WO2006010866A1 - Syteme et procedes de securisation de postes informatiques et/ou de reseaux de communications - Google Patents

Syteme et procedes de securisation de postes informatiques et/ou de reseaux de communications Download PDF

Info

Publication number
WO2006010866A1
WO2006010866A1 PCT/FR2005/001667 FR2005001667W WO2006010866A1 WO 2006010866 A1 WO2006010866 A1 WO 2006010866A1 FR 2005001667 W FR2005001667 W FR 2005001667W WO 2006010866 A1 WO2006010866 A1 WO 2006010866A1
Authority
WO
WIPO (PCT)
Prior art keywords
network
computer
data
security
wireless
Prior art date
Application number
PCT/FR2005/001667
Other languages
English (en)
Inventor
Fayçal DAIRA
Alexandre Buge
Romain Dequiri
Original Assignee
Skyrecon Systems
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Skyrecon Systems filed Critical Skyrecon Systems
Priority to US11/631,120 priority Critical patent/US20090172821A1/en
Publication of WO2006010866A1 publication Critical patent/WO2006010866A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices

Definitions

  • the present invention relates to the field of information and communication systems.
  • the present invention relates more particularly to the field of security of information and communication systems.
  • the invention provides the association of the eavesdropping apparatus in an adjacent area layer and surrounding the periphery of the LAN area for possible wireless transmissions of an intruder having a low frequency below the frequency LAN and addressed to the network location of any computer terminal of the LAN, and an application in response to this eavesdropping means for changing the encryption code of this encrypted wireless transmission following detection of an eavesdropping of a wireless transmission of this low frequency addressed to a network location of any terminal of this LAN.
  • Several factors contribute to the success of the process of the invention. It is likely that the intruder will have to send his message at a frequency lower than the 2.4 GHz frequency of the LAN zone transmissions since it is likely to reach a tower.
  • PCT patent application WO 01/39379 TGB Internet
  • the invention of this PCT patent application relates to a method and a system for securing a network.
  • the method includes at least identifying the unauthorized user attempting to access a node of the network, and then, preferably, actively blocking any other activity from that unauthorized user.
  • the detection procedure is facilitated by the fact that the unauthorized user provides a distinctive mark, or false data designed for this purpose, that the unauthorized user collects information during the collection phase prior to an attack.
  • the distinguishing mark is designed in such a way that any attempt by the unauthorized user to use this false data leads to the immediate identification of the unauthorized user as a hostile user, and indicates that an attempt has been made to intrude on the unauthorized user. network. Preferably, any new access to the network is then blocked, the traffic arriving from the unauthorized user being diverted to a secure area, where the activities of the unauthorized user can be contained without affecting the network.
  • US Pat. No. 6,578,147 relates to sensors for the detection of intrusions in parallel with load balancing in networks. high flows. A method and system for detecting unauthorized signatures to or from a local network the
  • Multiple sensors are connected to an interconnect device, which may be a router or switch.
  • the sensors operate in parallel and each receives a portion of the traffic through the interconnection device, at a session-based level or at a lower level (packet-based).
  • the load balancing mechanism that distributes the packets may be internal or external to the interconnect device.
  • the sensors share a network analyzer (in the "session-based” case) or both a network analyzer and a network analyzer. a session analyzer (in the "packet-based” case).
  • PCT patent application WO 03/21851 also proposes a method and system for detecting position and location in a wireless network.
  • the invention of this PCT patent application relates to a system and a method for realizing position detection and real-time motion tracking of mobile communications devices moving in a defined space having a plurality of location parameters.
  • a plurality of access points are provided in said space to provide an interface between the mobile devices and a network having functionality and data available or accessible from these devices.
  • the knowledge of the contiguity of the location parameters can be used to better determine the location of the mobile device as it transits between such parameters, a return of the information that can be provided to monitor the status and configuration of the points of interest. access.
  • the prior art also knows, by the request of PCT patent WO 03/023555 (Wavelink), an Internet deployment wireless system.
  • the invention described in this PCT patent application relates to an Internet deployment wireless system comprising an application server program configured to be downloaded and executed on one or more remote wireless application server computers.
  • the application server program is also configured to cause one or more remote application server computers to download and install one or more wireless application software components.
  • the application server program is further configured to transmit to one or more portable devices one or more client applications and to cause one or more of the portable devices to install one or more of the client applications.
  • the client applications are configured to communicate with a local wireless application server computer over a wireless network.
  • unauthorized wireless access points are detected by configuring access points and authorized mobile units to listen to all wireless traffic in its cell and report all detected wireless devices to a monitor. This monitor verifies the devices reported on a list of allowed network devices. If the reported wireless device is not an authorized device, the monitor determines whether the device is connected to the network. If said reported device is connected to the network without being an authorized device, the monitor alerts the network operator or network manager of the presence of an unwanted device connected to the network and attempts to locate and to isolate this one.
  • PCT patent application WO 04/15930 (Wavelink), a method and system for managing the configuration of mobile units in wireless local area networks.
  • the invention which is the subject of this international application, relates to a system for applying hardware and software configuration requirements to mobile units operating in wireless local area networks (WLANs).
  • WLANs wireless local area networks
  • This system allows the configuration policy to vary dynamically based on the association with the access point or subnet. Whenever a mobile device connects to a new subnet or access point, the system then calls and checks the appropriate configuration profile for the subnet or access point in question. The system thus ensures that the configuration of the mobile unit meets the requirements of the subnet used.
  • the network server may decide to fail authentication given that the workstation can not be reliable.
  • the workstation vulnerability can be repaired using a vulnerability assessment tool, which allows for further authentication.
  • a security interface provides a universal platform for coupling security modules to the network.
  • the various security modules are linked to the security interface and provide identifying information to said interface.
  • the security interface also receives requests used for coordination in the communication of the security modules.
  • a security event occurs, a message may be generated by the security module that is relevant.
  • the security interface shares the message with these security modules. The sharing of security information allows for better performance of the entire network security system.
  • WO 03/58451 Internet Security Systems
  • the invention object of this international application, relates to a system and a method for managing and controlling the execution of software programs in a computing device, for the purpose of protecting said computing device against malicious activities.
  • a system The protector uses a two-step process to prevent software programs from performing malicious activities that may damage the computing device or other computing resources to which the device is coupled. During the first phase, the protective system determines whether or not a software program has been previously authorized and attests that said software program has not been modified.
  • the security control operations will be reduced or eliminated during the execution of the software program during the second phase. If the software program can not be validated, the protective system enters the second phase and detects and observes the execution activities at the kernel level of the operating system so as to anticipate suspicious actions and fight against them. before they can damage the computer device.
  • PCT patent application WO 02/103498 a state-of-the-art reference monitor.
  • the invention of this PCT application relates to a state - of - the - art reference monitor that can be loaded into an existing commercial operating system and can then regulate access to several different types of resources.
  • This reference monitor maintains an updatable storage area, the contents of which can be used to modify access decisions, and access decisions can be based on arbitrary properties of the request.
  • the present invention intends to overcome the drawbacks of the prior art by proposing a truly innovative and original security solution based on the following concept: the pre-treatments are performed at the level of customer equipment, while in the known solutions of the state of the art, all the processing is done at the server.
  • the present invention aims to achieve, by means of a very efficient solution, an optimal security within the networks as well as for the computer stations clients, while maintaining reasonable costs and very high performance.
  • the present invention relates, in its most general sense, to a method of securing computer equipment (called client stations) connected by a computer network or a communication network and forming at least one information system, said system comprising at least one computer server, characterized in that it comprises two data correlation steps network and the system (s), the first step being implemented at the level (s) of the customer (s), by combining on the one hand system data ( of the operating system and local applications) and on the other hand, data from the network (input / output of the client station) by scanning the extent of the layers known under the name of model OSI (Open System Interconnection) of the layer called transport to the so-called application layer; the second step being implemented at the server by combining on the one hand so-called "historical” data from digital databases, other "historical” data stored in memory, for example but not necessarily statistical data, signatures or rules of the policy rules type and secondly correlation data from said first step.
  • client stations connected by a computer network or a communication network and forming at least one information system
  • the method further comprises a correlation step at the client station level on user events, the latter being considered in the executable sense.
  • said method implements the XML (eXtended Markup Language) technology.
  • the present invention also relates to a computer attack management method implementing the security method characterized in that it comprises a step of sending at least one blocking command.
  • the blocking control is intended for a router.
  • the blocking control is intended for a terminal or an access point.
  • the blocking command is intended for a firewall.
  • the blocking control is intended for one or more of said client stations or for one or more computer applications.
  • the (at least one) blocking command is limited in the time domain, by means of an administration console or in a predetermined manner.
  • the (at least one) blocking command is sent when an event meeting a specific criterion occurs, said specific criterion being for example but not necessarily a port, an application, services, services or functions. frames or packets.
  • At least a portion of said system data of said first step is defined following a step of learning the average behavior of the system.
  • said method further comprises a step of qualification by the administrator of decisions made by the system, and at least part of said "historical" data of said second step is defined following a learning step of said qualifications of the administrator.
  • the present invention also relates to a system for securing digital communications networks, comprising: at least one computer server; at least one digital database; at least one administration console implemented on a client computer station; at least one user computer station on which is installed a specific application, which has particular features of the "probe"type; said (at least one) server being connected to said (at least one) digital database, and to said (at least one) management console by a first wired (wired) communications network having a private portion and a portion thereof semi-public type DMZ (. •); said first network being connected to a network (the one that the invention proposes to secure) or to a plurality of networks by means of a "network gateway” type equipment; said user computer station being connected to said network; characterized in that
  • Said specific application transmits, periodically and / or depending on the realization of a particular event, digital data relating to the client station comprising indicators on at least one of the following parameters: i. attacks / security; ii. network reception quality; iii. malfunctions of the specific application;
  • the server comprises means for correlating, on the one hand, said digital data relating to the client station and, on the other hand, data originating from said database and / or data relating to one or more other position (s) client (s), these means providing output correlation indices; means of identifying and categorizing possible attacks on the network; means for evaluating and rating the relevance of any risks associated with the data received based on a plurality of criteria: historical (whose lengths are adjustable), comments from the administrator, etc.
  • said network is a wireless network.
  • said network is a Personal Area Network (PAN) such as for example but not necessarily Bluetooth.
  • PAN Personal Area Network
  • said wireless network is a wireless local area network (Wireless Local Area).
  • Network - W-LAN as for example but not necessarily an IEEE 802.11 type network (also known as Wi-Fi).
  • said wireless network is a Wireless Metropolitan Area Network (W-MAN) such as for example but not necessarily a WiMax type network.
  • W-MAN Wireless Metropolitan Area Network
  • said wireless network is a network of digital mobile telecommunications network type such as for example but not necessarily a network of GSM, CDMA, W-CDMA, CDMA-2000, UMTS or 4G type.
  • said digital database is a relational database management system (DBMS).
  • DBMS relational database management system
  • said administration console is capable of managing heterogeneous equipment.
  • FIG. 1 illustrates some functionalities of the method and the system according to the invention. 'invention
  • FIG. 2 illustrates the physical architecture of the system according to the invention
  • FIG. 3 illustrates the logical architecture of the system according to the invention
  • Figure 4 shows the structure of the intelligent agent according to the present invention
