FR2881597A1 - Procede et systeme de detection automatique d'intrusions - Google Patents

Procede et systeme de detection automatique d'intrusions Download PDF

Info

Publication number
FR2881597A1
FR2881597A1 FR0500972A FR0500972A FR2881597A1 FR 2881597 A1 FR2881597 A1 FR 2881597A1 FR 0500972 A FR0500972 A FR 0500972A FR 0500972 A FR0500972 A FR 0500972A FR 2881597 A1 FR2881597 A1 FR 2881597A1
Authority
FR
France
Prior art keywords
criteria
value
subset
parameter
given parameter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR0500972A
Other languages
English (en)
Inventor
Elvis Tombini
Benjamin Morin
Herve Debar
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Priority to FR0500972A priority Critical patent/FR2881597A1/fr
Priority to PCT/FR2006/050087 priority patent/WO2006082342A1/fr
Publication of FR2881597A1 publication Critical patent/FR2881597A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

L'invention concerne un procédé de détection d'intrusions et un système d'information comprenant une sonde (5) de détection d'intrusions comportant un capteur d'évènements (5a) parmi un ensemble d'événements à surveiller dans le système d'information, un événement étant associé à au moins un paramètre prenant une valeur parmi une pluralité de valeurs, la sonde (5) comporte en outre un analyseur (5b) destiné à associer un sous-ensemble de critères parmi un ensemble de critères prédéterminés à un paramètre donné lors d'une phase d'apprentissage et à confronter lors d'une phase de validation la valeur prise par ledit paramètre donné audit sous-ensemble de critères, de sorte que selon que ladite valeur satisfait ou non ledit sous-ensemble de critères associés, alors ladite valeur est considérée comme valide ou non valide.

