FR3131044A1 - Method for detecting an attack by a threat in an operating system - Google Patents
Method for detecting an attack by a threat in an operating system Download PDFInfo
- Publication number
- FR3131044A1 FR3131044A1 FR2114010A FR2114010A FR3131044A1 FR 3131044 A1 FR3131044 A1 FR 3131044A1 FR 2114010 A FR2114010 A FR 2114010A FR 2114010 A FR2114010 A FR 2114010A FR 3131044 A1 FR3131044 A1 FR 3131044A1
- Authority
- FR
- France
- Prior art keywords
- threat
- interest
- attack
- detection method
- semantic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 238000012545 processing Methods 0.000 claims abstract description 27
- 238000005259 measurement Methods 0.000 claims abstract description 20
- 238000001514 detection method Methods 0.000 claims description 33
- 238000004088 simulation Methods 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000011144 upstream manufacturing Methods 0.000 claims description 5
- 230000001133 acceleration Effects 0.000 claims description 3
- 238000004891 communication Methods 0.000 claims description 3
- 238000005457 optimization Methods 0.000 claims description 3
- 230000015556 catabolic process Effects 0.000 claims description 2
- 238000012544 monitoring process Methods 0.000 description 11
- 238000013459 approach Methods 0.000 description 7
- 230000006399 behavior Effects 0.000 description 4
- 230000033001 locomotion Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000004927 fusion Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000010006 flight Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000003014 reinforcing effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B63—SHIPS OR OTHER WATERBORNE VESSELS; RELATED EQUIPMENT
- B63G—OFFENSIVE OR DEFENSIVE ARRANGEMENTS ON VESSELS; MINE-LAYING; MINE-SWEEPING; SUBMARINES; AIRCRAFT CARRIERS
- B63G13/00—Other offensive or defensive arrangements on vessels; Vessels characterised thereby
Abstract
Procédé de détection d’une attaque par une menace dans un système en exploitation L’invention concerne un procédé de détection d’une attaque par une menace dans un système (10) en exploitation. Le procédé comprend les étapes suivantes, en amont de l’exploitation du système (10) : simulation d’un ensemble de séquences d’attaque possibles de la menace;traitement de l’ensemble de séquences d’attaque afin d’obtenir un ensemble de graphes sémantiques représentatifs de l’ensemble de séquences d’attaque ; Le procédé comprend les étapes suivantes, lors de l’exploitation du système (10) : mesure de la présence d’un élément suspect présent dans le système (10) en exploitation par un capteur de présence (30) ;comparaison des mesures avec l’ensemble de graphes sémantiques et détermination d’un niveau de corrélation des mesures avec chacun des graphes sémantiques ;émission d’une alerte lorsque au moins l’un des niveaux de corrélation déterminé est supérieur à un seuil d’alerte prédéterminé. Figure pour l'abrégé : Figure 2Method for detecting an attack by a threat in an operating system The invention relates to a method for detecting an attack by a threat in an operating system (10). The method includes the following steps, prior to the operation of the system (10): simulating a set of possible attack sequences of the threat;processing the set of attack sequences to obtain a set semantic graphs representative of the set of attack sequences; The method comprises the following steps, during operation of the system (10): measurement of the presence of a suspicious element present in the system (10) in operation by a presence sensor (30); comparison of the measurements with the set of semantic graphs and determination of a level of correlation of the measurements with each of the semantic graphs; issuance of an alert when at least one of the determined correlation levels is greater than a predetermined alert threshold. Figure for the abstract: Figure 2
Description
La présente invention concerne un procédé de détection d’une attaque par une menace dans un système en exploitation.The present invention relates to a method for detecting an attack by a threat in an operating system.
L’invention concerne également un produit programme d’ordinateur configuré pour la mise en œuvre d’un tel procédé de détection.The invention also relates to a computer program product configured for the implementation of such a detection method.
La menace est par exemple une intrusion dans une zone géographique protégée, un comportement anormal d’un bateau, notamment de piraterie, ou d’un aéronef dans une zone sensible ou encore une attaque informatique contre un serveur.The threat is, for example, an intrusion into a protected geographical area, abnormal behavior of a boat, in particular piracy, or of an aircraft in a sensitive area or even a computer attack against a server.
Les systèmes de surveillance conventionnels sont typiquement composés d'un ensemble de capteurs répartis sur une zone à surveiller et d'une description de la couverture de ces capteurs. La surveillance est basée sur des règles prédéterminées ou sur un apprentissage.Conventional surveillance systems are typically composed of a set of sensors distributed over an area to be monitored and a description of the coverage of these sensors. Monitoring is based on predetermined rules or learning.
En particulier, on connait une approche statistique, dans laquelle une alerte est levée si la situation actuelle diffère suffisamment de la situation habituelle. Toutefois, la caractérisation de la situation habituelle suppose de disposer d'un d'enregistrement préalable de cette situation, ce qui n'est pas nécessairement le cas. Ceci est particulièrement le cas dans les situations où peu d’observations et d’historique sont disponibles, comme par exemple dans le cas de la piraterie maritime. De plus, dans une situation où l'attaquant vise spécifiquement à tromper les systèmes de surveillance, il essaiera autant que possible d'éviter d'avoir un comportement inhabituel, et ainsi cette approche statistique ne fonctionnera que pour les menaces présentant un niveau de stratégie limité.In particular, a statistical approach is known, in which an alert is raised if the current situation differs sufficiently from the usual situation. However, the characterization of the usual situation presupposes having a prior recording of this situation, which is not necessarily the case. This is particularly the case in situations where few observations and history are available, such as in the case of maritime piracy. Moreover, in a situation where the attacker specifically aims to fool surveillance systems, he will try as much as possible to avoid having unusual behavior, and thus this statistical approach will only work for threats with a strategy level limit.
On connait également une approche explicitement définie, comme un système dit expert, dans laquelle l'alerte est déclenchée à partir d'un modèle prédéfini, décrit par des experts du domaine. Là encore, la disponibilité d'un tel expert n'est pas garantie dans tous les cas. En outre, la flexibilité d'une telle approche est problématique. Il est souvent nécessaire d'utiliser de nombreuses heuristiques, qui peuvent être difficiles à concevoir correctement et qui conduisent généralement à des faux positifs et des faux négatifs. Une telle approche soulève également la question de la reconfiguration du système dans des situations dynamiques, où le contexte ou les comportements de la menace évoluent dans le temps.An explicitly defined approach is also known, such as a so-called expert system, in which the alert is triggered from a predefined model, described by experts in the field. Again, the availability of such an expert is not guaranteed in all cases. Furthermore, the flexibility of such an approach is problematic. It is often necessary to use many heuristics, which can be difficult to design correctly and usually lead to false positives and false negatives. Such an approach also raises the issue of system reconfiguration in dynamic situations, where the threat context or behaviors change over time.
