FR2878637A1 - Suppression de fausses alertes parmi les alertes produites dans un systeme d'informations surveille - Google Patents
Suppression de fausses alertes parmi les alertes produites dans un systeme d'informations surveille Download PDFInfo
- Publication number
- FR2878637A1 FR2878637A1 FR0412559A FR0412559A FR2878637A1 FR 2878637 A1 FR2878637 A1 FR 2878637A1 FR 0412559 A FR0412559 A FR 0412559A FR 0412559 A FR0412559 A FR 0412559A FR 2878637 A1 FR2878637 A1 FR 2878637A1
- Authority
- FR
- France
- Prior art keywords
- alerts
- new
- alert
- classification
- false
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G08—SIGNALLING
- G08B—SIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
- G08B29/00—Checking or monitoring of signalling or alarm systems; Prevention or correction of operating errors, e.g. preventing unauthorised operation
- G08B29/18—Prevention or correction of operating errors
- G08B29/20—Calibration, including self-calibrating arrangements
- G08B29/22—Provisions facilitating manual calibration, e.g. input or output provisions for testing; Holding of intermittent values to permit measurement
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Alarm Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
L'invention concerne un procédé de suppression de fausses alertes parmi les alertes produites dans un système d'informations surveillé (1), caractérisé en ce que les alertes sont classées automatiquement au moyen d'un module de suppression de fausses alertes (17) suivant deux catégories constituées de fausses et vraies alertes selon des critères déterminés basés sur un apprentissage progressif dudit module (17) à partir de l'expertise d'un opérateur humain (23) en charge d'un classement initial manuel des alertes.
Description
2878637 1
Arrière-plan de l'invention L'invention concerne un système et un procédé de suppression de fausses alertes parmi les alertes produites dans un système d'informations surveillé.
La sécurité des systèmes d'informations passe par le déploiement de systèmes de détection d'intrusions. Ces systèmes de détection d'intrusions se situent en amont des systèmes de prévention d'intrusions. Ils permettent de détecter des activités allant à l'encontre de la politique de sécurité d'un système d'informations.
Les systèmes de détection d'intrusions sont entre autres 15 constitués de sondes de détection d'intrusions SDI qui émettent des alertes vers des systèmes de gestion d'alertes SGA .
En effet, les sondes de détection d'intrusions sont des composants actifs du système de détection d'intrusions qui analysent une ou plusieurs sources de données à la recherche d'événements caractéristiques d'une activité intrusive et émettent des alertes vers les systèmes de gestion d'alertes. Un système de gestion d'alertes SGA centralise les alertes provenant des sondes et effectue éventuellement une analyse de l'ensemble de ces alertes.
Les SGA sont constitués de plusieurs modules de traitement d'alertes MTA , chargés de traiter les alertes en aval de leur production par les SDI. Les MTA produisent eux-mêmes des alertes de plus haut niveau traduisant leur traitement sur les alertes.
Une fois traitées par les modules du SGA, les alertes sont présentées à un opérateur de sécurité du système d'information dans une 30 console de présentation des alertes CPA .
2878637 2 Parmi les MTA, on peut distinguer les modules de suppression de fausse alertes MSFA , qui sont chargés d'identifier les alertes qui sont de fausses alertes faux positifs , c'est à dire les alertes qui sont produites par les SDI alors qu'aucune activité intrusive n'a eu lieu. A l'inverse, les alertes produites suite à une activité intrusive qui a effectivement eu lieu sont des vraies alertes vrais positifs .
Les sondes de détection d'intrusions génèrent un très grand nombre d'alertes qui peut comprendre plusieurs milliers d'alertes par jour en fonction des configurations et de l'environnement.
Cet excès d'alertes est majoritairement lié aux fausses alertes. En général, parmi les milliers d'alertes générées quotidiennement dans un système d'informations, 90 à 99% des alertes sont des fausses alertes.
L'analyse de la cause de ces fausses alertes montre qu'il s'agit très souvent de comportements erratiques d'entités (par exemple des serveurs) du réseau surveillé, mais qui ne sont pas pertinents du point de vue de la sécurité du système d'informations. Il peut aussi s'agir de comportements normaux d'entités, dont l'activité ressemble à une activité intrusive, si bien que les sondes de détection d'intrusions (SDI) émettent des alertes par erreur.
Comme les comportements normaux constituent la majorité de l'activité d'une entité, les fausses alertes engendrées sont récurrentes et participent pour une grande part à l'excès global d'alertes.
Une mauvaise prise en compte de la politique de sécurité du système d'informations dans la configuration des SDI peut aussi engendrer de fausses alertes. Dans tous les cas, la nature (vrai ou faux positif) d'une alerte dépend en grande partie des propriétés intrinsèques du système d'informations surveillé.
Dans les SGA actuels, la qualification d'une alerte de vrai ou faux positif est laissée à l'appréciation de l'opérateur de sécurité en charge de l'analyse des alertes car c'est lui qui connaît les propriétés de son 2878637 3 système d'informations. Comme le nombre d'alertes générées est grand, le temps consacré par l'opérateur à chaque alerte est réduit.
Il existe des techniques probabilistes de traitement des alertes issues de sondes de détection d'intrusions pour détecter de fausses alertes. Ces techniques reposent sur des connaissances préalables des propriétés des attaques qui sont référencées dans les alertes, ainsi que sur les propriétés du système d'informations surveillé.
Objet et résumé de l'invention L'invention a pour but de remédier à ces inconvénients, et de fournir un procédé simple de suppression de fausses alertes qui ne nécessite pas de connaissances préalables et qui permette un diagnostique réel, aisé et rapide de ces alertes.
