalisation,
La figure 1 illustre un exemple d'un système de détection d'intrusions 1 relié à travers un routeur 3 à un réseau externe 5 et à un réseau interne 7a et 7b à architecture distribuée.
Le système de détection d'intrusions 1 comporte plusieurs sondes de détection d'intrusions 11a, llb, 11c, et un système de gestion d'alertes 13. Ainsi, une première sonde lla de détection d'intrusions surveille les alertes venant de l'extérieur, une deuxième sonde llb surveille une partie du réseau interne 7a comprenant des stations de travail 15 et une troisième sonde 11c surveille une autre partie du réseau interne 7b comprenant des serveurs 17 délivrant des informations au réseau externe 5.
Le système de gestion d'alertes 13 comporte un hôte 19 dédié au traitement des alertes, un système de fichiers logique 21, et une unité de sortie 23.
Le système de fichiers logique peut être du type LISFS proposé par Padioleau et Ridoux, dans une conférence (Usenix Annual Technical Conference 2003) intitulée "A Logic File System".
Dans le système de fichiers logique LISFS, les fichiers sont des objets auxquels sont associées des descriptions, exprimées dans une logique propositionnelle. La description d'un fichier est une conjonction de propriétés.
Les propriétés des fichiers sont les répertoires du système de fichiers, si bien que le chemin d'un fichier est sa description. Un chemin est donc une formule logique. Un emplacement du système de fichiers contient l'ensemble des fichiers dont la description satisfait la formule correspondant au chemin de l'emplacement.
Comme dans un système de fichiers classique, des commandes spécifiques permettent de naviguer et manipuler les fichiers et leurs
descriptions.
Ainsi, les sondes 11a, llb, 11c déployées dans le système de détection d'intrusions 1 envoient (flèches 26) leurs alertes 25 au système 2864282 6 de gestion d'alertes 13. Ce dernier, conformément à l'invention, procède à une gestion de cet ensemble d'alertes et à son stockage dans le système de fichiers logique 21 pour en permettre la consultation à travers l'unité de sortie 23 d'une manière flexible.
En effet, l'hôte 19 du système de gestion d'alertes 13 comprend des moyens de traitements pour procéder à cette gestion des alertes.
Ainsi, un programme informatique conçu pour mettre en oeuvre la présente invention peut être exécuté par le système de gestion d'alertes.
La figure 2 est un organigramme illustrant les étapes du procédé de gestion d'un ensemble O d'alertes issues de sondes de détection d'intrusions selon l'invention.
Chaque alerte o de cet ensemble O d'alertes est définie par un identifiant d'alerte et un contenu d'alerte.
En effet, une alerte o e O peut être définie par un identifiant d'alertes unique id(o) donné par un couple (s,n) où s est l'identifiant de série de la sonde de détection d'intrusions qui produit l'alerte et n est un numéro de série d'alerte affecté par cette sonde à l'alerte o. Le contenu mo de l'alerte o comporte un message textuel fourni par la sonde de détection d'intrusions qui a produit l'alerte et qui est destiné à l'opérateur de sécurité.
L'étape El consiste à associer à chacune des alertes issues des sondes de détection d'intrusions 11a, 11b, 11c, une description d(o) comportant une conjonction d'une pluralité d'attributs valués {do,; } 25 appartenant à une pluralité ou un ensemble de domaines d'attributs {A}.
Ainsi, une description d(o) d'une alerte est une conjonction de p attributs valués, c'est-à-dire d(o) = do,l n É -- n do, p. Un attribut valué do,1 est un couple (a,v) comportant un identifiant d'attribut a et une valeur d'attribut v.
Chaque identifiant d'attribut a est associé à un domaine d'attribut A parmi les domaines suivants: domaine de l'attaque, domaine de l'identité de l'attaquant, domaine de l'identité de la victime et domaine de la date de l'attaque.
D'une manière générale, un domaine d'attribut A est formé d'un ensemble discret muni d'une relation d'ordre partiel <A définissant le domaine de l'attribut valué do,r.