  • Fig. 5 shows an operating flow chart of the present invention
  • Figure 6 illustrates the operating principle of the present invention
  • FIG. 7 illustrates the system monitoring configuration implemented according to the present invention
  • Figure 8 illustrates the overall operation of adapting to a modification of the system
  • FIG. 9 illustrates the network monitoring configuration implemented according to the present invention
  • Figure 10 illustrates a static learning
  • Figure 11 illustrates a dynamic learning
  • Figure 12 illustrates how an attack cycle is managed by the system according to the present invention
  • the present invention makes it possible to achieve a solution with multiple specificities and advantages.
  • the solution according to the invention has a learning system that makes it intelligent, that is to say autonomous and able to make decisions.
  • the attacks are detected and stored in memory according to an automatic learning and / or guided.
  • a low-level analysis of network traffic (for example, wireless radio protocols) and specific attack processing make the solution dedicated to wireless (wireless) technology.
  • this solution remains distributed, in that it provides monitoring of all points of the network, as well as client computers, the server or servers, as access points on wireless network.
  • the software solution mentioned above offers a modularity that optimizes performance, allows a high scalability of the solution and allows the integration of bricks or bricks existing infrastructure.
  • the architecture used can be CORBA (Co ⁇ anon Object Reguest Broker Architecture).
  • simplified architectures that allow relatively higher performance can be implemented.
  • the present invention thus makes it possible to propose active defense and permanent management of the network by: prevention and detection of 24X7 intrusion,
  • the invention implements an autonomous identification capability of attack variants, an analysis and alert systems capable of filtering irrelevant information, an evolutionary adaptation of security policies by learning or not, a predictive analysis. malicious behavior and an adaptation of the load availability, both on the network and on each client station.
  • the system implementing the method according to the present invention comprises a server to which is associated, via a network, a historization database and an administration console, this console having administration and supervision tools.
  • this part of the network is a wired network.
  • the historization database is a database for archiving events, actions, alerts, ... that have taken place.
  • the system further comprises one or more client stations (client probes) connected to one or more networks (x), indifferently wireless or wired. These networks are interconnected to the wired administration network using routers. Any type of wireless network can be implemented, wireless networks can be identical in nature or heterogeneous in nature. In current technologies, there is a multitude of wireless network nature: Bluetooth, Wi-Fi (IEEE 802.11), WiMAX, SM, CDMA, UMTS, etc. Similarly, the present invention is not limited to only one type of network.
  • a code constituting a "hard core” is installed on each of the machines and performs at least a portion of the functionality of the present invention.
  • the "hard core” is the intelligent active kernel in the architecture illustrated in Figure 3.
  • this kernel is a low-level driver (in the core portion of the machine). : kerneland) with which is associated a process executed in the "user" part of the system of the client machine.
  • the intelligent active kernel present on the server and on each of the client stations, actively ensures the system security and performance optimization.
  • the kernel interacts with four modules: a configuration module, a protection (network and system), a monitoring (network and system) and a last for the report or retrieval of information.
  • this kernel follows a cycle during which it monitors the system and the network, detects any anomaly or external attack, makes a decision and reacts, for example in preventing future attacks.
  • a learning phase makes it possible to enrich one's knowledge.
  • FIG. 6 illustrates the general principle of the present invention.
  • a first detection phase implements the analysis of the collected system or network information.
  • the behavioral analysis of the processes defines a typical profile and any overflow of this profile entails the detection of an anomaly, the analysis of the network by several methods (ARP, fingerprinting) and the analysis by static signatures present on the server.
  • ARP authentication verification
  • fingerprinting the analysis of the network by several methods
  • static signatures present on the server.
  • the correlation of all this information allows, according to the security policies defined by the administrator, to require an action.
  • These security policies can, for example, be an autonomous security that provides low network security, strong system security, and static rules that Outlook can not open an .exe file (static system rule) and the firewall blocks Peer traffic. -to-Peer (network static rule).
  • the action may concern the defense of the client system (do not open the file), the activation of the client firewall (modification of prohibited ports) or the piloting of third-party components (modification of other machines as a preventive measure).
  • a dataset is reported back to the administrator and logged in the "logging" database.
  • the kernel performs the monitoring of the client station system. For this it is based on rules ACL (Access Control List), on static rules and on profiles (behavioral rules likely to be modified dynamically by the system) from which it makes decisions of actions on the system (alert, reaction, prevention, do nothing, ).
  • ACL Access Control List
  • profiles behavioral rules likely to be modified dynamically by the system
  • An example of a profile can be: a user who never installs a program the system will create a profile in which access to the registry is prohibited.
  • the present invention implements a learning system. This system aims to prevent and protect any form of application attacks. Protection is a simple administrator-defined Access Control List (ACL) system that will regulate, block and protect different resources. Files are protected in opening, sometimes with a restriction on read-only access. All files are affected.
  • ACL Access Control List
  • the administrator prohibits opening an .exe file in Outlook to prevent the installation of a virus.
  • the sockets are blocked when access "BIND", “CONNECT”, “ACCEPT” or "LISTEN” is requested.
  • process protection is used to prevent attempts to bind to a third-party process except through trusted processes such as explorer.exe.
  • a collection of critical system information (access to files, access to the network, loading dll, ...) is carried out to form application profiles that will determine the "good" operation of the application. These profiles are stored in local.
  • the learning system then performs a behavioral analysis of the processes. This involves learning the use and operation of a process. As a result of this learning period, a profile for each application will be created. This profile will help define the normal operation of the application. If the application comes out of this operating profile, then we suspect a more or less serious anomaly. If the anomaly is serious, then we will block the action of the program because we will suspect that this application is probably corrupt. This analysis is completely automatic and completely autonomous, no supervision is necessary.
  • a modification of the system requires the analysis of the new state of the system, the learning of this new information in order to constitute a new profile.
  • the kernel performs a monitoring of the network component of the client station. For this is set up an intrusion detection system (IDS) which is based on static signatures and an environmental network analysis by fingerprinting analysis, ARP cache and wireless aspects (for example, the environment of the access point lists_i-ccess Points AP_, the MAC addresses of the APs).
  • IDS intrusion detection system
  • ARP cache and wireless aspects (for example, the environment of the access point lists_i-ccess Points AP_, the MAC addresses of the APs).
  • the means of action are then focused on the firewall that provides protection and / or prevention depending on the decisions.
  • Controlling the "network” environment makes it possible to recognize the servers and / or the surrounding customers by means of signatures (or fingerprinting). This makes it possible to detect the type of operating system and possibly the version of the system. operating, by examining the packets exchanged using network protocols (TCP, ICMP, ARP, ).
  • This control can implement an active fingerprinting, that is to say when connecting a new entity to the network and / or passive fingerprinting, for example when a network device establishes a connection (a request) to another equipment.
  • the word processing application Word from the American company Microsoft opens only digital files with a .doc extension and it is the only application that opens the .doc.
  • This innovative feature applies to network connections, application lists for a given extension, and extension lists that an application can open.
  • rules are defined according to previously defined actions such as the injection of .dll files, the re-boot, etc.
  • the rules of learning illustrate the "intelligent" character of the system.
  • Some technical processes such as learning, behavioral analysis or profiling of subprocesses are also implemented with the aim essentially of optimizing the efficiency in terms of the necessary resources or the "performance / resources” ratio. This provides protection on new attacks, that is to say, not anticipated.
  • the administrator evaluates this response which may be to reevaluate the analysis rule in the case of static rules (FIG. ) either provide information useful for intelligent learning in the case of dynamic reassessment ( Figure 11).
  • the method according to the present invention achieves securing and optimizing the performance of the system using five processes processing alerts issued by the peripheral modules.
  • a first alert evaluation and correlation process confronts events from the low level analysis system to determine whether an alert should be issued.
  • the deductions from the event-signature reconciliation are generalized to detect variants of the causes of alerts already identified. This is a reasoning based on known cases (Case-based reasoning).
  • the evaluation can be conducted autonomously on the client station where there are signatures downloaded with the software (updates possibly available on the server), or at a second level on the server to correlate events from multiple clients.
  • the server correlates information such as the number of stations having the same attack, the type of attack, the delay between several attacks and deduces, compared to the signatures / profiles that it has in a database, called database "Historical”, if it is an attack distributed on several clients or not.
  • correlation engine improves the detection of attacks.
  • This engine is physically present at the client node of the network and at the server level.
  • the analysis consists in correlating actions involving identical predicates in a given time sequence, in order to detect a possible attack scenario.
  • the correlation is extended to confront information from different points of the network, to detect worm or denial of service attacks more quickly.
  • the action scheduling process collects the alerts issued by the previous processing, sends them to the weighting system to better qualify them, and then confronts it with the security policy rules to activate appropriate measures through the process of implementing countermeasures. This process also notifies network administrators of alerts issued and actions taken.
  • the alerts issued by the evaluation and correlation system are not always alerts relevant to the specificities of a company.
  • a weighting step, on the server then makes it possible to react to these alerts according to the practices and the constraints of administration of the network and the security of the company.
  • an expert system can process this information based on the history of the administrator's reactions to the alert or the alert family to which it belongs, and their frequency of occurrence.
  • the feedback to the server is always present even if the client station was able to handle event detection. Otherwise, the server makes its arrangements vis-à-vis the client by this step.
  • Qualification is a manual operation by which the administrator gives feedback on an event that has occurred on the network and has resulted in an automatic system response described above. For many reasons, the administrator may prefer to neglect the automated detection and prevention of a given alert, or the family to which it belongs: using other tools, enabling certain applications at the origin of the event , specific configuration of the network, ...
  • the evaluation system deals with the management of events relating to the quality of service: availability of the access points, the saturation of the frequencies, the state of the network, etc.
  • the action scheduling, weighting, and notification / qualification processes are identical to those for active security.
  • the dynamic reconfiguration of the network equipment is achieved by the execution of the measures taken by the core of the system, measures that aim to improve and optimize the operation of the network, in the first place the access points.
  • the present invention implements intricate scenarios of intrusions based on knowledge in artificial intelligence, which dissociates it from the state of the art, fond of static bases of attack signatures. The chosen solution thus makes it possible to detect variants of attacks that have never been detected and to provide the context for judging the truly malicious or innocent character of a suspicious event.
  • a feedback device (learning system) is added to allow the network administrator to progressively adapt the automated responses of the system to the specificities of the company's security and administration policy.
  • the "scenario selector" and “supervised learning” rectangles represent the key processes implementing the required artificial intelligence techniques.
  • An attack can be detected from the known scenarios (and the signatures contained in the base) and an action can then be engaged (frame 1).
  • the event can not be resolved (frame 2), the event is sent to the server and the server makes a decision and acts (frame 4). From these decisions and actions, the administrator will make a qualification (framework 3) that will be learned and integrated by the system using the intelligent process "supervised learning"
  • the method also has ancillary functions: the software is protected itself against possible attacks.
  • the smart active kernel can be composed of a "low level" part and a part
  • a client station is not necessarily connected to a computer network and in particular is not necessarily permanently connected to a server.
  • the client can connect to discrete (not continuous) instants to the server that contains data (new rules). For example, we can imagine the case in which the user returns to the office once a week and connects for updates.
  • the present invention allows active protection at both the system level and the network level of the client station. Since the extension is not connected to a corporate network, there is no server. The steps of correlation and weighting by the server are therefore not carried out but the system profiles, the static rules can always be implemented locally (on the client machine).

