WO2005060205A1 - Procede de gestion d’un ensemble d’alertes issues de sondes de detection d’intrusions d’un systeme de securite d’informations. - Google Patents

Procede de gestion d’un ensemble d’alertes issues de sondes de detection d’intrusions d’un systeme de securite d’informations. Download PDF

Info

Publication number
WO2005060205A1
WO2005060205A1 PCT/FR2004/003252 FR2004003252W WO2005060205A1 WO 2005060205 A1 WO2005060205 A1 WO 2005060205A1 FR 2004003252 W FR2004003252 W FR 2004003252W WO 2005060205 A1 WO2005060205 A1 WO 2005060205A1
Authority
WO
WIPO (PCT)
Prior art keywords
alert
alerts
attribute
description
request
Prior art date
Application number
PCT/FR2004/003252
Other languages
English (en)
Inventor
Benjamin Morin
Hervé Debar
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Priority to EP04816392A priority Critical patent/EP1700453A1/fr
Priority to US10/583,586 priority patent/US7810157B2/en
Publication of WO2005060205A1 publication Critical patent/WO2005060205A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes

Definitions

  • the invention relates to a method for managing a set of alerts from intrusion detection probes.
  • the security of information systems requires the deployment of “IDS” intrusion detection systems comprising intrusion detection probes that issue alerts to alert management systems.
  • intrusion detection probes are active components of the intrusion detection system that analyze one or more data sources in search of events characteristic of an intrusive activity and issue alerts to management systems alert.
  • An alert management system centralizes alerts from probes and optionally performs an analysis of all of these alerts.
  • the intrusion detection probes generate a very large number of alerts which can include several thousands per day depending on the configurations and the environment. The excess of alerts can result from a combination of several phenomena. First, false alerts account for up to 90% of the total number of alerts. Then, the alerts are often too granular, that is to say that their semantic content is very poor.
  • alerts are often redundant and recurrent.
  • the excess of alerts makes them difficult to understand and manipulate by a human security operator.
  • Upstream processing of alerts at the management system level is therefore necessary to facilitate the analysis work of the security operator.
  • Current alert management systems consist of storing alerts in a relational database management system (RDBMS).
  • RDBMS relational database management system
  • the security operator can thus interrogate this RDBMS management system by submitting a request relating to the properties of the alerts.
  • the RDBMS management system provides in return to the operator, all the alerts whose description meets the request.
  • the disadvantage of these systems is the fact that the alerts provided to the operator can be numerous and granular, which makes their analysis tedious.
  • the invention aims to remedy these drawbacks, and to provide a simple method of managing a set of alerts from intrusion detection probes to allow flexible, easy consultation and quick of this set of alerts.
  • a method of managing a set of alerts from intrusion detection probes of an information security system comprising an alert management system, each alert being defined by an identifier.
  • alert and alert content characterized in that it comprises the following steps: -associating with each of the alerts from the intrusion detection probes, a description comprising a conjunction of a plurality of value attributes belonging to a plurality of attribute domains; organize the value attributes belonging to each attribute domain into a taxonomic structure defining generalization relationships between said value attributes, the plurality of attribute domains thus forming a plurality of taxonomic structures; complete the description of each of said alerts with sets of values induced by the taxonomic structures from the value attributes of said alerts to form complete alerts; -store said full alerts in a logical file system to allow consultation.
  • storing complete alerts in a logical file system allows a security operator to consult the alert management system in an efficient, fast and flexible manner in order to obtain an accurate view of all of the alerts from intrusion detection probes.
  • the consultation of complete alerts can be carried out by a succession of interrogations and / or navigations in said complete alerts so that in response to a request, the alert management system provides relevant value attributes making it possible to distinguish a sub -set of complete alerts among a set of complete alerts satisfying the request in order to allow the refinement of said request.
  • the relevant value attributes are in priority the most general with regard to the plurality of taxonomic structures.
  • the alert management system in response to the request, also provides alert identifiers satisfying the request and the description of which cannot be refined with respect to said request.
  • the alert identifier is a pair formed by an identifier of the intrusion detection probe which produces the alert and an alert serial number assigned by said probe.
  • the content of each alert includes a text message provided by the corresponding intrusion detection probe.
  • Each value attribute has an attribute identifier and an attribute value.
  • each attribute identifier is associated with an attribute domain among the following domains: domain of the attack, domain of the identity of the attacker, domain of the identity of the victim and date range of the attack.
  • the description of a given alert is supplemented by recovering from the generalization relationships of the plurality of taxonomic structures and recursively, a set comprising the more general value attributes and which has not already been present in the description of '' another alert previously completed.
  • the attributes valued in the taxonomic structure are organized according to a directed acydic graph.
  • the invention also relates to a computer program designed to implement the above method, when it is executed by the alert management system.
  • FIG. 1 is a view very schematic of an information security system comprising an alert management system according to the invention
  • FIG. 2 is a flowchart illustrating the steps of the method for managing a set of alerts, according to the invention
  • FIG. 3A illustrates an example of documentation associated with signatures of attacks
  • FIG. 3B very schematically shows a taxonomic structure associated with the example of FIG. 3A.
  • FIG. 1 illustrates an example of an intrusion detection system 1 connected through a router 3 to an external network 5 and to an internal network 7a and 7b with distributed architecture.
  • the intrusion detection system 1 comprises several intrusion detection probes 11a, 11b, lie, and an alert management system 13.
  • a first intrusion detection probe 11a monitors the alerts coming from the outside
  • a second probe 11b monitors part of the internal network 7a comprising work stations 15
  • a third probe 11b monitors another part of the internal network 7b comprising servers 17 delivering information to the external network 5.
  • the management system alerts 13 includes a host 19 dedicated to processing alerts, a logical file system 21, and an output unit 23.
  • the logical file system can be of the "LISFS" type proposed by Padioleau and Ridoux, in a conference (Usenix Annual Technical Conference 2003) entitled "A Logic File System".
  • files are objects with associated descriptions, expressed in propositional logic.
  • the description of a file is a combination of properties.
  • the properties of the files are the directories of the file system, so that the path of a file is its description.
  • a path is therefore a logical formula.
  • a file system location contains all the files whose description satisfies the formula corresponding to the location path.
  • specific commands allow you to navigate and manipulate the files and their descriptions.
  • the probes 11a, 11b, 11e deployed in the intrusion detection system 1 send (arrows 26) their alerts 25 to the system for managing alerts 13.