Ainsi, la présente invention vise notamment à proposer un procédé de détection d’une attaque permettant de déclencher automatiquement des alertes pertinentes, en l'absence d'historique de menaces rencontrées et d'expert pour concevoir explicitement le système d'alerte.Thus, the present invention aims in particular to propose a method for detecting an attack making it possible to automatically trigger relevant alerts, in the absence of a history of threats encountered and of an expert to explicitly design the alert system.
A cet effet, l’invention a pour objet un procédé de détection d’une attaque par une menace dans un système en exploitation, le procédé de détection comprenant au moins les étapes suivantes, en amont de l’exploitation du système :To this end, the subject of the invention is a method for detecting an attack by a threat in a system in operation, the detection method comprising at least the following steps, upstream of the operation of the system:
- simulation d’un ensemble de séquences d’attaque possibles de la menace dans le système ;simulation of a set of possible attack sequences of the threat in the system;
- traitement de l’ensemble de séquences d’attaque afin d’obtenir un ensemble de graphes sémantiques représentatifs de l’ensemble de séquences d’attaque ;processing the set of attack sequences in order to obtain a set of semantic graphs representative of the set of attack sequences;
le procédé de détection comprenant au moins les étapes suivantes, lors de l’exploitation du système :the detection method comprising at least the following steps, during the operation of the system:
- mesure de la présence d’un élément suspect présent dans le système en exploitation par au moins un capteur de présence ;measurement of the presence of a suspicious element present in the operating system by at least one presence sensor;
- comparaison de la ou des mesures avec l’ensemble de graphes sémantiques et détermination d’un niveau de corrélation de la ou des mesures avec chacun des graphes sémantiques ;comparison of the measurement(s) with the set of semantic graphs and determination of a level of correlation of the measurement(s) with each of the semantic graphs;
- émission d’une alerte lorsque au moins l’un des niveaux de corrélation déterminé est supérieur à un seuil d’alerte prédéterminé.issuance of an alert when at least one of the determined correlation levels is above a predetermined alert threshold.
L’invention permet donc, après une configuration préalable pour définir le contexte du système et des attaques éventuelles (zones sensibles, topologie du réseau, zones de détection, probabilités de détection, etc), une exécution entièrement automatisée pendant l’exploitation du système. Aucune implication d’un expert n’est nécessaire, ce qui réduit les biais potentiels et fournit à l'opérateur une vue objective. Enfin, il n'est pas nécessaire de disposer d’historiques et d’enregistrements préalables des menaces, ce qui rend l’invention particulièrement efficace contre les menaces non encore observées ou les événements rares.The invention therefore allows, after a prior configuration to define the context of the system and possible attacks (sensitive areas, network topology, detection areas, probabilities of detection, etc.), fully automated execution during the operation of the system. No expert involvement is required, reducing potential bias and providing the operator with an objective view. Finally, it is not necessary to have prior histories and recordings of the threats, which makes the invention particularly effective against threats not yet observed or rare events.
Suivant d’autres aspects avantageux de l’invention, le procédé de détection comprend une ou plusieurs des caractéristiques suivantes, prises isolément ou suivant toutes les combinaisons techniquement possibles :le système est une zone géographique, chaque graphe sémantique étant représentatif d’un évènement choisi dans le groupe consistant en: entrée de la menace dans une zone géographique d’intérêt ; suivi par la menace d’une trajectoire d’intérêt ; passage répété de la menace par un point ou une zone géographique d’intérêt ; passage de la menace par différents points ou zones géographiques d’intérêt consécutifs ; vitesse de la menace comprise dans un intervalle d’intérêt, et divergence entre des caractéristiques de la zone géographique d’intérêt, telles que le type de zone géographique d’intérêt ou la vitesse maximale autorisée dans la zone géographique d’intérêt, et des caractéristiques de la menace, telles que la taille de la menace, la typologie de la menace, la vitesse de la menace ou l’accélération de la menace ;According to other advantageous aspects of the invention, the detection method comprises one or more of the following characteristics, taken in isolation or according to all the technically possible combinations: the system is a geographical area, each semantic graph being representative of a chosen event in the group consisting of: entry of the threat into a geographic area of interest; followed by the threat of a trajectory of interest; repeated passage of the threat through a point or geographical area of interest; passage of the threat through different consecutive points or geographical areas of interest; speed of the threat included in an interval of interest, and discrepancy between characteristics of the geographic area of interest, such as the type of geographic area of interest or the maximum speed authorized in the geographic area of interest, and threat characteristics, such as threat size, threat typology, threat velocity, or threat acceleration;
- au moins un capteur de présence est un capteur fixe et au moins un capteur de présence est un capteur mobile ;at least one presence sensor is a fixed sensor and at least one presence sensor is a mobile sensor;
- le système est un réseau informatique, chaque graphe sémantique étant représentatif d’un évènement choisi dans le groupe consistant en: accès à une machine informatique d’intérêt ; accès à une sous-partie d’intérêt du réseau ; utilisation d’un protocole de communication d’intérêt ; utilisation d’un port informatique d’intérêt ; transmission de paquets d’une taille informatique d’intérêt, et utilisation d’une plage d’adresses réseau d’intérêt ;the system is a computer network, each semantic graph being representative of an event chosen from the group consisting of: access to a computer machine of interest; access to a sub-part of interest of the network; use of a communication of interest protocol; use of a computer port of interest; transmission of packets of a computing size of interest, and use of a range of network addresses of interest;
- la simulation est réalisée au moyen d’un algorithme d’optimisation de trajectoire dans le système ;the simulation is carried out using a trajectory optimization algorithm in the system;
- l’ensemble de séquences et l’ensemble des graphes sémantiques occupent une taille respective sur une mémoire, l’étape de traitement comprenant l’application d’une opération permettant que la taille de l’ensemble de graphes sémantiques soit inférieure à la taille de l’ensemble de séquences ;the set of sequences and the set of semantic graphs occupy a respective size on a memory, the processing step comprising the application of an operation allowing the size of the set of semantic graphs to be less than the size of the set of sequences;
- l’alerte émise comprend au moins une information relative au graphe sémantique associé ;the alert sent includes at least one item of information relating to the associated semantic graph;
- le procédé comprend en outre une étape de découpage du système en une pluralité de sous-systèmes avant l’étape de traitement, l’étape de traitement comprenant en outre un découpage de chaque trajectoire d’attaque simulée en fonction des différents sous-systèmes traversés ;the method further comprises a step of splitting the system into a plurality of subsystems before the processing step, the processing step further comprising a splitting of each simulated attack trajectory as a function of the various subsystems traversed ;
- le procédé comprend, pendant l’exploitation du système, une nouvelle itération des étapes de simulation et de traitement afin d’obtenir un nouvel ensemble de graphes sémantiques actualisé.the method comprises, during the operation of the system, a new iteration of the simulation and processing steps in order to obtain a new set of updated semantic graphs.