Ces buts sont atteints grâce à un procédé de suppression de fausses alertes parmi les alertes produites dans un système d'informations surveillé, dans lequel les alertes sont classées automatiquement au moyen d'un module de suppression de fausses alertes (MSFA) suivant deux catégories constituées de fausses et vraies alertes selon des critères déterminés basés sur un apprentissage progressif dudit module à partir de l'expertise d'un opérateur humain en charge d'un classement initial manuel des alertes.
Ainsi, le procédé selon l'invention permet au MSFA d'apprendre progressivement le travail de l'opérateur de sécurité pour lui proposer au bout de cet apprentissage, des diagnostics automatiques sur la nature des alertes sans aucune connaissance préalable. Le travail de l'opérateur de sécurité s'en trouve ainsi facilité.
Ces critères déterminés comportent une comparaison des probabilités d'appartenance des alertes à l'une et à l'autre des deux catégories.
2878637 4 Ainsi, une technique probabiliste de comparaison garantie un apprentissage efficace et mesurable.
Selon une particularité de l'invention, l'apprentissage progressif comporte les phases suivantes: -une phase d'apprentissage initial dans lequel le module de suppression de fausses alertes procède à un enregistrement de diagnostics de l'opérateur humain concernant un nombre déterminé d'alertes initiales, et -une phase de validation dans laquelle le module de suppression de fausses alertes procède à la classification de nouvelles alertes en fonction dudit enregistrement de diagnostics et d'une supervision par l'opérateur humain qui confirme ou corrige les classifications de nouvelles alertes.
Ainsi, l'apprentissage du MSFA est réalisé de manière progressive et supervisée permettant une prise en compte optimale des modifications pouvant être apportées par l'opérateur humain de sécurité.
Avantageusement, dans la phase de validation, les confirmations ou corrections des classifications de nouvelles alertes apportées par l'opérateur humain sont utilisées par le module de suppression de fausses alertes pour minimiser un taux de correction lui permettant d'augmenter la fiabilité de toute classification ultérieure de nouvelles alertes.
Ainsi, le taux de correction permet de quantifier la fiabilité du classement des alertes et par conséquent d'améliorer toute classification ultérieure de nouvelles alertes.
Selon une autre particularité de l'invention, le procédé comporte une phase opérationnelle dans laquelle la classification des nouvelles alertes est effectuée de manière autonome si le taux de correction de la classification des nouvelles alertes de la phase de validation devient inférieur à un nombre seuil déterminé.
Ainsi, le taux de correction fournit un filtrage fiable pour le 30 passage vers une phase de classification autonome des nouvelles alertes.
2878637 5 Selon encore une autre particularité de l'invention, dans la phase opérationnelle, les fausses alertes peuvent être supprimées ou stockées dans un moyen de stockage et seules les vraies alertes sont envoyées à une console de présentation des alertes (CPA).
Ainsi, le volume d'alertes devant être présenté à l'opérateur humain en charge de la sécurité est considérablement réduit.
L'enregistrement de diagnostics de l'opérateur humain durant la phase d'apprentissage initial comporte, pour une alerte initiale donnée, les 10 étapes suivantes: - extraction de l'ensemble de mots composant ladite alerte initiale donnée, et - association à chaque mot dudit ensemble de mots, d'un compteur désignant le nombre cumulé d'occurrences dudit chaque mot dans l'une 15 des deux catégories.
Ainsi, l'extraction de l'ensemble de mots permet d'attribuer un compteur à chaque mot et par conséquent permet de mesurer de manière simple la fréquence d'apparition des mots dans les catégories de fausses et vraies alertes.
La classification des alertes durant la phase de validation et la phase opérationnelle comporte, pour une nouvelle alerte donnée, les étapes suivantes: -extraction de l'ensemble de mots composant ladite nouvelle alerte donnée, -comparaison des probabilités d'appartenance de la nouvelle alerte donnée à l'une et à l'autre desdites catégories, - classement de la nouvelle alerte donnée dans l'une des deux catégories selon le résultat de la comparaison de l'étape précédente, - incrémentation des compteurs selon la catégorie de la nouvelle alerte 30 donnée, et 2878637 6 -transmission de la nouvelle alerte donnée ainsi classée à la console de présentation des alertes.
Ainsi, en utilisant l'ensemble de mots constituants les alertes et leurs compteurs associés selon les étapes ci-dessus, les alertes peuvent 5 être classées avec une fiabilité continuellement croissante.
La comparaison des probabilités d'appartenance de la nouvelle alerte donnée à l'une et à l'autre desdittes catégories comporte les étapes suivantes: -calculer pour chaque mot de l'ensemble de mots de ladite nouvelle alerte, la probabilité que chaque mot soit présent dans des alertes appartenant à l'une ou à l'autre des catégories en déterminant le rapport entre le compteur désignant le nombre cumulé d'occurrences de chaque mot dans des alertes de l'une ou l'autre des catégories et le nombre total d'occurrences de mots dans l'une ou l'autre des catégories respectivement, -calculer la probabilité de chaque catégorie en déterminant le rapport entre le nombre total d'occurrences de mots dans des alertes de chaque catégorie et le nombre total de mots, -calculer le produit, sur l'ensemble des mots composant l'alerte, des probabilités que chaque mot respectif de l'alerte soit présent dans des alertes appartenant à chaque catégorie multiplié par la probabilité de chaque catégorie, et -comparer le résultat de l'étape précédente selon les deux catégories.
Ainsi, les étapes ci-dessus tirent profit des compteurs pour comparer les probabilités d'appartenance d'une alerte donnée à l'une et à l'autre des catégories avec un nombre optimal d'étapes de calcul, minimisant par conséquent le temps de calcul.
Avantageusement, la correction par le module de suppression de fausses alertes, de la classification des nouvelles alertes durant la 30 phase de validation comporte les étapes suivantes: 2878637 7 -correction de la catégorie d'une nouvelle alerte précédemment classée par ledit module, s'il reçoit une notification de l'opérateur humain indiquant que ledit précédent classement de ladite nouvelle alerte est faux, -décrémentation des compteurs désignant les nombres cumulés d'occurrences de mots dans la catégorie faussement classée, -incrémentation des compteurs désignant les nombres cumulés d'occurrences de mots dans la catégorie corrigée.