Description

2881597 1
Arrière-plan de l'invention L'invention concerne un procédé et un système de détection automatique d'intrusions selon un modèle comportemental.
La sécurité des systèmes d'information passe par le déploiement d'outils de détection d'intrusions comportant des sondes de détection d'intrusions.
En effet, les sondes de détection d'intrusions sont des composants actifs qui analysent une ou plusieurs sources de données à la recherche d'événements caractéristiques d'une activité intrusive et émettent des alertes vers un module de gestion d'alertes. Ce dernier centralise les alertes provenant des sondes et effectue éventuellement une analyse de l'ensemble de ces alertes.
D'une manière générale, les sondes de détection d'intrusions permettent de mettre à jour des attaques (réussies ou non) contre le système d'information selon une détection d'intrusions par scénario ou par comportement.
Les outils de détection d'intrusions par scénarios utilisent des signatures pour reconnaître, et donc caractériser, des attaques parmi un ensemble d'événements. Ces signatures sont principalement composées d'un "principe actif' et du nom de la signature qui définit l'alerte à émettre. Le "principe actif' consiste en un motif (ou pattern), ou une combinaison de motifs, qui sera recherché parmi les évènements à surveiller. Les signatures utilisées par les outils de détection d'intrusions permettent donc d'associer un nom d'alerte à un événement reconnu grâce au "principe actif' de ces signatures. Dans le cadre de la détection d'intrusions par scénarios, ces signatures servent à caractériser des attaques.
Par ailleurs, la détection d'intrusions comportementale est un procédé de détection d'intrusions permettant de mettre à jour des comportements intrusifs en comparant l'utilisation des ressources d'un système d'information à un comportement de référence dit modèle de comportement.
Le comportement de référence est créé à partir de l'observation d'un ensemble d'événements considérés comme sains. Cette phase est appelée phase d'apprentissage. Un certain nombre d'informations peuvent être extraites pendant cette phase pour servir à créer le modèle de comportement.
Le comportement de référence ainsi que le comportement à surveiller peuvent être constitués de différent types d'événements et, ou de mesures. Un module de détection d'intrusions comportementale peut, par exemple, surveiller la bande passante utilisée, la consommation CPU, ou les commandes exécutées par le système.
Dans le domaine de la détection d'intrusions comportementale, il est connu une méthode proposée par C. Kruegel et a/. dans une publication de Proceedings of the eh European Symposium on Research in Computer Security pages 326-343, Octobre 2003, Springer-Verlag , intitulée On the Detection of Anomalous System Cali Arguments . Cette méthode permet de prendre en compte les valeurs des paramètres des appels systèmes pour la détection d'intrusions comportementale appliquée en particulier aux paramètres des requêtes envoyées à des serveurs web. Plus précisément, l'auteur présente des méthodes permettant de caractériser les valeurs prises par ces paramètres selon la longueur des valeurs du paramètre, la distribution des caractères dans les valeurs du paramètre, la structure des valeurs du paramètre, la reconnaissance de types énumérés, et la présence de la valeur du paramètre.
L'inconvénient de cette méthode est qu'elle ne permet pas de 30 caractériser les valeurs prises par des paramètres selon des caractères ou 2881597 3 contraintes qualitatives qui ne peuvent pas être quantifiées. Ainsi, elle ne peut être utilisée que pour un nombre limité de critères.
Objet et résumé de l'invention L'invention a pour but de remédier à ces inconvénients, et de fournir un système et un procédé simple de détection automatique d'intrusions avec une grande précision.
Ces buts sont atteints grâce à un procédé de détection automatique d'intrusions parmi un ensemble d'événements à surveiller, un événement étant associé à au moins un paramètre prenant une valeur parmi une pluralité de valeurs, le procédé comportant: -une phase d'apprentissage comportant une association d'un sous-ensemble de critères à un paramètre donné, ledit sous-ensemble de critères étant choisi parmi un ensemble de critères prédéterminés; et -une phase de validation comportant la confrontation de la valeur prise par ledit paramètre donné audit sousensemble de critères défini lors de la phase d'apprentissage, de sorte que selon que ladite valeur satisfait ou non ledit sous-ensemble de critères associés, alors ladite valeur est considérée comme valide ou non valide.
Ainsi, le fait que les critères peuvent être préalablement établis permet d'élaborer un nombre illimité de critères et donc de renforcer la caractérisation des paramètres lors de la phase d'apprentissage afin d'utiliser ces critères lors de la phase de validation pour détecter les intrusions de manière automatique et avec une précision optimale.
L'ensemble de critères prédéterminés peut être construit par un opérateur humain de façon à répondre aux problèmes rencontrés dans un système d'information.
Ainsi, les critères prédéterminés sont construits d'une manière simple sans faire de calculs probabilistes ou autres et sont complètement dissociés des valeurs prises par les paramètres.
2881597 4 Avantageusement, ladite valeur non valide engendre l'émission d'une alerte correspondant à l'événement associé audit paramètre donné ayant cette valeur non valide.