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

La présente invention se rapporte à un procédé de sécurisation d'équipements informatiques (dits postes clients) reliés par un réseau informatique ou un réseau de communication et formant au moins un système d'informations, ledit système comportant au moins un serveur informatique, caractérisé en ce qu'il comporte deux étapes de corrélation de données numériques relatives à la sécurité du réseau et du ou bien des système(s). La présente invention se rapporte également à un système de sécurisation de réseaux de communications numériques sans-fil.

Description

SYSTÈME ET PROCEDES DE SÉCURISATION DE POSTES INFORMATIQUES ET/OU DE RÉSEAUX DE COMMUNICATIONS
La présente invention se rapporte au domaine des systèmes d'information et de communication.
La présente invention se rapporte plus particulièrement au domaine de la sécurité des systèmes d'information et de communication.
On connaît dans l'état de la technique, de nombreux systèmes et procédés dont le but est d'améliorer la sécurité des réseaux ou des systèmes informatiques.
Il est proposé, dans la demande de brevet' PCT WO 03/092242 (IBM), un procédé et système de reconfiguration dynamique de chiffrement suite à la détection d'une intrusion. Si un écouteur clandestin d'écoute adjacente à un LAN sans fil est susceptible de se déplacer en agissant sur un court cycle de temps, il est susceptible de transmettre sans fil son message test. Par conséquent, l'invention fournit l'association de l'appareil d'écoute clandestine dans une couche à zone adjacente et entourant la périphérie de la zone LAN pour les éventuelles transmissions sans fil d'un intrus ayant une basse fréquence inférieure à la fréquence LAN et adressé à la localisation réseau d'un terminal d'ordinateur quelconque du LAN, et d'une application en réaction à ce moyen d'écoute clandestine pour changer le code de chiffrement de cette transmission sans fil codée suite à la détection d'une écoute clandestine d'une transmission sans fil de cette basse fréquence adressée à une localisation de réseau d'un terminal quelconque de ce LAN. Plusieurs facteurs contribuent au succès du processus de l'invention. Il est probable que 1 ' intrus doive envoyer son message à une fréquence inférieure à la fréquence 2,4 GHz des transmissions de la zone LAN puisqu'il doit probablement atteindre une tour l'
station de base sur une distance étendue plus grande que celle de la fonction LAN sans fil cible adjacente. Cela garantit que l'écoute clandestine de la présente invention se fera à une basse fréquence et donc ne sera pas parasitée par les transmissions internes au LAN.
L'art antérieur connaît également, par la demande de brevet PCT WO 01/39379 (TGB Internet), un procédé automatique de détection et de déviation des intrusions dans un réseau. L'invention de cette demande de brevet PCT concerne un procédé et un système permettant de sécuriser un réseau. Ledit procédé consiste au moins à identifier l'utilisateur non autorisé qui tente d'accéder à un noeud du réseau, puis, de préférence, à bloquer activement toute autre activité de la part de cet utilisateur non autorisé. La procédure de détection est facilitée du fait que l'utilisateur non autorisé fournit une marque distinctive, ou des données fausses conçues à cet effet, que l'utilisateur non autorisé rassemble lors de la phase de collecte des informations préalablement à une attaque. La marque distinctive est conçue de manière que toute tentative d'utilisation de ces données fausses par l'utilisateur non autorisé entraîne identification immédiate de l'utilisateur non autorisé comme utilisateur hostile, et indique qu'il y a eu tentative d'intrusion dans le réseau. De préférence, tout nouvel accès au réseau est alors bloqué, le trafic arrivant de l'utilisateur non autorisé étant dévié vers une zone sécurisée, où les activités de l'utilisateur non autorisé peuvent être contenues sans que cela n'affecte le réseau. On connaît également, dans l'état de la technique, le brevet américain US 6 578 147 (CISCO) qui porte sur des capteurs pour la détection d'intrusions en parallèle avec un équilibre de charge (ou « load balancing ») dans des réseaux hauts débits. Un procédé et un système pour détecter des signatures non autorisées vers ou à partir d'un réseau local l'
sont décrits dans ce brevet américain. De multiples capteurs sont connectés à un dispositif d'interconnexion, qui peut être un routeur ou un commutateur. Les capteurs fonctionnent en parallèle et chacun reçoit une partie du trafic à travers le dispositif d'interconnexion, à un niveau basé sur la session ou à un niveau plus bas (basé sur le paquet). En fonction du type de dispositif d'interconnexion (routeur ou commutateur), le mécanisme d'équilibrage de charge (load balancing) qui distribue les paquets peut être interne ou externe au dispositif d'interconnexion. De plus, en fonction du niveau de distribution de paquets (basé sur la session ou basé sur le paquet), les capteurs partagent un analyseur de réseau (dans le cas « basé sur la session ») ou à la fois un analyseur de réseau et un analyseur de session (dans le cas « basé sur le paquet»).
Il est également proposé, dans la demande de brevet PCT WO 03/21851 (Newbury Networks), un procédé et système de détection de position et de localisation dans un réseau sans fil. L'invention de cette demande de brevet PCT concerne un système et un procédé permettant de réaliser une détection de position et un repérage de mouvement en temps réel de dispositifs de communications mobiles se déplaçant dans un espace défini comportant plusieurs paramètres de lieux. Plusieurs points d'accès sont disposés dans ledit espace de manière à fournir une interface entre les dispositifs mobiles et un réseau ayant une fonctionnalité et des données disponibles ou accessibles à partir de ces dispositifs. La connaissance de la contiguïté des paramètres des lieux peut être utilisée pour mieux déterminer emplacement du dispositif mobile lorsqu'il transite entre de tels paramètres, un retour de l'information pouvant être fourni afin de surveiller l'état et la configuration des points d' accès.
L'art antérieur connaît également, par la demande de brevet PCT WO 03/023555 (Wavelink), un système sans fil à déploiement Internet. L' invention décrite dans cette demande de brevet PCT concerne un système sans fil à déploiement Internet comprenant un programme serveur d'application configuré de manière à être téléchargé et exécuté sur un ou plusieurs ordinateurs de serveur d'application sans fil à distance. Le programme serveur d'application est également configuré de manière à faire en sorte qu'un ou plusieurs ordinateurs de serveur d'application à distance téléchargent et installent un ou plusieurs composants logiciels d'application sans fil. Le programme serveur d'application est en outre configuré de manière à transmettre à un ou plusieurs dispositifs portables une ou plusieurs applications clients et à faire en sorte qu'un ou plusieurs des dispositifs portables installent une ou plusieurs des applications clients. Les applications clients sont configurées de manière à communiquer avec un ordinateur de serveur d'application sans fil local via un réseau sans fil.
L'art antérieur connaît également, par la demande de brevet PCT WO 04/04235 (Wavelink), un système et procédé de détection de points d'accès sans-fil non autorisés. Selon 1' invention décrite et revendiquée dans cette demande internationale, des points d'accès sans-fil non autorisés sont détectés par configuration de points d'accès et d'unités mobiles autorisés permettant d'écouter la totalité du trafic sans fil dans sa cellule et de signaler tous les dispositifs sans fil détectés à un moniteur. Ce moniteur vérifie les dispositifs signalés sur une liste de dispositifs réseau autorisés. Si le dispositif sans fil signalé n'est pas un dispositif autorisé, le moniteur détermine si celui-ci est connecté au réseau. Si ledit dispositif signalé est connecté au réseau sans être un dispositif autorisé, le moniteur alerte l'opérateur réseau ou gestionnaire réseau de la présence d'un dispositif indésirable connecté au réseau et tente de localiser et d'isoler celui-ci.
On connaît également dans l'état de la technique, par la demande de brevet PCT WO 04/15930 (Wavelink), un procédé et système de gestion de configuration d'unités mobiles dans des réseaux locaux sans-fil. L'invention, objet de cette demande internationale, concerne un système permettant d' appliquer les exigences de configuration de matériel et de logiciel sur des unités mobiles fonctionnant dans des réseaux locaux sans fil (WLAN) . Ce système permet à la politique de configuration de varier de façon dynamique en fonction de l'association avec le point d'accès ou le sous- réseau. Chaque fois qu'une unité mobile se connecte à un nouveau sous-réseau ou point d'accès, le système appelle puis vérifie le profil de configuration approprié pour le sous-réseau ou le point d'accès en question. Le système veille ainsi à ce que la configuration de l'unité mobile satisfasse aux exigences du sous-réseau utilisé.
On connaît également, dans l'état de la technique, par la demande de brevet européen EP 1 311 921 (Internet Security Systems), un procédé et un appareil d'évaluation et d' authentification de réseau. L'invention décrite et revendiquée dans cette demande de brevet européen concerne l'assurance à donner à l'utilisateur qu'un ordinateur en réseau est sécurisé, d'ordinaire avant l'ouverture d'une session, ce que l'on peut réaliser en étendant le processus local de cette ouverture de façon à effectuer une évaluation d'hôte du poste de travail avant de demander les références de l'utilisateur. Si l'évaluation révèle une vulnérabilité, le processus d'ouverture de session peut informer l'utilisateur que l'intégrité de la machine est, ou peut être, compromise, ou réparer ladite vulnérabilité, avant l'exécution de l'ouverture de la session. En procédant à 1'évaluation de la vulnérabilité au niveau du poste de travail, un serveur de réseau peut déterminer si ledit poste de travail constitue une plate-forme "fiable" qui permet l'
d'accepter des demandes d'authentification. Si l'évaluation de la vulnérabilité révèle que l'intégrité du poste de travail est compromise, ou si la probabilité de compromission a distance est élevée, le serveur de réseau peut décider de faire échec à authentification compte tenu du fait que le poste de travail ne peut être fiable. Eventuellement, la vulnérabilité du poste de travail peut être réparée à l'aide d'un outil d'évaluation de la vulnérabilité, ce qui permet de poursuivre 1' authentification
On connaît également, dans l'art antérieur, par la demande de brevet américain US 2002/0184532 (Internet Security Systems) , un procédé et un système pour implémenter des dispositifs de sécurité dans un réseau informatique distribué. Une interface de sécurité fournit une plate-forme universelle pour coupler des modules de sécurité au réseau. Les différents modules de sécurité sont liés à l'interface de sécurité et fournissent une information identifiante à ladite interface. L'interface de sécurité reçoit également des requêtes utilisées pour la coordination dans la communication des modules de sécurité. Lorsqu'un événement de sécurité se produit, un message peut être généré par le module de sécurité qui est pertinent. L'interface de sécurité partage le message avec ces modules de sécurité. Le partage des informations de sécurité permet de meilleures performances de tout le système de sécurité du réseau.
On connaît également, dans l'art antérieur, par la demande de brevet WO 03/58451 (Internet Security Systems), un système et procédé pour contrôler, de manière dirigée, la sécurité de processus dans un système informatique. L'invention, objet de cette demande internationale, concerne un système et un procédé pour gérer et contrôler l'exécution de programmes logiciels dans un dispositif informatique, dans le but de protéger ledit dispositif informatique contre des activités malveillantes. Selon l'invention, un système protecteur fait appel à un procédé comprenant deux étapes et permettant d'éviter que des programmes logiciels accomplissent des activités malveillantes risquant d'endommager le dispositif informatique ou d'autres ressources informatiques auxquelles le dispositif est couplé. Au cours de la première phase, le système protecteur détermine si un programme logiciel a été autorisé ou non auparavant et atteste que ledit programme logiciel n'a pas été modifié. Si le logiciel est validé lors de la première phase, les opérations de contrôle de sécurité seront réduites ou supprimées lors de l'exécution du programme logiciel au cours de la deuxième phase. Si le programme logiciel ne peut être validé, le système protecteur entre dans la deuxième phase et détecte et observe les activités d'exécution au niveau du noyau du système d'exploitation de façon à permettre d'anticiper des actions suspectes et de lutter contre ces dernières avant qu'elles puissent endommager le dispositif informatique.
L'art antérieur connaît également, par la demande de brevet PCT WO 02/103498 (Okena) , un moniteur de référence avec état. L' invention de cette demande PCT concerne un moniteur de référence avec état, pouvant être chargé dans un système d'exploitation commercial existant, et pouvant ensuite réguler l'accès à plusieurs types différents de ressources. Ce moniteur de référence permet de maintenir une zone de stockage pouvant être mise à jour, dont le contenu peut être utilisé pour modifier des décisions d'accès, et des décisions d'accès peuvent être fondées sur des propriétés arbitraires de la demande.