Ainsi, le réglage des compteurs est un moyen efficace et rapide 10 pour améliorer l'apprentissage du MSFA.
L'invention vise aussi un module de suppression de fausses alertes comportant des moyens de traitement de données permettant de classer automatiquement les alertes suivant deux catégories constituées de fausses et vraies alertes selon des critères déterminés basés sur un apprentissage progressif à partir de l'expertise d'un opérateur humain en charge d'un classement initial manuel des alertes.
Le module comporte en outre des moyens mémoires permettant d'enregistrer, lors d'une phase d'apprentissage initial de l'apprentissage progressif, des diagnostics de l'opérateur humain concernant un nombre déterminé d'alertes initiales, et de permettre aux moyens de traitement de données cle procéder à la classification de nouvelles alertes en fonction dudit enregistrement de diagnostics et d'une supervision de l'opérateur humain qui confirme ou corrige les classifications de nouvelles alertes.
Avantageusement, lors d'une phase opérationnelle, les moyens de traitement de données sont destinés en outre à classifier de manière autonome de nouvelles alertes si un taux de correction de la classification des nouvelles alertes de la phase de validation devient inférieur à un nombre seuil déterminé.
2878637 8 De préférence, le module comporte en outre un moyen de stockage permettant de stocker, lors de la phase opérationnelle, les fausses alertes de sorte que seules les vraies alertes sont envoyées à une console de présentation des alertes.
L'invention vise aussi un système d'informations surveillé comportant un réseau interne à surveiller, des sondes de détection d'intrusions, un système de gestion d'alertes, une console de présentation d'alertes, et un module de suppression de fausses alertes selon les caractéristiques cidessus.
Brève description des dessins
D'autres particularités et avantages de l'invention ressortiront à la lecture de la description faite, ci-après, à titre indicatif mais non limitatif, en référence aux dessins annexés, sur lesquels: -la figure 1 est une vue très schématique d'un système d'informations surveillé comportant un module de suppression de fausses alertes selon l'invention; et -la figure 2 est un organigrarnme très schématique illustrant les étapes d'un procédé de suppression de fausses alertes parmi les alertes produites dans un système de sécurité d'informations, selon l'invention.
Description détaillée de modes de réalisation
La figure 1 illustre un exemple très schématique d'un réseau ou d'un système d'informations surveillé 1 comportant un système de sécurité d'informations 3, une console de présentation d'alertes CPA 5 et un réseau interne 7 à surveiller comprenant un ensemble d'entités, par exemple des stations de travail 7a, 7b, 7c, des serveurs 7d, des proxy web 7e etc. Le système de sécurité d'informations 3 comporte un ensemble 30 11 de sondes de détection d'intrusions SDI 11a, 11b et 11c destinées 2878637 9 à émettre des alertes lorsque des attaques sont détectées, et un système de gestion d'alertes SGA 15 destiné à analyser les alertes émises par les sondes 11a, 11b et 11c et comprenant des modules de traitement d'alertes MTA 15a, 15b.
En outre, conformément à l'invention, le système de sécurité d'informations 3 comporte un module de suppression de fausses alertes MSFA 17 connecté aux sondes de détection d'intrusions 11a, 11b et 11c, au système de gestion d'alertes 15, et à la console de présentation d'alertes 5, par l'intermédiaire d'un routeur 19 d'aiguillage.
En effet, le routeur 19 est connecté au MSFA 17 via des liaisons 18a et 18b, aux sondes de détection d'intrusions 11a, 11b et 11c via des liaisons 13a, 13b et 13c, au SGA 15 via des liaisons 16a et 16b, et à la CPA 5 via une liaison 6.
Le module de suppression de fausses alertes 17 comporte des moyens de traitement 21 de données permettant de classer (c'est-à-dire marquer) automatiquement les alertes suivant deux catégories constituées de fausses et vraies alertes selon des critères déterminés basés sur un apprentissage progressif du MSFA 17 à partir de l'expertise d'un opérateur humain 23 en charge d'un classement initial manuel des alertes. Ces critères déterminés comportent une comparaison des probabilités d'appartenance des alertes à l'une et à l'autre des deux catégories. Ainsi, un programme informatique conçu pour mettre en oeuvre un procédé de suppression de fausses alertes selon la présente invention peut être exécuté par les moyens de traitement 21 du MSFA 17.
Le MSFA 17 selon l'invention est adaptatif en ce sens qu'il intègre progressivement l'expertise de l'opérateur humain 23 en charge de la qualification initiale manuelle des fausses alertes et présente trois phases successives de fonctionnement (voir aussi figure 2).
La première phase P1 est une phase d'apprentissage initial dans 30 lequel le MSFA 17 ne marque pas les alertes, il se contente d'enregistrer 2878637 10 les diagnostics de l'opérateur humain 23. En effet, le MSFA 17 comporte des moyens mémoires 25 permettant aux moyens de traitement 21 d'enregistrer des diagnostics de l'opérateur humain 23 concernant un nombre déterminé d'alertes initiales.
La deuxième phase P2 est une phase de validation dans laquelle les moyens de traitement 21 de données du MSFA 17 procèdent à la classification de nouvelles alertes en fonction de l'enregistrement de diagnostics et d'une supervision de l'opérateur humain 23 qui confirme ou corrige les classifications de nouvelles alertes. En effet, lorsque le nombre d'alertes ayant transité par le MSFA 17 a atteint un nombre suffisant, par exemple supérieur à un seuil fixé par l'opérateur humain 23, le MSFA 17 commence à marquer les alertes, qui lui sont présentées à travers la liaison 18a.