  • FIG. 2 is a flowchart illustrating the steps of the method for managing a set O of alerts originating from intrusion detection probes according to the invention. Each alert o in this set O of alerts is defined by an alert identifier and alert content.
  • an alert oe O can be defined by a unique alert identifier id ( ⁇ ) given by a pair (s, n) where s is the serial identifier of the intrusion detection probe which produces the alert and n is an alert serial number assigned by this probe to alert o.
  • the content m 0 of the alert o includes a text message provided by the intrusion detection probe which produced the alert and which is intended for the security operator.
  • Step El consists in associating with each of the alerts from the intrusion detection probes 11a, 11b, lie, a description d ⁇ o) comprising a conjunction of a plurality of value attributes ⁇ d oi j belonging to a plurality or a set of attribute domains ⁇ A ⁇ .
  • a value attribute d 0j is a pair (a, v) comprising an attribute identifier a and an attribute value v.
  • Each attribute identifier a is associated with an attribute domain A from the following domains: attack domain, attacker identity domain, victim identity domain and date date domain the attack.
  • an attribute domain A is formed of a discrete set provided with a partial order relation A defining the domain of the attribute value d oi .
  • Step E2 consists in organizing the value attributes d oi belonging to each attribute domain A into a taxonomic structure defining generalization (or specialization) relationships between these value attributes.
  • a taxonomy by attribute domain There is a taxonomy by attribute domain.
  • the plurality of attribute domains forms a plurality of taxonomic structures.
  • the taxonomic structure of the value attributes is generically a directed acydic graph.
  • the taxonomic relationships are modeled by axioms.
  • Step E3 consists of completing the description of each of the alerts from the intrusion detection probes 11a, 11b, lie, by sets of values induced by the taxonomic structures, from the value attributes of these initial alerts, to form full alerts.
  • the value attributes of the alerts produced by the intrusion detection probes are the most specific of the taxonomies.
  • the alert management system 13 can, for example, complete the description of this alert by recovering from generalization relationships the plurality of taxonomic structures and recursively, a set comprising more general value attributes that have not already been present in the description of another previously completed alert.
  • the description of a given alert is completed by a process which consists in going back in a given taxonomy from a given value attribute. If a value attribute already exists in the description of another previously processed alert, then the escalation process stops, otherwise it is added and the process is repeated from this added value attribute.
  • step E4 of FIG. 2 consists of storing the alerts, which were completed in the previous step, in the logical file system 21 to allow consultation thereof.
  • a "StoreAlert" algorithm describing a process for storing a new alert in a logical file system like LISFS.
  • the complete alert and its content are stored by a storage command "cp", which takes as parameter the content of the alert m of the description of the alert d 0tl l — ld 0t ⁇ and the identifier of the alert ⁇ .
  • the storage of full alerts in the logical file system 21 allows their consultation by a succession of interrogations and / or browsing in all of the full alerts.
  • the alert management system 13 provides relevant value attributes making it possible to distinguish a subset of full alerts from a set of full alerts satisfying the request in order to allow the refinement of this query.
  • a request from the security operator is a logical formula, which combines conjugations ⁇ , disjunctions v, and negations
  • the description d ⁇ o) of an alert o satisfies a request, if the request / is a logical consequence of the description d (o).
  • / ⁇ .
  • the set A of relevant value attributes is the set of value attributes belonging to value attribute fields A, such as for any relevant value attribute p of A, the set of full alerts satisfying the conjunction of the current request / with the relevant value attribute p is contained strictly in the set of full alerts satisfying the current query /.
  • this set A of relevant value attributes which make it possible to distinguish alerts between them, can be defined as follows: A - ⁇ pe A: c ext (f A p) c ext () ⁇ .
  • the set A can be considered as a set of navigation links, by defining each relevant value attribute p as a navigation link.
  • the security operator can thus refine his current request / by choosing a navigation link eg A provided by the alert management system 13.
  • the current request / by the security operator is thus transformed into the new request / ⁇ p.
  • the alert management system 13 provides, as a priority, the most general relevant value attributes with regard to the plurality of taxonomic structures.
  • the set A ms ⁇ of the most general relevant value attributes is then given by the set ma ⁇
  • (-4) which can be defined as follows: ma
  • (.4), is the set of any relevant value attribute p of A which does not have a more general value attribute.
  • the alert management system provides a set O of alert identifiers whose description satisfies the current request / and which cannot be refined, that is to say described more precisely, in relation to this request /.
  • the set O of alert identifiers includes any alert identifier whose description satisfies the current request / and such that there is no relevant value attribute p such that the conjunction of / and p is satisfied by the description of this same alert.
  • this set O can be defined as follows:
  • the domain of the attribute value “attack” consists of the identifiers of signature of attacks contained in the alerts generated by the intrusion detection probes lia, 11b, lie.
  • the domain of the attack value attribute also includes the vulnerabilities possibly exploited by an attack.
  • the vulnerabilities are more abstract, that is to say more general, than attack identifiers.
  • the other values used to qualify the attacks come from the keywords used to qualify the attacks in a documentation of the intrusion detection probes lia, 11b, lie.
  • FIG. 3A illustrates an example of documentation associated with the signatures of attacks.
  • Column 31 of Table 33 has whole numbers designating the signatures of attacks.
  • FIG. 3B shows a taxonomic structure 37 defining generalization relationships 39 between the value attributes contained in table 33. This taxonomic structure 37 is organized according to expert knowledge, using the keywords from the documentation of the signatures in table 33.
  • the attack signatures 31 constitute the most specific value attributes.
  • the domain of the value attribute “attackers” contains IP addresses. External IP addresses can be generalized by the name of the organization owning the range of IP addresses to which it belongs the address.
  • the name of the organization corresponds to the "netname" field contained in the databases of the IANA TM organization, which manages the allocation of IP addresses.
  • Internal IP addresses and private IP addresses (non-routable) can be generalized into local network identifiers defined by an administrator of the intrusion detection system 1.
  • the names of organizations can be generalized to the value "ext" and the identifiers local networks can be generalized to the “int” value.
  • the value attribute domain "victim" has IP addresses. These victims' IP addresses can be generalized to the address of the corresponding local network.
  • These IP addresses can also be generalized into machine names, obtained by name resolution mechanisms. Machine names can be generalized into host “functions” (for example web server), defined by the site administrator.
  • Machine names can be generalized into local network identifiers defined by the network administrator (for example DMZ).
  • the value attribute field "date" includes the timestamping of alerts in DD-MM-YYYY format hh: mm: ss.
  • the dates are successively generalized in minutes, hour, day, and month in the year. These generalizations ultimately correspond to increasingly crude abstractions of the date of an attack.

