FR3131044A1 - Method for detecting an attack by a threat in an operating system - Google Patents

Method for detecting an attack by a threat in an operating system Download PDF

Info

Publication number
FR3131044A1
FR3131044A1 FR2114010A FR2114010A FR3131044A1 FR 3131044 A1 FR3131044 A1 FR 3131044A1 FR 2114010 A FR2114010 A FR 2114010A FR 2114010 A FR2114010 A FR 2114010A FR 3131044 A1 FR3131044 A1 FR 3131044A1
Authority
FR
France
Prior art keywords
threat
interest
attack
detection method
semantic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR2114010A
Other languages
French (fr)
Inventor
Johann DREO
Claire Laudy
Simon FOSSIER
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales SA filed Critical Thales SA
Priority to FR2114010A priority Critical patent/FR3131044A1/en
Priority to PCT/EP2022/087011 priority patent/WO2023118157A1/en
Publication of FR3131044A1 publication Critical patent/FR3131044A1/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B63SHIPS OR OTHER WATERBORNE VESSELS; RELATED EQUIPMENT
    • B63GOFFENSIVE OR DEFENSIVE ARRANGEMENTS ON VESSELS; MINE-LAYING; MINE-SWEEPING; SUBMARINES; AIRCRAFT CARRIERS
    • B63G13/00Other offensive or defensive arrangements on vessels; Vessels characterised thereby

Abstract

Procédé de détection d’une attaque par une menace dans un système en exploitation L’invention concerne un procédé de détection d’une attaque par une menace dans un système (10) en exploitation. Le procédé comprend les étapes suivantes, en amont de l’exploitation du système (10) : simulation d’un ensemble de séquences d’attaque possibles de la menace;traitement de l’ensemble de séquences d’attaque afin d’obtenir un ensemble de graphes sémantiques représentatifs de l’ensemble de séquences d’attaque ; Le procédé comprend les étapes suivantes, lors de l’exploitation du système (10) : mesure de la présence d’un élément suspect présent dans le système (10) en exploitation par un capteur de présence (30) ;comparaison des mesures avec l’ensemble de graphes sémantiques et détermination d’un niveau de corrélation des mesures avec chacun des graphes sémantiques ;émission d’une alerte lorsque au moins l’un des niveaux de corrélation déterminé est supérieur à un seuil d’alerte prédéterminé. Figure pour l'abrégé : Figure 2Method for detecting an attack by a threat in an operating system The invention relates to a method for detecting an attack by a threat in an operating system (10). The method includes the following steps, prior to the operation of the system (10): simulating a set of possible attack sequences of the threat;processing the set of attack sequences to obtain a set semantic graphs representative of the set of attack sequences; The method comprises the following steps, during operation of the system (10): measurement of the presence of a suspicious element present in the system (10) in operation by a presence sensor (30); comparison of the measurements with the set of semantic graphs and determination of a level of correlation of the measurements with each of the semantic graphs; issuance of an alert when at least one of the determined correlation levels is greater than a predetermined alert threshold. Figure for the abstract: Figure 2

Description

Procédé de détection d’une attaque par une menace dans un système en exploitationMethod for detecting an attack by a threat in an operating system

La présente invention concerne un procédé de détection d’une attaque par une menace dans un système en exploitation.The present invention relates to a method for detecting an attack by a threat in an operating system.

L’invention concerne également un produit programme d’ordinateur configuré pour la mise en œuvre d’un tel procédé de détection.The invention also relates to a computer program product configured for the implementation of such a detection method.

La menace est par exemple une intrusion dans une zone géographique protégée, un comportement anormal d’un bateau, notamment de piraterie, ou d’un aéronef dans une zone sensible ou encore une attaque informatique contre un serveur.The threat is, for example, an intrusion into a protected geographical area, abnormal behavior of a boat, in particular piracy, or of an aircraft in a sensitive area or even a computer attack against a server.

Les systèmes de surveillance conventionnels sont typiquement composés d'un ensemble de capteurs répartis sur une zone à surveiller et d'une description de la couverture de ces capteurs. La surveillance est basée sur des règles prédéterminées ou sur un apprentissage.Conventional surveillance systems are typically composed of a set of sensors distributed over an area to be monitored and a description of the coverage of these sensors. Monitoring is based on predetermined rules or learning.

En particulier, on connait une approche statistique, dans laquelle une alerte est levée si la situation actuelle diffère suffisamment de la situation habituelle. Toutefois, la caractérisation de la situation habituelle suppose de disposer d'un d'enregistrement préalable de cette situation, ce qui n'est pas nécessairement le cas. Ceci est particulièrement le cas dans les situations où peu d’observations et d’historique sont disponibles, comme par exemple dans le cas de la piraterie maritime. De plus, dans une situation où l'attaquant vise spécifiquement à tromper les systèmes de surveillance, il essaiera autant que possible d'éviter d'avoir un comportement inhabituel, et ainsi cette approche statistique ne fonctionnera que pour les menaces présentant un niveau de stratégie limité.In particular, a statistical approach is known, in which an alert is raised if the current situation differs sufficiently from the usual situation. However, the characterization of the usual situation presupposes having a prior recording of this situation, which is not necessarily the case. This is particularly the case in situations where few observations and history are available, such as in the case of maritime piracy. Moreover, in a situation where the attacker specifically aims to fool surveillance systems, he will try as much as possible to avoid having unusual behavior, and thus this statistical approach will only work for threats with a strategy level limit.

On connait également une approche explicitement définie, comme un système dit expert, dans laquelle l'alerte est déclenchée à partir d'un modèle prédéfini, décrit par des experts du domaine. Là encore, la disponibilité d'un tel expert n'est pas garantie dans tous les cas. En outre, la flexibilité d'une telle approche est problématique. Il est souvent nécessaire d'utiliser de nombreuses heuristiques, qui peuvent être difficiles à concevoir correctement et qui conduisent généralement à des faux positifs et des faux négatifs. Une telle approche soulève également la question de la reconfiguration du système dans des situations dynamiques, où le contexte ou les comportements de la menace évoluent dans le temps.An explicitly defined approach is also known, such as a so-called expert system, in which the alert is triggered from a predefined model, described by experts in the field. Again, the availability of such an expert is not guaranteed in all cases. Furthermore, the flexibility of such an approach is problematic. It is often necessary to use many heuristics, which can be difficult to design correctly and usually lead to false positives and false negatives. Such an approach also raises the issue of system reconfiguration in dynamic situations, where the threat context or behaviors change over time.

Ainsi, la présente invention vise notamment à proposer un procédé de détection d’une attaque permettant de déclencher automatiquement des alertes pertinentes, en l'absence d'historique de menaces rencontrées et d'expert pour concevoir explicitement le système d'alerte.Thus, the present invention aims in particular to propose a method for detecting an attack making it possible to automatically trigger relevant alerts, in the absence of a history of threats encountered and of an expert to explicitly design the alert system.