L’invention a également pour objet un programme d’ordinateur comportant un support lisible d’informations, sur lequel est mémorisé un programme d’ordinateur comprenant des instructions de programme, le programme d’ordinateur étant chargeable sur une unité de traitement de données et adapté pour entraîner la mise en œuvre d’un procédé de détection tel que défini ci-dessus lorsque le programme d’ordinateur est mis en œuvre sur l’unité de traitement des données.The invention also relates to a computer program comprising a readable information medium, on which is stored a computer program comprising program instructions, the computer program being loadable on a data processing unit and adapted to bring about the implementation of a detection method as defined above when the computer program is implemented on the data processing unit.
Ces caractéristiques et avantages de l’invention apparaîtront plus clairement à la lecture de la description qui va suivre, donnée uniquement à titre d’exemple non limitatif, et faite en référence aux dessins annexés, sur lesquels :These characteristics and advantages of the invention will appear more clearly on reading the following description, given solely by way of non-limiting example, and made with reference to the appended drawings, in which:
Un système 10 à surveiller est représenté sur la
Le système 10 est notamment une zone géographique, comme illustré sur la
La zone géographique est par exemple une zone géographique terrestre protégée telle qu’un bâtiment industriel, une zone géographique aérienne protégée telle qu’un espace aérien au-dessus d’une grande ville ou encore une zone géographique maritime protégée tel qu’un port industriel. Dans ces cas-là, l’accès à cette zone n’est autorisé qu’à certains individus ou véhicules et il est important de détecter toute intrusion non autorisée.The geographical area is, for example, a protected land geographical area such as an industrial building, a protected aerial geographical area such as airspace above a large city or even a protected maritime geographical area such as an industrial port. . In these cases, access to this area is only authorized for certain individuals or vehicles and it is important to detect any unauthorized intrusion.
En variante, la zone géographique est une zone libre d’accès dans laquelle il est nécessaire de détecter des comportements suspects tels qu’un bateau de piraterie dans l’océan ou un risque d’attaque terroriste dans l’espace public.Alternatively, the geographic area is a free-access area in which it is necessary to detect suspicious behavior such as a pirate ship in the ocean or a risk of terrorist attack in public space.
En variante encore, non représentée, le système 10 est un réseau informatique comportant une pluralité d’équipements informatiques reliés entre eux et pouvant faire l’objet d’une attaque informatique qu’il est nécessaire de détecter.In another variant, not shown, the system 10 is a computer network comprising a plurality of computer equipment interconnected and which can be the subject of a computer attack that it is necessary to detect.
Le système 10 est surveillé par un dispositif de détection 12 qui est décrit par la suite.The system 10 is monitored by a detection device 12 which is described below.
Le dispositif de détection 12 est ainsi configuré pour détecter une attaque par une menace lorsque le système 10 est en exploitation.The detection device 12 is thus configured to detect an attack by a threat when the system 10 is in operation.
On entend par exploitation du système 10, le fait que le système 10 soit en fonctionnement et/ou traversé par des éléments. Le système 10 est notamment en fonctionnement comme une usine ou réseau informatique, ou est susceptible d’être traversé par des véhicules tout en présentant un intérêt stratégique tel qu’un espace aérien à protéger.By operation of the system 10 is meant the fact that the system 10 is in operation and/or traversed by elements. The system 10 is in particular in operation as a factory or computer network, or is likely to be crossed by vehicles while presenting a strategic interest such as an airspace to be protected.
La menace est un élément tel qu’un individu, un véhicule ou un virus informatique visant à s’introduire dans le système 10 afin de récupérer des informations critiques ou attenter à la sécurité de ce système 10.The threat is an element such as an individual, a vehicle or a computer virus aiming to enter the system 10 in order to recover critical information or to attack the security of this system 10.
Le dispositif de détection 12 est disposé dans le système 10 à surveiller comme par exemple dans le centre de commande d’une centrale nucléaire ou dans le réseau informatique.The detection device 12 is placed in the system 10 to be monitored, for example in the control center of a nuclear power station or in the computer network.
En variante, comme représenté sur la
Comme visible sur la
Le module de simulation 14 est configuré pour simuler, en amont de l’exploitation du système 10, un ensemble de séquences d’attaque possibles de la menace dans le système 10.The simulation module 14 is configured to simulate, prior to the operation of the system 10, a set of possible attack sequences of the threat in the system 10.
On entend par « en amont », que les simulations sont réalisées avant que le dispositif de détection 12 ne surveille le système 10 en fonctionnement.“Upstream” means that the simulations are carried out before the detection device 12 monitors the system 10 in operation.
La simulation est réalisée au moyen d’un algorithme d’optimisation de trajectoire dans le système 10.The simulation is performed using a path optimization algorithm in System 10.
Les attaques menaçantes éventuelles sont simulées afin d’obtenir une pluralité de plans d'attaque composés chacun d’une séquence d’attaque possible dans le système 10.The possible threatening attacks are simulated in order to obtain a plurality of attack plans each composed of a possible attack sequence in the system 10.
En particulier, les menaces sont simulées par un optimiseur de planification qui calcule des plans d'attaque sur le système 10. Un grand ensemble de simulations, impliquant différentes hypothèses de menaces, fournit un ensemble conséquent de plans d'attaque.In particular, the threats are simulated by a planning optimizer which calculates attack plans on the system 10. A large set of simulations, involving different threat hypotheses, provides a consequent set of attack plans.
Le système 10 est représenté par un modèle définissant les différentes contraintes, zones sensibles, capteurs présents, etc. Le module de simulation 14 est configuré pour explorer les séquences possibles dans ce modèle point par point en fonction des différentes contraintes et en simulant que la menace se déplace dans le système 10 avec un objectif donné tout en essayant d'éviter la détection et en étant efficace dans sa traversée du système 10.The system 10 is represented by a model defining the various constraints, sensitive zones, sensors present, etc. The simulation module 14 is configured to explore the possible sequences in this model point by point according to the various constraints and by simulating that the threat moves in the system 10 with a given objective while trying to avoid detection and being effective in traversing the system 10.
L’ensemble des séquences d’attaque simulées permet d’obtenir un jeu de données de base pour décrire les menaces possibles pouvant attaquer le système 10.The set of simulated attack sequences makes it possible to obtain a basic data set to describe the possible threats that can attack the system 10.
Le module de simulation 14 est en outre configuré pour relancer l’ensemble des simulations lorsque le système 10 évolue et donc que le modèle associé est modifié.The simulation module 14 is further configured to restart all the simulations when the system 10 evolves and therefore when the associated model is modified.