Abstract

L'invention concerne un procédé de gestion d'un ensemble d'alertes issues de sondes de détection d'intrusions (11a, 11b, 11c) d'un système de sécurité d'informations (1) comportant un système de gestion d'alertes (13), chaque alerte étant définie par un identifiant d'alerte et un contenu d'alerte, le procédé comportant les étapes suivantes -associer à chacune des alertes issues des sondes de détection d'intrusions (11a, 11b, 11c), une description comportant une conjonction d'une pluralité d'attributs valués appartenant à une pluralité de domaines d'attributs ; -organiser les attributs valués appartenant à chaque domaine d'attributs en une structure taxinomique définissant des relations de généralisation entre lesdits attributs valués, la pluralité des domaines d'attributs formant ainsi une pluralité de structures taxinomiques ; -compléter la description de chacune desdites alertes par des ensembles de valeurs induites par les structures taxinomiques à partir des attributs valués desdites alertes pour former des alertes complètes ; -stocker lesdites alertes complètes dans un système de fichiers logique (21) pour en permettre la consultation.

Description

Titre de l'invention
Procédé de gestion d'un ensemble d'alertes issues de sondes de détection d'intrusions d'un système de sécurité d'informations.
Arrière-plan de l'invention L'invention concerne un procédé de gestion d'un ensemble d'alertes issues de sondes de détection d'intrusions. La sécurité des systèmes d'information passe par le déploiement de systèmes de détection d'intrusions « IDS » comportant des sondes de détection d'intrusions qui émettent des alertes vers des systèmes de gestion d'alertes. En effet, les sondes de détection d'intrusions sont des composants actifs du système de détection d'intrusions qui analysent une ou plusieurs sources de données à la recherche d'événements caractéristiques d'une activité intrusive et émettent des alertes vers les systèmes de gestion d'alertes. Un système de gestion des alertes centralise les alertes provenant des sondes et effectue éventuellement une analyse de l'ensemble de ces alertes. Les sondes de détection d'intrusions génèrent un très grand nombre d'alertes qui peut comprendre plusieurs milliers par jour en fonction des configurations et de l'environnement. L'excès d'alertes peut résulter d'une combinaison de plusieurs phénomènes. Tout d'abord, de fausses alertes représentent jusqu'à 90% du nombre total d'alertes. Ensuite, les alertes sont souvent trop granulaires, c'est-à-dire que leur contenu sémantique est très pauvre.
Enfin les alertes sont souvent redondantes et récurrentes. Ainsi, l'excès d'alertes rend leur compréhension et leur manipulation difficile par un opérateur de sécurité humain. Le traitement amont des alertes au niveau du système de gestion est donc nécessaire pour faciliter le travail d'analyse de l'opérateur de sécurité. Les systèmes de gestion d'alertes actuels consistent à stocker les alertes dans un système de gestion de bases de données relationnelles (SGBDR). L'opérateur de sécurité peut ainsi interroger ce système de gestion SGBDR en lui soumettant une requête portant sur les propriétés des alertes. Le système de gestion SGBDR fournit en retour à l'opérateur, l'ensemble des alertes dont la description satisfait la requête. L'inconvénient de ces systèmes est le fait que les alertes fournies à l'opérateur peuvent être nombreuses et granulaires, ce qui rend leur analyse fastidieuse.
Ob et et résumé de l'invention L'invention a pour but de remédier à ces inconvénients, et de fournir une méthode simple de gestion d'un ensemble d'alertes issues de sondes de détection d'intrusions pour permettre une consultation flexible, aisée et rapide de cet ensemble d'alertes. Ces buts sont atteints grâce à un procédé de gestion d'un ensemble d'alertes issues de sondes de détection d'intrusions d'un système de sécurité d'informations comportant un système de gestion d'alertes, chaque alerte étant définie par un identifiant d'alerte et un contenu d'alerte, caractérisé en ce qu'il comporte les étapes suivantes : -associer à chacune des alertes issues des sondes de détection d'intrusions, une description comportant une conjonction d'une pluralité d'attributs values appartenant à une pluralité de domaines d'attributs ; -organiser les attributs values appartenant à chaque domaine d'attribut en une structure taxinomique définissant des relations de généralisation entre lesdits attributs values, la pluralité des domaines d'attributs formant ainsi une pluralité de structures taxinomiques ; -compléter la description de chacune desdites alertes par des ensembles de valeurs induites par les structures taxinomiques à partir des attributs values desdites alertes pour former des alertes complètes ; -stocker lesdites alertes complètes dans un système de fichiers logique pour en permettre la consultation. Ainsi, le stockage des alertes complètes dans un système de fichiers logique permet à un opérateur de sécurité de consulter le système de gestion d'alertes d'une manière efficace, rapide, et flexible afin d'obtenir une vision précise de l'ensemble des alertes issues des sondes de détection d'intrusions. La consultation des alertes complètes peut être réalisée par une succession d'interrogations et/ou de navigations dans lesdites alertes complètes de sorte qu'en réponse à une requête, le système de gestion d'alertes fournit des attributs values pertinents permettant de distinguer un sous-ensemble d'alertes complètes parmi un ensemble d'alertes complètes satisfaisant la requête afin de permettre le raffinement de ladite requête. De préférence, les attributs values pertinents sont en priorité les plus généraux en regard de la pluralité des structures taxinomiques. Avantageusement, en réponse à la requête, le système de gestion d'alertes fournit en outre des identifiants d'alertes satisfaisant la requête et dont la description ne peut pas être raffinée par rapport à ladite requête. L'identifiant d'alerte est un couple formé d'un identifiant de la sonde de détection d'intrusions qui produit l'alerte et d'un numéro de série d'alerte affecté par ladite sonde. Le contenu de chaque alerte comporte un message textuel fourni par la sonde de détection d'intrusions correspondante. Chaque attribut value comporte un identifiant d'attribut et une valeur d'attribut. Selon un aspect de l'invention, chaque identifiant d'attribut est associé à un domaine d'attributs parmi les domaines suivants : domaine de l'attaque, domaine de l'identité de l'attaquant, domaine de l'identité de la victime et domaine de la date de l'attaque. Avantageusement, la description d'une alerte donnée est complétée en récupérant à partir des relations de généralisation de la pluralité de structures taxinomiques et de manière récursive, un ensemble comportant les attributs values plus généraux et n'ayant pas déjà été présents dans la description d'une autre alerte précédemment complétée. Selon un aspect particulier de l'invention, les attributs values dans la structure taxinomique sont organisés selon un graphe acydique dirigé. L'invention vise aussi un programme informatique conçu pour mettre en œuvre le procédé ci-dessus, lorsqu'il est exécuté par le système de gestion d'alertes.