L'étape E2 consiste à organiser les attributs valués do,i appartenant à chaque domaine d'attribut A en une structure taxinomique définissant des relations de généralisation (ou spécialisation) entre ces attributs valués. Il existe une taxinomie par domaine d'attribut. Ainsi, la pluralité des domaines d'attributs forme une pluralité de structures taxinomiques.
La structure taxinomique des attributs valués est de manière générique un graphe acyclique dirigé.
Les relations taxinomiques sont modélisées par des axiomes. Ainsi, un attribut valué d plus spécifique qu'un autre attribut valué d' est modélisé par un axiome dl= d', c'est-à-dire que l'attribut valué d' est une conséquence logique de l'attribut valué d. Autrement dit, une alerte qui possède l'attribut valué spécifique d possède automatiquement l'attribut valué moins spécifique d'.
L'étape E3 consiste à compléter la description de chacune des alertes issues des sondes de détection d'intrusions 11a, iib, 11c, par des ensembles de valeurs induites par les structures taxinomiques, à partir des attributs valués de ces alertes initiales, pour former des alertes complètes.
En effet, les attributs valués des alertes produites par les sondes de détection d'intrusions sont les plus spécifiques des taxinomies.
2864282 8 Ainsi, à la réception d'une alerte donnée, le système de gestion d'alertes 13 peut par exemple compléter la description de cette alerte en récupérant à partir des relations de généralisation de la pluralité de structures taxinomiques et de manière récursive, un ensemble comportant les attributs valués plus généraux et n'ayant pas déjà été présents dans la description d'une autre alerte précédemment complétée.
Autrement dit, la description d'une alerte donnée est complétée par un processus qui consiste à remonter dans une taxinomie donnée à partir d'un attribut valué donné. Si un attribut valué existe déjà dans la description d'une autre alerte précédemment traitée, alors le processus de remontée s'arrête, sinon il est ajouté et le processus est réitéré à partir de cet attribut valué ajouté.
Ci-dessous est un exemple d'un algorithme Comp/éterDescription décrivant un processus pour compléter la
description d'une alerte.
Comp/éterDescription
sil n'existe pas d0, faire D = o,l: do,i 1= do i pour chaque do' o i E D faire
Comp/éterDescription(do) fait
mkdirda,1 I.. / d o, fait Cet algorithme teste tout d'abord l'existence d'un attribut valué donné do,; . Si cet attribut do,i n'existe pas, on récupère l'ensemble D = 0,t: do,i 1= do,i} des attributs valués qui sont plus abstraits au regard des taxinomies. Ensuite pour chaque élément do,i appartenant à D, l'algdrithme Comp/éterDescription est appelé récursivement. A la fin, l'attribut valué est ajouté au système de gestion d'alertes par la 2864282 9 commande mkdir qui fait partie des commandes du système de fichiers logique LISFS.
Finalement l'étape E4 de la figure 2, consiste à stocker les alertes, qui ont été complétées à l'étape précédente, dans le système de fichiers logique 21 pour en permettre la consultation.
Ci-dessous est un exemple d'un algorithme StockerA/erte décrivant un processus pour stocker une nouvelle alerte dans un système de fichiers logique du type LISFS.
StockerA/erte Pour chaque do,t faire
Comp/éterDescription( do,i) fait
cp m0do1/ÉÉÉldon/a Cet algorithme complète de manière itérative pour chaque élément de description do,;, une alerte donnée o en appelant l'algorithme Comp/éterDescription décrit ci-dessus.
Lorsque tous les éléments de description de l'alerte donnée sont complétés, alors l'alerte complète et son contenu sont stockés par une commande de stockage cp , qui prend en paramètre le contenu de l'alerte mo, la description de l'alerte d0,1l"'I don et l'identifiant de l'alerte a.
Le stockage des alertes complètes dans le système de fichiers logique 21 permet leur consultation par une succession d'interrogations 25 et/ou de navigations dans l'ensemble des alertes complètes.
