WO2007006999A2 - Procede et systeme de detection d'intrusions - Google Patents

Procede et systeme de detection d'intrusions Download PDF

Info

Publication number
WO2007006999A2
WO2007006999A2 PCT/FR2006/050682 FR2006050682W WO2007006999A2 WO 2007006999 A2 WO2007006999 A2 WO 2007006999A2 FR 2006050682 W FR2006050682 W FR 2006050682W WO 2007006999 A2 WO2007006999 A2 WO 2007006999A2
Authority
WO
WIPO (PCT)
Prior art keywords
intrusion
signatures
signature
event
new
Prior art date
Application number
PCT/FR2006/050682
Other languages
English (en)
Other versions
WO2007006999A3 (fr
Inventor
Elvis Tombini
Hervé Debar
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Priority to EP06779022A priority Critical patent/EP1902565A2/fr
Priority to US11/988,492 priority patent/US20090138970A1/en
Publication of WO2007006999A2 publication Critical patent/WO2007006999A2/fr
Publication of WO2007006999A3 publication Critical patent/WO2007006999A3/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Definitions

  • the invention relates to the field of automatic intrusion detection and more particularly to generation of signatures in intrusion detection.
  • intrusion detection tools monitor events occurring in an information system, either by listening to network traffic or by monitoring the operation of applications on machines via log files and / or system calls.
  • intrusion detection tools include intrusion detection probes which are active components that analyze one or more data sources in search of events characteristic of intrusive activity and issue alerts to a module. Alert Management. The latter centralizes the alerts coming from the probes and possibly carries out an analysis of all these alerts.
  • the intrusion detection tools make it possible to update attacks (successful or not) against the information system according to an intrusion detection by scenario or by behavior.
  • intrusion detection tools use scenario detection. This is called IDS "misuse”.
  • Scenario detection uses "intrusion signatures” (or attack signatures) to recognize, and therefore characterize, intrusions (or attacks) among a set of events. These intrusion signatures are mainly composed of an "active ingredient”, documentation describing the attack or vulnerability, and the name of the signature that defines the alert to be issued. These intrusion signatures are written by an expert and stored in a file.
  • the "active ingredient” consists of a pattern ⁇ or "pattern” in English) that is searched for in the event to be monitored.
  • the signatures used by the intrusion detection tools therefore make it possible to associate an alert name with a recognized event by virtue of the "active principle" of these signatures.
  • these signatures are used to characterize attacks.
  • each active ingredient (or pattern) identifies a particular signature.
  • Intrusion detection tools using this method test the signatures sequentially, that is to say, the event to be monitored is confronted with each of the signatures, and therefore with each associated pattern. The detection stops as soon as an attack signature is recognized (even if there remain untested signatures) and an alert associated with this signature is issued, or if there are no more signatures to be tested.
  • FIG. 4 is a relational diagram illustrating this method of sequential detection where an alert A is associated with a single signature S. Similarly, an S signature is associated only with a single pattern P and a single documentation D.
  • Figure 5 illustrates another scenario intrusion detection method proposed by Magnus Almgren, Hervé Debar, and Marc Dacier in a publication of Proceedings of the 2000 ISOC Symposium on Network and Distributed Security Systems, pages 157-170, 2000, entitled A Lightweight Tool for Detecting Web Server Attacks.
  • This method is a compound detection that analyzes a two-step event. The first is to confront an event with the set of signatures S, and therefore with each associated pattern P.
  • the second step consists of issuing an alert A consisting of the signatures S which are recognized.
  • an alert A consisting of the signatures S which are recognized.
  • the association of several signatures is explained by the fact that the signatures can be applied to specific elements of the event to be processed.
  • an alert A is no longer associated with a signature S, but with a set (1, ..., N) of signatures S.
  • Each signature S remains associated with a single pattern P and a single documentation D.
  • the present invention relates to a method of automatic detection of intrusions among events to be monitored, comprising: the confrontation of a monitored event with a set of patterns, each pattern being associated with a predetermined intrusion signature of a set of signatures intrusion, A determination among said set of intrusion signatures of a subset of intrusion signatures revealing a determined intrusion into said monitored event, and
  • this method allows the creation of new signatures dedicated to the recognition of a specific intrusion or attack, offering a security operator a more accurate diagnosis from existing signatures.
  • the new signature generates an alert corresponding to the event associated with said determined intrusion.