Le module de traitement 16 est avantageusement configuré pour découper le système 10 et notamment le modèle associé au système 10 en une pluralité de sous-systèmes.The processing module 16 is advantageously configured to divide the system 10 and in particular the model associated with the system 10 into a plurality of subsystems.
En particulier, chaque sous-système est une sous zone géographique du système 10 ou un sous ensemble d’équipements informatiques.In particular, each subsystem is a geographical sub-zone of the system 10 or a subset of computer equipment.
Le système 10 est en particulier découpé en sous-systèmes présentant chacun une particularité propre. A titre d’exemple, une zone maritime est découpée en une zone de pêche, une zone portuaire, une zone interdite d’accès, etc.The system 10 is in particular divided into subsystems each having its own particularity. For example, a maritime zone is divided into a fishing zone, a port zone, a prohibited access zone, etc.
En variante, le système 10 est découpé de manière uniforme, par exemple via un quadrillage de la zone géographique.As a variant, the system 10 is divided in a uniform manner, for example via a grid of the geographical area.
Le module de traitement 16 est en outre configuré pour traiter, en amont de l’exploitation du système 10, l’ensemble de séquences d’attaque afin d’obtenir un ensemble de graphes sémantiques représentatifs de l’ensemble de séquences d’attaque.The processing module 16 is further configured to process, upstream of the operation of the system 10, the set of attack sequences in order to obtain a set of semantic graphs representative of the set of attack sequences.
Le traitement comprend avantageusement un découpage de chaque trajectoire d’attaque simulée en fonction des différents sous-systèmes traversés.The processing advantageously comprises a breakdown of each simulated attack trajectory according to the various subsystems traversed.
En particulier, l’ensemble des séquences est traité et sémantisé afin d’obtenir une description représentative des plans d’attaques, en utilisant une ontologie donnée.In particular, all the sequences are processed and semantized in order to obtain a representative description of the attack plans, using a given ontology.
L’ontologie est une description des différents éléments qui apparaissent dans le système 10.The ontology is a description of the different elements that appear in the system 10.
Les graphes sémantiques sont une représentation plus simple des menaces, présentant l’avantage d'être discrètes et compréhensibles en termes de concepts, zones, vitesses, etc pour un opérateur en charge de la surveillance du système 10.Semantic graphs are a simpler representation of threats, with the advantage of being discreet and understandable in terms of concepts, areas, speeds, etc. for an operator in charge of monitoring the system 10.
Le module de traitement 16 permet donc de passer d’un ensemble de séquences à un ensemble de graphes sémantiques, qui est une somme d’évènements et de concepts compréhensibles pour l’opérateur.The processing module 16 therefore makes it possible to pass from a set of sequences to a set of semantic graphs, which is a sum of events and concepts understandable to the operator.
Le module de traitement 16 est avantageusement configuré pour fusionner les graphes sémantiques, de manière à obtenir une description des éléments les plus courants qui caractérisent les menaces, c'est-à-dire les éléments que le dispositif de détection 12 doit essayer d'identifier afin de détecter une menace.The processing module 16 is advantageously configured to merge the semantic graphs, so as to obtain a description of the most common elements which characterize the threats, that is to say the elements that the detection device 12 must try to identify. to detect a threat.
La fusion permet d’obtenir les parties communes et/ou les plus menaçantes dans les graphes sémantiques. Chaque graphe fusionné forme un modèle d'attaque.Fusion makes it possible to obtain the common and/or the most threatening parts in the semantic graphs. Each merged graph forms an attack pattern.
On comprendra donc que le traitement des séquences permet d’obtenir un ensemble de graphes sémantiques formant un résumé plus simple pour l’opérateur. Ainsi, l’ensemble de séquences et l’ensemble des graphes sémantiques occupent une taille respective sur une mémoire. Le traitement comprend ainsi l’application d’une opération permettant que la taille de l’ensemble de graphes sémantiques soit inférieure à la taille de l’ensemble de séquences.It will therefore be understood that the processing of the sequences makes it possible to obtain a set of semantic graphs forming a simpler summary for the operator. Thus, the set of sequences and the set of semantic graphs occupy a respective size on a memory. The processing thus includes the application of an operation allowing the size of the set of semantic graphs to be less than the size of the set of sequences.
Les graphes sémantiques ainsi obtenus forment la référence qui permet de lever des alertes par la suite, pendant l’opération du système 10.The semantic graphs thus obtained form the reference which makes it possible to raise alerts subsequently, during the operation of the system 10.
En particulier, lorsque le système 10 est une zone géographique, une séquence d’attaque est une trajectoire d’attaque d’une menace.In particular, when the system 10 is a geographical area, an attack sequence is an attack trajectory of a threat.
Chaque graphe sémantique est alors représentatif d’un évènement choisi dans le groupe consistant en:Each semantic graph is then representative of an event chosen from the group consisting of:
- entrée de la menace dans une zone géographique d’intérêt ;entry of the threat into a geographic area of interest;
- suivi par la menace d’une trajectoire d’intérêt ;followed by the threat of a trajectory of interest;
- passage répété de la menace par un point ou une zone géographique d’intérêt ;repeated passage of the threat through a point or geographical area of interest;
- passage de la menace par différents points ou zones géographiques d’intérêt consécutifs ;passage of the threat through different consecutive points or geographical areas of interest;
- vitesse de la menace comprise dans un intervalle d’intérêt, etvelocity of the threat within an interval of interest, and
- divergence entre des caractéristiques de la zone géographique d’intérêt, telles que le type de zone géographique d’intérêt ou la vitesse maximale autorisée dans la zone géographique d’intérêt, et des caractéristiques de la menace, telles que la taille de la menace, la typologie de la menace, la vitesse de la menace ou l’accélération de la menace.discrepancy between characteristics of the geographic area of interest, such as the type of geographic area of interest or the maximum speed authorized in the geographic area of interest, and characteristics of the threat, such as the size of the threat, threat typology, threat velocity, or threat acceleration.
On entend par un élément « d’intérêt », que cet élément est un élément sensible du point de vue de la sécurité ou présente un intérêt stratégique.An element of "interest" means that this element is a sensitive element from the point of view of security or is of strategic interest.
La
Lorsque le système est un réseau informatique, chaque graphe sémantique étant représentatif d’un évènement choisi dans le groupe consistant en:When the system is a computer network, each semantic graph being representative of an event chosen from the group consisting of:
- accès à une machine informatique d’intérêt ;access to a computer machine of interest;
- accès à une sous-partie d’intérêt du réseau ;access to a sub-part of interest of the network;
- utilisation d’un protocole de communication d’intérêt ;use of a communication of interest protocol;
- utilisation d’un port informatique d’intérêt ;use of a computer port of interest;
- transmission de paquets d’une taille informatique d’intérêt, ettransmission of packets of a computational size of interest, and
- utilisation d’une plage d’adresses réseau d’intérêt.use of a range of network addresses of interest.