Ainsi, en réponse à une requête d'un opérateur de sécurité, le système de gestion d'alertes 13 fournit des attributs valués pertinents permettant de distinguer un sous-ensemble d'alertes complètes parmi un ensemble d'alertes complètes satisfaisant la requête afin de permettre le raffinement de cette requête.
2864282 10 Une requête de l'opérateur de sécurité est une formule logique f, qui combine des conjugaisons A, des disjonctions v, et des négations d'attributs valués.
D'une manière générale, la description d(o) d'une alerte o satisfait une requête f, si la requête f est une conséquence logique de la description d(o). L'ensemble des alertes satisfaisant la requête f, appelé l'extension de f, est ainsi donné par ext(f) = { o E O: d(o)j= f}.
L'ensemble A des attributs valués pertinents est l'ensemble des attributs valués appartenant à des domaines d'attributs valués A, tel que pour tout attribut valué pertinent p de A, l'ensemble d'alertes complètes satisfaisant la conjonction de la requête courante f avec l'attribut valué pertinent p est contenu strictement dans l'ensemble d'alertes complètes satisfaisant la requête courante f. Ainsi, cet ensemble A des attributs valués pertinents qui permettent de distinguer des alertes entre elles, peut 15 être défini de la façon suivante: A= {pE A:Ocext(f np)cext(f)}.
L'ensemble A peut être considéré comme un ensemble des liens de navigation, en définissant chaque attribut valué pertinent p comme un lien de navigation. L'opérateur de sécurité peut ainsi raffiner sa 20 requête courante f en choisissant un lien de navigation p E A fourni par le système de gestion d'alertes 13. La requête courante f de l'opérateur de sécurité se transforme ainsi en la nouvelle requête f A p. Avantageusement, pour réduire encore plus le nombre de réponses, le système de gestion d'alertes 13 fournit, en priorité, les attributs valués pertinents les plus généraux en regard de la pluralité de structures taxinomiques.
2864282 11 L'ensemble Amax des attributs valués pertinents les plus généraux est alors donné par l'ensemble maxi= (A) qui peut être défini de la façon suivante: maxi= (A)= { p E A: il n'existe pas p' E A, p' p, p l= p' }.
Ainsi, cet ensemble maxi= (A), est l'ensemble de tout attribut valué pertinent p de A qui n'a pas un attribut valué plus général. En outre, en réponse à la requête courante f, le système de gestion d'alertes fournit un ensemble O d'identifiants d'alertes dont la description satisfait la requête courante f et ne pouvant pas être raffinée, c'est-à-dire décrite plus précisément, par rapport à cette requête f. Ainsi, l'ensemble O des identifiants d'alertes comporte tout identifiant d'alerte dont la description satisfait la requête courante f et telle qu'il n'existe aucun attribut valué pertinent p tel que la conjonction de f et de p soit satisfaite par la description de cette même alerte. Ainsi, cet ensemble O 15 peut être défini de la façon suivante: 0= {id(o) : o E 0, d(o)l= f, et il n'existe pas p E A avec d(o)l= f A p}.
On notera que le système de fichiers logique 21 tel que LISFS offre des commandes permettant de naviguer (commande cd ), interroger (commande Is ), et stocker (commandes cp et mkdir ) des objets.
Par exemple, dans LISFS, une requête permettant d'obtenir les alertes dont la victime est un proxy web et dont l'attaquant n'est pas interne s'exprime de la façon suivante: Is / "victime web proxy"/! "attaquant interne".
D'une manière générale, une alerte provenant d'une sonde de détection d'intrusions est un quadruplet d'attributs valués. Les quatre attributs envisagés sont: attaque, attaquant, victime, et date.
2864282 12 Le domaine de l'attribut valué attaque est constitué des identifiants de signatures d'attaques contenus dans les alertes générées par les sondes de détection d'intrusions 11a, lib, 11c.
Le domaine de l'attribut valué d'attaque comporte aussi les vulnérabilités éventuellement exploitées par une attaque. Les vulnérabilités sont plus abstraites, c'est-à-dire plus générales, que les identifiants d'attaques.