Avantageusement, dans la phase de validation, les confirmations ou corrections des classifications de nouvelles alertes apportées par l'opérateur humain 23 sont utilisées par le module de suppression de fausses alertes 17 pour minimiser un taux de correction lui permettant d'augmenter la fiabilité de toute classification ultérieure de nouvelles alertes.
Ainsi, les première et deuxième phases d'apprentissage initial et de validation forment un apprentissage progressif du MSFA 17.
Par ailleurs, la troisième phase P3 est une phase opérationnelle dans laquelle la classification des nouvelles alertes est effectuée de manière autonome par les moyens de traitement 21 du MSFA 17 si le taux de correction de la classification des nouvelles alertes de la phase de validation devient inférieur à un nombre seuil déterminé. Ainsi, le MSFA 17 marque les alertes et envoie seulement les vraies alertes à la console de présentation des alertes CPA 5. Les fausses alertes sont soit directement supprimées, soit stockées dans les moyens mémoires 25 ou de préférence dans un moyen de stockage 27 annexe via une liaison 26. Le choix entre la suppression ou le stockage des fausses alertes peut être déterminé par l'opérateur humain 23.
Ainsi, le MSFA 17 est destiné à traiter les alertes provenant directement des SDI 11a, llb, 11c via les liaisons 13a, 13b, 13c et 18a ou éventuellement des autres MTA 15a, 15b via les liaisons 16b et 18a. Chaque alerte générée par un SDI lla, llb, 11c ou un MTA 15a, 15b est soumise au MSFA 17 pour analyse. Le MSFA 17 marque les alertes qu'il juge être de fausses alertes et les sournet (liaisons 18b, 16a) au SGA 15. L'alerte munie de son marquage est ensuite envoyée (liaisons 16b, 6) à la CPA 5 pour y être consultée par l'opérateur humain 23 de sécurité.
On notera que, au cours des deuxième et troisième phases, l'opérateur humain 23 peut toujours intervenir, par exemple via une liaison directe 8 avec le MSFA 17 pour réviser les diagnostics de ce dernier. En effet, en cas d'erreur de qualification d'une alerte par le MSFA 17, l'opérateur humain 23 a la possibilité de corriger le diagnostic du MSFA 17 a posteriori via la CPA 5. Cette correction est transmise (liaison 8) au MSFA 17, qui révise ainsi ses diagnostics ultérieurs en prenant en compte la correction apportée par l'opérateur humain 23.
Ainsi, l'apprentissage du MSFA 17 est supervisé par l'opérateur humain 23 de sécurité qui apprend à ce dernier à classifier les alertes. De plus, cet apprentissage est progressif car au début, le MSFA 17 commet des erreurs de marquage et au fur et à mesure que l'opérateur humain 23 de sécurité confirme ou infirme les marquages, le diagnostic du MSFA 17 devient plus fiable. Finalement, lorsque le filtrage du MSFA 17 est suffisamment fiable, c'est à dire que son taux d'erreur de classification est tolérable, les alertes identifiées comme étant de fausses alertes (faux positifs) peuvent être soit directement supprimées, soit stockées dans le moyen de stockage 27 annexe de manière à ce que seules les vraies alertes (vrais positifs) soient présentées; à l'opérateur humain 23. Le travail 2878637 12 de l'opérateur humain 23 se trouve donc facilité car le volume d'alertes qui lui est présenté est très réduit.
Ainsi, le critère permettant de décider si une alerte est un vrai ou un faux positif est basé sur une comparaison des probabilités d'appartenance des alertes à l'une et à l'autre des deux catégories.
D'une manière générale, un message d'alerte a (ou plus simplement une alerte a) peut être défini comme un ensemble de n mots m; E{i n}, n étant un nombre entier qui peut varier d'une alerte à une autre. a = (ln, ,..., mn) . Les mots d'une alerte désignent par exemple la nature d'une attaque contre le système d'informations 1, l'identité des victimes, l'identité présumée des attaquants, le type de faille exploitée, et la date.
Conformément à l'invention, étant donné une alerte a, le problème à résoudre Q consiste à déterminer si la probabilité que l'alerte a soit un faux positif est supérieure à la probabilité que l'alerte a soit un vrai positif. Si c'est le cas, alors l'alerte a est marquée comme faux positif sinon l'alerte a est inchangée (c'est-à-dire considérée comme vrai positif ).
On désigne par P(vp I m,,...,rn) la probabilité qu'une alerte a contenant les mots m, ,...,mn soit un vrai positif vp et P(fp i mi,...,mn) la probabilité qu'une alerte a contenant les mots m,,...,mn soit un faux positif fp.
Le problème Q consiste donc à déterminer si P(fpI mi,...,mn)< _P(vPI m, ,...,mn) Cependant, d'après la définition des probabilités conditionnelles: P(ffP1 mi,...,mn)= P(fp,mi,...,mn) et P(vpI mi,...,mn)= P(vp,m,,...,mn) P(m, ,...,mn) P(m,,...,mn) Par conséquent, le problème Q se réduit à déterminer si P(fp,m,,...,mn)<_P(vp,m,,...,mn) En outre, étant donné que P(fp I m,,...,mn)= P(m,,...,mn I fp).P(fp) et P(vp I vp). P(vp) et en faisant l'hypothèse que les variables m; sont conditionnellement indépendantes entre elles, il s'ensuit: P(fP, m,,..., mn) = P(m, I fi)) P(mn I fP).P(fp) et P(vp,m,,...,mn) = P(m, I vp) P(mo l vp)ÉP(vp) Les valeurs P(m; l c) représentent la probabilité qu'un mot m; soit présent dans une alerte qui appartient à la classe ou catégorie Ce{vp,fp}.