Le module de réception 18 est configuré, lors de l’exploitation du système 10, pour recevoir les mesures d’au moins un capteur de présence 30 disposé dans le système 10.The reception module 18 is configured, during the operation of the system 10, to receive the measurements of at least one presence sensor 30 arranged in the system 10.
Chaque capteur 30 est configuré pour détecter la présence d’un élement suspect. En particulier, le capteur 30 est configuré pour mesurer la position d’un élément suspect présent dans le système 10 en exploitation et/ou pour mesurer des caractéristiques d’un élément suspect, par exemple sa taille ou sa typologie.Each sensor 30 is configured to detect the presence of a suspicious element. In particular, the sensor 30 is configured to measure the position of a suspicious element present in the system 10 in operation and/or to measure the characteristics of a suspicious element, for example its size or its type.
Lorsque le système 10 est une zone géographique, chaque capteur 30 est par exemple un détecteur de mouvement, un capteur radar, un système de vidéosurveillance etc.When the system 10 is a geographical area, each sensor 30 is for example a motion detector, a radar sensor, a video surveillance system, etc.
Avantageusement, le système 10 comprend au moins un capteur 30 fixe et au moins un capteur 30 mobile.Advantageously, the system 10 comprises at least one fixed sensor 30 and at least one mobile sensor 30.
Chaque capteur 30 fixe est propre à détecter un élément suspect dans une zone fixe.Each fixed sensor 30 is capable of detecting a suspect element in a fixed zone.
Les capteurs fixes sont susceptibles d’être connus des menaces et seront évités par ces dernières.Fixed sensors are likely to be known to threats and will be avoided by them.
A l’inverse, le capteur 30 mobile est propre à se déplacer dans le système 10 et est donc propre à détecter un élément suspect dans différentes zones du système 10. Le capteur 30 mobile est par exemple embarqué dans un drone.Conversely, the mobile sensor 30 is capable of moving in the system 10 and is therefore capable of detecting a suspicious element in different zones of the system 10. The mobile sensor 30 is for example embedded in a drone.
Les déplacements des capteurs mobiles sont moins susceptibles d’être connus des menaces et permettent donc une détection de certains comportements évitant les capteurs fixes.The movements of mobile sensors are less likely to be known to threats and therefore allow detection of certain behaviors that avoid fixed sensors.
Lorsque le système 10 est un réseau informatique, chaque capteur 30 est par exemple un bloc matériel de comptage configuré pour mesurer le nombre d’accès à un équipement informatique, le nombre d’interactions sur le réseau d’un équipement, la quantité de données transitant vers un équipement etc.When the system 10 is a computer network, each sensor 30 is for example a counting hardware block configured to measure the number of accesses to a computer equipment, the number of interactions on the network of an equipment, the quantity of data transiting to equipment etc.
Le module de comparaison 20 est configuré pour comparer les mesures des capteurs 30 avec l’ensemble de graphes sémantiques.The comparison module 20 is configured to compare the measurements of the sensors 30 with the set of semantic graphs.
Par exemple, lorsque l’un des graphes sémantiques correspond à une zone de présence d’intérêt, le module de comparaison 20 compare les positions mesurées de l’élément suspect par rapport à cette zone.For example, when one of the semantic graphs corresponds to a presence zone of interest, the comparison module 20 compares the measured positions of the suspect element with respect to this zone.
Lorsque l’un des graphes sémantiques correspond à une trajectoire, le module de comparaison 20 compare la succession de positions mesurées de l’élément suspect par rapport à cette trajectoire.When one of the semantic graphs corresponds to a trajectory, the comparison module 20 compares the succession of measured positions of the suspect element with respect to this trajectory.
Avantageusement, le module de traitement 16 est configuré pour appliquer aux mesures le même traitement qu’aux simulations réalisés. Ainsi, les mesures sont d'abord traitées par le même processus de sémantisation avant d’être comparées aux graphes sémantiques. Ainsi, la détection des menaces est alors exprimée dans le même formalisme que les modèles d'attaque.Advantageously, the processing module 16 is configured to apply to the measurements the same processing as to the simulations carried out. Thus, the measures are first processed by the same semantization process before being compared to the semantic graphs. Thus, the detection of threats is then expressed in the same formalism as the attack models.
Le module de comparaison 20 est en outre configuré pour déterminer un niveau de corrélation de la ou des mesures avec chacun des graphes sémantiques.The comparison module 20 is further configured to determine a level of correlation of the measurement(s) with each of the semantic graphs.
Le niveau de corrélation est représentatif de la proximité entre les mesures et les graphes sémantiques. Plus le niveau de corrélation est élevé, plus les mesures correspondent exactement aux graphes sémantiques.The level of correlation is representative of the proximity between the measurements and the semantic graphs. The higher the level of correlation, the more exactly the measures correspond to the semantic graphs.
Avantageusement, le module de comparaison 20 est configuré pour réaliser la comparaison en temps réel pour permettre une surveillance efficace et réactive. Ceci est en particulier possible du fait de la sémantisation des séquences qui fournissent des graphes sémantiques de taille réduite.Advantageously, the comparison module 20 is configured to perform the comparison in real time to allow efficient and reactive monitoring. This is in particular possible due to the semantization of the sequences which provide semantic graphs of reduced size.
Le module d’émission 22 est configuré pour émettre une alerte lorsque au moins l’un des niveaux de corrélation déterminé est supérieur à un seuil d’alerte prédéterminé.The transmission module 22 is configured to transmit an alert when at least one of the determined correlation levels is greater than a predetermined alert threshold.
Ainsi, les mesures sont mises en correspondance avec les graphes sémantiques représentatifs des modèles d'attaque, afin d'émettre des alertes si les mesures correspondent à une sous-partie d'un modèle d'attaque.Thus, the measurements are matched with the semantic graphs representative of the attack models, in order to issue alerts if the measurements correspond to a sub-part of an attack model.
Le seuil d’alerte est déterminé en amont de l’exploitation du système 10 lors de la réalisation des simulations, notamment par un expert du domaine.The alert threshold is determined upstream of the operation of the system 10 during the performance of the simulations, in particular by an expert in the field.
Le seuil d’alerte est par exemple fonction de la criticité du sous-systèmes associés au graphe sémantique.The alert threshold is for example a function of the criticality of the subsystems associated with the semantic graph.
Ainsi, il est possible d’exploiter les connaissances opérationnelles des experts qui permettent de compléter les plans d’attaque simulés automatiquement sans l’intervention d’un expert.Thus, it is possible to exploit the operational knowledge of experts which makes it possible to complete the simulated attack plans automatically without the intervention of an expert.