Brève description des dessins D'autres particularités et avantages de l'invention ressortiront à la lecture de la description faite, ci-après, à titre indicatif mais non limitatif, en référence aux dessins annexés, sur lesquels : -la figure 1 est une vue très schématique d'un système de sécurité d'informations comportant un système de gestion d'alertes selon l'invention ; -la figure 2 est un organigramme illustrant les étapes du procédé de gestion d'un ensemble d'alertes, selon l'invention ; -la figure 3A illustre un exemple d'une documentation associée à des signatures d'attaques ; et -la figure 3B montre de façon très schématique une structure taxinomique associée à l'exemple de la figure 3A. Description détaillée de modes de réalisation La figure 1 illustre un exemple d'un système de détection d'intrusions 1 relié à travers un routeur 3 à un réseau externe 5 et à un réseau interne 7a et 7b à architecture distribuée. Le système de détection d'intrusions 1 comporte plusieurs sondes de détection d'intrusions lia, 11b, lie, et un système de gestion d'alertes 13. Ainsi, une première sonde lia de détection d'intrusions surveille les alertes venant de l'extérieur, une deuxième sonde 11b surveille une partie du réseau interne 7a comprenant des stations de travail 15 et une troisième sonde lie surveille une autre partie du réseau interne 7b comprenant des serveurs 17 délivrant des informations au réseau externe 5. Le système de gestion d'alertes 13 comporte un hôte 19 dédié au traitement des alertes, un système de fichiers logique 21, et une unité de sortie 23. Le système de fichiers logique peut être du type « LISFS » proposé par Padioleau et Ridoux, dans une conférence (Usenix Annual Technical Conférence 2003) intitulée "A Logic File System". Dans le système de fichiers logique LISFS, les fichiers sont des objets auxquels sont associées des descriptions, exprimées dans une logique propositionnelle. La description d'un fichier est une conjonction de propriétés. Les propriétés des fichiers sont les répertoires du système de fichiers, si bien que le chemin d'un fichier est sa description. Un chemin est donc une formule logique. Un emplacement du système de fichiers contient l'ensemble des fichiers dont la description satisfait la formule correspondant au chemin de l'emplacement Comme dans un système de fichiers classique, des commandes spécifiques permettent de naviguer et manipuler les fichiers et leurs descriptions. Ainsi, les sondes lia, 11b, lie déployées dans le système de détection d'intrusions 1 envoient (flèches 26) leurs alertes 25 au système de gestion d'alertes 13. Ce dernier, conformément à l'invention, procède à une gestion de cet ensemble d'alertes et à son stockage dans le système de fichiers logique 21 pour en permettre la consultation à travers l'unité de sortie 23 d'une manière flexible. En effet, l'hôte 19 du système de gestion d'alertes 13 comprend des moyens de traitements pour procéder à cette gestion des alertes. Ainsi, un programme informatique conçu pour mettre en oeuvre la présente invention peut être exécuté par le système de gestion d'alertes. La figure 2 est un organigramme illustrant les étapes du procédé de gestion d'un ensemble O d'alertes issues de sondes de détection d'intrusions selon l'invention. Chaque alerte o de cet ensemble O d'alertes est définie par un identifiant d'alerte et un contenu d'alerte. En effet, une alerte oe O peut être définie par un identifiant d'alertes unique id(ό) donné par un couple (s,n) où s est l'identifiant de série de la sonde de détection d'intrusions qui produit l'alerte et n est un numéro de série d'alerte affecté par cette sonde à l'alerte o . Le contenu m0 de l'alerte o comporte un message textuel fourni par la sonde de détection d'intrusions qui a produit l'alerte et qui est destiné à l'opérateur de sécurité. L'étape El consiste à associer à chacune des alertes issues des sondes de détection d'intrusions lia, 11b, lie, une description d{o) comportant une conjonction d'une pluralité d'attributs values {do ij appartenant à une pluralité ou un ensemble de domaines d'attributs {A}. Ainsi, une description d(o) d'une alerte est une conjonction de p attributs values, c'est-à-dire d(o)= do l Λ---Λdo p . Un attribut value d0j est un couple (a,v) comportant un identifiant d'attribut a et une valeur d'attribut v . Chaque identifiant d'attribut a est associé à un domaine d'attribut A parmi les domaines suivants : domaine de l'attaque, domaine de l'identité de l'attaquant, domaine de l'identité de la victime et domaine de la date de l'attaque. D'une manière générale, un domaine d'attribut A est formé d'un ensemble discret muni d'une relation d'ordre partiel A définissant le domaine de l'attribut value do i. L'étape E2 consiste à organiser les attributs values do i appartenant à chaque domaine d'attribut A en une structure taxinomique définissant des relations de généralisation (ou spécialisation) entre ces attributs values. Il existe une taxinomie par domaine d'attribut. Ainsi, la pluralité des domaines d'attributs forme une pluralité de structures taxinomiques. La structure taxinomique des attributs values est de manière générique un graphe acydique dirigé. Les relations taxinomiques sont modélisées par des axiomes. Ainsi, un attribut value d plus spécifique qu'un autre attribut value d' est modélisé par un axiome d \= d c'est-à-dire que l'attribut value d' est une conséquence logique de l'attribut value d . Autrement dit, une alerte qui possède l'attribut value spécifique d possède automatiquement l'attribut value moins spécifique d' . L'étape E3 consiste à compléter la description de chacune des alertes issues des sondes de détection d'intrusions lia, 11b, lie, par des ensembles de valeurs induites par les structures taxinomiques, à partir des attributs values de ces alertes initiales, pour former des alertes complètes. En effet, les attributs values des alertes produites par les sondes de détection d'intrusions sont les plus spécifiques des taxinomies. Ainsi, à la réception d'une alerte donnée, le système de gestion d'alertes 13 peut par exemple compléter la description de cette alerte en récupérant à partir des relations de généralisation de la pluralité de structures taxinomiques et de manière récursive, un ensemble comportant les attributs values plus généraux et n'ayant pas déjà été présents dans la description d'une autre alerte précédemment complétée. Autrement dit, la description d'une alerte donnée est complétée par un processus qui consiste à remonter dans une taxinomie donnée à partir d'un attribut value donné. Si un attribut value existe déjà dans la description d'une autre alerte précédemment traitée, alors le processus de remontée s'arrête, sinon il est ajouté et le processus est réitéré à partir de cet attribut value ajouté. Ci-dessous est un exemple d'un algorithme
« CompléterDescription » décrivant un processus pour compléter la description d'une alerte. CompléterDescription s'il n'existe pas do i faire
Figure imgf000010_0001
pour chaque d0'j e D faire CompléterDescription( d0' ) fait mkdird^' l-ld^ fait Cet algorithme teste tout d'abord l'existence d'un attribut value donné d0j. Si cet attribut d0j n'existe pas, on récupère l'ensemble
D = ψg'j : do i |= d0'j) des attributs values qui sont plus abstraits au regard
des taxinomies. Ensuite pour chaque élément d0 ' j appartenant à D, l'algorithme CompléterDescription est appelé récursivement. A la fin, l'attribut value est ajouté au système de gestion d'alertes par la commande « mkdir» qui fait partie des commandes du système de fichiers logique LISFS. Finalement l'étape E4 de la figure 2, consiste à stocker les alertes, qui ont été complétées à l'étape précédente, dans le système de fichiers logique 21 pour en permettre la consultation. Ci-dessous est un exemple d'un algorithme « StockerAlerte » décrivant un processus pour stocker une nouvelle alerte dans un système de fichiers logique du type LISFS. StockerAlerte Pour chaque do i faire CompléterDescription^ do i ) fait cp m0 do l--ldo n /α Cet algorithme complète de manière itérative pour chaque élément de description do i, une alerte donnée o en appelant l'algorithme