Les autres valeurs utilisées pour qualifier les attaques sont issues des mots clés employés pour qualifier les attaques dans une documentation des sondes de détection d'intrusions 11a, 11b, 11c.
A titre d'exemple, on peut utiliser la sonde SnortlTM et le champ rnsg de la documentation des signatures.
En effet, la figure 3A illustre un exemple de documentation associée aux signatures d'attaques.
La colonne 31 du tableau 33 comporte des nombres entiers désignant les signatures d'attaques. La colonne 35 du tableau 33 comporte les documentations associées à ces signatures d'attaques. Ainsi, dans chaque ligne du tableau 33, une documentation est associée à chaque signature d'attaque. Chaque description comporte des mots clés relatifs par exemple au type d'attaque, au protocole réseau utilisé, et au succès ou à l'échec de l'attaque.
La figure 3B montre une structure taxinomique 37 définissant des relations de généralisation 39 entre les attributs valués contenus dans le tableau 33. Cette structure taxinomique 37 est organisée selon des connaissances expertes, à partir des mots clés de la documentation des signatures du tableau 33. On notera que, les signatures d'attaques 31 constituent les attributs valués les plus spécifiques.
Le domaine de l'attribut valué attaquants comporte des adresses IP. Les adresses IP externes sont généralisables par le nom de 30 l'organisme propriétaire de la plage d'adresses IP à laquelle appartient 2864282 13 l'adresse. Le nom de l'organisme correspond au champ netname contenu dans des bases de données de l'organisme IANATM, qui gère l'attribution d'adresses IP.
Les adresses IP internes et les adresses IP privées (non routables), sont généralisables en identifiants de réseaux locaux définis par un administrateur du système de détection d'intrusions 1.
Enfin les noms des organismes sont généralisables en la valeur ext et les identifiants des réseaux locaux sont généralisables en la valeur int .
Le domaine de l'attribut valué victime comporte des adresses IP. Ces adresses IP des victimes peuvent être généralisées en l'adresse du réseau local correspondant.
Ces adresses IP peuvent aussi être généralisées en noms de machines, obtenus par des mécanismes de résolution de noms. Les noms de machines peuvent être généralisés en fonctions d'hôtes (par exemple serveur web) , définis par l'administrateur du site. Les noms de machines sont généralisables en identifiants de réseaux locaux définis par l'administrateur du réseau (par exemple DMZ).
Le domaine de l'attribut valué date comporte l'horodatage des alertes au format JJ-MM-AAAA hh:mm:ss. Les dates sont généralisées successivement en minutes, heure, jour, et mois dans l'année. Ces généralisations correspondent finalement à des abstractions de plus en plus grossières de la date d'une attaque.
Claims (2)
14 Revendications
1.Procédé de gestion d'un ensemble d'alertes issues de sondes de détection d'intrusions (11a, 11b, 11c) d'un système de sécurité d'informations (1) comportant un système de gestion d'alertes (13), chaque alerte étant définie par un identifiant d'alerte et un contenu d'alerte, caractérisé en ce qu'il comporte les étapes suivantes: - associer à chacune des alertes issues des sondes de détection d'intrusions (11a, 1lb, 11c), une description comportant une conjonction d'une pluralité d'attributs valués appartenant à une pluralité de domaines d'attributs; -organiser les attributs valués appartenant à chaque domaine d'attributs en une structure taxinomique définissant des relations de généralisation entre lesdits attributs valués, la pluralité des domaines d'attributs formant ainsi une pluralité de structures taxinomiques; -compléter la description de chacune desdites alertes par des ensembles de valeurs induites par les structures taxinomiques à partir des attributs valués desdites alertes pour former des alertes complètes; -stocker lesdites alertes complètes dans un système de fichiers logique 20 (21) pour en permettre la consultation.
2.Procédé selon la revendication 1, caractérisé en ce que la consultation des alertes complètes est réalisée par une succession d'interrogations et/ou de navigations dans lesdites alertes complètes de sorte qu'en réponse à une requête, le système de gestion d'alertes (13) fournit des attributs valués pertinents permettant de distinguer un sous-ensemble d'alertes complètes parmi un ensemble d'alertes complètes satisfaisant la requête afin de permettre le raffinement de ladite requête.