  • each alert issued provides relevant and accurate information on the nature of the intrusion.
  • the dynamic generation of the new signature comprises an assembly of the patterns associated with each of the signatures of said sub-set of intrusion signatures obtained to form a new pattern associated with said new signature.
  • the determination of a signature revealing the determined intrusion among said sub-set of intrusion signatures comprises the use of a function of correspondence between properties of said monitored event and the associated pattern to said signature.
  • the subset of intrusion signatures can be determined simply and quickly.
  • the new signature is added to the set of predetermined intrusion signatures so that each new event is confronted with this new signature.
  • the invention also relates to an intrusion detection module comprising a sensor for capturing events to be monitored in an information system, the module further comprising: a confrontation means making it possible to confront a monitored event with a set of patterns associated with a set of predetermined intrusion signatures,
  • a determination means making it possible to determine, among said set of predetermined intrusion signatures, a subset of intrusion signatures revealing a determined intrusion into said monitored event
  • This intrusion detection module allows the creation of new signatures, thus providing accurate detection of intrusions and with optimal efficiency.
  • the module further comprises a transmission means for issuing an alert to a management module, the alert corresponding to the event associated with said determined intrusion.
  • the intrusion detection module transmits to the management module an alert containing relevant and accurate information on the nature of the intrusion or attack.
  • the module further comprises a storage means for adding the new signature to the set of signatures predetermined intrusions already stored in said storage means so that each new event is confronted with this new signature.
  • the intrusion detection module continuously increases the reliability and performance of intrusion detection.
  • the invention also relates to a monitored information system comprising an alert management module, an alert presentation console and a plurality of intrusion detection modules according to the above characteristics.
  • a monitored information system comprising an alert management module, an alert presentation console and a plurality of intrusion detection modules according to the above characteristics.
  • the invention is also directed to a computer program comprising instructions for implementing the above intrusion detection method when executed by a computer system.
  • the invention also relates to data storage means comprising computer program code instructions for executing the steps of a method according to the above characteristics.
  • FIG 1 is a schematic view of a monitored information system comprising an intrusion detection system according to the invention
  • FIG. 2 is a schematic view of an intrusion detection module according to the invention
  • FIG. 3 is a flowchart illustrating the intrusion detection method according to the invention.
  • FIGS. 4 and 5 are relational diagrams according to the prior art. Detailed description of embodiments
  • FIG. 1 illustrates an example of a monitored information system 1 comprising an intrusion detection system 3 comprising several intrusion detection modules 5 and an alert management module 7.
  • the intrusion detection modules 5 monitor events coming from outside or inside a network of the monitored information system which includes workstations 9 and servers 11 communicating with external networks (not shown).
  • the alert management module 7 may include a host 7a dedicated to the processing of alerts and a 7b console for presenting alerts to a security operator.
  • each intrusion detection module 5 mainly comprises an intrusion detection probe 13 in conjunction with a signature generator 15.
  • an alert corresponding to the event associated with this intrusion is transmitted (arrow 17) by the intrusion detection module 5 to the management module 7.
  • FIG. 2 shows an example of an intrusion detection module 5 more precisely comprising an intrusion detection probe 13, a signature generator 15, a storage means 19 and a transmission means 21.
  • the storage means 19 can also be arranged in the alert management module 7 or any other element of the intrusion detection system 3.
  • the intrusion detection probe 13 comprises a sensor 23, a confrontation means 25 and a determination means 27.
  • the event sensor 23 monitors a set of events occurring in the information system 1.
  • an event is an action on the information system 1 which may contain one or more parameters.
  • an event may correspond to an http request which consists of a client requesting a resource from a web server 11. This event can be traced in the log file of the server 11.
  • the confronting means confronts the monitored event with a set of patterns associated with a set of predetermined intrusion signatures stored in the storage means 19. Note that each predetermined signature corresponds to a pattern.
  • the determining means 27 determines a subset of intrusion signatures revealing a determined intrusion into the monitored event.
  • the signature generator 15 comprises a production means 31 for dynamically generating a new signature corresponding to said subset of intrusion signatures. This new signature is dedicated to the recognition of the determined intrusion.
  • the first signature marked Sl is a "use of a malicious encoding" defined by the following name and reason: -sign name: IIS unicode directory traversal attempt -motif searched: "% 35c"
  • the second signature marked S2 is an "order execution attempt" defined by the following name and reason: -signature name: Windows command execution attempt -motif searched: "cmd. exe »
  • the intrusion detection module 5 makes it possible to aggregate the two activated signatures into a single one in order to describe a specific event.