Au cours de l'apprentissage du MSFA 17, les moyens de traitement 21 construisent des compteurs Hc. qui indiquent la fréquence des différents mots dans les deux catégories CE {vp, fp}. En effet, le MSFA 17 construit une première table de hashage Hf, qui associe à chaque mot m; la valeur H fp (m;) qui désigne le nombre cumulé d'occurrences du mot m; dans des alertes qui sont des faux positifs, ainsi qu'une seconde table de hashage Hvp qui associe à chaque mot m; la valeur Hvp (m;) qui désigne le nombre cumulé d'occurrences du mot m; dans des alertes qui sont des vrais positifs. Dans la suite, la notation mots(Hc) désigne le domaine de définition de la table de hachage H4, c'est-à-dire l'ensemble des mots correspondant à la catégorie CE {vp, fp}.
Par conséquent, le nombre total d'occurrences de mots dans des vrais positifs est donné par la formule suivante: Nvp = E Hvp (m,) m; emots(H ,) De même, le nombre total d'occurrences de mots dans des faux positifs est donné par la formule suivante: N,= 1Hfp(m,) m,Emots(He) Par ailleurs, la probabilité qu'un mot m; soit présent dans une alerte qui appartient à la classe CE {vp, fp} est donnée par la formule suivante: P(m; IC)= Hc m; ) Nc En outre, la probabilité d'une classe c est donnée par la formule suivante: P(C) Nc P = Nvp +N fp Par conséquent, les deux dernières formules permettent de calculer les probabilités P(fp,m,,...,m ) et P(vp, m,,...,m ) et ainsi de résoudre le problème Q ci-dessus.
La figure 2 est un organigramme très schématique illustrant les étapes du procédé de suppression de fausses alertes parmi les alertes produites dans un système de sécurité d'informations 3.
Les étapes El à E3 décrivent l'enregistrement dans les moyens mémoires 25 du MSFA 17 des diagnostics de l'opérateur humain 23 durant la phase d'apprentissage initial P1.
A l'étape El, le MSFA 17 reçoit une alerte initiale donnée a'.
A l'étape E2, le MSFA 17 procède à l'extraction de l'ensemble de mots m'; composant cette alerte initiale donnée: a'= (m', ,...,m',,).
A l'étape E3, le MSFA 17 associe à chaque mot m'; de l'ensemble de mots un compteur Hc (m';) désignant le nombre cumulé d'occurrences du mot m'; dans l'une des deux catégories C E {vp, fp}.
L'étape E4 est un test destiné à vérifier si le nombre d'alertes ayant transité par le MSFA 17 a atteint un nombre suffisant. Ainsi, lorsque 2878637 15 le nombre d'alertes est inférieur à un nombre seuil fixé par exemple par l'opérateur humain 23, on reboucle à l'étape El.
En revanche, si le nombre d'alertes n'est pas inférieur au nombre seuil alors on passe aux étapes E5 à E14 décrivant la classification 5 des alertes, par le MSFA 17 durant la phase de validation P2.
On notera que dans la phase d'apprentissage initiale P1, aucun marquage n'est effectué par le MSFA 17.
L'étape E5 indique la réception par le MSFA 17 d'une nouvelle alerte donnée notée a.
A l'étape E6, le MSFA 17 procède à l'extraction de l'ensemble de mots m; composant cette nouvelle alerte donnée a= (m,,...,mn).
A l'étape E7, les probabilités d'appartenance de la nouvelle alerte donnée a à l'une et à l'autre des catégories sont comparées: P(fPI m,,..., mn)P(vpI m,,...,mn) Cette comparaison peut comporter les sous étapes E71 à E74 suivantes: A l'étape E71, le MSFA 17 calcule pour chaque mot m; de l'ensemble de mots {m,,...,mn} de la nouvelle alerte a, la probabilité que chaque mot m; soit présent dans des alertes appartenant à l'une ou à l'autre des catégories C (Ce {vp, fp}) en déterminant le rapport entre le compteur Hc(m;) désignant le nombre cumulé d'occurrences de chaque mot m; dans des alertes de l'une ou l'autre des catégories C et le nombre total Nc d'occurrences de mots dans l'une ou l'autre des catégories respectivement, c'est-à-dire P(m; I C) = _Hc(m;) Nc A l'étape E72, le MSFA 17 calcule la probabilité de chaque catégorie en déterminant le rapport entre le nombre total Nc d'occurrences de mots dans des alertes de chaque catégorie c et le nombre total de mots N,,p + Nh, , c'est-à- dire P(C) = N N N vp fp A l'étape E73, le MSFA 17 calcule le produit, sur l'ensemble des mots {m,,...,m, } composant la nouvelle alerte donnée a, des probabilités P(m; I C) que chaque mot respectif de cette alerte soit présent dans des alertes appartenant à chaque catégorie multiplié par la probabilité de 5 chaque catégorie P(C), c'est-à-dire JP(m; IC) .P(C).
A l'étape E74, le MSFA 17 compare le résultat de l'étape précédente selon les deux catégories, c'est-à-dire: P(mi I fp) ÉP(fp) < _ f P(ni 1 vp) ÉP(vp) A l'étape E8, la nouvelle alerte donnée a est classée par le 10 MSFA 17 dans l'une des deux catégories selon le résultat de la comparaison de l'étape précédente E7.
A l'étape E9, le MSFA 17 incrémente les compteurs Hc(m; ) selon la catégorie CE {vp, fp} de la nouvelle alerte donnée.
Ensuite, à l'étape E10, le MSFA 17 transmet la nouvelle alerte 15 donnée a ainsi classée (marquée) à la console de présentation des alertes CPA 5.
Eventuellement, l'opérateur humain 23 interagit avec le MSFA 17 via la CPA 5 pour corriger un diagnostic erroné effectué par le MSFA 17.