A cet effet, l’invention a pour objet un procédé de détection d’une attaque par une menace dans un système en exploitation, le procédé de détection comprenant au moins les étapes suivantes, en amont de l’exploitation du système :To this end, the subject of the invention is a method for detecting an attack by a threat in a system in operation, the detection method comprising at least the following steps, upstream of the operation of the system:

  • simulation d’un ensemble de séquences d’attaque possibles de la menace dans le système ;simulation of a set of possible attack sequences of the threat in the system;
  • traitement de l’ensemble de séquences d’attaque afin d’obtenir un ensemble de graphes sémantiques représentatifs de l’ensemble de séquences d’attaque ;processing the set of attack sequences in order to obtain a set of semantic graphs representative of the set of attack sequences;

le procédé de détection comprenant au moins les étapes suivantes, lors de l’exploitation du système :the detection method comprising at least the following steps, during the operation of the system:

  • mesure de la présence d’un élément suspect présent dans le système en exploitation par au moins un capteur de présence ;measurement of the presence of a suspicious element present in the operating system by at least one presence sensor;
  • comparaison de la ou des mesures avec l’ensemble de graphes sémantiques et détermination d’un niveau de corrélation de la ou des mesures avec chacun des graphes sémantiques ;comparison of the measurement(s) with the set of semantic graphs and determination of a level of correlation of the measurement(s) with each of the semantic graphs;
  • émission d’une alerte lorsque au moins l’un des niveaux de corrélation déterminé est supérieur à un seuil d’alerte prédéterminé.issuance of an alert when at least one of the determined correlation levels is above a predetermined alert threshold.

L’invention permet donc, après une configuration préalable pour définir le contexte du système et des attaques éventuelles (zones sensibles, topologie du réseau, zones de détection, probabilités de détection, etc), une exécution entièrement automatisée pendant l’exploitation du système. Aucune implication d’un expert n’est nécessaire, ce qui réduit les biais potentiels et fournit à l'opérateur une vue objective. Enfin, il n'est pas nécessaire de disposer d’historiques et d’enregistrements préalables des menaces, ce qui rend l’invention particulièrement efficace contre les menaces non encore observées ou les événements rares.The invention therefore allows, after a prior configuration to define the context of the system and possible attacks (sensitive areas, network topology, detection areas, probabilities of detection, etc.), fully automated execution during the operation of the system. No expert involvement is required, reducing potential bias and providing the operator with an objective view. Finally, it is not necessary to have prior histories and recordings of the threats, which makes the invention particularly effective against threats not yet observed or rare events.

Suivant d’autres aspects avantageux de l’invention, le procédé de détection comprend une ou plusieurs des caractéristiques suivantes, prises isolément ou suivant toutes les combinaisons techniquement possibles :le système est une zone géographique, chaque graphe sémantique étant représentatif d’un évènement choisi dans le groupe consistant en: entrée de la menace dans une zone géographique d’intérêt ; suivi par la menace d’une trajectoire d’intérêt ; passage répété de la menace par un point ou une zone géographique d’intérêt ; passage de la menace par différents points ou zones géographiques d’intérêt consécutifs ; vitesse de la menace comprise dans un intervalle d’intérêt, et divergence entre des caractéristiques de la zone géographique d’intérêt, telles que le type de zone géographique d’intérêt ou la vitesse maximale autorisée dans la zone géographique d’intérêt, et des caractéristiques de la menace, telles que la taille de la menace, la typologie de la menace, la vitesse de la menace ou l’accélération de la menace ;According to other advantageous aspects of the invention, the detection method comprises one or more of the following characteristics, taken in isolation or according to all the technically possible combinations: the system is a geographical area, each semantic graph being representative of a chosen event in the group consisting of: entry of the threat into a geographic area of interest; followed by the threat of a trajectory of interest; repeated passage of the threat through a point or geographical area of interest; passage of the threat through different consecutive points or geographical areas of interest; speed of the threat included in an interval of interest, and discrepancy between characteristics of the geographic area of interest, such as the type of geographic area of interest or the maximum speed authorized in the geographic area of interest, and threat characteristics, such as threat size, threat typology, threat velocity, or threat acceleration;

  • au moins un capteur de présence est un capteur fixe et au moins un capteur de présence est un capteur mobile ;at least one presence sensor is a fixed sensor and at least one presence sensor is a mobile sensor;
  • le système est un réseau informatique, chaque graphe sémantique étant représentatif d’un évènement choisi dans le groupe consistant en: accès à une machine informatique d’intérêt ; accès à une sous-partie d’intérêt du réseau ; utilisation d’un protocole de communication d’intérêt ; utilisation d’un port informatique d’intérêt ; transmission de paquets d’une taille informatique d’intérêt, et utilisation d’une plage d’adresses réseau d’intérêt ;the system is a computer network, each semantic graph being representative of an event chosen from the group consisting of: access to a computer machine of interest; access to a sub-part of interest of the network; use of a communication of interest protocol; use of a computer port of interest; transmission of packets of a computing size of interest, and use of a range of network addresses of interest;
  • la simulation est réalisée au moyen d’un algorithme d’optimisation de trajectoire dans le système ;the simulation is carried out using a trajectory optimization algorithm in the system;
  • l’ensemble de séquences et l’ensemble des graphes sémantiques occupent une taille respective sur une mémoire, l’étape de traitement comprenant l’application d’une opération permettant que la taille de l’ensemble de graphes sémantiques soit inférieure à la taille de l’ensemble de séquences ;the set of sequences and the set of semantic graphs occupy a respective size on a memory, the processing step comprising the application of an operation allowing the size of the set of semantic graphs to be less than the size of the set of sequences;
  • l’alerte émise comprend au moins une information relative au graphe sémantique associé ;the alert sent includes at least one item of information relating to the associated semantic graph;
  • le procédé comprend en outre une étape de découpage du système en une pluralité de sous-systèmes avant l’étape de traitement, l’étape de traitement comprenant en outre un découpage de chaque trajectoire d’attaque simulée en fonction des différents sous-systèmes traversés ;the method further comprises a step of splitting the system into a plurality of subsystems before the processing step, the processing step further comprising a splitting of each simulated attack trajectory as a function of the various subsystems traversed ;
  • le procédé comprend, pendant l’exploitation du système, une nouvelle itération des étapes de simulation et de traitement afin d’obtenir un nouvel ensemble de graphes sémantiques actualisé.the method comprises, during the operation of the system, a new iteration of the simulation and processing steps in order to obtain a new set of updated semantic graphs.

L’invention a également pour objet un programme d’ordinateur comportant un support lisible d’informations, sur lequel est mémorisé un programme d’ordinateur comprenant des instructions de programme, le programme d’ordinateur étant chargeable sur une unité de traitement de données et adapté pour entraîner la mise en œuvre d’un procédé de détection tel que défini ci-dessus lorsque le programme d’ordinateur est mis en œuvre sur l’unité de traitement des données.The invention also relates to a computer program comprising a readable information medium, on which is stored a computer program comprising program instructions, the computer program being loadable on a data processing unit and adapted to bring about the implementation of a detection method as defined above when the computer program is implemented on the data processing unit.

Ces caractéristiques et avantages de l’invention apparaîtront plus clairement à la lecture de la description qui va suivre, donnée uniquement à titre d’exemple non limitatif, et faite en référence aux dessins annexés, sur lesquels :These characteristics and advantages of the invention will appear more clearly on reading the following description, given solely by way of non-limiting example, and made with reference to the appended drawings, in which:

- la est une représentation schématique d’un dispositif de détection surveillant un système ; - there is a schematic representation of a sensing device monitoring a system;

- la est une représentation du système constitué d’une zone géographique ; et - there is a representation of the system consisting of a geographical area; And

- la est un organigramme d’un procédé, selon l’invention, de détection d’une attaque par une menace dans le système en exploitation. - there is a flowchart of a method, according to the invention, for detecting an attack by a threat in the operating system.

Un système 10 à surveiller est représenté sur la .A system 10 to be monitored is represented on the .

Le système 10 est notamment une zone géographique, comme illustré sur la .The system 10 is in particular a geographical area, as illustrated in the .