  • the confrontation means 25 confronts the event E with the set of predetermined intrusion signatures and the determining means 27 determines that the subset of intrusion signatures revealing the intrusion into the monitored event E consists of the two signatures above Sl and S2.
  • the production means 31 creates a new signature denoted S corresponding to the sub-set of intrusion signatures formed by the signatures S1 and S2.
  • This new signature S is defined by a grouping or assembly of the patterns associated with each of the signatures S1 and S2, for example by a logical operator of the "and" type.
  • the signature generator 15 injects or adds this new signature into the storage means 19; so each new event will be confronted with this new signature.
  • the signature S resulting from the activation of the two previous signatures S1 and S2 can then be dedicated to the recognition of the precise intrusion "activity of the Nimda worm" defined by the following name and reason: - name of the signature: Nimda attempt -motifs searched: "% 35c” and “cmd. exe ". Then, the intrusion detection module 5 searches for the two patterns "% 35c” and "cmd. exe "of this new signature in each new event submitted to it. If this signature is activated, then the event associated with this intrusion is cataloged as a manifestation of the activity of the Nimda worm and the transmission means 21 sends an alert corresponding to this event to the management module 7.
  • this intrusion detection module 5 transmits to the management module an alert containing more relevant and more precise information on the nature of the intrusion.
  • the intrusion detection module 5 can be implemented by a computer system (not shown) conventionally comprising a central processing unit connected by buses to a memory, an input unit and a communication unit. exit.
  • this computer system can be used to execute a computer program comprising instructions for implementing the intrusion detection method according to the invention.
  • Fig. 3 is a flowchart illustrating the intrusion detection method according to the invention.
  • Steps E2 to E5 form a loop for confronting the monitored event E with the set P of patterns corresponding to the set of intrusion signatures to dynamically create a new signature dedicated to recognizing an intrusion. determined and corresponding to a subset of intrusion signatures.
  • step E2 is an iterative test verifying if the n + ⁇ patterns of the set P have been traversed. Thus, if the index / denoting the pattern p t is less than or equal to "+ 1 (i.e., i ⁇ n + 1), then step E3 is taken.
  • step E3 the event E is confronted with the pattern p t associated with a predetermined intrusion signature using, for example, a match matching algorithm (p t , E) between properties of this monitored event E and the pattern p t of the predetermined intrusion signature.
  • This correspondence algorithm is for example a Boyer-Moore pattern matching algorithm.
  • test steps E3 makes it possible to determine a subset of intrusion signatures revealing a determined intrusion in the monitored event E.
  • step E4 is taken.
  • step E4 the recognized pattern p is assembled to the new pattern (that is, to the meta-pattern or "madorettern").
  • this assembly can be realized by means of operators and / or logical quantizers.
  • step E6 if the monitored event E has been confronted with all the motifs of the set P 1, that is, if the index / test E2 is not less than or equal to n + 1, then go to step E6 to return the new pattern thus formed defining the new signature.
  • the new signature is added to the set of predetermined intrusion signatures so that each new event is confronted with this new signature.
  • the method according to the invention is based on what may be called "compound detection”.
  • compound detection from the signatures associated with an intrusion (or attack), this process creates a new signature dedicated to the recognition of this attack.
  • This new signature uses the motives of the signatures that revealed the attack. It will be noted that the creation phase of a signature dedicated to an attack takes place during the intrusion detection itself. The new signature is then used with the other signatures and the process starts again for the analysis of a new event.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Burglar Alarm Systems (AREA)

Abstract

Procédé de détection automatique d'intrusions parmi des événements à surveiller comprenant : -la confrontation d'un événement surveillé à un ensemble de motifs, chaque motif étant associé à une signature d'intrusion prédéterminée d'un ensemble de signatures d'intrusions, -la détermination parmi cet ensemble de signatures d'intrusions d'un sous-ensemble de signatures d'intrusions révélant une intrusion déterminée dans l'événement surveillé, et -la génération dynamique d'une nouvelle signature correspondant à ce sous-ensemble de signatures d'intrusions, la nouvelle signature étant dédiée à la reconnaissance de l'intrusion déterminée.

Description

Titre de l'invention
Procédé et système de détection d'intrusions.