En effet, à l'étape E11, si le MSFA 17 reçoit une notification de l'opérateur humain 23 indiquant que le précédent classement c de lanouvelle alerte a est faux, alors le MSFA 17 procède à la correction du diagnostic selon les étapes E12 à E14, sinon on passe directement à l'étape E15.
A l'étape E12, le MSFA 17 corrige la catégorie de la nouvelle alerte a selon la notification de l'opérateur humain 23. Autrement dit, le MSFA 17 marque la nouvelle alerte a par un classement è contraire au classement antérieur c.
A l'étape E13, le MSFA 17 décrémente les compteurs Hc(m;) désignant les nombres cumulés d'occurrences de mots dans la catégorie 5 C faussement classée.
A l'étape E14, le MSFA 17 incrémente les compteurs Hi.(m,) désignant les nombres cumulés d'occurrences de mots dans la catégorie corrigée C. L'étape E15 est un test destiné à vérifier si le taux d'erreur de 10 classification est tolérable.
En effet, tant que le taux de correction de la classification des nouvelles alertes de la phase de validation P2 n'est pas inférieur à un nombre seuil déterminé, on reboucle à l'étape E5.
Sinon, on passe aux étapes E16 à E22 décrivant la classification des alertes, par le MSFA 17 durant la phase opérationnelle P3. Les étapes E16 à E21 sont similaires aux étapes E5 à E10 de la phase de validation P2.
En effet, à la réception d'une autre nouvelle alerte a à l'étape E16, le MSFA 17 procède à extraire à l'étape E17, l'ensemble de mots m; composant cette nouvelle alerte a = (m1,...,mn). L'étape E18, est une comparaison des probabilités d'appartenance de cette nouvelle alerte à l'une et à l'autre des catégories. L'étape E19 est le classement de la nouvelle alerte. L'étape E20, consiste à incrémenter les compteurs selon la catégorie de classement de la nouvelle alerte. A l'étape E21, le MSFA 17 transmet la nouvelle alerte ainsi classée à la CPA 5.
Finalement, à l'étape E22 les fausses alertes sont stockées dans le moyen de stockage 27. En variante à l'étape E22 les fausses alertes peuvent être supprimées.
Ainsi, le MSFA 17 selon l'invention, évalue la probabilité qu'une alerte soit un faux positif en fonction des mots qui la composent. Le MSFA 17 marque les alertes qu'il juge être des faux positifs et transmet l'alerte munie de son marquage à l'opérateur humain 23 de sécurité. Ce dernier a la possibilité de modifier le diagnostic effectué par le MSFA 17 si celui- ci est erroné via la console de présentation des alertes CPA 5. Dans ce dernier cas, la modification est prise en compte par le MSFA 17 pour réviser ses diagnostics ultérieurs.
De cette manière, la fiabilité du MSFA 17 dans le traitement des 10 alertes va croissant à mesure que l'opérateur humain 23 corrige ses diagnostics.
Claims (1)
19 REVENDICATIONS
1.Procédé de suppression de fausses alertes parmi les alertes produites dans un système d'informations surveillé (1), caractérisé en ce que les alertes sont classées automatiquement au moyen d'un module de suppression de fausses alertes (17) suivant deux catégories constituées de fausses et vraies alertes selon des critères déterminés basés sur un apprentissage progressif dudit module (17) à partir de l'expertise d'un opérateur humain (23) en charge d'un classement initial manuel des alertes.
2.Procédé selon la revendication 1, caractérisé en ce que lesdits critères déterminés comportent une comparaison des probabilités d'appartenance des alertes à l'une et à l'autre desdites deux catégories.
3.Procédé selon l'une quelconque des revendications 1 et 2, caractérisé en ce que l'apprentissage progressif comporte les phases suivantes: -une phase d'apprentissage initial (P1) dans lequel ledit module de suppression de fausses alertes (17) procède à un enregistrement de diagnostics de l'opérateur humain (23) concernant un nombre déterminé d'alertes initiales, et -une phase de validation (P2) dans laquelle ledit module de suppression de fausses alertes (17) procède à la classification de nouvelles alertes en fonction dudit enregistrement de diagnostics et d'une supervision de l'opérateur humain (23) qui confirme ou corrige les classifications de nouvelles alertes.
4.Procédé selon la revendication 3, caractérisé en ce que dans la phase de validation (P2), lesdites confirmations ou corrections des classifications de 30 nouvelles alertes apportées par l'opérateur humain (23) sont utilisées par 2878637 20 le module de suppression de fausses alertes (17) pour minimiser un taux de correction lui permettant d'augmenter la fiabilité de toute classification ultérieure de nouvelles alertes.
5.Procédé selon la revendication 4, caractérisé en ce qu'il comporte une phase opérationnelle (P3) dans laquelle la classification des nouvelles alertes est effectuée de manière autonome, si le taux de correction de la classification des nouvelles alertes de la phase de validation (P2) devient inférieur à un nombre seuil déterminé.
6.Procédé selon la revendication 5, caractérisé en ce que dans la phase opérationnelle (P3), les fausses alertes sont supprimées ou stockées dans un moyen de stockage (27) et seules les vraies alertes sont envoyées à une console de présentation des alertes (5).
7.Procédé selon la revendication 3, caractérisé en ce que l'enregistrement de diagnostics de l'opérateur humain (23) durant la phase d'apprentissage initial comporte, pour une alerte initiale donnée, les étapes suivantes: -extraction de l'ensemble de mots composant ladite alerte initiale donnée, et -association à chaque mot dudit ensemble de mots, d'un compteur désignant le nombre cumulé d'occurrences dudit mot dans l'une des deux catégories.