Enfin, on connaît également, dans l'art antérieur, la demande de brevet PCT WO 02/103960 (Okena) qui se rapporte au traitement d'événements repartis avec état et sécurité adaptative. L'invention de cette demande internationale concerne un procédé et un appareil permettant de maintenir/préserver la sécurité d'un système informatique en réseau comprenant des premier et deuxième noeuds et un serveur de traitement des événements, le procédé se déroulant de la manière suivante : les premier et deuxième noeuds détectent des changements d'état, le serveur de traitement des événements reçoit une notification des changements d'état, envoyée par les premier et deuxième noeuds, le serveur de traitement d'événements corrèle les changements d'état détectés dans les premier et deuxième noeuds et le serveur de traitement d'événements exécute une décision de maintenance qui affecte les premier et deuxième noeuds. La détection, la transmission, la corrélation et l'exécution se produisent sans aucune intervention humaine.
La présente invention entend remédier aux inconvénients de l'art antérieur en proposant une solution de sécurisation réellement innovante et originale en s'appuyant sur le concept suivant : les pré-traitements sont réalisés au niveau des équipements clients, alors que dans les solutions connues de l'état de la technique, tous les traitements sont effectués au niveau du serveur.
La présente invention vise à atteindre, au moyen d'une solution très efficace, une sécurité optimale au sein des réseaux ainsi que pour les postes informatiques clients, tout en conservant des coûts raisonnables et des performances très élevées.
À cet effet, la présente invention concerne, dans son acception la plus générale, un procédé de sécurisation d'équipements informatiques (dits postes clients) reliés par un réseau informatique ou un réseau de communication et formant au moins un système d'informations, ledit système comportant au moins un serveur informatique, caractérisé en ce qu'il comporte deux étapes de corrélation de données numériques relatives à la sécurité du réseau et du ou bien des système(s), la première étape étant mise en œuvre au niveau du (ou des) poste(s) client(s), en combinant d'une part des données système (du système d'exploitation et des applications en local) et d'autre part, des données issues du réseau (entrées/sorties du poste client) en balayant l'étendue des couches connues sous la dénomination de modèle OSI (Open System Interconnection) de la couche dite transport à la couche dite applicative ; la seconde étape étant mise en œuvre au niveau du serveur en combinant d'une part des données dites « historiques» issues de bases de données numériques, d'autres données « historiques » stockées en mémoire, par exemple mais non nécessairement des données statistiques, des signatures ou des règles de type policy rules et d'autre part des données de corrélation issues de ladite première étape.
De préférence, le procédé comporte en outre une étape de corrélation au niveau du poste client sur des événements utilisateurs (ou user events) , ces derniers étant considérés au sens de l'exécutable.
Avantageusement, ledit procédé met en œuvre la technologie XML (eXtended Markup Language) .
La présente invention se rapporte également à un procédé de gestion d'attaques informatiques mettant en œuvre le procédé de sécurisation caractérisé en ce qu'il comporte une étape consistant à envoyer au moins une commande de blocage. Selon une première variante, la commande de blocage est destinée à un routeur.
Selon une seconde variante, la commande de blocage est destinée à une borne ou un point d'accès.
Selon une autre variante, la commande de blocage est destinée à un pare-feu (firewall) . Selon d'autres variantes particulièrement avantageuses, la commande de blocage est destinée à un ou plusieurs desdits postes clients ou bien à une ou plusieurs applications informatiques. Avantageusement, la (au moins une) commande de blocage est bornée dans le domaine temporel, au moyen d'une console d'administration ou bien de façon prédéterminée.
Selon un mode de mise en œuvre particulier, la (au moins une) commande de blocage est envoyée lorsqu'un événement répondant à un critère spécifique survient, ledit critère spécifique étant par exemple mais non nécessairement un port, une application, des services, des trames ou des paquets.
De préférence, une partie au moins desdites données système de ladite première étape est définie suite à une étape d'apprentissage du comportement moyen du système.
Avantageusement, ledit procédé comporte, en outre, une étape de qualification, par l'administrateur, des décisions prises par le système, et une partie au moins desdites données « historiques » de ladite seconde étape est définie suite à une étape d'apprentissage desdites qualifications de 1'administrateur.
La présente invention se rapporte également à un système de sécurisation de réseaux de communications numériques, comportant : au moins un serveur informatique ; au moins une base de données numériques ; - au moins une console d'administration mise en œuvre sur un poste informatique client ; au moins un poste informatique utilisateur sur lequel est installé un applicatif spécifique, qui possède notamment des fonctionnalités du type « sonde » ; ledit (au moins un) serveur étant connecté à ladite (au moins une) base de données numériques, et à ladite (au moins une) console d'administration par un premier réseau de communications câblé (filaire) comportant une partie privée et une partie semi-publique de type DMZ ( . • ) ; ledit premier réseau étant relié à un réseau (celui que l'invention se propose de sécuriser) ou à une pluralité de réseaux au moyen d'un équipement de type « passerelle réseau » ; ledit poste informatique utilisateur étant connecté audit réseau ; caractérisé en ce que
• ledit applicatif spécifique émet, de façon périodique et/ou en fonction de la réalisation d'un événement particulier, des données numériques relatives au poste client comportant des indicateurs sur au moins un des paramètres suivants : i. attaques / sécurité; ii. qualité de réception du réseau ; iii. dysfonctionnements de l'applicatif spécifique ;
• le serveur comporte des moyens pour corréler d'une part lesdites données numériques relatives au poste client et d'autre part des données issues de ladite base de données et/ou des données relatives à un ou plusieurs autre(s) poste(s) client(s), ces moyens fournissant en sortie des indices de corrélations ; des moyens d'identifier et de catégoriser d'éventuelles attaques sur le réseau ; des moyens d'évaluation et de notation de la pertinence d'éventuels risques liés aux données reçues en se basant sur une pluralité de critères : historiques (dont les longueurs sont ajustables), commentaires de l'administrateur, ...
De préférence, ledit réseau est un réseau sans-fil. l'l'
Selon une première variante, ledit réseau est un réseau de type personnel (Personal Area Network - PAN) comme par exemple mais non nécessairement Bluetooth.
Selon une seconde variante, ledit réseau sans-fil est un réseau de type réseau local sans-fil (Wireless Local Area
Network — W-LAN) comme par exemple mais non nécessairement un réseau de type IEEE 802.11 (également connu sous la dénomination de Wi-Fi).
Selon une troisième variante, ledit réseau sans-fil est un réseau de type réseau métropolitain sans-fil (Wireless Metropolitan Area Network — W-MAN) comme par exemple mais non nécessairement un réseau de type WiMax.
Selon une quatrième variante, ledit réseau sans-fil est un réseau de type réseau de télécommunications mobiles numériques comme par exemple mais non nécessairement un réseau de type GSM, CDMA, W-CDMA, CDMA-2000, UMTS ou 4G.
Avantageusement, ladite base de données numériques est un SGBD (Système de Gestion de Bases de Données) relationnel.
De préférence, ladite console d'administration est capable de gérer des équipements hétérogènes.
On comprendra mieux invention à aide de la description, faite ci-après à titre purement explicatif, d'un mode de réalisation de l'invention, en référence aux figures annexées où : la figure 1 illustre quelques fonctionnalités du procédé et du système selon l'invention; - la figure 2 illustre l'architecture physique du système selon l'invention ; la figure 3 illustre l'architecture logique du système selon l'invention ; la figure 4 représente la structure de l'agent intelligent selon la présente invention ; la figure 5 présente un ordinogramme de fonctionnement de la présente invention ; la figure 6 illustre le principe de fonctionnement de la présente invention ; - la figure 7 illustre la configuration de surveillance système mise en œuvre selon la présente invention ; la figure 8 illustre le fonctionnement global d'adaptation à une modification du système ; - la figure 9 illustre la configuration de surveillance réseau mise en œuvre selon la présente invention ; la figure 10 illustre un apprentissage statique ; la figure 11 illustre un apprentissage dynamique ; et la figure 12 illustre la façon dont un cycle d'attaque est géré par le système selon la présente invention ;
La présente invention permet de réaliser une solution aux multiples spécificités et avantages.
Comme illustré par la figure 1, la sécurisation et la gestion des réseaux, de préférence sans fil, peuvent être intégrées dans une unique solution. La réalisation de l'invention sous forme logicielle réduit ainsi considérablement le TCO ( Total Cost of
Ownership) pour les acquéreurs.
La solution selon l'invention présente un système d'apprentissage qui la rend intelligente, c'est-à-dire autonome et capable de prendre des décisions. Ainsi les attaques sont détectées et conservées en mémoire selon un apprentissage automatique et/ou guidé. Ceci induit une réduction du nombre de fausses alertes ainsi qu'un accroissement du taux de détection des attaques. Une analyse de bas niveau du trafic réseau (par exemple, au niveau des protocoles sans-fil radio) et un traitement des attaques spécifiques rendent la solution dédiée à la technologie wireless (sans-fil). Bien que spécifique, cette solution reste distribuée, en ce qu'elle assure une surveillance de tous les points du réseau, aussi bien des postes clients, du ou des serveurs, que des points d'accès sur réseau wireless.
La solution logicielle évoquée précédemment offre une modularité qui optimise les performances, autorise une forte évolutivité de la solution et permet l'intégration de briques ou aux briques d'infrastructures existantes. Pour ce faire, l'architecture utilisée peut être CORBA (Coπanon Object Reguest Broker Architecture) . Cependant, des architectures simplifiées qui permettent des performances relativement supérieures peuvent être implémentées.
La présente invention permet ainsi de proposer une défense active et une gestion permanente du réseau par : - la prévention et la détection d'intrusion 24X7,
- la surveillance et la gestion permanentes des performances, fautes, configurations du réseau et équipements,
- la distribution automatique des processus de surveillance dans tous les points du réseau (agents et sondes) .
Pour cela l'invention met en œuvre une capacité de repérage autonome des variantes d'attaques, une analyse et des systèmes d'alertes capables de filtrer les informations non pertinentes, une adaptation évolutive des politiques de sécurités par apprentissage ou non, une analyse prédictive des comportements malveillants et une adaptation de la disponibilité de charge, aussi bien sur le réseau que sur chaque poste client. En référence à la figure 2, le système mettant en œuvre le procédé selon la présente invention comprend un serveur auquel sont associées, par le biais d'un réseau, une base de données d'historisation et une console d'administration, cette console disposant d'outils d'administration et de supervision. Selon un mode de réalisation, cette partie du réseau est un réseau câblé. La base de données d'historisation est une base d'archivage des événements, des actions, des alertes, ... qui ont eu lieu.
Le système comprend en outre un ou des postes clients (sondes client) connecté(s) à un ou plusieurs réseau(x), indifféremment sans-fil ou filaires. Ces réseaux sont interconnectés au réseau câblé d'administration à l'aide de routeurs. Tout type de réseau sans-fil peut être implémenté, les réseaux sans-fil pouvant être de nature identique ou de nature hétérogène. On compte, dans les technologies actuelles, une multitude de nature de réseau sans-fil : Bluetooth, Wi-fi (IEEE 802.11), WiMax, SM, CDMA, UMTS, ... De même, la présente invention ne se limite pas à un seul type de réseau.
Dans un mode de réalisation, un code constituant un « noyau dur » est installé sur chacune des machines et réalise au moins une partie des fonctionnalités de la présente invention. Le « noyau dur » est le noyau actif intelligent dans l'architecture illustrée par la figure 3. Dans un mode de réalisation illustré par la figure 4, ce noyau est un pilote (driver) de bas niveau (dans la partie noyau de la machine : kerneland) auquel est associé un processus exécuté dans la partie « utilisateur » (userland) du système de la machine cliente.
Le noyau actif intelligent, présent sur le serveur et sur chacun des postes clients, assure, de façon active, la sécurité du système et l'optimisation des performances. Pour cela, le noyau interagit avec quatre modules : un module de configuration, un de protection (du réseau et du système), un de surveillance (du réseau et du système) et un dernier pour le rapport ou la récupération des informations.
En référence à la figure 5, ce noyau suit un cycle pendant lequel il surveille le système et le réseau, détecte une quelconque anomalie ou attaque extérieure, prend une décision et réagit, par exemple en prévention de futures attaques. Une phase d'apprentissage permet d'enrichir ses connaissances.
La figure 6 illustre le principe général de la présente invention. Une première phase de détection met en œuvre l'analyse des informations système ou réseau collectées. Plusieurs types d'analyse sont possibles : l'analyse comportementale des processus (système) définit un profil type et tout débordement de ce profil entraîne la détection d'une anomalie, l'analyse du réseau par plusieurs méthodes (ARP, fingerprinting) et l'analyse par des signatures statiques présentes sur le serveur. La corrélation de toutes ces informations permet, en fonction des politiques de sécurité définies par l'administrateur, de requérir une action. Ces politiques de sécurité peuvent, par exemple, être une sécurité autonome assurant une faible sécurité réseau, une forte sécurité système et des règles statiques spécifiant que Outlook ne peut ouvrir un fichier .exe (règle statique système) et que le firewall bloque le trafic Peer-to-Peer (règle statique réseau). L'action peut concerner la défense du système client (ne pas ouvrir le fichier), l'activation du firewall client (modification des ports interdits) ou le pilotage de composants tiers (modification d'autres machines à titre préventif). Un ensemble de données est remonté à l'administrateur et consigné dans la base de données d'« historisation ».