2864282 15 3.Procédé selon la revendication 2, caractérisé en ce que les attributs valués pertinents sont en priorité les plus généraux au regard de la pluralité de structures taxinomiques.
4.Procédé selon l'une quelconque des revendications 2 et 3, caractérisé en ce qu'en réponse à la requête, le système de gestion d'alertes (13) fournit en outre des identifiants d'alertes satisfaisant la requête et dont la description ne peut pas être raffinée par rapport à ladite requête.
5.Procédé selon la revendication 1, caractérisé en ce que l'identifiant d'alerte est un couple formé d'un identifiant de la sonde de détection d'intrusions (11a, llb, 11c) qui produit l'alerte et d'un numéro de série d'alerte affecté par ladite sonde.
6.Procédé selon la revendication 1, caractérisé en ce que le contenu de chaque alerte comporte un message textuel fourni par la sonde de détection d'intrusions (11a, llb, 11c) correspondante.
7.Procédé selon l'une quelconque des revendications 1 à 6, caractérisé en 20 ce que chaque attribut valué comporte un identifiant d'attribut et une valeur d'attribut.
8.Procédé selon la revendication 7, caractérisé en ce que chaque identifiant d'attribut est associé à un domaine d'attributs parmi les domaines suivants: domaine de l'attaque, domaine de l'identité de l'attaquant, domaine de l'identité de la victime et domaine de la date de l'attaque.
9.Procédé selon la revendication 1, caractérisé en ce que la description 30 d'une alerte donnée est complétée en récupérant à partir des relations de 2864282 16 généralisation de la pluralité de structures taxinomiques et de manière récursive, un ensemble comportant les attributs valués plus généraux et n'ayant pas déjà été présents dans la description d'une autre alerte précédemment complétée.
1O.Procédé selon l'une quelconque des revendications 1 à 9, caractérisé en ce que les attributs valués dans la structure taxinomique sont organisés selon un graphe acyclique dirigé.
11. Programme informatique caractérisé en ce qu'il est conçu pour mettre en oeuvre le procédé selon l'une quelconque des revendications 1 à 10 lorsqu'il est exécuté par le système de gestion d'alertes (13).
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0314833A FR2864282A1 (fr) | 2003-12-17 | 2003-12-17 | Procede de gestion d'un ensemble d'alertes issus de sondes de detection d'intrusions d'un systeme de securite d'informations. |
| EP04816392A EP1700453A1 (fr) | 2003-12-17 | 2004-12-16 | PROCEDE DE GESTION D’UN ENSEMBLE D’ALERTES ISSUES DE SONDES DE DETECTION D'INTRUSIONS D'UN SYSTEME DE SECURITE D'INFORMATIONS. |
| PCT/FR2004/003252 WO2005060205A1 (fr) | 2003-12-17 | 2004-12-16 | Procede de gestion d’un ensemble d’alertes issues de sondes de detection d’intrusions d’un systeme de securite d’informations. |
| US10/583,586 US7810157B2 (en) | 2003-12-17 | 2004-12-16 | Method of managing alerts issued by intrusion detection sensors of an information security system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0314833A FR2864282A1 (fr) | 2003-12-17 | 2003-12-17 | Procede de gestion d'un ensemble d'alertes issus de sondes de detection d'intrusions d'un systeme de securite d'informations. |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| FR2864282A1 true FR2864282A1 (fr) | 2005-06-24 |
Family
ID=34630264
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR0314833A Withdrawn FR2864282A1 (fr) | 2003-12-17 | 2003-12-17 | Procede de gestion d'un ensemble d'alertes issus de sondes de detection d'intrusions d'un systeme de securite d'informations. |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7810157B2 (fr) |
| EP (1) | EP1700453A1 (fr) |
| FR (1) | FR2864282A1 (fr) |