Ainsi, chaque alerte émise est spécifique car elle pointe directement sur le paramètre et sa valeur non valide ainsi que sur le critère invalidant.
Selon une particularité de l'invention, la phase d'apprentissage comporte les étapes suivantes: -associer à ladite pluralité de valeurs une pluralité de premiers sous-10 ensembles de critères, un premier sousensemble de critères étant associé à une valeur correspondante de ladite pluralité de valeurs, et -construire l'ensemble commun à ladite pluralité de premiers sous-ensembles de critères pour former ledit sous-ensemble de critères associés audit paramètre donné.
Ainsi, le fait d'associer un ensemble pouvant comprendre un nombre illimité de critères extérieurs à chacune des valeurs permet d'augmenter la précision de la caractérisation des valeurs et donc des paramètres.
Selon un mode de réalisation de l'invention, le procédé comporte l'organisation d'une pluralité de critères déterminés en une structure hiérarchique comportant plusieurs niveaux définis selon une relation d'ordre partiel de sorte que chaque critère correspond à un noeud de ladite structure hiérarchique.
Ainsi, la structure hiérarchique permet de ne pas tester l'ensemble des critères de manière systématique et donc d'augmenter la rapidité et l'efficacité de la détection des intrusions ainsi que de la phase d'apprentissage.
Un premier sous-ensemble de critères correspond à un premier chemin parcourant la structure hiérarchique depuis sa racine jusqu'au dernier noeud enfant dont le critère est satisfait par ladite valeur 2881597 5 correspondante prise par ledit paramètre donné, la pluralité de premiers sous-ensembles de critères formant ainsi une pluralité de premiers chemins.
Ainsi, le premier sous-ensemble de critères peut être déterminé 5 en minimisant le nombre de tests.
En outre, le sous-ensemble de critères associés audit paramètre donné correspond à un chemin commun extrait d'un parcours commun à ladite pluralité de premiers chemins.
Ainsi, le sous-ensemble de critères associés au paramètre 10 donné peut être construit de manière simple et rapide.
L'invention vise aussi une sonde de détection d'intrusions comportant un capteur d'événements parmi un ensemble d'événements à surveiller dans un système d'information, un événement étant associé à au moins un paramètre prenant une valeur parmi une pluralité de valeurs, la sonde comporte en outre un analyseur destiné à associer lors d'une phase d'apprentissage un sous-ensemble de critères à un paramètre donné, ledit sous-ensemble de critères étant choisi parmi un ensemble de critères prédéterminés, et à confronter lors d'une phase de validation la valeur prise par ledit paramètre donné audit sous-ensemble de critères, de sorte que selon que ladite valeur satisfait ou non ledit sous-ensemble de critères associés, alors ladite valeur est considérée comme valide ou non valide.
Ainsi, grâce à un renforcement de la caractérisation des paramètres lors de la phase d'apprentissage, la sonde de détection d'intrusions permet une détection automatique des intrusions avec une grande précision et une efficacité optimale.
Avantageusement, la sonde est destinée à émettre une alerte à destination d'un module de gestion, ladite alerte correspondant à l'événement associé audit paramètre donné prenant ladite valeur non valide et le critère non validé.
2881597 6 Ainsi, chaque alerte émise par la sonde indique le paramètre et sa valeur non valide et le critère non validé.
L'invention propose aussi un système d'information surveillé comportant une pluralité de sondes de détection d'intrusions selon les caractéristiques ci-dessus et un module de gestion d'alertes comprenant une console de présentation d'alertes.
Ainsi, une détection automatique efficace et précise des intrusions permet de renforcer la protection du système d'information.
Brève description des dessins
D'autres particularités et avantages de l'invention ressortiront à la lecture de la description faite, ci-après, à titre indicatif mais non limitatif, en référence aux dessins annexés, sur lesquels: -la figure 1 est une vue très schématique d'un système d'information surveillé comportant un système de détection d'intrusions selon l'invention; -les figures 2A et 2B sont des organigrammes pour la construction des sousensembles de critères selon un premier mode de réalisation de l'invention; -la figure 3 montre très schématiquement un exemple d'une structure hiérarchique simplifiée des critères prédéterminés selon l'invention; et les figures 4A et 4B sont des organigrammes pour la construction des sousensembles de critères selon un second mode de réalisation de l'invention.
Description détaillée de modes de réalisation
La figure 1 illustre un exemple d'un système d'information 1 surveillé comportant un système de détection d'intrusions 3 comprenant 2881597 7 plusieurs sondes 5 de détection d'intrusions et un module de gestion d'alertes 7.
Ainsi, les sondes 5 de détection d'intrusions surveillent les événements venant de l'extérieur ou de l'intérieur d'un réseau du système d'information surveillé qui comprend des stations de travail 9 et des serveurs 11 communicant avec des réseaux externes (non représentés).
Le module de gestion d'alerte 7 peut comporter un hôte 7a dédié au traitement des alertes et une console 7b de présentation d'alertes.
Conformément à l'invention chaque sonde 5 de détection d'intrusions comporte un capteur 5a d'événements et un analyseur 5b.