Domaine technique de l'invention L'invention se rapporte au domaine de la détection automatique d'intrusions et plus particulièrement à une génération de signatures en détection d'intrusion.
Arrière-plan de l'invention La sécurité des systèmes d'information passe par le déploiement d'outils de détection d'intrusions « IDS ». Pour ce faire, les outils de détection d'intrusions surveillent les événements survenant dans un système d'information, soit en écoutant les échanges sur le réseau, soit en surveillant le fonctionnement des applications sur les machines via les fichiers de log et/ou les appels systèmes.
En effet, ces outils de détection d'intrusions comportent des sondes de détection d'intrusions qui sont des composants actifs qui analysent une ou plusieurs sources de données à la recherche d'événements caractéristiques d'une activité intrusive et émettent des alertes vers un module de gestion d'alertes. Ce dernier centralise les alertes provenant des sondes et effectue éventuellement une analyse de l'ensemble de ces alertes.
D'une manière générale, les outils de détection d'intrusions permettent de mettre à jour des attaques (réussies ou non) contre le système d'information selon une détection d'intrusions par scénario ou par comportement.
Les outils de détection d'intrusions les plus couramment déployés utilisent la détection par scénarios. On parle alors d'IDS « misuse ». La détection par scénarios utilise des « signatures d'intrusion » (ou signatures d'attaque) pour reconnaître, et donc caractériser, des intrusions (ou attaques) parmi un ensemble d'événements. Ces signatures d'intrusion sont principalement composées d'un « principe actif », de la documentation décrivant l'attaque ou la vulnérabilité, et du nom de la signature qui définit l'alerte à émettre. Ces signatures d'intrusion sont écrites par un expert et stockées dans un fichier.
Le « principe actif » consiste en un motif {ou "pattern" en anglais) qui est recherché dans l'événement à surveiller. Les signatures utilisées par les outils de détection d'intrusions permettent donc d'associer un nom d'alerte à un événement reconnu grâce au « principe actif » de ces signatures. Dans le cadre de la détection d'intrusion par scénarios, ces signatures servent à caractériser des attaques. Dans ce contexte, chaque principe actif (ou motif) identifie une signature particulière.
Dans le domaine de la détection d'intrusions par scénarios, on connaît la méthode proposée par Martin Roesch dans une publication de « Proceedings of LISA'99, pages 229-238, Seattle, Washington, USA, novembre 1999, USENIX Association», intitulée « Lightweight Intrusion Détection for Networks ».
Les outils de détection d'intrusions utilisant cette méthode testent les signatures de façon séquentielle, c'est-à-dire que l'événement à surveiller est confronté à chacune des signatures, donc à chaque motif associé. La détection s'arrête dès qu'une signature d'attaque est reconnue (même s'il reste des signatures non testées) et une alerte associée à cette signature est émise, ou s'il ne reste plus de signatures à tester. La figure 4 est un schéma relationnel illustrant cette méthode de détection séquentielle où une alerte A est associée à une seule signature S. De même, une signature S n'est associée qu'à un seul motif P et à une seule documentation D.
La figure 5 illustre une autre méthode de détection d'intrusions par scénarios proposée par Magnus Almgren, Hervé Debar, et Marc Dacier dans une publication de « Proceedings of the 2000 ISOC Symposium on Network and Distributed Systems Security, pages 157-170, 2000», intitulée « A Lightweight Tool for Detecting Web Server Attacks ».
Cette méthode est une détection composée qui analyse un événement en deux étapes. La première consiste à confronter un événement à l'ensemble des signatures S, donc à chaque motif P associé.
Contrairement à la détection « séquentielle », si une signature S est reconnue, l'analyse continue jusqu'à ce qu'il n'y ait plus de signature.
La deuxième étape consiste à émettre une alerte A constituée des signatures S qui sont reconnues. L'association de plusieurs signatures s'explique par le fait que les signatures peuvent s'appliquer à des éléments spécifiques de l'événement à traiter.
Dans ce contexte, une alerte A n'est plus associée à une signature S, mais à un ensemble (1,...,N) de signatures S. Chaque signature S reste cependant associée à un seul motif P et à une seule documentation D.
L'inconvénient de ces deux méthodes est que l'information qui est fournie à un opérateur de sécurité ne concerne que la vulnérabilité qui est exploitée par l'attaque. Cependant, cette vulnérabilité peut être exploitée de différentes façons et dans des buts différents et ceux-ci ne sont pas pris en compte par ces deux méthodes.