La zone géographique est par exemple une zone géographique terrestre protégée telle qu’un bâtiment industriel, une zone géographique aérienne protégée telle qu’un espace aérien au-dessus d’une grande ville ou encore une zone géographique maritime protégée tel qu’un port industriel. Dans ces cas-là, l’accès à cette zone n’est autorisé qu’à certains individus ou véhicules et il est important de détecter toute intrusion non autorisée.The geographical area is, for example, a protected land geographical area such as an industrial building, a protected aerial geographical area such as airspace above a large city or even a protected maritime geographical area such as an industrial port. . In these cases, access to this area is only authorized for certain individuals or vehicles and it is important to detect any unauthorized intrusion.

En variante, la zone géographique est une zone libre d’accès dans laquelle il est nécessaire de détecter des comportements suspects tels qu’un bateau de piraterie dans l’océan ou un risque d’attaque terroriste dans l’espace public.Alternatively, the geographic area is a free-access area in which it is necessary to detect suspicious behavior such as a pirate ship in the ocean or a risk of terrorist attack in public space.

En variante encore, non représentée, le système 10 est un réseau informatique comportant une pluralité d’équipements informatiques reliés entre eux et pouvant faire l’objet d’une attaque informatique qu’il est nécessaire de détecter.In another variant, not shown, the system 10 is a computer network comprising a plurality of computer equipment interconnected and which can be the subject of a computer attack that it is necessary to detect.

Le système 10 est surveillé par un dispositif de détection 12 qui est décrit par la suite.The system 10 is monitored by a detection device 12 which is described below.

Le dispositif de détection 12 est ainsi configuré pour détecter une attaque par une menace lorsque le système 10 est en exploitation.The detection device 12 is thus configured to detect an attack by a threat when the system 10 is in operation.

On entend par exploitation du système 10, le fait que le système 10 soit en fonctionnement et/ou traversé par des éléments. Le système 10 est notamment en fonctionnement comme une usine ou réseau informatique, ou est susceptible d’être traversé par des véhicules tout en présentant un intérêt stratégique tel qu’un espace aérien à protéger.By operation of the system 10 is meant the fact that the system 10 is in operation and/or traversed by elements. The system 10 is in particular in operation as a factory or computer network, or is likely to be crossed by vehicles while presenting a strategic interest such as an airspace to be protected.

La menace est un élément tel qu’un individu, un véhicule ou un virus informatique visant à s’introduire dans le système 10 afin de récupérer des informations critiques ou attenter à la sécurité de ce système 10.The threat is an element such as an individual, a vehicle or a computer virus aiming to enter the system 10 in order to recover critical information or to attack the security of this system 10.

Le dispositif de détection 12 est disposé dans le système 10 à surveiller comme par exemple dans le centre de commande d’une centrale nucléaire ou dans le réseau informatique.The detection device 12 is placed in the system 10 to be monitored, for example in the control center of a nuclear power station or in the computer network.

En variante, comme représenté sur la , le dispositif de détection 12 est déporté par rapport au système 10 à surveiller, par exemple dans un poste terrestre de surveillance d’une zone maritime.Alternatively, as shown in , the detection device 12 is remote from the system 10 to be monitored, for example in a land station for monitoring a maritime zone.

Comme visible sur la , le dispositif de détection 12 comprend un module de simulation 14, un module de traitement 16, un module de réception 18, un module de comparaison 20 et un module d’émission 22.As seen on the , the detection device 12 comprises a simulation module 14, a processing module 16, a reception module 18, a comparison module 20 and a transmission module 22.

Le module de simulation 14 est configuré pour simuler, en amont de l’exploitation du système 10, un ensemble de séquences d’attaque possibles de la menace dans le système 10.The simulation module 14 is configured to simulate, prior to the operation of the system 10, a set of possible attack sequences of the threat in the system 10.

On entend par « en amont », que les simulations sont réalisées avant que le dispositif de détection 12 ne surveille le système 10 en fonctionnement.“Upstream” means that the simulations are carried out before the detection device 12 monitors the system 10 in operation.

La simulation est réalisée au moyen d’un algorithme d’optimisation de trajectoire dans le système 10.The simulation is performed using a path optimization algorithm in System 10.

Les attaques menaçantes éventuelles sont simulées afin d’obtenir une pluralité de plans d'attaque composés chacun d’une séquence d’attaque possible dans le système 10.The possible threatening attacks are simulated in order to obtain a plurality of attack plans each composed of a possible attack sequence in the system 10.

En particulier, les menaces sont simulées par un optimiseur de planification qui calcule des plans d'attaque sur le système 10. Un grand ensemble de simulations, impliquant différentes hypothèses de menaces, fournit un ensemble conséquent de plans d'attaque.In particular, the threats are simulated by a planning optimizer which calculates attack plans on the system 10. A large set of simulations, involving different threat hypotheses, provides a consequent set of attack plans.

Le système 10 est représenté par un modèle définissant les différentes contraintes, zones sensibles, capteurs présents, etc. Le module de simulation 14 est configuré pour explorer les séquences possibles dans ce modèle point par point en fonction des différentes contraintes et en simulant que la menace se déplace dans le système 10 avec un objectif donné tout en essayant d'éviter la détection et en étant efficace dans sa traversée du système 10.The system 10 is represented by a model defining the various constraints, sensitive zones, sensors present, etc. The simulation module 14 is configured to explore the possible sequences in this model point by point according to the various constraints and by simulating that the threat moves in the system 10 with a given objective while trying to avoid detection and being effective in traversing the system 10.

L’ensemble des séquences d’attaque simulées permet d’obtenir un jeu de données de base pour décrire les menaces possibles pouvant attaquer le système 10.The set of simulated attack sequences makes it possible to obtain a basic data set to describe the possible threats that can attack the system 10.

Le module de simulation 14 est en outre configuré pour relancer l’ensemble des simulations lorsque le système 10 évolue et donc que le modèle associé est modifié.The simulation module 14 is further configured to restart all the simulations when the system 10 evolves and therefore when the associated model is modified.

Le module de traitement 16 est avantageusement configuré pour découper le système 10 et notamment le modèle associé au système 10 en une pluralité de sous-systèmes.The processing module 16 is advantageously configured to divide the system 10 and in particular the model associated with the system 10 into a plurality of subsystems.

En particulier, chaque sous-système est une sous zone géographique du système 10 ou un sous ensemble d’équipements informatiques.In particular, each subsystem is a geographical sub-zone of the system 10 or a subset of computer equipment.

Le système 10 est en particulier découpé en sous-systèmes présentant chacun une particularité propre. A titre d’exemple, une zone maritime est découpée en une zone de pêche, une zone portuaire, une zone interdite d’accès, etc.The system 10 is in particular divided into subsystems each having its own particularity. For example, a maritime zone is divided into a fishing zone, a port zone, a prohibited access zone, etc.

En variante, le système 10 est découpé de manière uniforme, par exemple via un quadrillage de la zone géographique.As a variant, the system 10 is divided in a uniform manner, for example via a grid of the geographical area.

Le module de traitement 16 est en outre configuré pour traiter, en amont de l’exploitation du système 10, l’ensemble de séquences d’attaque afin d’obtenir un ensemble de graphes sémantiques représentatifs de l’ensemble de séquences d’attaque.The processing module 16 is further configured to process, upstream of the operation of the system 10, the set of attack sequences in order to obtain a set of semantic graphs representative of the set of attack sequences.