« CompléterDescription » décrit ci-dessus. Lorsque tous les éléments de description de l'alerte donnée sont complétés, alors l'alerte complète et son contenu sont stockés par une commande de stockage « cp », qui prend en paramètre le contenu de l'alerte mo f la description de l'alerte d0tl l—ld0tΛ et l'identifiant de l'alerte α . Le stockage des alertes complètes dans le système de fichiers logique 21 permet leur consultation par une succession d'interrogations et/ou de navigations dans l'ensemble des alertes complètes. Ainsi, en réponse à une requête d'un opérateur de sécurité, le système de gestion d'alertes 13 fournit des attributs values pertinents permettant de distinguer un sous-ensemble d'alertes complètes parmi un ensemble d'alertes complètes satisfaisant la requête afin de permettre le raffinement de cette requête. Une requête de l'opérateur de sécurité est une formule logique , qui combine des conjugaisons Λ , des disjonctions v, et des négations
-i d'attributs values. D'une manière générale, la description d{o) d'une alerte o satisfait une requête , si la requête / est une conséquence logique de la description d(o). L'ensemble des alertes satisfaisant la requête /, appelé l'extension de / , est ainsi donné par eχt(/) = { o e O : d(o) |= / }. L'ensemble A des attributs values pertinents est l'ensemble des attributs values appartenant à des domaines d'attributs values A, tel que pour tout attribut value pertinent p de A, l'ensemble d'alertes complètes satisfaisant la conjonction de la requête courante / avec l'attribut value pertinent p est contenu strictement dans l'ensemble d'alertes complètes satisfaisant la requête courante / . Ainsi, cet ensemble A des attributs values pertinents qui permettent de distinguer des alertes entre elles, peut être défini de la façon suivante : A - {pe A : c ext(f A p) c ext( ) }. L'ensemble A peut être considéré comme un ensemble des liens de navigation, en définissant chaque attribut value pertinent p comme un lien de navigation. L'opérateur de sécurité peut ainsi raffiner sa requête courante / en choisissant un lien de navigation pe A fourni par le système de gestion d'alertes 13. La requête courante / de l'opérateur de sécurité se transforme ainsi en la nouvelle requête / Λ p . Avantageusement, pour réduire encore plus le nombre de réponses, le système de gestion d'alertes 13 fournit, en priorité, les attributs values pertinents les plus généraux en regard de la pluralité de structures taxinomiques. L'ensemble Amsκ des attributs values pertinents les plus généraux est alors donné par l'ensemble maχ|=(-4) qui peut être défini de la façon suivante : ma |=(^)= {pe A : il n'existe pas p'e A,p'≠ ρ,p \= p' }. Ainsi, cet ensemble max|=(.4), est l'ensemble de tout attribut value pertinent p de A qui n'a pas un attribut value plus général. En outre, en réponse à la requête courante /, le système de gestion d'alertes fournit un ensemble O d'identifiants d'alertes dont la description satisfait la requête courante / et ne pouvant pas être raffinée, c'est-à-dire décrite plus précisément, par rapport à cette requête / . Ainsi, l'ensemble O des identifiants d'alertes comporte tout identifiant d'alerte dont la description satisfait la requête courante / et telle qu'il n'existe aucun attribut value pertinent p tel que la conjonction de / et de p soit satisfaite par la description de cette même alerte. Ainsi, cet ensemble O peut être défini de la façon suivante :
O = { id(ό) : o e O, d(o) |= / , et il n'existe pas p e A avec d(o) |= / Λ p }. On notera que le système de fichiers logique 21 tel que LISFS offre des commandes permettant de naviguer (commande « cd »), interroger (commande « Is »), et stocker (commandes « cp » et mkdir ») des objets. Par exemple, dans LISFS, une requête permettant d'obtenir les alertes dont la victime est un proxy web et dont l'attaquant n'est pas interne s'exprime de la façon suivante : Is / "victime web proxy"/! "attaquant interne". D'une manière générale, une alerte provenant d'une sonde de détection d'intrusions est un quadruplet d'attributs values. Les quatre attributs envisagés sont : attaque,, attaquant, victime, et date. Le domaine de l'attribut value « attaque » est constitué des identifiants de signatures d'attaques contenus dans les alertes générées par les sondes de détection d'intrusions lia, 11b, lie. Le domaine de l'attribut value d'attaque comporte aussi les vulnérabilités éventuellement exploitées par une attaque. Les vulnérabilités sont plus abstraites, c'est-à-dire plus générales, que les identifiants d'attaques. Les autres valeurs utilisées pour qualifier les attaques sont issues des mots clés employés pour qualifier les attaques dans une documentation des sondes de détection d'intrusions lia, 11b, lie. A titre d'exemple, on peut utiliser la sonde Snortl™ et le champ « msg » de la documentation des signatures. En effet, la figure 3A illustre un exemple de documentation associée aux signatures d'attaques. La colonne 31 du tableau 33 comporte des nombres entiers désignant les signatures d'attaques. La colonne 35 du tableau 33 comporte les documentations associées à ces signatures d'attaques. Ainsi, dans chaque ligne du tableau 33, une documentation est associée à chaque signature d'attaque. Chaque description comporte des mots clés relatifs par exemple au type d'attaque, au protocole réseau utilisé, et au succès ou à l'échec de l'attaque. La figure 3B montre une structure taxinomique 37 définissant des relations de généralisation 39 entre les attributs values contenus dans le tableau 33. Cette structure taxinomique 37 est organisée selon des connaissances expertes, à partir des mots clés de la documentation des signatures du tableau 33. On notera que, les signatures d'attaques 31 constituent les attributs values les plus spécifiques. Le domaine de l'attribut value « attaquants » comporte des adresses IP. Les adresses IP externes sont généralisables par le nom de l'organisme propriétaire de la plage d'adresses IP à laquelle appartient l'adresse. Le nom de l'organisme correspond au champ « netname » contenu dans des bases de données de l'organisme IANA™, qui gère l'attribution d'adresses IP. Les adresses IP internes et les adresses IP privées (non routables), sont generalisables en identifiants de réseaux locaux définis par un administrateur du système de détection d'intrusions 1. Enfin les noms des organismes sont generalisables en la valeur « ext» et les identifiants des réseaux locaux sont generalisables en la valeur « int ». Le domaine de l'attribut value « victime » comporte des adresses IP. Ces adresses IP des victimes peuvent être généralisées en l'adresse du réseau local correspondant. Ces adresses IP peuvent aussi être généralisées en noms de machines, obtenus par des mécanismes de résolution de noms. Les noms de machines peuvent être généralisés en « fonctions» d'hôtes (par exemple serveur web), définis par l'administrateur du site. Les noms de machines sont generalisables en identifiants de réseaux locaux définis par l'administrateur du réseau (par exemple DMZ). Le domaine de l'attribut value « date » comporte Phorodatage des alertes au format JJ-MM-AAAA hh:mm:ss. Les dates sont généralisées successivement en minutes, heure, jour, et mois dans l'année. Ces généralisations correspondent finalement à des abstractions de plus en plus grossières de la date d'une attaque.