En référence à la figure 7, le noyau réalise la surveillance du système du poste client. Pour cela il se base sur des règles ACL (Liste de contrôle d'accès), sur des règles statiques et sur des profils (règles comportementales susceptibles d'être modifiées de façon dynamiques par le système) à partir desquels il prend des décisions d'actions sur le système (alerte, réaction, prévention, ne rien faire, ...). Un exemple de profil peut être : à un utilisateur qui n'installe jamais de programme le système créera un profil dans lequel les accès à la base des registres sont interdits. Selon un mode de réalisation, la présente invention met en œuvre un système d'apprentissage. Ce système a pour but de prévenir et de protéger toute forme d'attaques applicatives. La protection est un système de liste de contrôle d'accès (ACL) simple défini par l'administrateur qui va réguler, bloquer et protéger différentes ressources. Les fichiers sont protégés en ouverture, avec parfois une restriction à un accès en lecture seule. Tous les fichiers sont concernés. Par exemple, l'administrateur interdit l'ouverture d'un fichier .exe dans Outlook afin d'éviter l'installation d'un virus. Les sockets sont quant à elles bloquées lorsqu'un accès « BIND », « CONNECT », « ACCEPT » ou « LISTEN » est demandé. La protection des processus consiste, par exemple, à empêcher toute tentative de rattachement à un processus tiers sauf par l'intermédiaire de processus de confiance comme explorer.exe.
Dans un premier temps, une collecte des informations systèmes critiques (accès aux fichiers, accès au réseau, chargement de dll, ...) est réalisée pour constituer des profils applicatifs qui détermineront le « bon » fonctionnement de l'application. Ces profils sont stockés en local. Le système d'apprentissage réalise alors une analyse comportementale des processus. Cela consiste à apprendre l'utilisation et le fonctionnement d'un processus. A la suite de cette période d'apprentissage, un profil pour chaque application va être créé. Ce profil va permettre de définir le fonctionnement normal de l'application. Si l'application sort de ce profil de fonctionnement, on suspecte alors une anomalie plus ou moins grave. Si l'anomalie est sérieuse, on va alors bloquer l'action du programme car on va suspecter que cette application est probablement corrompue. Cette analyse est totalement automatique et complètement autonome, aucune supervision n'est nécessaire.
En référence à la figure 8, une modification du système nécessite l'analyse du nouvel état du système, l'apprentissage de ces nouvelles informations afin de constituer un nouveau profil.
De façon similaire, en référence à la figure 9, le noyau réalise une surveillance de la composante réseau du poste client. Pour cela est mis en place un système de détection d'intrusion (IDS) qui se base sur des signatures statiques et une analyse environnementale du réseau par analyse de fingerprinting, de cache ARP et des aspects wireless (sans-fil) (par exemple, l'environnement des listes de points d'accès_i-ccess Points AP_, les adresses MAC des AP). Les moyens d'action se concentrent alors sur le pare- feu (firewall) qui réalise la protection et/ou la prévention en fonction des décisions.
Le contrôle de l'environnement « réseau » permet de reconnaître les serveurs et/ou les clients environnants, grâce à des signatures (ou fingerprinting) . Ceci permet notamment de procéder à la détection du type système d'exploitation et éventuellement de la version du système d'exploitation, en examinant les paquets échangés au moyen de protocoles réseaux (TCP, ICMP, ARP, ...) . Ce contrôle peut mettre en œuvre un fingerprinting actif, c'est-à-dire lors de la connexion d'une nouvelle entité au réseau et/ou un fingerprinting passif, par exemple lorsqu'un équipement du réseau établit une connexion (une demande) à un autre équipement.
On peut distinguer trois types de règles qui conditionnent les réactions du système aux attaques.
En premier lieu, on trouve des règles d'actions autorisées. Par exemple, l'application de traitement de texte Word de la société américaine Microsoft (Marque Déposée) ouvre uniquement des fichiers numériques comportant une extension .doc et c'est la seule application qui ouvre les .doc. Cette fonctionnalité innovante s'applique aux connexions réseaux, aux listes d'applications pour une extension donnée ainsi qu'aux listes d'extensions que peut ouvrir une application. Ensuite, des règles sont définies selon des actions définies au préalable comme par exemple l'injection de fichiers .dll, le re-boot, etc..
Enfin les règles d'apprentissage illustrent le caractère « intelligent » du système. Certains processus techniques du type apprentissage, analyse comportementale ou profiling des sous-processus sont également mis en œuvre dans le but essentiellement d'optimiser l'efficacité en termes de ressources nécessaires ou, de ratio « performances / ressources ». Ceci permet d'obtenir une protection sur des attaques nouvelles, c'est-à-dire non anticipées. En référence aux figures 10 et 11, suite à la détection d'une attaque et à l'action en réponse, l'administrateur évalue cette réponse qui peut soit consister à réévaluer la règle d'analyse dans le cas de règles statiques (figure 10) soit à fournir des informations utiles à l'apprentissage intelligent dans le cas d'une réévaluation dynamique (figure 11).
Le procédé selon la présente invention réalise la sécurisation et l'optimisation des performances du système à l'aide de cinq processus traitant les alertes émises par les modules périphériques.
En ce qui concerne la sécurisation active du système un premier processus d'évaluation et de corrélation des alertes confronte les événements issus du système d'analyse de bas niveau afin de déterminer si une alerte doit être émise. Les déductions tirées du rapprochement événements- signatures sont généralisées afin de détecter des variantes des causes d'alertes déjà identifiées. Il s'agit d'un raisonnement basé sur les cas connus (Case-based reasoning) . L'évaluation peut être menée en autonome sur le poste client où se trouvent des signatures téléchargées avec le logiciel (mises à jour éventuellement disponibles sur le serveur), ou à un deuxième niveau sur le serveur afin de corréler des événements issus de plusieurs clients. Le serveur corrèle des informations telles que le nombre de poste ayant la même attaque, le type d'attaque, le délai entre plusieurs attaques et en déduit, par rapport aux signatures/profils dont il dispose dans une base de données, dite base de données « historiques », s'il s'agit d'une attaque distribuée sur plusieurs clients ou non.
L'utilisation d'un moteur de corrélation permet d'améliorer la détection des attaques. Ce moteur est présent physiquement au niveau du poste client du réseau et au niveau du serveur. Au niveau du client, l'analyse consiste à corréler les actions portant sur des prédicats identiques dans une séquence temporelle donnée, afin d'y détecter un possible scénario d'attaque. Au niveau du serveur, la corrélation est étendue de façon à confronter des informations provenant de différents points du réseau, afin de détecter plus rapidement des attaques de type ver ou déni de service.
Au cœur du système de sécurité active, le processus d'ordonnancement des actions collecte les alertes émises par le traitement précédent, les adresse au système de pondération afin de mieux les qualifier, puis le confronte aux règles de la politique de sécurité afin d'activer les mesures appropriées par le processus d'exécution des contre- mesures. Ce processus notifie également les administrateurs du réseau des alertes émises et des actions entreprises.
Les alertes émises par le système d'évaluation et de corrélation ne sont pas tout le temps des alertes pertinentes au regard des spécificités d'une entreprise. Une étape de pondération, sur le serveur, permet alors de réagir à ces alertes en fonction des pratiques et des contraintes d'administration du réseau et de la sécurité de l'entreprise. Dans ce dessein, un système expert peut traiter ces informations en fonction de l'historique des réactions de l'administrateur à l'alerte ou la famille d'alertes à laquelle elle appartient, et de leur fréquence d'apparition. La remontée d'informations au serveur est toujours présente même si le poste client a pu traiter la détection d'événement. Dans le cas contraire, le serveur prend ses dispositions vis-à-vis du poste client par cette étape.
S'en suit l'exécution des mesures prises par le cœur du système (le traitement des contre-mesures) consistant à mettre en œuvre les contre-mesures en communiquant avec les systèmes tiers pertinents (pare-feu d'entreprise, pare-feu client, points d'accès, routeur, ...). Ces actions ou mesures peuvent être prises à titre préventif sur des équipements tiers. Le processus s'assure également de vérifier le résultat des actions entreprises et de le consigner. Enfin la notification d'une alerte est effectuée auprès de l'administrateur et/ou de l'utilisateur du poste client, dans le cas où la connexion avec le réseau est rompue temporairement. Sur ses consoles de supervision/administration, l'administrateur est alors invité à qualifier l'alerte pour enrichir les données (apprentissage) et améliorer la pertinence des réactions futures du système à des événements similaires, via le traitement de pondération. La qualification est une opération manuelle par laquelle l'administrateur donne son retour (feedback) sur un événement s'étant produit sur le réseau et ayant donné lieu à une réponse automatique du système décrit ci-dessus. Pour de nombreuses raisons, l'administrateur peut préférer négliger la détection et la prévention automatisée d'une alerte donnée, ou de la famille à laquelle elle appartient : utilisation d'autres outils, habilitation de certaines applications a l'origine de l'événement, configuration spécifique du réseau, ...
En ce qui concerne l'optimisation active des performances du système, les processus mis en jeu sont quasiment identiques bien qu'adaptés à la qualité de service plutôt qu'orientés à la gestion d'attaques.
Ainsi le système d'évaluation s'attelle à la gestion d'événements relatifs à la qualité de service : disponibilité des points d'accès, la saturation des fréquences, l'état du réseau, ...
Les processus d'ordonnancement des actions, de pondération et de notification/qualification sont identiques à ceux de la sécurité active.
La reconfiguration dynamique de l'équipement réseau est réalisée par l'exécution des mesures prises par le cœur du système, mesures qui visent à améliorer et optimiser le fonctionnement du réseau, en premier lieu les points d'accès. La présente invention met en œuvre des scénarii complexes d'intrusions basés sur les connaissances en intelligence artificielle, ce qui la dissocie de l'état de l'art, friand de bases statiques de signatures d'attaques. La solution retenue permet ainsi de détecter des variantes d'attaques qui n'ont jamais été repérées et de restituer le contexte permettant de juger le caractère véritablement malicieux ou innocent d'un événement suspect. En outre, est ajouté un dispositif de rétroaction (système d'apprentissage) permettant à l'administrateur du réseau d'adapter progressivement les réponses automatisés du système aux spécificités de la politique de sécurité et d'administration de l'entreprise.
En référence à la figure 12, les rectangles « scénario selector » et « supervised learning » représentent les processus clés implémentant les techniques d'intelligence artificielle requises. Une attaque peut être détectée à parti des scénarii connus (et des signatures contenues dans la base) et une action peut être alors engagée (cadre 1). Lorsque l'événement n'a pu être résolu (cadre 2), l'événement est envoyé au serveur et celui-ci prend une décision et agit (cadre 4). De ces décisions et actions, l'administrateur fera une qualification (cadre 3) qui sera apprise et intégrée par le système à l'aide du processus intelligent « supervised learning »
Dans un mode de réalisation particulier, le procédé possède également des fonctionnalités annexes : le logiciel est protégé lui-même contre des attaques éventuelles. Comme décrit précédemment, le noyau actif intelligent peut se composer en une partie « bas niveau » et une partie
« userland » : les modules. C'est cette deuxième partie qui est protégée car facilement accessible. Le noyau actif « bas niveau » lui offre la protection nécessaire contre les attaques et empêche ainsi la désactivation, la corruption, les modifications de configuration.
Dans un autre mode de réalisation de la présente invention, nous pourrons remarquer qu'un poste client n'est pas nécessairement relié à un réseau informatique et en particulier n'est pas nécessairement relié en permanence à un serveur. En outre, le client peut se connecter à des instants discrets (et non en continu) au serveur qui contient des données (nouvelles règles). Par exemple, on pourra imaginer le cas dans lequel l'utilisateur revient au bureau une fois par semaine et se connecte pour les mises à jour. Dans une utilisation à domicile, la présente invention permet la protection active tant au niveau système qu'au niveau réseau du poste client. Le poste n'étant pas relié à un réseau d'entreprise, il n'y a pas de serveur. Les étapes de corrélation et pondération par le serveur ne sont donc pas réalisées mais les profils système, les règles statiques peuvent toujours être implémentés en local (sur le poste client) .
L'invention est décrite dans ce qui précède à titre d'exemple. Il est entendu que l'homme du métier est à même de réaliser différentes variantes de l'invention sans pour autant sortir du cadre du brevet.