Le capteur 5a d'événements surveille un ensemble d'événements survenus dans le système d'information 1. D'une manière générale, un événement est une action sur le système d'information 1 qui peut contenir un ou plusieurs paramètres. Ainsi, un événement donné peut être associé à un paramètre donné prenant une valeur parmi une pluralité de valeurs.
A titre d'exemple, un événement peut correspondre à une requête http qui consiste pour un client à demander une ressource à un serveur 11. On peut retrouver la trace de cet événement dans le fichier log du serveur 11. Une requête http extraite d'une ligne de fichier de log peut être de la forme suivante: GET /index.php ?identifiant=UPZB7456. Selon cet exemple, le client demande la ressource désignée par /index.php en passant le paramètre identifiant qui a pour valeur UPZB7456 .
En outre, la sonde 5 comporte un analyseur 5b destiné à associer un sousensemble de critères parmi un ensemble de critères prédéterminés à un paramètre donné lors d'une phase d'apprentissage.
A titre d'exemple, un premier critère Cl peut être défini de la façon suivante: la valeur a une longueur inférieure à six caractères .
2881597 8 Un deuxième critère C2 peut être défini de la façon suivante: la valeur est composée de quatre lettres majuscules et de quatre chiffres .
De plus, l'analyseur 5b de la sonde 5 est destiné à confronter lors d'une phase de validation la valeur prise par le paramètre donné au sousensemble de critères, de sorte que selon que la valeur satisfait ou non à ce sous-ensemble de critères associés, alors la valeur est considérée comme valide ou non valide.
Ainsi, suivant les exemples de l'événement et des critères Cl, C2 définis ci-dessus, la valeur du paramètre identifiant satisfait le critère C2 mais ne satisfait pas le critère Cl.
D'une manière générale, l'alerte correspondant à l'événement associé au paramètre donné prenant la valeur non valide est émise (flèche 13) par la sonde 5 à destination du module de gestion 7.
Le procédé selon l'invention consiste ainsi à détecter automatiquement toute intrusion parmi un ensemble d'événements à surveiller dans le système d'information 1. Un événement peut être associé à au moins un paramètre prenant une valeur parmi une pluralité de valeurs. En effet, un paramètre donné P peut prendre une valeur v1 parmi un ensemble V ={v1,lE {1,É..m}} de valeurs.
Ce procédé comporte deux phases, une phase d'apprentissage et une phase de validation. La phase d'apprentissage comporte l'association d'un sousensemble C, de critères à un paramètre donné. Le sous-ensemble Cp de critères est choisi parmi un ensemble c de critères prédéterminés, par exemple un ensemble C={C1,ie{1,ÉÉÉn}} de n critères.
Cet ensemble c de critères prédéterminés peut être construit par un opérateur humain, par exemple par l'intermédiaire de la console 7b, de façon à répondre aux problèmes rencontrés dans le système d'information 1.
2881597 9 Prenons pour exemple un paramètre qui prend pour valeur du code XML, P = <user name="Elvis Tombini" id="501"> quelques commentaires </user>. Ici, la valeur du paramètre P doit être du code XML bien formé c'est-à-dire, la valeur doit se conformer aux standards XML définis par le W3C (par exemple, une balise ouvrante est associée à une balise fermante correspondante, les valeurs de paramètre XML doivent être entre guillemets etc...).
Selon cet exemple et conformément à l'invention, on peut définir l'ensemble suivant de critères que cette valeur du paramètre P 10 devra satisfaire: - la valeur commence par le caractère "<" ; - la valeur commence par une balise XML ouvrante; - la valeur termine par une balise XML fermante; - la structure hiérarchique des balises XML est respectée; les valeurs de paramètre des éléments XML sont entre guillemets.
Tous ces critères peuvent s'exprimer sous forme de "pattern matching" lors de l'association de ces critères au paramètre P. Les critères prédéterminés peuvent ainsi être construits d'une manière simple et complètement dissociée des valeurs prises par les 20 paramètres.
De plus, grâce au fait que ces critères sont préalablement établis, cela permet d'élaborer un nombre illimité de critères et donc de renforcer la caractérisation des paramètres lors de la phase d'apprentissage. Ceci permet d'utiliser ces caractéristiques, lors de la phase de validation, pour détecter les intrusions de manière automatique et avec une efficacité et une précision optimales.
En effet, lors de la phase de validation, chaque valeur vi prise par le paramètre donné P est confrontée à un sous-ensemble Cp de critères associés. Si la valeur vl satisfait ce sous-ensemble Cp de critères, 2881597 10 alors cette valeur vl est considérée comme valide. Si elle ne satisfait pas ce sous-ensemble Cp de critères, elle n'est pas considérée comme valide et une alerte correspondant à l'événement associé au paramètre donné ayant cette valeur non valide est émise (flèche 13) vers le module de gestion 7.
Conformément à l'invention, les figures 2A à 4B montrent différents modes de réalisation de la phase d'apprentissage.
D'une manière générale, la phase d'apprentissage comporte une première étape pour associer à la pluralité de valeurs, une pluralité de premiers sous-ensembles de critères. Ainsi, un premier sous-ensemble Cv1=1c; ,i E {1,É É Él}: c j --> v1} de critères peut être associé à chacune des valeurs vl prise par le paramètre donné P pour former la pluralité Cv ={Cv1,lE {1, .m}} de premiers sous-ensembles de critères, où chaque premier sous-ensemble C,, de critères est associé à une valeur vl correspondante.