Objet et résumé de l'invention
La présente invention concerne un procédé de détection automatique d'intrusions parmi des événements à surveiller comprenant : - la confrontation d'un événement surveillé à un ensemble de motifs, chaque motif étant associé à une signature d'intrusion prédéterminée d'un ensemble de signatures d'intrusions, -Ia détermination parmi ledit ensemble de signatures d'intrusions d'un sous-ensemble de signatures d'intrusions révélant une intrusion déterminée dans ledit événement surveillé, et
-la génération dynamique d'une nouvelle signature correspondant audit sous-ensemble de signatures d'intrusions, ladite nouvelle signature étant dédiée à la reconnaissance de ladite intrusion déterminée.
Ainsi, ce procédé permet la création de nouvelles signatures dédiées à la reconnaissance d'une intrusion ou attaque bien précise, offrant à un opérateur de sécurité un diagnostic plus précis à partir des signatures existantes.
Avantageusement, la nouvelle signature engendre l'émission d'une alerte correspondant à l'événement associé à ladite intrusion déterminée.
Ainsi, chaque alerte émise fournit des informations pertinentes et précises sur la nature de l'intrusion.
Selon une particularité de la présente invention, la génération dynamique de la nouvelle signature comporte un assemblage des motifs associés à chacune des signatures dudit sous-ensemble de signatures d'intrusions obtenu pour former un nouveau motif associé à ladite nouvelle signature.
Ceci permet d'optimiser la qualité du diagnostic et la richesse d'une base de signatures de façon continue et en temps réel et de plus, la nouvelle signature est créée pendant la détection d'intrusion elle-même.
Selon une autre particularité de la présente invention, la détermination d'une signature révélant l'intrusion déterminée parmi ledit sous-ensemble de signatures d'intrusions comporte l'utilisation d'une fonction de correspondance entre des propriétés dudit événement surveillé et le motif associé à ladite signature.
Ainsi, le sous-ensemble de signatures d'intrusions peut être déterminé de manière simple et rapide. Avantageusement, la nouvelle signature est ajoutée à l'ensemble de signatures d'intrusions prédéterminées de sorte que chaque nouvel événement soit confronté à cette nouvelle signature.
Ainsi, la fiabilité et la performance de la détection d'intrusions augmentent continuellement.
L'invention vise aussi un module de détection d'intrusions comportant un capteur destiné à capter des événements à surveiller dans un système d'information, le module comportant en outre : -un moyen de confrontation permettant de confronter un événement surveillé à un ensemble de motifs associé à un ensemble de signatures d'intrusions prédéterminées,
-un moyen de détermination permettant de déterminer parmi ledit ensemble de signatures d'intrusions prédéterminées, un sous-ensemble de signatures d'intrusions révélant une intrusion déterminée dans ledit événement surveillé, et
-un moyen de production permettant de générer de manière dynamique une nouvelle signature correspondant audit sous-ensemble de signatures d'intrusions, ladite nouvelle signature étant dédiée à la reconnaissance de ladite intrusion déterminée. Ce module de détection d'intrusions permet la création de nouvelles signatures offrant ainsi une détection précise des intrusions et avec une efficacité optimale.
Le module comporte en outre un moyen d'émission permettant d'émettre une alerte à destination d'un module de gestion, l'alerte correspondant à l'événement associé à ladite intrusion déterminée.
Ainsi, le module de détection d'intrusions transmet au module de gestion une alerte comportant des informations pertinentes et précises sur la nature de l'intrusion ou l'attaque.
Le module comporte en outre un moyen de stockage permettant d'ajouter la nouvelle signature à l'ensemble de signatures d'intrusions prédéterminées déjà stocké dans ledit moyen de stockage de sorte que chaque nouvel événement soit confronté à cette nouvelle signature.
Ainsi, le module de détection d'intrusions permet d'augmenter continuellement la fiabilité et la performance de la détection d'intrusions.
L'invention vise également un système d'information surveillé comportant un module de gestion d'alertes, une console de présentation d'alertes et une pluralité de modules de détection d'intrusions selon les caractéristiques ci-dessus. Ainsi, grâce à ces dispositions, on peut renforcer la protection du système d'information.