Claims

REVENDICATIONS
1. Procédé de sécurisation d'équipements informatiques (dits postes clients) reliés par un réseau informatique ou un réseau de communication et formant au moins un système d'informations, ledit système comportant au moins un serveur informatique, caractérisé en ce qu'il comporte deux étapes de corrélation de données numériques relatives à la sécurité du réseau et du ou bien des système(s), la première étape étant mise en œuvre au niveau du (ou des) poste(s) client(s), en combinant d'une part des données système et d'autre part, des données issues du réseau en balayant l'étendue des couches connues sous la dénomination de modèle OSI de la couche dite transport à la couche dite applicative ; la seconde étape étant mise en œuvre au niveau du serveur en combinant d'une part des données dites « historiques » issues de bases de données numériques, d'autres données « historiques » stockées en mémoire, par exemple mais non nécessairement des données statistiques, des signatures ou des règles de type polîcy rules et d'autre part des données de corrélation issues de ladite première étape, et en ce qu'il comprend, en outre, suite à chacune desdites deux étapes de corrélation, une étape de confrontation desdites corrélation avec des règles de politique de sécurité et une étape d'activation de contre- mesures en fonction du résultat de cette confrontation.
2. Procédé de sécurisation d'équipements informatiques selon la revendication 1, caractérisé en ce qu'il comporte en outre une étape de corrélation au niveau du poste client sur des événements utilisateurs (ou user events) , ces derniers étant considérés au sens de l'exécutable.
3. Procédé de sécurisation d'équipements informatiques selon la revendication 1 ou 2, caractérisé en ce qu'il met en œuvre la technologie XML (eXtended Markup Language) .
4. Procédé de gestion d'attaques informatiques mettant en œuvre le procédé de sécurisation selon l'une au moins des revendications précédentes, caractérisé en ce qu'une desdites contre-mesures consiste à envoyer au moins une commande de blocage.
5. Procédé de gestion d'attaques informatiques selon la revendication 4, caractérisé en ce que la commande de blocage est destinée à un routeur.
6. Procédé de gestion d'attaques informatiques selon la revendication 4, caractérisé en ce que la commande de blocage est destinée à une borne ou un point d'accès.
7. Procédé de gestion d'attaques informatiques selon la revendication 4, caractérisé en ce que la commande de blocage est destinée à un pare-feu (firewall).
8. Procédé de gestion d'attaques informatiques selon la revendication 4, caractérisé en ce que la commande de blocage est destinée à un ou plusieurs desdits postes clients.
9. Procédé de gestion d'attaques informatiques selon la revendication 4, caractérisé en ce que la commande de blocage est destinée à une ou plusieurs applications informatiques.
10. Procédé de gestion d'attaques informatiques selon l'une au moins des revendications 4 à 9, caractérisé en ce que la (au moins une) commande de blocage est bornée dans le domaine temporel, au moyen d'une console d'administration ou bien de façon prédéterminée.
11. Procédé de gestion d'attaques informatiques selon l'une au moins des revendications 4 à 10, caractérisé en ce que la (au moins une) commande de blocage est envoyée lorsqu'un événement répondant à un critère spécifique survient, ledit critère spécifique étant par exemple mais non nécessairement un port, une application, des services, des trames ou des paquets.
12. Procédé de gestion d'attaque selon l'une quelconque des revendications précédentes, caractérisé en ce qu'une partie au moins desdites données système de ladite première étape est définie suite à une étape d'apprentissage du comportement moyen du système.
13. Procédé de gestion d'attaque selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comporte, en outre, une étape de qualification, par l'administrateur, des décisions prises par le système, et caractérisé en ce qu'une partie au moins desdites données « historiques » de ladite seconde étape est définie suite à une étape d'apprentissage desdites qualifications de l'administrateur.
14. Système de sécurisation de réseaux de communications numériques, comportant : au moins un serveur informatique ; - au moins une base de données numériques ; au moins une console d'administration mise en œuvre sur un poste informatique client ; au moins un poste informatique utilisateur sur lequel est installé un applicatif spécifique, qui possède notamment des fonctionnalités du type « sonde » ; ledit (au moins un) serveur étant connecté à ladite (au moins une) base de données numériques, et à ladite (au moins une) console d'administration par un premier réseau de communications câblé (filaire) comportant une partie privée et une partie semi-publique de type DMZ ( .. ) ; ledit premier réseau étant relié à un réseau sans- fil (celui que l'invention se propose de sécuriser) ou à une pluralité de réseaux au moyen d'un équipement de type « passerelle réseau » ; ledit poste informatique utilisateur étant connecté audit réseau ; caractérisé en ce que
• ledit applicatif spécifique émet, de façon périodique et/ou en fonction de la réalisation d'un événement particulier, des données numériques relatives au poste client comportant des indicateurs sur au moins un des paramètres suivants : i. attaques / sécurité; ii. qualité de réception du réseau ; iii. dysfonctionnements de l'applicatif spécifique ;
• le serveur comporte des moyens pour corréler d'une part lesdites données numériques relatives au poste client et d'autre part des données issues de ladite base de données et/ou des données relatives à un ou plusieurs autre(s) poste(s) client(s), ces moyens fournissant en sortie des indices de corrélations ; des moyens d'identifier et de catégoriser d'éventuelles attaques sur le réseau ; des moyens d'évaluation et de notation de la pertinence d'éventuels risques liés aux données reçues en se basant sur une pluralité de critères : historiques (dont les longueurs sont ajustables), commentaires de l'administrateur, ...
15. Système de sécurisation de réseaux selon la revendication 14, caractérisé en ce que ledit réseau est un réseau sans-fil.
16. Système de sécurisation de réseaux selon la revendication 14 ou 15, caractérisé en ce que ledit réseau est un réseau de type personnel (Personal Area Network - PAN) comme par exemple mais non nécessairement Bluetooth.
17. Système de sécurisation de réseaux selon la revendication 15, caractérisé en ce que ledit réseau sans- fil est un réseau de type réseau local sans-fil (Wireless Local Area Network — W-LAN) comme par exemple mais non nécessairement un réseau de type IEEE 802.11 (également connu sous la dénomination de Wi-Fi).
18. Système de sécurisation de réseaux selon la revendication 15, caractérisé en ce que ledit réseau sans- fil est un réseau de type réseau métropolitain sans-fil (Wireless Metropolitan Area Network — W-MAN) comme par exemple mais non nécessairement un réseau de type WiMax.
19. Système de sécurisation de réseaux selon la revendication 15, caractérisé en ce que ledit réseau sans- fil est un réseau de type réseau de télécommunications mobiles numériques comme par exemple mais non nécessairement un réseau de type GSM, CDMA, W-CDMA, CDMA-2000, UMTS ou 4G.
20. Système de sécurisation de réseaux selon l'une au moins des revendications 14 à 19, caractérisé en ce que ladite base de données numériques est un SGBD (Système de Gestion de Bases de Données) relationnel.
21. Système de sécurisation de réseaux selon l'une au moins des revendications 14 à 20, caractérisé en ce que ladite console d'administration est capable de gérer des équipements hétérogènes.
PCT/FR2005/001667 2004-06-30 2005-06-30 Syteme et procedes de securisation de postes informatiques et/ou de reseaux de communications WO2006010866A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US11/631,120 US20090172821A1 (en) 2004-06-30 2005-06-30 System and method for securing computer stations and/or communication networks