Le traitement comprend avantageusement un découpage de chaque trajectoire d’attaque simulée en fonction des différents sous-systèmes traversés.The processing advantageously comprises a breakdown of each simulated attack trajectory according to the various subsystems traversed.

En particulier, l’ensemble des séquences est traité et sémantisé afin d’obtenir une description représentative des plans d’attaques, en utilisant une ontologie donnée.In particular, all the sequences are processed and semantized in order to obtain a representative description of the attack plans, using a given ontology.

L’ontologie est une description des différents éléments qui apparaissent dans le système 10.The ontology is a description of the different elements that appear in the system 10.

Les graphes sémantiques sont une représentation plus simple des menaces, présentant l’avantage d'être discrètes et compréhensibles en termes de concepts, zones, vitesses, etc pour un opérateur en charge de la surveillance du système 10.Semantic graphs are a simpler representation of threats, with the advantage of being discreet and understandable in terms of concepts, areas, speeds, etc. for an operator in charge of monitoring the system 10.

Le module de traitement 16 permet donc de passer d’un ensemble de séquences à un ensemble de graphes sémantiques, qui est une somme d’évènements et de concepts compréhensibles pour l’opérateur.The processing module 16 therefore makes it possible to pass from a set of sequences to a set of semantic graphs, which is a sum of events and concepts understandable to the operator.

Le module de traitement 16 est avantageusement configuré pour fusionner les graphes sémantiques, de manière à obtenir une description des éléments les plus courants qui caractérisent les menaces, c'est-à-dire les éléments que le dispositif de détection 12 doit essayer d'identifier afin de détecter une menace.The processing module 16 is advantageously configured to merge the semantic graphs, so as to obtain a description of the most common elements which characterize the threats, that is to say the elements that the detection device 12 must try to identify. to detect a threat.

La fusion permet d’obtenir les parties communes et/ou les plus menaçantes dans les graphes sémantiques. Chaque graphe fusionné forme un modèle d'attaque.Fusion makes it possible to obtain the common and/or the most threatening parts in the semantic graphs. Each merged graph forms an attack pattern.

On comprendra donc que le traitement des séquences permet d’obtenir un ensemble de graphes sémantiques formant un résumé plus simple pour l’opérateur. Ainsi, l’ensemble de séquences et l’ensemble des graphes sémantiques occupent une taille respective sur une mémoire. Le traitement comprend ainsi l’application d’une opération permettant que la taille de l’ensemble de graphes sémantiques soit inférieure à la taille de l’ensemble de séquences.It will therefore be understood that the processing of the sequences makes it possible to obtain a set of semantic graphs forming a simpler summary for the operator. Thus, the set of sequences and the set of semantic graphs occupy a respective size on a memory. The processing thus includes the application of an operation allowing the size of the set of semantic graphs to be less than the size of the set of sequences.

Les graphes sémantiques ainsi obtenus forment la référence qui permet de lever des alertes par la suite, pendant l’opération du système 10.The semantic graphs thus obtained form the reference which makes it possible to raise alerts subsequently, during the operation of the system 10.

En particulier, lorsque le système 10 est une zone géographique, une séquence d’attaque est une trajectoire d’attaque d’une menace.In particular, when the system 10 is a geographical area, an attack sequence is an attack trajectory of a threat.

Chaque graphe sémantique est alors représentatif d’un évènement choisi dans le groupe consistant en:Each semantic graph is then representative of an event chosen from the group consisting of:

  • entrée de la menace dans une zone géographique d’intérêt ;entry of the threat into a geographic area of interest;
  • suivi par la menace d’une trajectoire d’intérêt ;followed by the threat of a trajectory of interest;
  • passage répété de la menace par un point ou une zone géographique d’intérêt ;repeated passage of the threat through a point or geographical area of interest;
  • passage de la menace par différents points ou zones géographiques d’intérêt consécutifs ;passage of the threat through different consecutive points or geographical areas of interest;
  • vitesse de la menace comprise dans un intervalle d’intérêt, etvelocity of the threat within an interval of interest, and
  • divergence entre des caractéristiques de la zone géographique d’intérêt, telles que le type de zone géographique d’intérêt ou la vitesse maximale autorisée dans la zone géographique d’intérêt, et des caractéristiques de la menace, telles que la taille de la menace, la typologie de la menace, la vitesse de la menace ou l’accélération de la menace.discrepancy between characteristics of the geographic area of interest, such as the type of geographic area of interest or the maximum speed authorized in the geographic area of interest, and characteristics of the threat, such as the size of the threat, threat typology, threat velocity, or threat acceleration.

On entend par un élément « d’intérêt », que cet élément est un élément sensible du point de vue de la sécurité ou présente un intérêt stratégique.An element of "interest" means that this element is a sensitive element from the point of view of security or is of strategic interest.

La illustre notamment deux types de graphes sémantiques dans une zone géographique. En particulier, la montre des cercles 24 associés au passage de la menace par ces points d’intérêt et des lignes rayées 26 associés à une séquence de points suivie par la menace et suivant ainsi une séquence d’intérêt.There illustrates in particular two types of semantic graphs in a geographical area. In particular, the shows circles 24 associated with the passage of the threat through these points of interest and striped lines 26 associated with a sequence of points followed by the threat and thus following a sequence of interest.

Lorsque le système est un réseau informatique, chaque graphe sémantique étant représentatif d’un évènement choisi dans le groupe consistant en:When the system is a computer network, each semantic graph being representative of an event chosen from the group consisting of:

  • accès à une machine informatique d’intérêt ;access to a computer machine of interest;
  • accès à une sous-partie d’intérêt du réseau ;access to a sub-part of interest of the network;
  • utilisation d’un protocole de communication d’intérêt ;use of a communication of interest protocol;
  • utilisation d’un port informatique d’intérêt ;use of a computer port of interest;
  • transmission de paquets d’une taille informatique d’intérêt, ettransmission of packets of a computational size of interest, and
  • utilisation d’une plage d’adresses réseau d’intérêt.use of a range of network addresses of interest.

Le module de réception 18 est configuré, lors de l’exploitation du système 10, pour recevoir les mesures d’au moins un capteur de présence 30 disposé dans le système 10.The reception module 18 is configured, during the operation of the system 10, to receive the measurements of at least one presence sensor 30 arranged in the system 10.

Chaque capteur 30 est configuré pour détecter la présence d’un élement suspect. En particulier, le capteur 30 est configuré pour mesurer la position d’un élément suspect présent dans le système 10 en exploitation et/ou pour mesurer des caractéristiques d’un élément suspect, par exemple sa taille ou sa typologie.Each sensor 30 is configured to detect the presence of a suspicious element. In particular, the sensor 30 is configured to measure the position of a suspicious element present in the system 10 in operation and/or to measure the characteristics of a suspicious element, for example its size or its type.

Lorsque le système 10 est une zone géographique, chaque capteur 30 est par exemple un détecteur de mouvement, un capteur radar, un système de vidéosurveillance etc.When the system 10 is a geographical area, each sensor 30 is for example a motion detector, a radar sensor, a video surveillance system, etc.

Avantageusement, le système 10 comprend au moins un capteur 30 fixe et au moins un capteur 30 mobile.Advantageously, the system 10 comprises at least one fixed sensor 30 and at least one mobile sensor 30.

Chaque capteur 30 fixe est propre à détecter un élément suspect dans une zone fixe.Each fixed sensor 30 is capable of detecting a suspect element in a fixed zone.

Les capteurs fixes sont susceptibles d’être connus des menaces et seront évités par ces dernières.Fixed sensors are likely to be known to threats and will be avoided by them.