L’alerte émise comprend au moins une information relative au graphe sémantique associé. Ainsi, l’alerte fournit à l’opérateur en charge de la surveillance du système 10 une information relative à la menace détectée lui permettant d’appréhender facilement la situation et de réagir en fonction.The alert sent includes at least one piece of information relating to the associated semantic graph. Thus, the alert provides the operator in charge of monitoring the system 10 with information relating to the detected threat allowing him to easily understand the situation and react accordingly.
Dans l’exemple de la
En variante non représentée, les différents modules sont réalisés chacun sous forme d’un composant logique programmable, tel qu’un FPGA (de l’anglais Field Programmable Gate Array), ou encore sous forme d’un circuit intégré dédié, tel qu’un ASIC (de l’anglais Application Specific Integrated Circuit).In a variant not shown, the different modules are each made in the form of a programmable logic component, such as an FPGA (Field Programmable Gate Array), or even in the form of a dedicated integrated circuit, such as an ASIC (Application Specific Integrated Circuit).
Lorsque le dispositif de détection 12 est réalisé sous forme d’un ou plusieurs logiciels, c’est-à-dire sous forme d’un programme d’ordinateur, il est en outre apte à être enregistré sur un support, non représenté, lisible par ordinateur. Le support lisible par ordinateur est par exemple, un médium apte à mémoriser les instructions électroniques et à être couplé à un bus d’un système informatique. A titre d’exemple, le support lisible est un disque optique, un disque magnéto-optique, une mémoire ROM, une mémoire RAM, tout type de mémoire non-volatile (par exemple EPROM, EEPROM, FLASH, NVRAM), une carte magnétique ou une carte optique. Sur le support lisible est alors mémorisé un programme d’ordinateur comportant des instructions logicielles.When the detection device 12 is made in the form of one or more software, that is to say in the form of a computer program, it is also capable of being recorded on a medium, not shown, readable by computer. The computer-readable medium is, for example, a medium capable of storing electronic instructions and of being coupled to a bus of a computer system. By way of example, the readable medium is an optical disc, a magneto-optical disc, a ROM memory, a RAM memory, any type of non-volatile memory (for example EPROM, EEPROM, FLASH, NVRAM), a magnetic card or an optical card. On the readable medium is then stored a computer program comprising software instructions.
Le fonctionnement du dispositif de détection 12 selon l’invention va désormais être expliqué à l’aide de la
Par la suite, un exemple de mise en œuvre du procédé va être décrite dans un système 10 formé d’une zone géographique mais l’homme du métier comprendra que ce procédé s’applique plus généralement à tout système 10, notamment à un système informatique.Subsequently, an example of implementation of the method will be described in a system 10 formed of a geographical area but those skilled in the art will understand that this method applies more generally to any system 10, in particular to a computer system .
La
Une pluralité de capteurs 30 sont disposés dans le système 10. Une partie de ces capteurs 30 est fixe et une partie de ces capteurs 30 est mobile.A plurality of sensors 30 are arranged in the system 10. A part of these sensors 30 is fixed and a part of these sensors 30 is mobile.
La
La
Dans l’exemple illustré, les menaces se déplacent depuis une frontière d'entrée vers une frontière de sortie et peuvent affronter des terrains infranchissables et traverser des terrains où elles ne sont pas détectées.In the example shown, threats move from an entry boundary to an exit boundary and may encounter impassable terrain and traverse terrain where they are undetected.
Le dispositif de surveillance 12 vise ainsi à détecter ces intrusions pouvant être réalisées via plusieurs véhicules, par exemple terrestres ou aériens, et qui tentent d'atteindre, par exemple ici, la limite nord-ouest du système 10 qui représente un sous-système sensible.The surveillance device 12 thus aims to detect these intrusions which can be carried out via several vehicles, for example land or air, and which attempt to reach, for example here, the northwestern limit of the system 10 which represents a sensitive subsystem .
Initialement, avant l’exploitation du système 10, le procédé de détection comprend la simulation 100 d’un ensemble de séquences d’attaque possibles de la menace dans le système 10.Initially, prior to exploiting system 10, the detection process includes simulating 100 a set of possible attack sequences of the threat in system 10.
Cette simulation est éventuellement réalisée à l’écart du système 10.This simulation is possibly carried out away from the system 10.
Ces séquences simulées sont représentées par les lignes fléchées 32 sur la
Puis, le procédé comprend une étape de traitement 110 de l’ensemble des séquences d’attaque afin d’obtenir un ensemble de graphes sémantiques représentatifs de l’ensemble de séquences d’attaque.Then, the method comprises a step 110 of processing the set of attack sequences in order to obtain a set of semantic graphs representative of the set of attack sequences.
En particulier, les séquences sont sémantisées et fusionnées afin d’obtenir des graphes sémantiques facilement compréhensibles par un opérateur.In particular, the sequences are semantized and merged in order to obtain semantic graphs easily understandable by an operator.
Ici, les graphes sémantiques sont représentés par les cercles 24 associés à une présence dans ces zones et liées par une relation de séquence représentés par les lignes rayées 26.Here, the semantic graphs are represented by the circles 24 associated with a presence in these areas and linked by a sequence relationship represented by the striped lines 26.
Puis, le système 10 est surveillé durant son exploitation. Par exemple, l’aéroport est surveillé pendant que des vols d’avions s’opèrent ou la centrale nucléaire est surveillée pendant son fonctionnement.Then, the system 10 is monitored during its operation. For example, the airport is monitored while aircraft flights are operating or the nuclear power plant is monitored during operation.
Le procédé de détection comprenant alors la mesure 120 de la présence d’un élément suspect présent dans le système 10 en exploitation par les différents capteurs 30.The detection method then comprising the measurement 120 of the presence of a suspicious element present in the system 10 in operation by the various sensors 30.
Puis lors d’une étape 130, ces mesures sont comparées avec l’ensemble de graphes sémantiques afin de déterminer un niveau de corrélation des mesures avec chacun des graphes sémantiques.Then during a step 130, these measurements are compared with the set of semantic graphs in order to determine a level of correlation of the measurements with each of the semantic graphs.
Lorsqu'une correspondance est trouvée, c’est-à-dire lorsque au moins l’un des niveaux de corrélation déterminé est supérieur à un seuil d’alerte prédéterminé, une alerte est émise lors d’une étape 140.When a match is found, that is to say when at least one of the determined correlation levels is greater than a predetermined alert threshold, an alert is issued during a step 140.
Cette surveillance est réalisée en temps réel. Par temps réel, on entend que le décalage entre la mesure de la position et la levée des alertes est réalisée dans un temps très faible, typiquement inférieur à la minute.This monitoring is carried out in real time. By real time, it is meant that the lag between the measurement of the position and the lifting of the alerts is carried out in a very short time, typically less than one minute.