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0407254A FR2872653B1 (fr) 2004-06-30 2004-06-30 Systeme et procedes de securisation de postes informatiques et/ou de reseaux de communications
FR0407254 2004-06-30

Publications (1)

Publication Number Publication Date
WO2006010866A1 true WO2006010866A1 (fr) 2006-02-02

Family

ID=34950053

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2005/001667 WO2006010866A1 (fr) 2004-06-30 2005-06-30 Syteme et procedes de securisation de postes informatiques et/ou de reseaux de communications

Country Status (3)

Country Link
US (1) US20090172821A1 (fr)
FR (1) FR2872653B1 (fr)
WO (1) WO2006010866A1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102775271A (zh) * 2006-07-14 2012-11-14 拜尔农作物科学股份公司 由卤代苯衍生物制备烷基n-酰苯胺的方法

Families Citing this family (116)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7970899B2 (en) * 2006-03-03 2011-06-28 Barracuda Networks Inc Integrated data flow packet admission and traffic management apparatus
US8515912B2 (en) 2010-07-15 2013-08-20 Palantir Technologies, Inc. Sharing and deconflicting data changes in a multimaster database system
US8688749B1 (en) 2011-03-31 2014-04-01 Palantir Technologies, Inc. Cross-ontology multi-master replication
US7962495B2 (en) 2006-11-20 2011-06-14 Palantir Technologies, Inc. Creating data in a data store using a dynamic ontology
US8930331B2 (en) 2007-02-21 2015-01-06 Palantir Technologies Providing unique views of data based on changes or rules
US8176146B2 (en) * 2007-12-14 2012-05-08 At&T Intellectual Property I, Lp Providing access control list management
US20090204702A1 (en) * 2008-02-08 2009-08-13 Autiq As System and method for network management using self-discovering thin agents
US10747952B2 (en) 2008-09-15 2020-08-18 Palantir Technologies, Inc. Automatic creation and server push of multiple distinct drafts
US8522020B2 (en) * 2009-12-03 2013-08-27 Osocad Remote Limited Liability Company System and method for validating a location of an untrusted device
US8744490B2 (en) 2009-12-03 2014-06-03 Osocad Remote Limited Liability Company System and method for migrating agents between mobile devices
WO2012143941A2 (fr) * 2011-04-18 2012-10-26 Ineda Systems Pvt. Ltd Partage d'interface sans fil
US9547693B1 (en) 2011-06-23 2017-01-17 Palantir Technologies Inc. Periodic database search manager for multiple data sources
US8799240B2 (en) 2011-06-23 2014-08-05 Palantir Technologies, Inc. System and method for investigating large amounts of data
US8732574B2 (en) 2011-08-25 2014-05-20 Palantir Technologies, Inc. System and method for parameterizing documents for automatic workflow generation
US11587172B1 (en) * 2011-11-14 2023-02-21 Economic Alchemy Inc. Methods and systems to quantify and index sentiment risk in financial markets and risk management contracts thereon
US8782004B2 (en) * 2012-01-23 2014-07-15 Palantir Technologies, Inc. Cross-ACL multi-master replication
US9081975B2 (en) 2012-10-22 2015-07-14 Palantir Technologies, Inc. Sharing information between nexuses that use different classification schemes for information access control
US9348677B2 (en) 2012-10-22 2016-05-24 Palantir Technologies Inc. System and method for batch evaluation programs
US9501761B2 (en) 2012-11-05 2016-11-22 Palantir Technologies, Inc. System and method for sharing investigation results
US9326145B2 (en) 2012-12-16 2016-04-26 Aruba Networks, Inc. System and method for application usage controls through policy enforcement
US9679131B2 (en) * 2013-01-25 2017-06-13 Cybereason Inc. Method and apparatus for computer intrusion detection
US9898167B2 (en) 2013-03-15 2018-02-20 Palantir Technologies Inc. Systems and methods for providing a tagging interface for external content
US8930897B2 (en) 2013-03-15 2015-01-06 Palantir Technologies Inc. Data integration tool
US8868486B2 (en) 2013-03-15 2014-10-21 Palantir Technologies Inc. Time-sensitive cube
US8788405B1 (en) 2013-03-15 2014-07-22 Palantir Technologies, Inc. Generating data clusters with customizable analysis strategies
US9965937B2 (en) 2013-03-15 2018-05-08 Palantir Technologies Inc. External malware data item clustering and analysis
US8909656B2 (en) 2013-03-15 2014-12-09 Palantir Technologies Inc. Filter chains with associated multipath views for exploring large data sets
US9740369B2 (en) 2013-03-15 2017-08-22 Palantir Technologies Inc. Systems and methods for providing a tagging interface for external content
US8903717B2 (en) 2013-03-15 2014-12-02 Palantir Technologies Inc. Method and system for generating a parser and parsing complex data
US8937619B2 (en) 2013-03-15 2015-01-20 Palantir Technologies Inc. Generating an object time series from data objects
US8917274B2 (en) 2013-03-15 2014-12-23 Palantir Technologies Inc. Event matrix based on integrated data
US10275778B1 (en) 2013-03-15 2019-04-30 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive investigation based on automatic malfeasance clustering of related data in various data structures
US8799799B1 (en) 2013-05-07 2014-08-05 Palantir Technologies Inc. Interactive geospatial map
US8886601B1 (en) 2013-06-20 2014-11-11 Palantir Technologies, Inc. System and method for incrementally replicating investigative analysis data
US9244939B2 (en) * 2013-06-27 2016-01-26 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Managing I/O operations in a shared file system
US8938686B1 (en) 2013-10-03 2015-01-20 Palantir Technologies Inc. Systems and methods for analyzing performance of an entity
US9116975B2 (en) 2013-10-18 2015-08-25 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive simultaneous querying of multiple data stores
US9569070B1 (en) 2013-11-11 2017-02-14 Palantir Technologies, Inc. Assisting in deconflicting concurrency conflicts
US9105000B1 (en) 2013-12-10 2015-08-11 Palantir Technologies Inc. Aggregating data from a plurality of data sources
US10579647B1 (en) 2013-12-16 2020-03-03 Palantir Technologies Inc. Methods and systems for analyzing entity performance
US9734217B2 (en) 2013-12-16 2017-08-15 Palantir Technologies Inc. Methods and systems for analyzing entity performance
US10356032B2 (en) 2013-12-26 2019-07-16 Palantir Technologies Inc. System and method for detecting confidential information emails
US8832832B1 (en) 2014-01-03 2014-09-09 Palantir Technologies Inc. IP reputation
US9009827B1 (en) 2014-02-20 2015-04-14 Palantir Technologies Inc. Security sharing system
US9483162B2 (en) 2014-02-20 2016-11-01 Palantir Technologies Inc. Relationship visualizations
US8935201B1 (en) 2014-03-18 2015-01-13 Palantir Technologies Inc. Determining and extracting changed data from a data source
US9857958B2 (en) 2014-04-28 2018-01-02 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive access of, investigation of, and analysis of data objects stored in one or more databases
US9619557B2 (en) 2014-06-30 2017-04-11 Palantir Technologies, Inc. Systems and methods for key phrase characterization of documents
US9535974B1 (en) 2014-06-30 2017-01-03 Palantir Technologies Inc. Systems and methods for identifying key phrase clusters within documents
US9256664B2 (en) 2014-07-03 2016-02-09 Palantir Technologies Inc. System and method for news events detection and visualization
US9202249B1 (en) 2014-07-03 2015-12-01 Palantir Technologies Inc. Data item clustering and analysis
US10572496B1 (en) 2014-07-03 2020-02-25 Palantir Technologies Inc. Distributed workflow system and database with access controls for city resiliency
US9454281B2 (en) 2014-09-03 2016-09-27 Palantir Technologies Inc. System for providing dynamic linked panels in user interface
US9501851B2 (en) 2014-10-03 2016-11-22 Palantir Technologies Inc. Time-series analysis system
US9767172B2 (en) 2014-10-03 2017-09-19 Palantir Technologies Inc. Data aggregation and analysis system
US9984133B2 (en) 2014-10-16 2018-05-29 Palantir Technologies Inc. Schematic and database linking system
US9229952B1 (en) 2014-11-05 2016-01-05 Palantir Technologies, Inc. History preserving data pipeline system and method
US9043894B1 (en) 2014-11-06 2015-05-26 Palantir Technologies Inc. Malicious software detection in a computing system
US10362133B1 (en) 2014-12-22 2019-07-23 Palantir Technologies Inc. Communication data processing architecture
US10552994B2 (en) 2014-12-22 2020-02-04 Palantir Technologies Inc. Systems and interactive user interfaces for dynamic retrieval, analysis, and triage of data items
US9348920B1 (en) 2014-12-22 2016-05-24 Palantir Technologies Inc. Concept indexing among database of documents using machine learning techniques
US9367872B1 (en) 2014-12-22 2016-06-14 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures
US9817563B1 (en) 2014-12-29 2017-11-14 Palantir Technologies Inc. System and method of generating data points from one or more data stores of data items for chart creation and manipulation
US9335911B1 (en) 2014-12-29 2016-05-10 Palantir Technologies Inc. Interactive user interface for dynamic data analysis exploration and query processing
US10803106B1 (en) 2015-02-24 2020-10-13 Palantir Technologies Inc. System with methodology for dynamic modular ontology
US9727560B2 (en) 2015-02-25 2017-08-08 Palantir Technologies Inc. Systems and methods for organizing and identifying documents via hierarchies and dimensions of tags
US9891808B2 (en) 2015-03-16 2018-02-13 Palantir Technologies Inc. Interactive user interfaces for location-based data analysis
US10103953B1 (en) 2015-05-12 2018-10-16 Palantir Technologies Inc. Methods and systems for analyzing entity performance
US9454785B1 (en) 2015-07-30 2016-09-27 Palantir Technologies Inc. Systems and user interfaces for holistic, data-driven investigation of bad actor behavior based on clustering and scoring of related data
US9996595B2 (en) 2015-08-03 2018-06-12 Palantir Technologies, Inc. Providing full data provenance visualization for versioned datasets
US9456000B1 (en) 2015-08-06 2016-09-27 Palantir Technologies Inc. Systems, methods, user interfaces, and computer-readable media for investigating potential malicious communications
US9600146B2 (en) 2015-08-17 2017-03-21 Palantir Technologies Inc. Interactive geospatial map
US10489391B1 (en) 2015-08-17 2019-11-26 Palantir Technologies Inc. Systems and methods for grouping and enriching data items accessed from one or more databases for presentation in a user interface
US9485265B1 (en) 2015-08-28 2016-11-01 Palantir Technologies Inc. Malicious activity detection system capable of efficiently processing data accessed from databases and generating alerts for display in interactive user interfaces
US10706434B1 (en) 2015-09-01 2020-07-07 Palantir Technologies Inc. Methods and systems for determining location information
US9576015B1 (en) 2015-09-09 2017-02-21 Palantir Technologies, Inc. Domain-specific language for dataset transformations
CN105262771B (zh) * 2015-11-04 2018-04-13 国家电网公司 一种电力行业网络安全攻防实验方法
US9542446B1 (en) 2015-12-17 2017-01-10 Palantir Technologies, Inc. Automatic generation of composite datasets based on hierarchical fields
US9823818B1 (en) 2015-12-29 2017-11-21 Palantir Technologies Inc. Systems and interactive user interfaces for automatic generation of temporal representation of data objects
US10621198B1 (en) 2015-12-30 2020-04-14 Palantir Technologies Inc. System and method for secure database replication
US9612723B1 (en) * 2015-12-30 2017-04-04 Palantir Technologies Inc. Composite graphical interface with shareable data-objects
US11086640B2 (en) * 2015-12-30 2021-08-10 Palantir Technologies Inc. Composite graphical interface with shareable data-objects
US10248722B2 (en) 2016-02-22 2019-04-02 Palantir Technologies Inc. Multi-language support for dynamic ontology
US10698938B2 (en) 2016-03-18 2020-06-30 Palantir Technologies Inc. Systems and methods for organizing and identifying documents via hierarchies and dimensions of tags
TWI599905B (zh) * 2016-05-23 2017-09-21 緯創資通股份有限公司 惡意碼的防護方法、系統及監控裝置
US10007674B2 (en) 2016-06-13 2018-06-26 Palantir Technologies Inc. Data revision control in large-scale data analytic systems
US10719188B2 (en) 2016-07-21 2020-07-21 Palantir Technologies Inc. Cached database and synchronization system for providing dynamic linked panels in user interface
US10324609B2 (en) 2016-07-21 2019-06-18 Palantir Technologies Inc. System for providing dynamic linked panels in user interface
US10102229B2 (en) 2016-11-09 2018-10-16 Palantir Technologies Inc. Validating data integrations using a secondary data store
US10318630B1 (en) 2016-11-21 2019-06-11 Palantir Technologies Inc. Analysis of large bodies of textual data
US9946777B1 (en) 2016-12-19 2018-04-17 Palantir Technologies Inc. Systems and methods for facilitating data transformation
US10620618B2 (en) 2016-12-20 2020-04-14 Palantir Technologies Inc. Systems and methods for determining relationships between defects
US10262053B2 (en) 2016-12-22 2019-04-16 Palantir Technologies Inc. Systems and methods for data replication synchronization
US9922108B1 (en) 2017-01-05 2018-03-20 Palantir Technologies Inc. Systems and methods for facilitating data transformation
US10325224B1 (en) 2017-03-23 2019-06-18 Palantir Technologies Inc. Systems and methods for selecting machine learning training data
US10606866B1 (en) 2017-03-30 2020-03-31 Palantir Technologies Inc. Framework for exposing network activities
US10068002B1 (en) 2017-04-25 2018-09-04 Palantir Technologies Inc. Systems and methods for adaptive data replication
US10235461B2 (en) 2017-05-02 2019-03-19 Palantir Technologies Inc. Automated assistance for generating relevant and valuable search results for an entity of interest
US10482382B2 (en) 2017-05-09 2019-11-19 Palantir Technologies Inc. Systems and methods for reducing manufacturing failure rates
US10430062B2 (en) 2017-05-30 2019-10-01 Palantir Technologies Inc. Systems and methods for geo-fenced dynamic dissemination
US10956406B2 (en) 2017-06-12 2021-03-23 Palantir Technologies Inc. Propagated deletion of database records and derived data
US11030494B1 (en) 2017-06-15 2021-06-08 Palantir Technologies Inc. Systems and methods for managing data spills
US10691729B2 (en) 2017-07-07 2020-06-23 Palantir Technologies Inc. Systems and methods for providing an object platform for a relational database
CN107241354A (zh) * 2017-07-20 2017-10-10 国网上海市电力公司 基于无线wifi设备的恶意行为发现阻断设备和方法
US10956508B2 (en) 2017-11-10 2021-03-23 Palantir Technologies Inc. Systems and methods for creating and managing a data integration workspace containing automatically updated data models
US10380196B2 (en) 2017-12-08 2019-08-13 Palantir Technologies Inc. Systems and methods for using linked documents
US10915542B1 (en) 2017-12-19 2021-02-09 Palantir Technologies Inc. Contextual modification of data sharing constraints in a distributed database system that uses a multi-master replication scheme
CN110134428B (zh) 2018-02-09 2024-02-06 中兴通讯股份有限公司 一种安全防护方法及装置
US11599369B1 (en) 2018-03-08 2023-03-07 Palantir Technologies Inc. Graphical user interface configuration system
US10754822B1 (en) 2018-04-18 2020-08-25 Palantir Technologies Inc. Systems and methods for ontology migration
US10885021B1 (en) 2018-05-02 2021-01-05 Palantir Technologies Inc. Interactive interpreter and graphical user interface
US11461355B1 (en) 2018-05-15 2022-10-04 Palantir Technologies Inc. Ontological mapping of data
US11119630B1 (en) 2018-06-19 2021-09-14 Palantir Technologies Inc. Artificial intelligence assisted evaluations and user interface for same
CN109376062B (zh) * 2018-09-28 2022-10-18 Oppo广东移动通信有限公司 网络状态提示方法及相关装置
FR3113962A1 (fr) * 2020-09-10 2022-03-11 CS GROUP - France Procédé et système de surveillance d’un système informatique
US20220278984A1 (en) * 2021-03-01 2022-09-01 Armis Security Ltd. System and method for operating system distribution and version identification using communications security fingerprints