Claims

Revendications
1. Procédé de gestion d'un ensemble d'alertes issues de sondes de détection d'intrusions (lia, 11b, lie) d'un système de sécurité d'informations (1) comportant un système de gestion d'alertes (13), chaque alerte étant définie par un identifiant d'alerte et un contenu d'alerte, caractérisé en ce qu'il comporte les étapes suivantes : -associer à chacune des alertes issues des sondes de détection d'intrusions (lia, îlb, lie), une description comportant une conjonction d'une pluralité d'attributs values appartenant à une pluralité de domaines d'attributs ;
-organiser les attributs values appartenant à chaque domaine d'attributs en une structure taxinomique définissant des relations de généralisation entre lesdits attributs values, la pluralité des domaines d'attributs formant ainsi une pluralité de structures taxinomiques ;
-compléter la description de chacune desdites alertes par des ensembles de valeurs induites par les structures taxinomiques à partir des attributs values desdites alertes pour former des alertes complètes ; -stocker lesdites alertes complètes dans un système de fichiers logique (21) pour en permettre la consultation.
2. Procédé selon la revendication 1, caractérisé en ce que la consultation des alertes complètes est réalisée par une succession d'interrogations et/ou de navigations dans lesdites alertes complètes de sorte qu'en réponse à une requête, le système de gestion d'alertes (13) fournit des attributs values pertinents permettant de distinguer un sous-ensemble d'alertes complètes parmi un ensemble d'alertes complètes satisfaisant la requête afin de permettre le raffinement de ladite requête.
3. Procédé selon la revendication 2, caractérisé en ce que les attributs values pertinents sont en priorité les plus généraux au regard de la pluralité de structures taxinomiques.
4.Procédé selon l'une quelconque des revendications 2 et 3, caractérisé en ce qu'en réponse à la requête, le système de gestion d'alertes (13) fournit en outre des identifiants d'alertes satisfaisant la requête et dont la description ne peut pas être raffinée par rapport à ladite requête.
5.Procédé selon la revendication 1, caractérisé en ce que l'identifiant d'alerte est un couple formé d'un identifiant de la sonde de détection d'intrusions (lia, 11b, lie) qui produit l'alerte et d'un numéro de série d'alerte affecté par ladite sonde.
β.Procédé selon la revendication 1, caractérisé en ce que le contenu de chaque alerte comporte un message textuel fourni par la sonde de détection d'intrusions (lia, 11b, lie) correspondante.
7.Procédé selon l'une quelconque des revendications 1 à 6, caractérisé en ce que chaque attribut value comporte un identifiant d'attribut et une valeur d'attribut.
δ.Procédé selon la revendication 7, caractérisé en ce que chaque identifiant d'attribut est associé à un domaine d'attributs parmi les domaines suivants : domaine de l'attaque, domaine de l'identité de l'attaquant, domaine de l'identité de la victime et domaine de la date de l'attaque.
9.Procédé selon la revendication 1, caractérisé en ce que la description d'une alerte donnée est complétée en récupérant à partir des relations de généralisation de la pluralité de structures taxinomiques et de manière récursive, un ensemble comportant les attributs values plus généraux et n'ayant pas déjà été présents dans la description d'une autre alerte précédemment complétée.
lO.Procédé selon l'une quelconque des revendications 1 à 9, caractérisé en ce que les attributs values dans la structure taxinomique sont organisés selon un graphe acydique dirigé.
11. Programme informatique caractérisé en ce qu'il est conçu pour mettre en œuvre le procédé selon l'une quelconque des revendications 1 à 10 lorsqu'il est exécuté par le système de gestion d'alertes (13).
PCT/FR2004/003252 2003-12-17 2004-12-16 Procede de gestion d’un ensemble d’alertes issues de sondes de detection d’intrusions d’un systeme de securite d’informations. WO2005060205A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP04816392A EP1700453A1 (fr) 2003-12-17 2004-12-16 PROCEDE DE GESTION D’UN ENSEMBLE D’ALERTES ISSUES DE SONDES DE DETECTION D'INTRUSIONS D'UN SYSTEME DE SECURITE D'INFORMATIONS.
US10/583,586 US7810157B2 (en) 2003-12-17 2004-12-16 Method of managing alerts issued by intrusion detection sensors of an information security system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0314833A FR2864282A1 (fr) 2003-12-17 2003-12-17 Procede de gestion d'un ensemble d'alertes issus de sondes de detection d'intrusions d'un systeme de securite d'informations.
FR0314833 2003-12-17