Pendant l’exploitation du système 10, lorsque le système 10 évolue et/ou est modifié, une nouvelle itération des étapes de simulation et de traitement est réalisée afin d’obtenir un nouvel ensemble de graphes sémantiques actualisé.During the operation of the system 10, when the system 10 evolves and/or is modified, a new iteration of the simulation and processing steps is carried out in order to obtain a new set of updated semantic graphs.
Par exemple, dans l’exemple de la
Une telle reconfiguration permet donc une adaptabilité du système de surveillance qui n’est pas possible dans un système conventionnel dimensionné par des experts qui ne sont pas forcément disponibles à chaque modification du système 10.Such a reconfiguration therefore allows an adaptability of the monitoring system which is not possible in a conventional system designed by experts who are not necessarily available at each modification of the system 10.
L’homme du métier comprendra que l’invention est avantageusement couplée avec des systèmes d’alerte conventionnels basés sur l'apprentissage historique ou les systèmes experts de manière complémentaire. En fonction des contraintes et de la disponibilité des données et du personnel, une ou plusieurs des approches peuvent être utilisées et/ou combinées, renforçant encore la confiance de l'opérateur envers le dispositif de surveillance.Those skilled in the art will understand that the invention is advantageously coupled with conventional warning systems based on historical learning or expert systems in a complementary manner. Depending on the constraints and the availability of data and personnel, one or more of the approaches can be used and/or combined, further enhancing the operator's confidence in the monitoring device.
On conçoit donc que la présente invention présente un certain nombre d’avantages.It is therefore understood that the present invention has a certain number of advantages.
L'art antérieur ne considère qu'une approche d'apprentissage sur les données brutes des capteurs, des règles explicites, etc.The prior art only considers a learning approach on raw sensor data, explicit rules, etc.
A l’inverse, la présente invention permet de compenser le manque de données réelles en utilisant une simulation optimisée et la fusion de graphes sémantiques pour déclencher des alertes.Conversely, the present invention makes it possible to compensate for the lack of real data by using an optimized simulation and the fusion of semantic graphs to trigger alerts.
L'invention repose sur la synergie des trois étapes de simulation, de sémantisation et de comparaison.The invention is based on the synergy of the three stages of simulation, semantics and comparison.
L’invention permet une exécution entièrement automatisée pendant l'exploitation du système 10 après la configuration préalable.The invention enables fully automated execution during operation of the system 10 after prior configuration.
Aucun expert n’est nécessaire dans la conception du système de surveillance, ce qui réduit les biais potentiels ou le renforcement de leurs croyances antérieures. Toutefois, les connaissances opérationnelles des experts peuvent être utilisées pour optimiser le dispositif de surveillance, notamment dans la définition des seuils d’alerte et la catégorisation des graphes sémantiques.No experts are needed in the design of the monitoring system, reducing potential biases or reinforcing their prior beliefs. However, the operational knowledge of experts can be used to optimize the monitoring system, particularly in the definition of alert thresholds and the categorization of semantic graphs.
En outre, il n'est pas nécessaire de disposer d’enregistrements préalables des menaces, ce qui rend l’invention particulièrement efficace pour les menaces non encore observées ou les événements de faible signal.Additionally, there is no need for prior threat records, making the invention particularly effective for previously unobserved threats or low-signal events.
Claims (10)
le procédé de détection comprenant au moins les étapes suivantes, en amont de l’exploitation du système (10) :
- simulation (100) d’un ensemble de séquences d’attaque possibles de la menace dans le système (10) ;
- traitement (110) de l’ensemble de séquences d’attaque afin d’obtenir un ensemble de graphes sémantiques représentatifs de l’ensemble de séquences d’attaque ;
- mesure (120) de la présence d’un élément suspect présent dans le système (10) en exploitation par au moins un capteur de présence (30) ;
- comparaison (130) de la ou des mesures avec l’ensemble de graphes sémantiques et détermination d’un niveau de corrélation de la ou des mesures avec chacun des graphes sémantiques ;
- émission (140) d’une alerte lorsque au moins l’un des niveaux de corrélation déterminé est supérieur à un seuil d’alerte prédéterminé.
the detection method comprising at least the following steps, upstream of the operation of the system (10):
- simulating (100) a set of possible attack sequences of the threat in the system (10);
- processing (110) the set of attack sequences to obtain a set of semantic graphs representative of the set of attack sequences;
- measurement (120) of the presence of a suspect element present in the system (10) in operation by at least one presence sensor (30);
- comparing (130) the measurement(s) with the set of semantic graphs and determining a level of correlation of the measurement(s) with each of the semantic graphs;
- transmission (140) of an alert when at least one of the determined correlation levels is greater than a predetermined alert threshold.
chaque graphe sémantique étant représentatif d’un évènement choisi dans le groupe consistant en:
- entrée de la menace dans une zone géographique d’intérêt ;
- suivi par la menace d’une trajectoire d’intérêt ;
- passage répété de la menace par un point ou une zone géographique d’intérêt ;
- passage de la menace par différents points ou zones géographiques d’intérêt consécutifs ;
- vitesse de la menace comprise dans un intervalle d’intérêt, et
- divergence entre des caractéristiques de la zone géographique d’intérêt, telles que le type de zone géographique d’intérêt ou la vitesse maximale autorisée dans la zone géographique d’intérêt, et des caractéristiques de la menace, telles que la taille de la menace, la typologie de la menace, la vitesse de la menace ou l’accélération de la menace.
each semantic graph being representative of an event chosen from the group consisting of:
- entry of the threat into a geographic area of interest;
- followed by the threat of a trajectory of interest;
- repeated passage of the threat through a point or geographical area of interest;
- passage of the threat through different consecutive points or geographical areas of interest;
- Threat velocity within an interval of interest, and
- discrepancy between characteristics of the geographic area of interest, such as the type of geographic area of interest or the maximum speed authorized in the geographic area of interest, and characteristics of the threat, such as the size of the threat, threat typology, threat velocity, or threat acceleration.
chaque graphe sémantique étant représentatif d’un évènement choisi dans le groupe consistant en:
- accès à une machine informatique d’intérêt ;
- accès à une sous-partie d’intérêt du réseau ;
- utilisation d’un protocole de communication d’intérêt ;
- utilisation d’un port informatique d’intérêt ;
- transmission de paquets d’une taille informatique d’intérêt, et
- utilisation d’une plage d’adresses réseau d’intérêt.