La phase d'apprentissage comporte en outre une seconde étape pour construire un ensemble commun à la pluralité Cv de premiers sousensembles de critères afin de former le sous-ensemble de critères Cp associé au paramètre donné P. 2C) Alors, afin de caractériser des paramètres à partir d'un ensemble c de critères prédéterminés, on cherche à construire un premier sous ensemble Cv1 pour chaque valeur v1 avant de construire le sous-ensemble CP de critères associé au paramètre donné P. Les figures 2A et 2B comportent des organigrammes très schématiques illustrant un premier mode de réalisation pour la construction des sousensembles C,1 et Cp respectivement.
2881597 11 A l'étape El, on définit un ensemble C={C;,iE {1,ÉÉÉn}} de n critères et on considère que le premier sous-ensemble Cv1 des critères associés à une valeur v1 donnée est initialement vide.
Les étapes E2 à E5 forment une boucle vérifiant pour chaque critère c1 avec i =1,. É É, n si v1 satisfait c1, alors CV1 = Cv1 u {c1}.
Plus particulièrement, l'étape E2 est un test itératif vérifiant si on a parcouru les n critères prédéterminés de l'ensemble C. Ainsi, si l'indice i désignant le critère c1 est inférieur ou égal à n (c'est-à-dire i <_ n) alors on passe à l'étape E3.
L'étape E3 est un test destiné à vérifier si la valeur vl satisfait le critère c; . Si le résultat du test est positif, c'est-à-dire si vl satisfait bien le critère c1 alors on passe à l'étape E4 où on ajoute le critère c; au premier sous-ensemble Cv1 des critères associés à la valeur v1, c'est-à-dire C1=Cv1u{c1}.
En revanche, si le résultat du test E3 est négatif, alors on passe à l'étape E5 où on incrémente l'indice i (i = i +1) avant de reboucler à l'étape E2.
Finalement, si tous les critères de l'ensemble C ont été parcourus, c'està-dire si l'indice i du test E2 n'est pas inférieur ou égal à n, alors on passe à l'étape E6 pour renvoyer le premier sous-ensemble Cv1 des critères associés à la valeur v1.
Ainsi, l'organigramme de la figure 2A, montre que chaque premier sousensemble Cv1 de critères comporte les critères satisfaits par la valeur correspondante v1 prise par le paramètre donné P. Alors, pour l'ensemble v = {v1,1 E {1,É É Ém}} des valeurs prises par le paramètre donné P, l'organigramme de la figure 2A permet d'associer à chaque valeur v1, un premier sous-ensemble de critères Cv1 pour former une pluralité C,, ={Cti, ,IE {1,ÉÉÉm}} de premiers sous-ensembles de critères associés aux valeurs de l'ensemble v prises par le paramètre donné P. La construction du sousensemble Cp de critères associé au paramètre donné P est illustrée par l'organigramme de la figure 2B.
A l'étape E7, on définit la pluralité C,, = {Cv,,l E 11,..-ml} de premiers sous-ensembles de critères construits par l'organigramme précédent et on considère que le sous-ensemble Cp de critères associé au paramètre donné P est initialement égal à Ci,, (Cp = Cv,) et on commence par l'indice 1= 2.
Les étapes E8 à E10 forment une boucle parcourant la pluralité C,, ={Cvl, le {1,ÉÉ.m}} de premiers sous-ensembles de critères pour former le sousensemble Cp de critères associé au paramètre donné P comme étant l'ensemble des critères communs associés aux valeurs prises par ce paramètre donné P. Plus particulièrement, l'étape E8 est un test itératif vérifiant si on a parcouru les m premiers sous-ensembles de critères Cv1. Ainsi, si l'indice l désignant le premier sous-ensemble de critères Cv1 est inférieur ou égal à m (l m) alors on passe à l'étape E9.
A l'étape E9, on construit de manière itérative le sous-ensemble Cp de critères associé au paramètre donné P en formant l'intersection entre les premiers sous-ensembles de critères, c'est-à-dire Cp =n1E{,,,m} Cvl. Ensuite, on passe à l'étape E10 pour incrémenter l'indice l (1=1+1) avant de reboucler à l'étape E8.
Finalement, si tous les m premiers sous-ensembles de critères Cv1 ont été parcourus, c'est-à-dire si l'indice l du test E8 n'est pas inférieur ou égal à m, alors on passe à l'étape E11 pour renvoyer le sous-ensemble C,, de critères associé au paramètre donné P. 2881597 13 Les figures 3 à 4B illustrent un autre mode de réalisation pour la caractérisation d'un paramètre donné.
En effet, la figure 3 montre qu'une pluralité de critères déterminés C = {c, ,i E {0,-41 Én}} (selon cet exemple simplifié n= 6) peuvent être organisés en une structure hiérarchique ou arbre de caractérisation A={Ni, iE {0,ÉÉÉn}} comportant plusieurs niveaux définis selon une relation d'ordre partiel (notée -<) de sorte que chaque critère ci correspond à un noeud Ni de cette structure hiérarchique.
La racine de l'arbre est représentée par le noeud No qui par 10 convention est associé à un critère nul et à chaque noeud Ni est associé un critère ci.
En outre, par construction, les critères associés aux noeuds fils d'un noeud Ni sont exclusifs. Ainsi, si un élément satisfait un critère cik, associé à un noeud Nok, il ne satisfait aucun critère associé aux noeuds frères.
Soient Ni et N1 deux noeuds de l'arbre de caractérisation, alors on note Ni -< N. s'il existe un chemin dans l'arbre de caractérisation entre les noeuds Ni et N1 et si N. est un ancêtre de Ni. En pratique, si Ni et Ni satisfont la relation d'ordre partiel -< alors ils appartiennent à une même branche de l'arbre de caractérisation.