Publications (1)

Publication Number Publication Date
WO2005060205A1 true WO2005060205A1 (fr) 2005-06-30

Family

ID=34630264

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2004/003252 WO2005060205A1 (fr) 2003-12-17 2004-12-16 Procede de gestion d’un ensemble d’alertes issues de sondes de detection d’intrusions d’un systeme de securite d’informations.

Country Status (4)

Country Link
US (1) US7810157B2 (fr)
EP (1) EP1700453A1 (fr)
FR (1) FR2864282A1 (fr)
WO (1) WO2005060205A1 (fr)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7788722B1 (en) 2002-12-02 2010-08-31 Arcsight, Inc. Modular agent for network security intrusion detection system
US7376969B1 (en) 2002-12-02 2008-05-20 Arcsight, Inc. Real time monitoring and analysis of events from multiple network security devices
US7899901B1 (en) 2002-12-02 2011-03-01 Arcsight, Inc. Method and apparatus for exercising and debugging correlations for network security system
US7219239B1 (en) 2002-12-02 2007-05-15 Arcsight, Inc. Method for batching events for transmission by software agent
US7607169B1 (en) 2002-12-02 2009-10-20 Arcsight, Inc. User interface for network security console
US8176527B1 (en) 2002-12-02 2012-05-08 Hewlett-Packard Development Company, L. P. Correlation engine with support for time-based rules
US7650638B1 (en) 2002-12-02 2010-01-19 Arcsight, Inc. Network security monitoring system employing bi-directional communication
US7260844B1 (en) 2003-09-03 2007-08-21 Arcsight, Inc. Threat detection in a network security system
US8015604B1 (en) 2003-10-10 2011-09-06 Arcsight Inc Hierarchical architecture in a network security system
US9027120B1 (en) 2003-10-10 2015-05-05 Hewlett-Packard Development Company, L.P. Hierarchical architecture in a network security system
US7565696B1 (en) 2003-12-10 2009-07-21 Arcsight, Inc. Synchronizing network security devices within a network security system
US8528077B1 (en) 2004-04-09 2013-09-03 Hewlett-Packard Development Company, L.P. Comparing events from multiple network security devices
US7509677B2 (en) 2004-05-04 2009-03-24 Arcsight, Inc. Pattern discovery in a network security system
US7644438B1 (en) 2004-10-27 2010-01-05 Arcsight, Inc. Security event aggregation at software agent
US9100422B1 (en) 2004-10-27 2015-08-04 Hewlett-Packard Development Company, L.P. Network zone identification in a network security system
US7809131B1 (en) 2004-12-23 2010-10-05 Arcsight, Inc. Adjusting sensor time in a network security system
US7647632B1 (en) 2005-01-04 2010-01-12 Arcsight, Inc. Object reference in a system
US8850565B2 (en) * 2005-01-10 2014-09-30 Hewlett-Packard Development Company, L.P. System and method for coordinating network incident response activities
US7844999B1 (en) 2005-03-01 2010-11-30 Arcsight, Inc. Message parsing in a network security system
FR2888440A1 (fr) * 2005-07-08 2007-01-12 France Telecom Procede et systeme de detection d'intrusions
CN101350745B (zh) * 2008-08-15 2011-08-03 北京启明星辰信息技术股份有限公司 一种入侵检测方法及装置
US8566947B1 (en) * 2008-11-18 2013-10-22 Symantec Corporation Method and apparatus for managing an alert level for notifying a user as to threats to a computer
US9244713B1 (en) * 2014-05-13 2016-01-26 Nutanix, Inc. Method and system for sorting and bucketizing alerts in a virtualization environment
US10313396B2 (en) * 2016-11-15 2019-06-04 Cisco Technology, Inc. Routing and/or forwarding information driven subscription against global security policy data

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0735477A1 (fr) * 1995-03-31 1996-10-02 Alcatel N.V. Méthode et système de gestion de base de données d'erreur en temps réel
EP1146689A2 (fr) * 2000-04-12 2001-10-17 Mitel Knowledge Corporation Hiérarchie d'arbre et description des fichiers génerés