each semantic graph being representative of an event chosen from the group consisting of:
- access to a computer machine of interest;
- access to a sub-part of interest of the network;
- use of a communication protocol of interest;
- use of a computer port of interest;
- transmission of packets of a computational size of interest, and
- use of a range of network addresses of interest.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR2114010A FR3131044A1 (en) | 2021-12-20 | 2021-12-20 | Method for detecting an attack by a threat in an operating system |
PCT/EP2022/087011 WO2023118157A1 (en) | 2021-12-20 | 2022-12-20 | Method for detecting an attack by a threat in an operating system |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR2114010 | 2021-12-20 | ||
FR2114010A FR3131044A1 (en) | 2021-12-20 | 2021-12-20 | Method for detecting an attack by a threat in an operating system |
Publications (1)
Publication Number | Publication Date |
---|---|
FR3131044A1 true FR3131044A1 (en) | 2023-06-23 |
Family
ID=81325588
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR2114010A Pending FR3131044A1 (en) | 2021-12-20 | 2021-12-20 | Method for detecting an attack by a threat in an operating system |
Country Status (2)
Country | Link |
---|---|
FR (1) | FR3131044A1 (en) |
WO (1) | WO2023118157A1 (en) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015044392A1 (en) * | 2013-09-27 | 2015-04-02 | Thales | Piracy protection system and a vessel comprising such a system |
US20200304390A1 (en) * | 2015-06-05 | 2020-09-24 | Cisco Technology, Inc. | Synthetic data for determining health of a network security system |
-
2021
- 2021-12-20 FR FR2114010A patent/FR3131044A1/en active Pending
-
2022
- 2022-12-20 WO PCT/EP2022/087011 patent/WO2023118157A1/en unknown
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015044392A1 (en) * | 2013-09-27 | 2015-04-02 | Thales | Piracy protection system and a vessel comprising such a system |
US20200304390A1 (en) * | 2015-06-05 | 2020-09-24 | Cisco Technology, Inc. | Synthetic data for determining health of a network security system |
Non-Patent Citations (6)
Title |
---|
BOURITSAS GIORGOS ET AL: "Automated Real-time Anomaly Detection in Human Trajectories using Sequence to Sequence Networks", 2019 16TH IEEE INTERNATIONAL CONFERENCE ON ADVANCED VIDEO AND SIGNAL BASED SURVEILLANCE (AVSS), IEEE, 18 September 2019 (2019-09-18), pages 1 - 8, XP033642137, DOI: 10.1109/AVSS.2019.8909844 * |
GIULIANA PALLOTTA ET AL: "Vessel Pattern Knowledge Discovery from AIS Data: A Framework for Anomaly Detection and Route Prediction", ENTROPY, vol. 15, no. 12, 4 June 2013 (2013-06-04), pages 2218 - 2245, XP055503295, DOI: 10.3390/e15062218 * |
HARRIS GEORGIOU ET AL: "Moving Objects Analytics: Survey on Future Location & Trajectory Prediction Methods", ARXIV.ORG, CORNELL UNIVERSITY LIBRARY, 201 OLIN LIBRARY CORNELL UNIVERSITY ITHACA, NY 14853, 11 July 2018 (2018-07-11), XP081247704 * |
WU FAN ET AL: "A Spatial-Temporal-Semantic Neural Network Algorithm for Location Prediction on Moving Objects", ALGORITHMS, vol. 10, no. 2, 24 March 2017 (2017-03-24), pages 37, XP055946769, DOI: 10.3390/a10020037 * |
YAN ZHAOJIN: "Exploring AIS data for intelligent maritime routes extraction - ScienceDirect", 2 July 2020 (2020-07-02), XP055946800, Retrieved from the Internet <URL:https://www.sciencedirect.com/science/article/pii/S0141118720303631?via=ihub> [retrieved on 20220727] * |
YING JOSH JIA-CHING JASHYING@GMAIL COM ET AL: "Semantic trajectory mining for location prediction", PROCEEDINGS OF THE 19TH ACM SIGSPATIAL INTERNATIONAL CONFERENCE ON ADVANCES IN GEOGRAPHIC INFORMATION SYSTEMS, GIS '11, ACM PRESS, NEW YORK, NEW YORK, USA, 1 November 2011 (2011-11-01), pages 34 - 43, XP058467664, ISBN: 978-1-4503-1031-4, DOI: 10.1145/2093973.2093980 * |
Also Published As
Publication number | Publication date |
---|---|
WO2023118157A1 (en) | 2023-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Park et al. | Sensor attack detection in the presence of transient faults | |
US11153331B2 (en) | Detection of an ongoing data breach based on relationships among multiple network elements | |
EP3343867B1 (en) | Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset | |
US9369484B1 (en) | Dynamic security hardening of security critical functions | |
US20150371044A1 (en) | Targeted security alerts | |
US20130117852A1 (en) | Detecting Emergent Behavior in Communications Networks | |
US10742664B2 (en) | Probabilistically detecting low-intensity, multi-modal threats using synthetic events | |
JP2015511101A (en) | Anomaly detection to identify coordination group attacks in computer networks | |
FR3042623A1 (en) | METHOD FOR DETECTING VULNERABILITIES IN A VIRTUAL SERVER FOR PRODUCING A VIRTUAL OR CLOUD COMPUTING SYSTEM | |
FR3037679A1 (en) | ||
Abdlhamed et al. | A system for intrusion prediction in cloud computing | |
RU2746685C2 (en) | Cybersecurity system with a differentiated ability to cope with complex cyber attacks | |
CN117056951A (en) | Data security management method for digital platform | |
EP3785158B1 (en) | System for securing a cyber-physical method | |
US20220147622A1 (en) | Systems and methods for generating cyberattack predictions and responses | |
CN111104670B (en) | APT attack identification and protection method | |
Ghorbanian et al. | Signature-based hybrid Intrusion detection system (HIDS) for android devices | |
WO2006032650A1 (en) | Method for detecting and tracking punctual targets, in an optoelectronic surveillance system | |
FR3131044A1 (en) | Method for detecting an attack by a threat in an operating system | |
WO2023126512A1 (en) | Method for detecting an anomaly in an electronic system in operation | |
WO2023007479A1 (en) | Technique for detecting cyber attacks on radars | |
Najeeb et al. | Classification for intrusion detection with different feature selection methods: a survey (2014–2016) | |
FR3009615A1 (en) | METHOD AND SYSTEM FOR CAPTURING, DISCRIMINATING AND CHARACTERIZING LOW SIGNALS USING THEIR RESPECTIVE SIGNATURES | |
CN102882893A (en) | Alarming cooperative system based on blackboard structure | |
FR3105489A3 (en) | FRAUD DETECTION DEVICE AND METHOD |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PLFP | Fee payment |
Year of fee payment: 2 |
|
PLSC | Publication of the preliminary search report |
Effective date: 20230623 |
|
PLFP | Fee payment |
Year of fee payment: 3 |