| WO (1) | WO2005060205A1 (fr) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7899901B1 (en) | 2002-12-02 | 2011-03-01 | Arcsight, Inc. | Method and apparatus for exercising and debugging correlations for network security system |
| US7376969B1 (en) | 2002-12-02 | 2008-05-20 | Arcsight, Inc. | Real time monitoring and analysis of events from multiple network security devices |
| US7219239B1 (en) | 2002-12-02 | 2007-05-15 | Arcsight, Inc. | Method for batching events for transmission by software agent |
| US7607169B1 (en) | 2002-12-02 | 2009-10-20 | Arcsight, Inc. | User interface for network security console |
| US8176527B1 (en) | 2002-12-02 | 2012-05-08 | Hewlett-Packard Development Company, L. P. | Correlation engine with support for time-based rules |
| US7650638B1 (en) | 2002-12-02 | 2010-01-19 | Arcsight, Inc. | Network security monitoring system employing bi-directional communication |
| US7788722B1 (en) | 2002-12-02 | 2010-08-31 | Arcsight, Inc. | Modular agent for network security intrusion detection system |
| US7260844B1 (en) | 2003-09-03 | 2007-08-21 | Arcsight, Inc. | Threat detection in a network security system |
| US9027120B1 (en) | 2003-10-10 | 2015-05-05 | Hewlett-Packard Development Company, L.P. | Hierarchical architecture in a network security system |
| US8015604B1 (en) | 2003-10-10 | 2011-09-06 | Arcsight Inc | Hierarchical architecture in a network security system |
| US7565696B1 (en) | 2003-12-10 | 2009-07-21 | Arcsight, Inc. | Synchronizing network security devices within a network security system |
| US8528077B1 (en) | 2004-04-09 | 2013-09-03 | Hewlett-Packard Development Company, L.P. | Comparing events from multiple network security devices |
| US7509677B2 (en) | 2004-05-04 | 2009-03-24 | Arcsight, Inc. | Pattern discovery in a network security system |
| US7644438B1 (en) | 2004-10-27 | 2010-01-05 | Arcsight, Inc. | Security event aggregation at software agent |
| US9100422B1 (en) | 2004-10-27 | 2015-08-04 | Hewlett-Packard Development Company, L.P. | Network zone identification in a network security system |
| US7809131B1 (en) | 2004-12-23 | 2010-10-05 | Arcsight, Inc. | Adjusting sensor time in a network security system |
| US7647632B1 (en) | 2005-01-04 | 2010-01-12 | Arcsight, Inc. | Object reference in a system |
| US8850565B2 (en) * | 2005-01-10 | 2014-09-30 | Hewlett-Packard Development Company, L.P. | System and method for coordinating network incident response activities |
| US7844999B1 (en) | 2005-03-01 | 2010-11-30 | Arcsight, Inc. | Message parsing in a network security system |
| FR2888440A1 (fr) * | 2005-07-08 | 2007-01-12 | France Telecom | Procede et systeme de detection d'intrusions |
| CN101350745B (zh) * | 2008-08-15 | 2011-08-03 | 北京启明星辰信息技术股份有限公司 | 一种入侵检测方法及装置 |
| US8566947B1 (en) * | 2008-11-18 | 2013-10-22 | Symantec Corporation | Method and apparatus for managing an alert level for notifying a user as to threats to a computer |
| US9244713B1 (en) * | 2014-05-13 | 2016-01-26 | Nutanix, Inc. | Method and system for sorting and bucketizing alerts in a virtualization environment |
| US10313396B2 (en) * | 2016-11-15 | 2019-06-04 | Cisco Technology, Inc. | Routing and/or forwarding information driven subscription against global security policy data |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0735477A1 (fr) * | 1995-03-31 | 1996-10-02 | Alcatel N.V. | Méthode et système de gestion de base de données d'erreur en temps réel |
| EP1146689A2 (fr) * | 2000-04-12 | 2001-10-17 | Mitel Knowledge Corporation | Hiérarchie d'arbre et description des fichiers génerés |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6445774B1 (en) * | 1997-11-17 | 2002-09-03 | Mci Communications Corporation | System for automated workflow in a network management and operations system |