A l’inverse, le capteur 30 mobile est propre à se déplacer dans le système 10 et est donc propre à détecter un élément suspect dans différentes zones du système 10. Le capteur 30 mobile est par exemple embarqué dans un drone.Conversely, the mobile sensor 30 is capable of moving in the system 10 and is therefore capable of detecting a suspicious element in different zones of the system 10. The mobile sensor 30 is for example embedded in a drone.

Les déplacements des capteurs mobiles sont moins susceptibles d’être connus des menaces et permettent donc une détection de certains comportements évitant les capteurs fixes.The movements of mobile sensors are less likely to be known to threats and therefore allow detection of certain behaviors that avoid fixed sensors.

Lorsque le système 10 est un réseau informatique, chaque capteur 30 est par exemple un bloc matériel de comptage configuré pour mesurer le nombre d’accès à un équipement informatique, le nombre d’interactions sur le réseau d’un équipement, la quantité de données transitant vers un équipement etc.When the system 10 is a computer network, each sensor 30 is for example a counting hardware block configured to measure the number of accesses to a computer equipment, the number of interactions on the network of an equipment, the quantity of data transiting to equipment etc.

Le module de comparaison 20 est configuré pour comparer les mesures des capteurs 30 avec l’ensemble de graphes sémantiques.The comparison module 20 is configured to compare the measurements of the sensors 30 with the set of semantic graphs.

Par exemple, lorsque l’un des graphes sémantiques correspond à une zone de présence d’intérêt, le module de comparaison 20 compare les positions mesurées de l’élément suspect par rapport à cette zone.For example, when one of the semantic graphs corresponds to a presence zone of interest, the comparison module 20 compares the measured positions of the suspect element with respect to this zone.

Lorsque l’un des graphes sémantiques correspond à une trajectoire, le module de comparaison 20 compare la succession de positions mesurées de l’élément suspect par rapport à cette trajectoire.When one of the semantic graphs corresponds to a trajectory, the comparison module 20 compares the succession of measured positions of the suspect element with respect to this trajectory.

Avantageusement, le module de traitement 16 est configuré pour appliquer aux mesures le même traitement qu’aux simulations réalisés. Ainsi, les mesures sont d'abord traitées par le même processus de sémantisation avant d’être comparées aux graphes sémantiques. Ainsi, la détection des menaces est alors exprimée dans le même formalisme que les modèles d'attaque.Advantageously, the processing module 16 is configured to apply to the measurements the same processing as to the simulations carried out. Thus, the measures are first processed by the same semantization process before being compared to the semantic graphs. Thus, the detection of threats is then expressed in the same formalism as the attack models.

Le module de comparaison 20 est en outre configuré pour déterminer un niveau de corrélation de la ou des mesures avec chacun des graphes sémantiques.The comparison module 20 is further configured to determine a level of correlation of the measurement(s) with each of the semantic graphs.

Le niveau de corrélation est représentatif de la proximité entre les mesures et les graphes sémantiques. Plus le niveau de corrélation est élevé, plus les mesures correspondent exactement aux graphes sémantiques.The level of correlation is representative of the proximity between the measurements and the semantic graphs. The higher the level of correlation, the more exactly the measures correspond to the semantic graphs.

Avantageusement, le module de comparaison 20 est configuré pour réaliser la comparaison en temps réel pour permettre une surveillance efficace et réactive. Ceci est en particulier possible du fait de la sémantisation des séquences qui fournissent des graphes sémantiques de taille réduite.Advantageously, the comparison module 20 is configured to perform the comparison in real time to allow efficient and reactive monitoring. This is in particular possible due to the semantization of the sequences which provide semantic graphs of reduced size.

Le module d’émission 22 est configuré pour émettre une alerte lorsque au moins l’un des niveaux de corrélation déterminé est supérieur à un seuil d’alerte prédéterminé.The transmission module 22 is configured to transmit an alert when at least one of the determined correlation levels is greater than a predetermined alert threshold.

Ainsi, les mesures sont mises en correspondance avec les graphes sémantiques représentatifs des modèles d'attaque, afin d'émettre des alertes si les mesures correspondent à une sous-partie d'un modèle d'attaque.Thus, the measurements are matched with the semantic graphs representative of the attack models, in order to issue alerts if the measurements correspond to a sub-part of an attack model.

Le seuil d’alerte est déterminé en amont de l’exploitation du système 10 lors de la réalisation des simulations, notamment par un expert du domaine.The alert threshold is determined upstream of the operation of the system 10 during the performance of the simulations, in particular by an expert in the field.

Le seuil d’alerte est par exemple fonction de la criticité du sous-systèmes associés au graphe sémantique.The alert threshold is for example a function of the criticality of the subsystems associated with the semantic graph.

Ainsi, il est possible d’exploiter les connaissances opérationnelles des experts qui permettent de compléter les plans d’attaque simulés automatiquement sans l’intervention d’un expert.Thus, it is possible to exploit the operational knowledge of experts which makes it possible to complete the simulated attack plans automatically without the intervention of an expert.

L’alerte émise comprend au moins une information relative au graphe sémantique associé. Ainsi, l’alerte fournit à l’opérateur en charge de la surveillance du système 10 une information relative à la menace détectée lui permettant d’appréhender facilement la situation et de réagir en fonction.The alert sent includes at least one piece of information relating to the associated semantic graph. Thus, the alert provides the operator in charge of monitoring the system 10 with information relating to the detected threat allowing him to easily understand the situation and react accordingly.

Dans l’exemple de la , le dispositif de détection 12 comprend une unité de traitement d’informations formée par exemple d’une mémoire et d’un processeur associé à la mémoire. Les différents modules sont réalisés chacun sous forme d’un logiciel, ou d’une brique logicielle, exécutables par le processeur et stockés dans la mémoire. Le processeur est alors apte à exécuter chacun de ces logiciels.In the example of the , the detection device 12 comprises an information processing unit formed for example of a memory and of a processor associated with the memory. The various modules are each produced in the form of software, or a software brick, executable by the processor and stored in the memory. The processor is then capable of executing each of these software programs.

En variante non représentée, les différents modules sont réalisés chacun sous forme d’un composant logique programmable, tel qu’un FPGA (de l’anglais Field Programmable Gate Array), ou encore sous forme d’un circuit intégré dédié, tel qu’un ASIC (de l’anglais Application Specific Integrated Circuit).In a variant not shown, the different modules are each made in the form of a programmable logic component, such as an FPGA (Field Programmable Gate Array), or even in the form of a dedicated integrated circuit, such as an ASIC (Application Specific Integrated Circuit).

Lorsque le dispositif de détection 12 est réalisé sous forme d’un ou plusieurs logiciels, c’est-à-dire sous forme d’un programme d’ordinateur, il est en outre apte à être enregistré sur un support, non représenté, lisible par ordinateur. Le support lisible par ordinateur est par exemple, un médium apte à mémoriser les instructions électroniques et à être couplé à un bus d’un système informatique. A titre d’exemple, le support lisible est un disque optique, un disque magnéto-optique, une mémoire ROM, une mémoire RAM, tout type de mémoire non-volatile (par exemple EPROM, EEPROM, FLASH, NVRAM), une carte magnétique ou une carte optique. Sur le support lisible est alors mémorisé un programme d’ordinateur comportant des instructions logicielles.When the detection device 12 is made in the form of one or more software, that is to say in the form of a computer program, it is also capable of being recorded on a medium, not shown, readable by computer. The computer-readable medium is, for example, a medium capable of storing electronic instructions and of being coupled to a bus of a computer system. By way of example, the readable medium is an optical disc, a magneto-optical disc, a ROM memory, a RAM memory, any type of non-volatile memory (for example EPROM, EEPROM, FLASH, NVRAM), a magnetic card or an optical card. On the readable medium is then stored a computer program comprising software instructions.