La relation Ni -< Ni peut aussi s'écrire Ni -< Nil -<... Nik <...-< N1 où les NIkE{,,...,i} sont l'ensemble des noeuds, satisfaisant la relation -<, qui forment le chemin dans l'arbre de caractérisation entre les noeuds Ni et N. La construction du sousensemble Cv1 est illustrée par l'organigramme de la figure 4A où pour un paramètre donné P et 2881597 14 l'ensemble de ses valeurs V ={v1,1E {1, ÉÉÉm}}, on parcourt pour chaque valeur v1, l'arbre de caractérisation depuis la racine en testant le critère associé à chaque noeud.
Chaque premier sous-ensemble CVI de critères correspond à un premier chemin parcourant la structure hiérarchique depuis sa racine jusqu'au dernier noeud enfant dont le critère est satisfait par la valeur correspondante v1 prise par le paramètre donné P. Ainsi, la pluralité de premiers sous-ensembles de critères forment une pluralité de premiers chemins.
Plus particulièrement, l'étape E21 est une initialisation où l'on définit l'arbre de caractérisation correspondant à l'ensemble C = {c,i E {0,É É Én}} de n critères prédéterminé et pour commencer on initialise l'indice i (i = 0). De plus, on considère que le premier sous-ensemble CV! de critères associés à une valeur v1 donnée est initialement vide.
A l'étape E22, si, pour un noeud Ni, la valeur v1 satisfait le critère c., alors on ajoute le critère ci au sous-ensemble Cv1 de critères associés à la valeur v1 (étape E23), c'est-à-dire Cv1 =Cv1 u{ci} et on passe à l'étape E24.
2C) L'étape E24 est un test pour vérifier si le noeud Ni a un noeud fils Nk. Si oui, alors on passe à l'étape E25 où l'on attribue à l'indice i la valeur k (i = k) avant de reboucler à l'étape E22.
Si le résultat du test de l'étape E22 est négatif, c'est-à-dire que la valeur v, ne satisfait pas le critère c., alors on passe à l'étape E27.
25, L'étape E27 est un test pour vérifier si le noeud N, a un noeud frère Nh. Si oui, c'est-à-dire si le noeud Ni a un noeud frère Nh, alors on passe à l'étape E28 où l'on attribue à l'indice i la valeur h (i = h) avant de reboucler à l'étape E22.
2881597 15 En revanche si le résultat du test E24 ou celui du test E27 est négatif, alors on passe à l'étape E29 pour renvoyer le premier sousensemble Cv1 de critères associés à la valeur vl.
Ainsi, si pour un noeud N., la valeur Vl satisfait le critère et mais ne satisfait aucun des critères de ses noeuds fils ou s'il n'y a pas de noeud fils, le chemin entre No et N. caractérise la valeur vl.
L'ensemble des critères associés à la valeur vi est l'union des critères satisfaits par cette valeur depuis la racine No de l'arbre de classification jusqu'au noeud Nt inclus, soit C,1 =,,- NA N0,N, Ck On notera que, par construction de l'arbre de caractérisation, une valeur vl ne peut en parcourir qu'une seule branche.
La figure 4B est un organigramme illustrant la construction du sousensemble CP de critères associé au paramètre donné Pet dont le principe est le même que celui de la figure 2B.
En effet, à chaque valeur vl de l'ensemble V = {vl,l E {1,É É Ém}} des valeurs prises par un paramètre donné P, est associé un ensemble de critères Cvl selon l'organigramme de la figure 4A. On note Cj, _ {Cvl,l E {1,..-mn la pluralité de premiers sous-ensembles de critères associés aux valeurs prises par le paramètre P. Alors, comme précédemment, le sousensemble de critères associés au paramètre donné P est l'ensemble commun de cette pluralité de sous-ensembles CP = nle{l,...,m}Cvl).
Cependant, au vu de la structure arborescente utilisée, on doit considérer deux cas.
Si cvm =cvn c'est-à-dire si les valeurs vm et vn satisfont les mêmes critères et donc donnent lieu à un même parcours dans l'arbre de caractérisation, alors cv,n n cvn =cvm En revanche, si cvm cvn, c'est-àdire, si les valeurs vm et vn ne satisfont pas les mêmes critères, et donc ne donnent pas lieu à un même parcours dans l'arbre de caractérisation, alors on peut extraire un sous-ensemble de critères communs à cvm et cvn et donc un chemin commun dans l'arbre de caractérisation. Dans ce cas, on extrait un sous-ensemble de critères satisfaisant les deux valeurs vm et v, à partir de leur parcours commun dans l'arbre de caractérisation.
Autrement dit, le sous-ensemble Cp de critères associés au paramètre donné correspond à un chemin commun extrait d'un parcours 10 commun à la pluralité de premiers chemins.
En effet, la figure 4B montre que dans le cas non trivial où cvm c,, l'étape E9 peut comporter les étapes E91 à E95.
A l'étape E91, on définit le chemin No -<NJ dans l'arbre de caractérisation lié à C,, (Ci,, = UNkEN,,N, Ck) ainsi que le chemin No < N1, dans l'arbre de caractérisation lié à C, (Cp = l.1 NkENo{N,Ck). En outre, on définit un ensemble R de critères initialement vide, correspondant au chemin parcouru dans l'arbre et on commence à parcourir cet arbre à partir de la racine (Nk = No).
L'étape E92 est un test pour vérifier s'il existe un noeud NI tel que Nk < N1, N, -< N; et N, -< N1, et tel qu'aucun des noeuds fils de NI ne remplisse cette condition. Si le résultat du test E92 est positif, alors on passe à l'étape E93 où le
chemin Nk -< N, est ajouté au chemin associé à l'ensemble R, c'està-dire R = R uU,N,,Nk<N,, Cq A l'étape E94 on passe au noeud Nl (Nk =NI) avant de reboucler à l'étape E92.
2881597 17 En revanche, si le résultat du test E92 est négatif, alors on passe à l'étape E95 où l'on renvoie le sous-ensemble Cp de critères associés au paramètre donné qui correspond alors à l'ensemble R(Cp=R).