| US6393386B1 (en) * | 1998-03-26 | 2002-05-21 | Visual Networks Technologies, Inc. | Dynamic modeling of complex networks and prediction of impacts of faults therein |
| US6707795B1 (en) * | 1999-04-26 | 2004-03-16 | Nortel Networks Limited | Alarm correlation method and system |
| US6647400B1 (en) * | 1999-08-30 | 2003-11-11 | Symantec Corporation | System and method for analyzing filesystems to detect intrusions |
| US7203962B1 (en) * | 1999-08-30 | 2007-04-10 | Symantec Corporation | System and method for using timestamps to detect attacks |
| US7159237B2 (en) * | 2000-03-16 | 2007-01-02 | Counterpane Internet Security, Inc. | Method and system for dynamic network intrusion monitoring, detection and response |
| CA2313908A1 (fr) * | 2000-07-14 | 2002-01-14 | David B. Skillicorn | Detection d'intrusion dans des reseaux faisant appel a la decomposition en valeurs singulieres |
| US6732153B1 (en) * | 2000-05-23 | 2004-05-04 | Verizon Laboratories Inc. | Unified message parser apparatus and system for real-time event correlation |
| DE60116877T2 (de) * | 2000-08-11 | 2006-09-14 | British Telecommunications P.L.C. | System und verfahren zum erfassen von ereignissen |
| AU2001295016A1 (en) * | 2000-09-01 | 2002-03-13 | Sri International, Inc. | Probabilistic alert correlation |
| GB0022485D0 (en) * | 2000-09-13 | 2000-11-01 | Apl Financial Services Oversea | Monitoring network activity |
| US7379993B2 (en) * | 2001-09-13 | 2008-05-27 | Sri International | Prioritizing Bayes network alerts |
| US20030101260A1 (en) * | 2001-11-29 | 2003-05-29 | International Business Machines Corporation | Method, computer program element and system for processing alarms triggered by a monitoring system |
| US7437762B2 (en) * | 2001-11-29 | 2008-10-14 | International Business Machines Corporation | Method, computer program element and a system for processing alarms triggered by a monitoring system |
| US6801940B1 (en) * | 2002-01-10 | 2004-10-05 | Networks Associates Technology, Inc. | Application performance monitoring expert |
| US7026926B1 (en) * | 2002-08-15 | 2006-04-11 | Walker Iii Ethan A | System and method for wireless transmission of security alarms to selected groups |
| EP1535164B1 (fr) * | 2002-08-26 | 2012-01-04 | International Business Machines Corporation | Determination du niveau de menace associe a l'activite d'un reseau |
| KR100456634B1 (ko) * | 2002-10-31 | 2004-11-10 | 한국전자통신연구원 | 정책기반 침입 탐지 및 대응을 위한 경보 전달 장치 및 방법 |
| US7712133B2 (en) * | 2003-06-20 | 2010-05-04 | Hewlett-Packard Development Company, L.P. | Integrated intrusion detection system and method |
| US20050086529A1 (en) * | 2003-10-21 | 2005-04-21 | Yair Buchsbaum | Detection of misuse or abuse of data by authorized access to database |
-
2003
- 2003-12-17 FR FR0314833A patent/FR2864282A1/fr not_active Withdrawn
-
2004
- 2004-12-16 EP EP04816392A patent/EP1700453A1/fr not_active Withdrawn
- 2004-12-16 WO PCT/FR2004/003252 patent/WO2005060205A1/fr active Application Filing
- 2004-12-16 US US10/583,586 patent/US7810157B2/en not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0735477A1 (fr) * | 1995-03-31 | 1996-10-02 | Alcatel N.V. | Méthode et système de gestion de base de données d'erreur en temps réel |
| EP1146689A2 (fr) * | 2000-04-12 | 2001-10-17 | Mitel Knowledge Corporation | Hiérarchie d'arbre et description des fichiers génerés |
Non-Patent Citations (3)
| Title |
|---|
| DEBAR H ET AL: "A REVISED TAXONOMY FOR INTRUSION-DETECTION SYSTEMS", ANNALES DES TELECOMMUNICATIONS - ANNALS OF TELECOMMUNICATIONS, PRESSES POLYTECHNIQUES ET UNIVERSITAIRES ROMANDES, LAUSANNE, CH, vol. 55, no. 7/8, July 2000 (2000-07-01), pages 361 - 378, XP000954771, ISSN: 0003-4347 * |