Le fonctionnement du dispositif de détection 12 selon l’invention va désormais être expliqué à l’aide de la représentant un organigramme du procédé, selon l’invention, de détection d’une attaque par une menace dans le système 10 en exploitation.The operation of the detection device 12 according to the invention will now be explained using the representing a flowchart of the method, according to the invention, of detecting an attack by a threat in the system 10 in operation.

Par la suite, un exemple de mise en œuvre du procédé va être décrite dans un système 10 formé d’une zone géographique mais l’homme du métier comprendra que ce procédé s’applique plus généralement à tout système 10, notamment à un système informatique.Subsequently, an example of implementation of the method will be described in a system 10 formed of a geographical area but those skilled in the art will understand that this method applies more generally to any system 10, in particular to a computer system .

La représente un système 10 ici constitué d’une zone géographique sensible, comme par exemple un aéroport, une centrale nucléaire, etc.There represents a system 10 here consisting of a sensitive geographical area, such as for example an airport, a nuclear power plant, etc.

Une pluralité de capteurs 30 sont disposés dans le système 10. Une partie de ces capteurs 30 est fixe et une partie de ces capteurs 30 est mobile.A plurality of sensors 30 are arranged in the system 10. A part of these sensors 30 is fixed and a part of these sensors 30 is mobile.

La montre des capteurs de présence 30 fixes représentés par des triangles et qui sont susceptibles d’être connus de la menace.There shows fixed presence sensors 30 represented by triangles and which are likely to be known to the threat.

La montre également des capteurs de présence 30 mobiles, représentés par des carrés, ainsi que leur déplacement en pointillés. Ces déplacements ne sont pas connus par la menace.There also shows mobile presence sensors 30, represented by squares, as well as their movement in dotted lines. These movements are not known by the threat.

Dans l’exemple illustré, les menaces se déplacent depuis une frontière d'entrée vers une frontière de sortie et peuvent affronter des terrains infranchissables et traverser des terrains où elles ne sont pas détectées.In the example shown, threats move from an entry boundary to an exit boundary and may encounter impassable terrain and traverse terrain where they are undetected.

Le dispositif de surveillance 12 vise ainsi à détecter ces intrusions pouvant être réalisées via plusieurs véhicules, par exemple terrestres ou aériens, et qui tentent d'atteindre, par exemple ici, la limite nord-ouest du système 10 qui représente un sous-système sensible.The surveillance device 12 thus aims to detect these intrusions which can be carried out via several vehicles, for example land or air, and which attempt to reach, for example here, the northwestern limit of the system 10 which represents a sensitive subsystem .

Initialement, avant l’exploitation du système 10, le procédé de détection comprend la simulation 100 d’un ensemble de séquences d’attaque possibles de la menace dans le système 10.Initially, prior to exploiting system 10, the detection process includes simulating 100 a set of possible attack sequences of the threat in system 10.

Cette simulation est éventuellement réalisée à l’écart du système 10.This simulation is possibly carried out away from the system 10.

Ces séquences simulées sont représentées par les lignes fléchées 32 sur la .These simulated sequences are represented by the arrowed lines 32 on the .

Puis, le procédé comprend une étape de traitement 110 de l’ensemble des séquences d’attaque afin d’obtenir un ensemble de graphes sémantiques représentatifs de l’ensemble de séquences d’attaque.Then, the method comprises a step 110 of processing the set of attack sequences in order to obtain a set of semantic graphs representative of the set of attack sequences.

En particulier, les séquences sont sémantisées et fusionnées afin d’obtenir des graphes sémantiques facilement compréhensibles par un opérateur.In particular, the sequences are semantized and merged in order to obtain semantic graphs easily understandable by an operator.

Ici, les graphes sémantiques sont représentés par les cercles 24 associés à une présence dans ces zones et liées par une relation de séquence représentés par les lignes rayées 26.Here, the semantic graphs are represented by the circles 24 associated with a presence in these areas and linked by a sequence relationship represented by the striped lines 26.

Puis, le système 10 est surveillé durant son exploitation. Par exemple, l’aéroport est surveillé pendant que des vols d’avions s’opèrent ou la centrale nucléaire est surveillée pendant son fonctionnement.Then, the system 10 is monitored during its operation. For example, the airport is monitored while aircraft flights are operating or the nuclear power plant is monitored during operation.

Le procédé de détection comprenant alors la mesure 120 de la présence d’un élément suspect présent dans le système 10 en exploitation par les différents capteurs 30.The detection method then comprising the measurement 120 of the presence of a suspicious element present in the system 10 in operation by the various sensors 30.

Puis lors d’une étape 130, ces mesures sont comparées avec l’ensemble de graphes sémantiques afin de déterminer un niveau de corrélation des mesures avec chacun des graphes sémantiques.Then during a step 130, these measurements are compared with the set of semantic graphs in order to determine a level of correlation of the measurements with each of the semantic graphs.

Lorsqu'une correspondance est trouvée, c’est-à-dire lorsque au moins l’un des niveaux de corrélation déterminé est supérieur à un seuil d’alerte prédéterminé, une alerte est émise lors d’une étape 140.When a match is found, that is to say when at least one of the determined correlation levels is greater than a predetermined alert threshold, an alert is issued during a step 140.

Cette surveillance est réalisée en temps réel. Par temps réel, on entend que le décalage entre la mesure de la position et la levée des alertes est réalisée dans un temps très faible, typiquement inférieur à la minute.This monitoring is carried out in real time. By real time, it is meant that the lag between the measurement of the position and the lifting of the alerts is carried out in a very short time, typically less than one minute.

Pendant l’exploitation du système 10, lorsque le système 10 évolue et/ou est modifié, une nouvelle itération des étapes de simulation et de traitement est réalisée afin d’obtenir un nouvel ensemble de graphes sémantiques actualisé.During the operation of the system 10, when the system 10 evolves and/or is modified, a new iteration of the simulation and processing steps is carried out in order to obtain a new set of updated semantic graphs.

Par exemple, dans l’exemple de la , si des capteurs 30 sont ajoutés ou qu’un passage est condamné, les séquences d’attaques possibles sont recalculées afin de garder une surveillance efficace et pertinente.For example, in the example of the , if sensors 30 are added or a passage is condemned, the possible attack sequences are recalculated in order to maintain effective and relevant monitoring.

Une telle reconfiguration permet donc une adaptabilité du système de surveillance qui n’est pas possible dans un système conventionnel dimensionné par des experts qui ne sont pas forcément disponibles à chaque modification du système 10.Such a reconfiguration therefore allows an adaptability of the monitoring system which is not possible in a conventional system designed by experts who are not necessarily available at each modification of the system 10.

L’homme du métier comprendra que l’invention est avantageusement couplée avec des systèmes d’alerte conventionnels basés sur l'apprentissage historique ou les systèmes experts de manière complémentaire. En fonction des contraintes et de la disponibilité des données et du personnel, une ou plusieurs des approches peuvent être utilisées et/ou combinées, renforçant encore la confiance de l'opérateur envers le dispositif de surveillance.Those skilled in the art will understand that the invention is advantageously coupled with conventional warning systems based on historical learning or expert systems in a complementary manner. Depending on the constraints and the availability of data and personnel, one or more of the approaches can be used and/or combined, further enhancing the operator's confidence in the monitoring device.