Claims (1)

18 REVENDICATIONS
1. Procédé de détection automatique d'intrusions parmi un ensemble d'événements à surveiller, un événement étant associé à au moins un paramètre prenant une valeur parmi une pluralité de valeurs, le procédé étant caractérisé en ce qu'il comporte: -une phase d'apprentissage comportant une association d'un sous-ensemble de critères parmi un ensemble de critères prédéterminés à un paramètre donné ; et -une phase de validation comportant la confrontation de la valeur prise par ledit paramètre donné audit sous-ensemble de critères défini lors de la phase d'apprentissage, de sorte que selon que ladite valeur satisfait ou non ledit sous-ensemble de critères associés, alors ladite valeur est considérée comme valide ou non valide.
2. Procédé selon la revendication 1, caractérisé en ce que ladite valeur non valide engendre l'émission d'une alerte correspondant à l'événement associé audit paramètre donné prenant cette valeur non valide.
3. Procédé selon la revendication 1, caractérisé en ce que la phase d'apprentissage comporte les étapes suivantes: -associer à ladite pluralité des valeurs une pluralité de premiers sous-ensembles de critères, un premier sous-ensemble de critères étant associé à une valeur correspondante de ladite pluralité de valeurs, et -construire l'ensemble commun à ladite pluralité de premiers sous-ensembles de critères pour former ledit sous-ensemble de critères associés audit paramètre donné.
4. Procédé selon la revendication 3, caractérisé en ce qu'il comporte l'organisation d'une pluralité de critères déterminés en une structure 2881597 19 hiérarchique comportant plusieurs niveaux définis selon une relation d'ordre partiel de sorte que chaque critère correspond à un noeud de ladite structure hiérarchique.
5. Procédé selon la revendication 4, caractérisé en ce qu'un premier sousensemble de critères correspond à un premier chemin parcourant la structure hiérarchique depuis sa racine jusqu'au dernier noeud enfant dont le critère est satisfait par ladite valeur correspondante prise par ledit paramètre donné, la pluralité de premiers sous-ensembles de critères formant ainsi une pluralité de premiers chemins.
6. Procédé selon la revendication 5, caractérisé en ce que le sousensemble de critères associés audit paramètre donné correspond à un chemin commun extrait d'un parcours commun à ladite pluralité de premiers chemins.
7. Sonde (5) de détection d'intrusions comportant un capteur d'évènements (5a) parmi un ensemble d'événements à surveiller dans un système d'information, un événement étant associé à au moins un paramètre prenant une valeur parmi une pluralité de valeurs, la sonde étant caractérisée en ce qu'elle comporte en outre un analyseur (5b) destiné à associer un sousensemble de critères parmi un ensemble de critères prédéterminés à un paramètre donné lors d'une phase d'apprentissage et à confronter lors d'une phase de validation la valeur prise par ledit paramètre donné audit sous-ensemble de critères, de sorte que selon que ladite valeur satisfait ou non ledit sous-ensemble de critères associés, alors ladite valeur est considérée comme valide ou non valide.
8. Sonde (5) selon la revendication 7, caractérisée en ce qu'elle est 30 destinée à émettre une alerte à destination d'un module de gestion (7), 2881597 20 l'alerte correspondant à l'événement associé audit paramètre donné prenant ladite valeur non valide.
9. Système d'information surveillé comportant un module de gestion d'alertes (7) comprenant une console de présentation d'alertes (7B), caractérisé en ce que le système d'information comporte en outre une pluralité de sondes de détection d'intrusions selon l'une quelconque des revendications 7 et 8.
FR0500972A 2005-02-01 2005-02-01 Procede et systeme de detection automatique d'intrusions Pending FR2881597A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR0500972A FR2881597A1 (fr) 2005-02-01 2005-02-01 Procede et systeme de detection automatique d'intrusions
PCT/FR2006/050087 WO2006082342A1 (fr) 2005-02-01 2006-02-01 Procede et systeme de detection automatique d'intrusions