| ULF LINDQVIST AND ERLAND JONSSON: "How to Systematically Classify Computer Security Intrusions", PROCEEDINGS OF THE 21ST NATIONAL INFORMATION SYSTEMST SECURITY CONFERENCE, 4 May 1997 (1997-05-04) - 8 May 2003 (2003-05-08), OAKLAND, CALIFORNIA, pages 154 - 163, XP002291664, Retrieved from the Internet <URL:http://www.ce.chalmers.se/old/staff/ulfl/pubs/sp97ul.pdf> [retrieved on 20040809] * |
| YOANN PADIOLEAU AND OLIVIER RIDOUX: "A Logic File System", PROCEEDINGS OF THE 2003 USENIX ANNUAL TECHNICAL CONFERENCE, 9 June 2003 (2003-06-09) - 14 June 2003 (2003-06-14), SAN ANTONIO, TEXAS, USA, XP002291663, Retrieved from the Internet <URL:http://www.usenix.org/events/usenix03/tech/full_papers/padioleau/padioleau.pdf> [retrieved on 20040809] * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1700453A1 (fr) | 2006-09-13 |
| WO2005060205A1 (fr) | 2005-06-30 |
| US20070150579A1 (en) | 2007-06-28 |
| US7810157B2 (en) | 2010-10-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| FR2864282A1 (fr) | Procede de gestion d'un ensemble d'alertes issus de sondes de detection d'intrusions d'un systeme de securite d'informations. | |
| US11709827B2 (en) | Using stored execution plans for efficient execution of natural language questions | |
| US11921873B1 (en) | Authenticating data associated with a data intake and query system using a distributed ledger system | |
| EP1695485B1 (fr) | Procede de classification automatique d un ensemble d a lertes issues de sondes de detection d intrusions d un systeme de securite d information | |
| US7240049B2 (en) | Systems and methods for search query processing using trend analysis | |
| Gandon | A survey of the first 20 years of research on semantic Web and linked data | |
| US9361320B1 (en) | Modeling big data | |
| US20080228695A1 (en) | Techniques for analyzing and presenting information in an event-based data aggregation system | |
| Al-Saggaf et al. | Data mining and privacy of social network sites’ users: Implications of the data mining problem | |
| JP2009528639A (ja) | ソーシャルメディアにおける会話を分析するためのソーシャル分析システムおよび方法 | |
| TW200529009A (en) | Systems and methods for search processing using superunits | |
| Bogaard et al. | Metadata categorization for identifying search patterns in a digital library | |
| US20130332422A1 (en) | Defining Content Retention Rules Using a Domain-Specific Language | |
| US20240241752A1 (en) | Risk profiling and rating of extended relationships using ontological databases | |
| US20130054477A1 (en) | System to identify multiple copyright infringements | |
| CN115222374A (zh) | 一种基于大数据处理的政务数据服务系统 | |
| Cilleruelo et al. | Interconnection between darknets | |
| Corcoglioniti et al. | Interlinking unstructured and structured knowledge in an integrated framework | |
| Talakokkula | A survey on web usage mining, applications and tools | |
| Spangher et al. | Characterizing search-engine traffic to internet research agency web properties | |
| US11714698B1 (en) | System and method for machine-learning based alert prioritization | |
| Fei | Data visualisation in digital forensics | |
| Hunn et al. | How to implement online warnings to prevent the use of child sexual abuse material | |
| US11501112B1 (en) | Detecting, diagnosing, and directing solutions for source type mislabeling of machine data, including machine data that may contain PII, using machine learning | |
| US12050507B1 (en) | System and method for data ingestion, anomaly detection and notification |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| ST | Notification of lapse |