8.Procédé selon l'une quelconque des revendications 3 à 7, caractérisé en ce que la classification des alertes durant la phase de validation (P2) et la phase opérationnelle (P3) comporte, pour une nouvelle alerte donnée, les étapes suivantes: -extraction de l'ensemble de mots composant ladite nouvelle alerte 30 donnée, 2878637 21 -comparaison des probabilités d'appartenance de la nouvelle alerte donnée à l'une et à l'autre desdites catégories, - classement de la nouvelle alerte donnée dans l'une des deux catégories selon le résultat de la comparaison de l'étape précédente, incrémentation des compteurs selon la catégorie de la nouvelle alerte donnée, et - transmission de la nouvelle alerte donnée ainsi classée à la console de présentation des alertes (5).
9.Procédé selon la revendication 8, caractérisé en ce que la comparaison des probabilités d'appartenance de la nouvelle alerte donnée à l'une et à l'autre desdites catégories comporte les étapes suivantes: -calculer pour chaque mot de l'ensemble de mots de ladite nouvelle alerte, la probabilité que chaque mot soit présent dans des alertes appartenant à l'une ou à l'autre des catégories en déterminant le rapport entre le compteur désignant le nombre cumulé d'occurrences de chaque mot dans des alertes de l'une ou l'autre des catégories et le nombre total d'occurrences de mots dans l'une ou l'autre des catégories respectivement, -calculer la probabilité de chaque catégorie en déterminant le rapport entre le nombre total d'occurrences de mots dans des alertes de chaque catégorie et le nombre total de mots, -calculer le produit, sur l'ensemble des mots composant l'alerte, des probabilités que chaque mot respectif de l'alerte soit présent dans des alertes appartenant à chaque catégorie multiplié par la probabilité de chaque catégorie, et -comparer le résultat de l'étape précédente selon les deux catégories.
10.Procédé selon l'une quelconque des revendications 3 à 9, caractérisé 30 en ce que la correction par ledit module de suppression de fausses alertes 2878637 22 (17) de la classification des nouvelles alertes durant la phase de validation (P2) comporte les étapes suivantes: -correction de la catégorie d'une nouvelle alerte précédemment classée par ledit module (17) s'il reçoit une notification de l'opérateur humain (23) indiquant que ledit précédent classement de ladite nouvelle alerte est faux, décrémentation des compteurs désignant les nombres cumulés d'occurrences de mots dans la catégorie faussement classée, -incrémentation des compteurs désignant les nombres cumulés 10 d'occurrences de mots dans la catégorie corrigée.
11. Module de suppression de fausses alertes, caractérisé en ce qu'il comporte des moyens de traitement (21) de données permettant de classer automatiquement les alertes suivant deux catégories constituées de fausses et vraies alertes selon des critères déterminés basés sur un apprentissage progressif à partir de l'expertise d'un opérateur humain (23) en charge d'un classement initial manuel des alertes.
12. Module selon la revendication 11, caractérisé en ce qu'il comporte en outre des moyens mémoires (25) permettant d'enregistrer, lors d'une phase d'apprentissage initial de l'apprentissage progressif, de diagnostics de l'opérateur humain (23) concernant un nombre déterminé d'alertes initiales, et de permettre aux moyens de traitement (21) de données de procéder à la classification de nouvelles alertes en fonction dudit enregistrement de diagnostics et d'une supervision de l'opérateur humain (23) qui confirme ou corrige les classifications de nouvelles alertes.
13. Module selon la revendication 12, caractérisé en ce que lors d'une phase opérationnelle (P3), les moyens de traitement (21) de données sont 30 destinés en outre à classifier de manière autonome de nouvelles alertes si 2878637 23 un taux de correction de la classification des nouvelles alertes de la phase de validation (P2) devient inférieur à un nombre seuil déterminé.
14. Module selon la revendication 13, caractérisé en ce qu'il comporte en outre un moyen de stockage (27) permettant de stocker, lors de la phase opérationnelle, les fausses alertes de sorte que seules les vraies alertes sont envoyées à une console de présentation des alertes (5) .
15. Système d'informations surveillé comportant un réseau interne à surveiller (7), des sondes de détection d'intrusions (11a, 11b, 11c), un système de gestion d'alertes (15), et une console de présentation d'alertes (5) caractérisé en ce qu'il comporte en outre un module de suppression de fausses alertes (17) selon l'une quelconque des revendications 11 à 14.
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0412559A FR2878637A1 (fr) | 2004-11-26 | 2004-11-26 | Suppression de fausses alertes parmi les alertes produites dans un systeme d'informations surveille |
| AT05819246T ATE392685T1 (de) | 2004-11-26 | 2005-11-24 | Unterdrückung von falschalarmen unter in einem überwachten informationssystem produzierten alarmen |
| DE602005006156T DE602005006156T2 (de) | 2004-11-26 | 2005-11-24 | Unterdrückung von falschalarmen unter in einem überwachten informationssystem produzierten alarmen |
| EP05819246A EP1820170B1 (fr) | 2004-11-26 | 2005-11-24 | Suppression de fausses alertes parmi les alertes produites dans un systeme d'informations surveille |
| US11/791,729 US20070300302A1 (en) | 2004-11-26 | 2005-11-24 | Suppresssion Of False Alarms Among Alarms Produced In A Monitored Information System |
| PCT/FR2005/050983 WO2006056721A1 (fr) | 2004-11-26 | 2005-11-24 | Suppression de fausses alertes parmi les alertes produites dans un systeme d'informations surveille |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0412559A FR2878637A1 (fr) | 2004-11-26 | 2004-11-26 | Suppression de fausses alertes parmi les alertes produites dans un systeme d'informations surveille |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| FR2878637A1 true FR2878637A1 (fr) | 2006-06-02 |