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6445774B1 (en) * 1997-11-17 2002-09-03 Mci Communications Corporation System for automated workflow in a network management and operations system
US6393386B1 (en) * 1998-03-26 2002-05-21 Visual Networks Technologies, Inc. Dynamic modeling of complex networks and prediction of impacts of faults therein
US6707795B1 (en) * 1999-04-26 2004-03-16 Nortel Networks Limited Alarm correlation method and system
US6647400B1 (en) * 1999-08-30 2003-11-11 Symantec Corporation System and method for analyzing filesystems to detect intrusions
US7203962B1 (en) * 1999-08-30 2007-04-10 Symantec Corporation System and method for using timestamps to detect attacks
US7159237B2 (en) * 2000-03-16 2007-01-02 Counterpane Internet Security, Inc. Method and system for dynamic network intrusion monitoring, detection and response
CA2313908A1 (fr) * 2000-07-14 2002-01-14 David B. Skillicorn Detection d'intrusion dans des reseaux faisant appel a la decomposition en valeurs singulieres
US6732153B1 (en) * 2000-05-23 2004-05-04 Verizon Laboratories Inc. Unified message parser apparatus and system for real-time event correlation
CA2417817C (fr) * 2000-08-11 2007-11-06 British Telecommunications Public Limited Company Systeme et procede de detection d'evenements
US7917393B2 (en) * 2000-09-01 2011-03-29 Sri International, Inc. Probabilistic alert correlation
GB0022485D0 (en) * 2000-09-13 2000-11-01 Apl Financial Services Oversea Monitoring network activity
US7379993B2 (en) * 2001-09-13 2008-05-27 Sri International Prioritizing Bayes network alerts
US7437762B2 (en) * 2001-11-29 2008-10-14 International Business Machines Corporation Method, computer program element and a system for processing alarms triggered by a monitoring system
US20030101260A1 (en) * 2001-11-29 2003-05-29 International Business Machines Corporation Method, computer program element and system for processing alarms triggered by a monitoring system
US6801940B1 (en) * 2002-01-10 2004-10-05 Networks Associates Technology, Inc. Application performance monitoring expert
US7026926B1 (en) * 2002-08-15 2006-04-11 Walker Iii Ethan A System and method for wireless transmission of security alarms to selected groups
EP1535164B1 (fr) * 2002-08-26 2012-01-04 International Business Machines Corporation Determination du niveau de menace associe a l'activite d'un reseau
KR100456634B1 (ko) * 2002-10-31 2004-11-10 한국전자통신연구원 정책기반 침입 탐지 및 대응을 위한 경보 전달 장치 및 방법
US7712133B2 (en) * 2003-06-20 2010-05-04 Hewlett-Packard Development Company, L.P. Integrated intrusion detection system and method
US20050086529A1 (en) * 2003-10-21 2005-04-21 Yair Buchsbaum Detection of misuse or abuse of data by authorized access to database

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0735477A1 (fr) * 1995-03-31 1996-10-02 Alcatel N.V. Méthode et système de gestion de base de données d'erreur en temps réel
EP1146689A2 (fr) * 2000-04-12 2001-10-17 Mitel Knowledge Corporation Hiérarchie d'arbre et description des fichiers génerés

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
DEBAR H ET AL: "A REVISED TAXONOMY FOR INTRUSION-DETECTION SYSTEMS", ANNALES DES TELECOMMUNICATIONS - ANNALS OF TELECOMMUNICATIONS, PRESSES POLYTECHNIQUES ET UNIVERSITAIRES ROMANDES, LAUSANNE, CH, vol. 55, no. 7/8, July 2000 (2000-07-01), pages 361 - 378, XP000954771, ISSN: 0003-4347 *
ULF LINDQVIST AND ERLAND JONSSON: "How to Systematically Classify Computer Security Intrusions", PROCEEDINGS OF THE 21ST NATIONAL INFORMATION SYSTEMST SECURITY CONFERENCE, 4 May 1997 (1997-05-04) - 8 May 2003 (2003-05-08), OAKLAND, CALIFORNIA, pages 154 - 163, XP002291664, Retrieved from the Internet <URL:http://www.ce.chalmers.se/old/staff/ulfl/pubs/sp97ul.pdf> [retrieved on 20040809] *
YOANN PADIOLEAU AND OLIVIER RIDOUX: "A Logic File System", PROCEEDINGS OF THE 2003 USENIX ANNUAL TECHNICAL CONFERENCE, 9 June 2003 (2003-06-09) - 14 June 2003 (2003-06-14), SAN ANTONIO, TEXAS, USA, XP002291663, Retrieved from the Internet <URL:http://www.usenix.org/events/usenix03/tech/full_papers/padioleau/padioleau.pdf> [retrieved on 20040809] *

Also Published As

Publication number Publication date
EP1700453A1 (fr) 2006-09-13
US7810157B2 (en) 2010-10-05
FR2864282A1 (fr) 2005-06-24
US20070150579A1 (en) 2007-06-28

Similar Documents

Publication Publication Date Title
WO2005060205A1 (fr) Procede de gestion d’un ensemble d’alertes issues de sondes de detection d’intrusions d’un systeme de securite d’informations.
US11716248B1 (en) Selective event stream data storage based on network traffic volume
US11343268B2 (en) Detection of network anomalies based on relationship graphs
US11748358B2 (en) Feedback on inferred sourcetypes
US7240049B2 (en) Systems and methods for search query processing using trend analysis
US10367827B2 (en) Using network locations obtained from multiple threat lists to evaluate network data or machine data
EP1695485B1 (fr) Procede de classification automatique d un ensemble d a lertes issues de sondes de detection d intrusions d un systeme de securite d information
US8527486B2 (en) Mobile application discovery through mobile search
US9361320B1 (en) Modeling big data
US20080228695A1 (en) Techniques for analyzing and presenting information in an event-based data aggregation system
Al-Saggaf et al. Data mining and privacy of social network sites’ users: Implications of the data mining problem
US20130054477A1 (en) System to identify multiple copyright infringements
Zeng et al. Semantic IoT data description and discovery in the IoT-edge-fog-cloud infrastructure
Buntain et al. # pray4victims: Consistencies in Response to Disaster on Twitter
Spangher et al. Characterizing search-engine traffic to internet research agency web properties
SalahEldeen et al. Reading the correct history? Modeling temporal intention in resource sharing
CA2921758A1 (fr) Scripts automatises d&#39;extraction et d&#39;indexation d&#39;information avec analyseur de paquets
US11714698B1 (en) System and method for machine-learning based alert prioritization
Hunn et al. How to implement online warnings to prevent the use of child sexual abuse material
KR20240015280A (ko) 트렌드 분석을 이용한 검색 쿼리 처리 시스템 및 방법
US11907227B1 (en) System and method for changepoint detection in streaming data
US11531718B2 (en) Visualization of entity profiles
Rajan et al. Features and Challenges of web mining systems in emerging technology
WO2018015515A1 (fr) Procedes de partage d&#39;opinion, equipements et programmes d&#39;ordinateur pour la mise en oeuvre des procedes
US11501112B1 (en) Detecting, diagnosing, and directing solutions for source type mislabeling of machine data, including machine data that may contain PII, using machine learning

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2007150579

Country of ref document: US

Ref document number: 10583586

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

WWW Wipo information: withdrawn in national office

Country of ref document: DE

WWE Wipo information: entry into national phase

Ref document number: 2004816392

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 2004816392

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 10583586

Country of ref document: US