On conçoit donc que la présente invention présente un certain nombre d’avantages.It is therefore understood that the present invention has a certain number of advantages.

L'art antérieur ne considère qu'une approche d'apprentissage sur les données brutes des capteurs, des règles explicites, etc.The prior art only considers a learning approach on raw sensor data, explicit rules, etc.

A l’inverse, la présente invention permet de compenser le manque de données réelles en utilisant une simulation optimisée et la fusion de graphes sémantiques pour déclencher des alertes.Conversely, the present invention makes it possible to compensate for the lack of real data by using an optimized simulation and the fusion of semantic graphs to trigger alerts.

L'invention repose sur la synergie des trois étapes de simulation, de sémantisation et de comparaison.The invention is based on the synergy of the three stages of simulation, semantics and comparison.

L’invention permet une exécution entièrement automatisée pendant l'exploitation du système 10 après la configuration préalable.The invention enables fully automated execution during operation of the system 10 after prior configuration.

Aucun expert n’est nécessaire dans la conception du système de surveillance, ce qui réduit les biais potentiels ou le renforcement de leurs croyances antérieures. Toutefois, les connaissances opérationnelles des experts peuvent être utilisées pour optimiser le dispositif de surveillance, notamment dans la définition des seuils d’alerte et la catégorisation des graphes sémantiques.No experts are needed in the design of the monitoring system, reducing potential biases or reinforcing their prior beliefs. However, the operational knowledge of experts can be used to optimize the monitoring system, particularly in the definition of alert thresholds and the categorization of semantic graphs.

En outre, il n'est pas nécessaire de disposer d’enregistrements préalables des menaces, ce qui rend l’invention particulièrement efficace pour les menaces non encore observées ou les événements de faible signal.Additionally, there is no need for prior threat records, making the invention particularly effective for previously unobserved threats or low-signal events.

Claims (10)

Procédé de détection d’une attaque par une menace dans un système (10) en exploitation,
le procédé de détection comprenant au moins les étapes suivantes, en amont de l’exploitation du système (10) :
  • simulation (100) d’un ensemble de séquences d’attaque possibles de la menace dans le système (10) ;
  • traitement (110) de l’ensemble de séquences d’attaque afin d’obtenir un ensemble de graphes sémantiques représentatifs de l’ensemble de séquences d’attaque ;
le procédé de détection comprenant au moins les étapes suivantes, lors de l’exploitation du système (10) :
  • mesure (120) de la présence d’un élément suspect présent dans le système (10) en exploitation par au moins un capteur de présence (30) ;
  • comparaison (130) de la ou des mesures avec l’ensemble de graphes sémantiques et détermination d’un niveau de corrélation de la ou des mesures avec chacun des graphes sémantiques ;
  • émission (140) d’une alerte lorsque au moins l’un des niveaux de corrélation déterminé est supérieur à un seuil d’alerte prédéterminé.
Method for detecting an attack by a threat in a system (10) in operation,
the detection method comprising at least the following steps, upstream of the operation of the system (10):
  • simulating (100) a set of possible attack sequences of the threat in the system (10);
  • processing (110) the set of attack sequences to obtain a set of semantic graphs representative of the set of attack sequences;
the detection method comprising at least the following steps, during the operation of the system (10):
  • measurement (120) of the presence of a suspect element present in the system (10) in operation by at least one presence sensor (30);
  • comparing (130) the measurement(s) with the set of semantic graphs and determining a level of correlation of the measurement(s) with each of the semantic graphs;
  • transmission (140) of an alert when at least one of the determined correlation levels is greater than a predetermined alert threshold.
Procédé de détection selon la revendication 1, dans lequel le système (10) est une zone géographique,
chaque graphe sémantique étant représentatif d’un évènement choisi dans le groupe consistant en:
  • entrée de la menace dans une zone géographique d’intérêt ;
  • suivi par la menace d’une trajectoire d’intérêt ;
  • passage répété de la menace par un point ou une zone géographique d’intérêt ;
  • passage de la menace par différents points ou zones géographiques d’intérêt consécutifs ;
  • vitesse de la menace comprise dans un intervalle d’intérêt, et
  • divergence entre des caractéristiques de la zone géographique d’intérêt, telles que le type de zone géographique d’intérêt ou la vitesse maximale autorisée dans la zone géographique d’intérêt, et des caractéristiques de la menace, telles que la taille de la menace, la typologie de la menace, la vitesse de la menace ou l’accélération de la menace.
Detection method according to claim 1, in which the system (10) is a geographical area,
each semantic graph being representative of an event chosen from the group consisting of:
  • entry of the threat into a geographic area of interest;
  • followed by the threat of a trajectory of interest;
  • repeated passage of the threat through a point or geographical area of interest;
  • passage of the threat through different consecutive points or geographical areas of interest;
  • Threat velocity within an interval of interest, and
  • discrepancy between characteristics of the geographic area of interest, such as the type of geographic area of interest or the maximum speed authorized in the geographic area of interest, and characteristics of the threat, such as the size of the threat, threat typology, threat velocity, or threat acceleration.
Procédé de détection selon la revendication 2, dans lequel au moins un capteur de présence (30) est un capteur fixe et au moins un capteur de présence (30) est un capteur mobile.Detection method according to claim 2, in which at least one presence sensor (30) is a fixed sensor and at least one presence sensor (30) is a mobile sensor. Procédé de détection selon la revendication 1, dans lequel le système (10) est un réseau informatique,
chaque graphe sémantique étant représentatif d’un évènement choisi dans le groupe consistant en:
  • accès à une machine informatique d’intérêt ;
  • accès à une sous-partie d’intérêt du réseau ;
  • utilisation d’un protocole de communication d’intérêt ;
  • utilisation d’un port informatique d’intérêt ;
  • transmission de paquets d’une taille informatique d’intérêt, et
  • utilisation d’une plage d’adresses réseau d’intérêt.
A detection method according to claim 1, wherein the system (10) is a computer network,
each semantic graph being representative of an event chosen from the group consisting of:
  • access to a computer machine of interest;
  • access to a sub-part of interest of the network;
  • use of a communication protocol of interest;
  • use of a computer port of interest;
  • transmission of packets of a computational size of interest, and
  • use of a range of network addresses of interest.
Procédé de détection selon l’une quelconque des revendications précédentes, dans lequel la simulation (100) est réalisée au moyen d’un algorithme d’optimisation de trajectoire dans le système (10).A detection method according to any preceding claim, wherein the simulation (100) is performed by means of a path optimization algorithm in the system (10). Procédé de détection selon l’une quelconque des revendications précédentes, dans lequel l’ensemble de séquences et l’ensemble des graphes sémantiques occupent une taille respective sur une mémoire, l’étape de traitement (110) comprenant l’application d’une opération permettant que la taille de l’ensemble de graphes sémantiques soit inférieure à la taille de l’ensemble de séquences.Detection method according to any one of the preceding claims, in which the set of sequences and the set of semantic graphs occupy a respective size on a memory, the processing step (110) comprising the application of an operation allowing the size of the set of semantic graphs to be smaller than the size of the set of sequences. Procédé de détection selon l’une quelconque des revendications précédentes, dans lequel l’alerte émise comprend au moins une information relative au graphe sémantique associé.Detection method according to any one of the preceding claims, in which the alert sent includes at least one item of information relating to the associated semantic graph. Procédé de détection selon l’une quelconque des revendications précédentes, comprenant en outre une étape de découpage du système (10) en une pluralité de sous-systèmes avant l’étape de traitement (110), l’étape de traitement (110) comprenant en outre un découpage de chaque trajectoire d’attaque simulée en fonction des différents sous-systèmes traversés.Detection method according to any one of the preceding claims, further comprising a step of dividing the system (10) into a plurality of subsystems before the processing step (110), the processing step (110) comprising in addition, a breakdown of each simulated attack trajectory according to the various subsystems traversed. Procédé de détection selon l’une quelconque des revendications précédentes, dans lequel le procédé comprend, pendant l’exploitation du système (10), une nouvelle itération des étapes de simulation (100) et de traitement (110) afin d’obtenir un nouvel ensemble de graphes sémantiques actualisé.Detection method according to any one of the preceding claims, in which the method comprises, during the operation of the system (10), a new iteration of the steps of simulation (100) and processing (110) in order to obtain a new updated set of semantic graphs. Produit programme d’ordinateur comportant un support lisible d’informations, sur lequel est mémorisé un programme d’ordinateur comprenant des instructions de programme, le programme d’ordinateur étant chargeable sur une unité de traitement de données et adapté pour entraîner la mise en œuvre d’un procédé de détection selon l’une quelconque des revendications 1 à 9 lorsque le programme d’ordinateur est mis en œuvre sur l’unité de traitement des données.Computer program product comprising a readable information medium, on which is stored a computer program comprising program instructions, the computer program being loadable on a data processing unit and adapted to cause the implementation a detection method according to any one of claims 1 to 9 when the computer program is implemented on the data processing unit.
FR2114010A 2021-12-20 2021-12-20 Method for detecting an attack by a threat in an operating system Pending FR3131044A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR2114010A FR3131044A1 (en) 2021-12-20 2021-12-20 Method for detecting an attack by a threat in an operating system
PCT/EP2022/087011 WO2023118157A1 (en) 2021-12-20 2022-12-20 Method for detecting an attack by a threat in an operating system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2114010 2021-12-20
FR2114010A FR3131044A1 (en) 2021-12-20 2021-12-20 Method for detecting an attack by a threat in an operating system