Family
ID=34951737
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR0412559A Pending FR2878637A1 (fr) | 2004-11-26 | 2004-11-26 | Suppression de fausses alertes parmi les alertes produites dans un systeme d'informations surveille |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20070300302A1 (fr) |
| EP (1) | EP1820170B1 (fr) |
| AT (1) | ATE392685T1 (fr) |
| DE (1) | DE602005006156T2 (fr) |
| FR (1) | FR2878637A1 (fr) |
| WO (1) | WO2006056721A1 (fr) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2379752A (en) * | 2001-06-05 | 2003-03-19 | Abb Ab | Root cause analysis under conditions of uncertainty |
| US20100002142A1 (en) * | 2007-02-08 | 2010-01-07 | Alan Matthew Finn | System and method for video-processing algorithm improvement |
| US8175377B2 (en) * | 2009-06-30 | 2012-05-08 | Xerox Corporation | Method and system for training classification and extraction engine in an imaging solution |
| US8531316B2 (en) * | 2009-10-28 | 2013-09-10 | Nicholas F. Velado | Nautic alert apparatus, system and method |
| KR101748122B1 (ko) * | 2015-09-09 | 2017-06-16 | 삼성에스디에스 주식회사 | 경보의 오류율 계산 방법 |
| US9923910B2 (en) * | 2015-10-05 | 2018-03-20 | Cisco Technology, Inc. | Dynamic installation of behavioral white labels |
| CN107690774B (zh) * | 2016-12-28 | 2019-01-15 | 深圳力维智联技术有限公司 | 告警处理方法和装置 |
| US11734086B2 (en) * | 2019-03-29 | 2023-08-22 | Hewlett Packard Enterprise Development Lp | Operation-based event suppression |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2258311A (en) * | 1991-07-27 | 1993-02-03 | Nigel Andrew Dodd | Monitoring a plurality of parameters |
| EP0856826A2 (fr) * | 1997-02-04 | 1998-08-05 | Neil James Stevenson | Système de sécurité |
| US20020161763A1 (en) * | 2000-10-27 | 2002-10-31 | Nong Ye | Method for classifying data using clustering and classification algorithm supervised |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002019077A2 (fr) * | 2000-09-01 | 2002-03-07 | Sri International, Inc. | Corrélation d'alerte probabiliste |
-
2004
- 2004-11-26 FR FR0412559A patent/FR2878637A1/fr active Pending
-
2005
- 2005-11-24 AT AT05819246T patent/ATE392685T1/de not_active IP Right Cessation
- 2005-11-24 EP EP05819246A patent/EP1820170B1/fr not_active Not-in-force
- 2005-11-24 DE DE602005006156T patent/DE602005006156T2/de active Active
- 2005-11-24 WO PCT/FR2005/050983 patent/WO2006056721A1/fr active IP Right Grant
- 2005-11-24 US US11/791,729 patent/US20070300302A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2258311A (en) * | 1991-07-27 | 1993-02-03 | Nigel Andrew Dodd | Monitoring a plurality of parameters |
| EP0856826A2 (fr) * | 1997-02-04 | 1998-08-05 | Neil James Stevenson | Système de sécurité |
| US20020161763A1 (en) * | 2000-10-27 | 2002-10-31 | Nong Ye | Method for classifying data using clustering and classification algorithm supervised |
Also Published As
| Publication number | Publication date |
|---|---|
| DE602005006156D1 (de) | 2008-05-29 |
| DE602005006156T2 (de) | 2009-07-02 |
| ATE392685T1 (de) | 2008-05-15 |
| EP1820170B1 (fr) | 2008-04-16 |
| US20070300302A1 (en) | 2007-12-27 |
| WO2006056721A1 (fr) | 2006-06-01 |
| EP1820170A1 (fr) | 2007-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1820170B1 (fr) | Suppression de fausses alertes parmi les alertes produites dans un systeme d'informations surveille | |
| EP1695485B1 (fr) | Procede de classification automatique d un ensemble d a lertes issues de sondes de detection d intrusions d un systeme de securite d information | |
| Park et al. | Sensor attack detection in the presence of transient faults | |
| US9354968B2 (en) | Systems and methods for data quality control and cleansing | |
| AU2017274576B2 (en) | Classification of log data | |
| US9379951B2 (en) | Method and apparatus for detection of anomalies in integrated parameter systems | |
| Nesa et al. | Outlier detection in sensed data using statistical learning models for IoT | |
| AU2019275633B2 (en) | System and method of automated fault correction in a network environment | |
| CN105208040A (zh) | 一种网络攻击检测方法及装置 | |
| FR3076384A1 (fr) | Detection d'anomalies par une approche combinant apprentissage supervise et non-supervise | |
| CN112788022B (zh) | 流量异常检测方法、装置、存储介质及处理器 | |
| EP3489831A1 (fr) | Procédé et dispositif de surveillance d'un processus générateur de données d'une métrique pour la prédiction d'anomalies | |
| CN115081969B (zh) | 异常数据确定方法及相关装置 | |
| US11436320B2 (en) | Adaptive computer security | |
| CN115514619A (zh) | 告警收敛方法及系统 | |
| US20220150268A1 (en) | Pre-emptive computer security | |
| Alserhani | Alert correlation and aggregation techniques for reduction of security alerts and detection of multistage attack | |
| CN112731460B (zh) | 卫星导航系统校准数据的完好性风险的测试方法及其系统 | |
| EP1792278B1 (fr) | Procede de detection et de pistage de cibles ponctuelles, dans un systeme de surveillance optronique | |
| Gafni et al. | Anomaly search over discrete composite hypotheses in hierarchical statistical models | |
| EP3598330B1 (fr) | Procédé et dispositif de détection d'anomalie | |
| FR3009615A1 (fr) | Procede et systeme de captage, discrimination et caracterisation de signaux faibles au moyen de leurs signatures respectives | |
| WO2003061198A1 (fr) | Systeme de gestion de reseaux de transport base sur l'analyse des tendances des donnees acquise sur le reseau | |
| WO2021249629A1 (fr) | Dispositif et procédé permettant de surveiller des réseaux de communication | |
| EP4033386A1 (fr) | Systèmes et procédés de fiabilité de capteur |