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0500972A FR2881597A1 (fr) 2005-02-01 2005-02-01 Procede et systeme de detection automatique d'intrusions

Publications (1)

Publication Number Publication Date
FR2881597A1 true FR2881597A1 (fr) 2006-08-04

Family

ID=35447202

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0500972A Pending FR2881597A1 (fr) 2005-02-01 2005-02-01 Procede et systeme de detection automatique d'intrusions

Country Status (2)

Country Link
FR (1) FR2881597A1 (fr)
WO (1) WO2006082342A1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3136249A4 (fr) * 2014-06-06 2018-01-03 Nippon Telegraph and Telephone Corporation Dispositif d'analyse de journal, dispositif de détection d'attaque, procédé et programme de détection d'attaques

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040015719A1 (en) * 2002-07-16 2004-01-22 Dae-Hyung Lee Intelligent security engine and intelligent and integrated security system using the same

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040015719A1 (en) * 2002-07-16 2004-01-22 Dae-Hyung Lee Intelligent security engine and intelligent and integrated security system using the same

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
KRUEGEL C ET AL: "On the Detection of Anomalous System Call Arguments", COMPUTER SECURITY - ESORICS 2003. 8TH EUROPEAN SYMPOSIUM ON RESEARCH IN COMPUTER SECURITY. PROCEEDINGS (LECTURE NOTES IN COMPUT. SCI. VOL.2808) SPRINGER-VERLAG BERLIN, GERMANY, 2003, pages 101 - 118, XP002358951, ISBN: 3-540-20300-1 *
MARRAKCHI Z ET AL: "Flexible Intrusion Detection Using Variable-Length Behavior Modeling in Distributed Environment: Application to CORBA Objects", RECENT ADVANCES IN INTRUSION DETECTION. THIRD INTERNATIONAL WORKSHOP, RAID 2000. PROCEEDINGS (LECTURE NOTES IN COMPUTER SCIENCE VOL.1907) SPRINGER-VERLAG BERLIN, GERMANY, 2000, pages 130 - 144, XP002358950, ISBN: 3-540-41085-6 *
TANDON G, CHAN P: "Learning Rules from System Call Arguments and Sequences for Anomaly Detection", PROCEEDINGS OF ICDM WORKSHOP ON DATA MINING FOR COMPUTER SECURITY (DMSEC), 2003, pages 20 - 29, XP002358949, Retrieved from the Internet <URL:http://www.cs.fit.edu/~pkc/papers/dmsec03tandon.pdf> [retrieved on 20051213] *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3136249A4 (fr) * 2014-06-06 2018-01-03 Nippon Telegraph and Telephone Corporation Dispositif d'analyse de journal, dispositif de détection d'attaque, procédé et programme de détection d'attaques
US10243982B2 (en) 2014-06-06 2019-03-26 Nippon Telegraph And Telephone Corporation Log analyzing device, attack detecting device, attack detection method, and program

Also Published As

Publication number Publication date
WO2006082342A1 (fr) 2006-08-10

Similar Documents

Publication Publication Date Title
CN113647078B (zh) 一种管理安全事件的方法、装置和计算机可读存储介质
Sejfia et al. Practical automated detection of malicious npm packages
US8589328B1 (en) Method and apparatus for examining computer user activity to assess user psychology
US11716337B2 (en) Systems and methods of malware detection
FR3018620A3 (fr) Creation de regles pour une utilisation dans des systemes de gestion des tiers
Kurogome et al. EIGER: automated IOC generation for accurate and interpretable endpoint malware detection
CN112334871A (zh) 用于基于数字助理的应用的动作验证
CN111858242A (zh) 一种系统日志异常检测方法、装置及电子设备和存储介质
FR3001313A1 (fr) Procede de verification d&#39;au moins une metadonnee d&#39;un bloc de donnees numeriques
EP3053320B1 (fr) Procédé de détection d&#39;anomalies dans un trafic réseau
EP3399720A1 (fr) Procédé et dispositif électronique de surveillance d&#39;une application logicielle avionique, programme d&#39;ordinateur et système avionique associés
Azodi et al. A new approach to building a multi-tier direct access knowledgebase for IDS/SIEM systems
EP3762851A1 (fr) Système et procédé d&#39;essai de sécurité automatisé
WO2011117528A1 (fr) Procede, programme d&#39;ordinateur et dispositif de validation d&#39;execution de taches dans des systemes informatiques evolutifs
Bernaschi et al. Onion under Microscope: An in-depth analysis of the Tor Web
FR3113153A1 (fr) Procédé mis en œuvre par ordinateur pour tester la cybersécurité d’un environnement cible
FR2881597A1 (fr) Procede et systeme de detection automatique d&#39;intrusions
EP3365829A1 (fr) Procédé d&#39;aide a la détection d&#39;infection d&#39;un terminal par un logiciel malveillant
KR102447279B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
CN112187708B (zh) 数字证书的证书链的自动补全方法及设备
EP3032423A1 (fr) Methode et systeme pour la validation de scenarios de test de performance
CN116627466B (zh) 一种业务路径提取方法、系统、设备及介质
US20240348639A1 (en) Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program
EP4033361A1 (fr) Procédé et dispositif de détermination d&#39;au moins une machine impliquée dans une anomalie détectée dans une infrastructure informatique complexe
WO2007006999A2 (fr) Procede et systeme de detection d&#39;intrusions