Publications (1)

Publication Number Publication Date
FR3131044A1 true FR3131044A1 (en) 2023-06-23

Family

ID=81325588

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2114010A Pending FR3131044A1 (en) 2021-12-20 2021-12-20 Method for detecting an attack by a threat in an operating system

Country Status (2)

Country Link
FR (1) FR3131044A1 (en)
WO (1) WO2023118157A1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015044392A1 (en) * 2013-09-27 2015-04-02 Thales Piracy protection system and a vessel comprising such a system
US20200304390A1 (en) * 2015-06-05 2020-09-24 Cisco Technology, Inc. Synthetic data for determining health of a network security system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015044392A1 (en) * 2013-09-27 2015-04-02 Thales Piracy protection system and a vessel comprising such a system
US20200304390A1 (en) * 2015-06-05 2020-09-24 Cisco Technology, Inc. Synthetic data for determining health of a network security system

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
BOURITSAS GIORGOS ET AL: "Automated Real-time Anomaly Detection in Human Trajectories using Sequence to Sequence Networks", 2019 16TH IEEE INTERNATIONAL CONFERENCE ON ADVANCED VIDEO AND SIGNAL BASED SURVEILLANCE (AVSS), IEEE, 18 September 2019 (2019-09-18), pages 1 - 8, XP033642137, DOI: 10.1109/AVSS.2019.8909844 *
GIULIANA PALLOTTA ET AL: "Vessel Pattern Knowledge Discovery from AIS Data: A Framework for Anomaly Detection and Route Prediction", ENTROPY, vol. 15, no. 12, 4 June 2013 (2013-06-04), pages 2218 - 2245, XP055503295, DOI: 10.3390/e15062218 *
HARRIS GEORGIOU ET AL: "Moving Objects Analytics: Survey on Future Location & Trajectory Prediction Methods", ARXIV.ORG, CORNELL UNIVERSITY LIBRARY, 201 OLIN LIBRARY CORNELL UNIVERSITY ITHACA, NY 14853, 11 July 2018 (2018-07-11), XP081247704 *
WU FAN ET AL: "A Spatial-Temporal-Semantic Neural Network Algorithm for Location Prediction on Moving Objects", ALGORITHMS, vol. 10, no. 2, 24 March 2017 (2017-03-24), pages 37, XP055946769, DOI: 10.3390/a10020037 *
YAN ZHAOJIN: "Exploring AIS data for intelligent maritime routes extraction - ScienceDirect", 2 July 2020 (2020-07-02), XP055946800, Retrieved from the Internet <URL:https://www.sciencedirect.com/science/article/pii/S0141118720303631?via=ihub> [retrieved on 20220727] *
YING JOSH JIA-CHING JASHYING@GMAIL COM ET AL: "Semantic trajectory mining for location prediction", PROCEEDINGS OF THE 19TH ACM SIGSPATIAL INTERNATIONAL CONFERENCE ON ADVANCES IN GEOGRAPHIC INFORMATION SYSTEMS, GIS '11, ACM PRESS, NEW YORK, NEW YORK, USA, 1 November 2011 (2011-11-01), pages 34 - 43, XP058467664, ISBN: 978-1-4503-1031-4, DOI: 10.1145/2093973.2093980 *

Also Published As

Publication number Publication date
WO2023118157A1 (en) 2023-06-29

Similar Documents

Publication Publication Date Title
Park et al. Sensor attack detection in the presence of transient faults
US11153331B2 (en) Detection of an ongoing data breach based on relationships among multiple network elements
EP3343867B1 (en) Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset
US9369484B1 (en) Dynamic security hardening of security critical functions
US20150371044A1 (en) Targeted security alerts
US20130117852A1 (en) Detecting Emergent Behavior in Communications Networks
US10742664B2 (en) Probabilistically detecting low-intensity, multi-modal threats using synthetic events
JP2015511101A (en) Anomaly detection to identify coordination group attacks in computer networks
FR3042623A1 (en) METHOD FOR DETECTING VULNERABILITIES IN A VIRTUAL SERVER FOR PRODUCING A VIRTUAL OR CLOUD COMPUTING SYSTEM
FR3037679A1 (en)
Abdlhamed et al. A system for intrusion prediction in cloud computing
RU2746685C2 (en) Cybersecurity system with a differentiated ability to cope with complex cyber attacks
CN117056951A (en) Data security management method for digital platform
EP3785158B1 (en) System for securing a cyber-physical method
US20220147622A1 (en) Systems and methods for generating cyberattack predictions and responses
CN111104670B (en) APT attack identification and protection method
Ghorbanian et al. Signature-based hybrid Intrusion detection system (HIDS) for android devices
WO2006032650A1 (en) Method for detecting and tracking punctual targets, in an optoelectronic surveillance system
FR3131044A1 (en) Method for detecting an attack by a threat in an operating system
WO2023126512A1 (en) Method for detecting an anomaly in an electronic system in operation
WO2023007479A1 (en) Technique for detecting cyber attacks on radars
Najeeb et al. Classification for intrusion detection with different feature selection methods: a survey (2014–2016)
FR3009615A1 (en) METHOD AND SYSTEM FOR CAPTURING, DISCRIMINATING AND CHARACTERIZING LOW SIGNALS USING THEIR RESPECTIVE SIGNATURES
CN102882893A (en) Alarming cooperative system based on blackboard structure
FR3105489A3 (en) FRAUD DETECTION DEVICE AND METHOD

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20230623

PLFP Fee payment

Year of fee payment: 3