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6578147B1 (en) * 1999-01-15 2003-06-10 Cisco Technology, Inc. Parallel intrusion detection sensors with load balancing for high speed networks
US7562388B2 (en) * 2001-05-31 2009-07-14 International Business Machines Corporation Method and system for implementing security devices in a network
US7181765B2 (en) * 2001-10-12 2007-02-20 Motorola, Inc. Method and apparatus for providing node security in a router of a packet network
US7224678B2 (en) * 2002-08-12 2007-05-29 Harris Corporation Wireless local or metropolitan area network with intrusion detection features and related methods
US20050246773A1 (en) * 2004-04-29 2005-11-03 Microsoft Corporation System and methods for processing partial trust applications

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
BALASUBRAMANIYAN J S ET AL: "An architecture for intrusion detection using autonomous agents", COMPUTER SECURITY APPLICATIONS CONFERENCE, 1998. PROCEEDINGS. 14TH ANNUAL PHOENIX, AZ, USA 7-11 DEC. 1998, LOS ALAMITOS, CA, USA,IEEE COMPUT. SOC, US, 7 December 1998 (1998-12-07), pages 13 - 24, XP010318614, ISBN: 0-8186-8789-4 *
DEBAR H ET AL: "Towards a taxonomy of intrusion-detection systems", COMPUTER NETWORKS, ELSEVIER SCIENCE PUBLISHERS B.V., AMSTERDAM, NL, vol. 31, no. 8, 23 April 1999 (1999-04-23), pages 805 - 822, XP004304519, ISSN: 1389-1286 *
NAVARRO J P ET AL: "Combining Cisco Netflow Exports with Relational Database Technology for Usage Statistics, Intrusion Detection and Network Forensics", PROCEEDINGS OF THE SYSTEMS ADMINISTRATION CONFERENCE. LISA, XX, XX, 3 December 2000 (2000-12-03), pages 285 - 290, XP002241720 *
WIRELESS INTRUSION DETECTION, 5 November 2003 (2003-11-05), XP002318970, Retrieved from the Internet <URL:http://www.securityfocus.com/infocus/1742> [retrieved on 20050223] *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102775271A (zh) * 2006-07-14 2012-11-14 拜尔农作物科学股份公司 由卤代苯衍生物制备烷基n-酰苯胺的方法
CN102775271B (zh) * 2006-07-14 2014-09-03 拜尔农作物科学股份公司 由卤代苯衍生物制备烷基n-酰苯胺的方法

Also Published As

Publication number Publication date
US20090172821A1 (en) 2009-07-02
FR2872653A1 (fr) 2006-01-06
FR2872653B1 (fr) 2006-12-29

Similar Documents

Publication Publication Date Title
WO2006010866A1 (fr) Syteme et procedes de securisation de postes informatiques et/ou de reseaux de communications
US20210250367A1 (en) Process-specific network access control based on traffic monitoring
Fuchsberger Intrusion detection systems and intrusion prevention systems
US9325725B2 (en) Automated deployment of protection agents to devices connected to a distributed computer network
US8806607B2 (en) Unauthorized data transfer detection and prevention
US7197762B2 (en) Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits
US8607347B2 (en) Network stream scanning facility
US11080392B2 (en) Method for systematic collection and analysis of forensic data in a unified communications system deployed in a cloud environment
US20110154492A1 (en) Malicious traffic isolation system and method using botnet information
Ling et al. Torward: Discovery, blocking, and traceback of malicious traffic over tor
US20060026679A1 (en) System and method of characterizing and managing electronic traffic
US20070192867A1 (en) Security appliances
US20130019309A1 (en) Systems and methods for detecting malicious insiders using event models
US20080256634A1 (en) Target data detection in a streaming environment
EP2215801A2 (fr) Procede de securisation d&#39;un canal bidirectionnel de communication et dispositif de mise en oeuvre du procede.
US20220166783A1 (en) Enabling enhanced network security operation by leveraging context from multiple security agents
Gulatas et al. Malware threat on edge/fog computing environments from Internet of things devices perspective
Kazienko et al. Intrusion Detection Systems (IDS) Part I-(network intrusions; attack symptoms; IDS tasks; and IDS architecture)
Yu et al. Peer-to-peer system-based active worm attacks: Modeling, analysis and defense
Peterson Intrusion detection and cyber security monitoring of SCADA and DCS Networks
US20220124102A1 (en) Detecting and mitigating malware by evaluating HTTP errors
EP4066461A1 (fr) Procédé de coordination de la mitigation d&#39;une attaque informatique, dispositif et système associés
Grant Distributed detection and response for the mitigation of distributed denial of service attacks
FR3105486A1 (fr) Procédé de détection d’un comportement malveillant dans un réseau de communication, dispositif, équipement d’accès audit réseau, procédé de détection d’une attaque distribuée dans ledit réseau, dispositif, équipement nœud et programmes d’ordinateur correspondants
FR3111506A1 (fr) Système et procédé de surveillance d’au moins une tranche d’un réseau de communications

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KM KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NG NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SM SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

WWW Wipo information: withdrawn in national office

Ref document number: DE

122 Ep: pct application non-entry in european phase
WWE Wipo information: entry into national phase

Ref document number: 783/DELNP/2008

Country of ref document: IN

WWE Wipo information: entry into national phase

Ref document number: 11631120

Country of ref document: US