L'invention vise aussi un programme d'ordinateur comportant des instructions pour la mise en œuvre du procédé de détection d'intrusions ci-dessus lorsqu'il est exécuté par un système informatique. L'invention vise également des moyens de stockage de données comportant des instructions de code de programme informatique pour l'exécution des étapes d'un procédé selon les caractéristiques ci-dessus. Brève description des dessins
D'autres particularités et avantages de l'invention ressortiront à la lecture de la description faite, ci-après, à titre indicatif mais non limitatif, en référence aux dessins annexés, sur lesquels :
-la figure 1 est une vue schématique d'un système d'informations surveillé comportant un système de détection d'intrusions selon l'invention ; -la figure 2 est une vue schématique d'un module de détection d'intrusions selon l'invention ;
-la figure 3 est un organigramme illustrant le procédé de détection d'intrusion selon l'invention ; et
-les figures 4 et 5 sont des schémas relationnels selon l'art antérieur. Description détaillée de modes de réalisation
La figure 1 illustre un exemple d'un système d'information 1 surveillé comportant un système de détection d'intrusions 3 comprenant plusieurs modules 5 de détection d'intrusions et un module de gestion d'alertes 7.
Ainsi, les modules 5 de détection d'intrusions surveillent les événements venant de l'extérieur ou de l'intérieur d'un réseau du système d'information surveillé qui comprend des stations de travail 9 et des serveurs 11 communicant avec des réseaux externes (non représentés).
Le module de gestion d'alerte 7 peut comporter un hôte 7a dédié au traitement des alertes et une console 7b de présentation d'alertes à un opérateur de sécurité.
Conformément à l'invention, chaque module 5 de détection d'intrusions comporte principalement une sonde 13 de détection d'intrusions en liaison avec un générateur 15 de signatures.
D'une manière générale, lorsqu'une sonde 13 détecte une intrusion, alors une alerte correspondant à l'événement associé à cette intrusion est émise (flèche 17) par le module 5 de détection d'intrusion à destination du module de gestion 7.
La figure 2 montre un exemple d'un module 5 de détection d'intrusions comportant plus précisément une sonde 13 de détection d'intrusions, un générateur 15 de signatures, un moyen de stockage 19 et un moyen d'émission 21. On notera toutefois que le moyen de stockage 19 peut aussi être disposé dans le module de gestion d'alerte 7 ou tout autre élément du système de détection d'intrusion 3.
Selon cet exemple, la sonde 13 de détection d'intrusions comporte un capteur 23, un moyen de confrontation 25 et un moyen de détermination 27. Le capteur 23 d'événements surveille un ensemble d'événements survenus dans le système d'information 1. En général, un événement est une action sur le système d'information 1 qui peut contenir un ou plusieurs paramètres. A titre d'exemple, un événement peut correspondre à une requête http qui consiste pour un client à demander une ressource à un serveur web 11. On peut retrouver la trace de cet événement dans le fichier log du serveur 11.
Par ailleurs, le moyen de confrontation 25 confronte l'événement surveillé à un ensemble de motifs associé à un ensemble de signatures d'intrusions prédéterminées stockées dans le moyen de stockage 19. On notera qu'à chaque signature prédéterminée correspond un motif.
En outre, à partir de l'ensemble de signatures d'intrusions, le moyen de détermination 27 détermine un sous-ensemble de signatures d'intrusions révélant une intrusion déterminée dans l'événement surveillé.
Cette figure montre aussi que le générateur 15 de signatures comporte un moyen de production 31 permettant de générer de manière dynamique une nouvelle signature correspondant au dit sous-ensemble de signatures d'intrusions. Cette nouvelle signature est dédiée à la reconnaissance de l'intrusion déterminée.
A titre d'exemple, considérons un événement noté E correspondant à une requête http vers un serveur 11 web de la forme « GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir ». Cette requête est une manifestation typique de l'activité du ver
"Nimda". Ainsi, cet événement peut déclencher au moins deux signatures, suivant les outils de détection d'intrusions.
La première signature notée Sl est une « utilisation d'un encodage malicieux » définie par les nom et motif suivants: -nom de la signature : IIS unicode directory traversai attempt -motif recherché : « %35c »
La deuxième signature notée S2 est une « tentative d'exécution de commande » définie par les nom et motif suivants: -nom de la signature : Windows command exécution attempt -motif recherché : « cmd. exe »
Ces deux signatures Sl et S2, prises indépendamment, n'indiquent pas à l'opérateur de sécurité qu'il s'agit d'une activité issue du ver Nimda.
Cependant, conformément à l'invention, le module 5 de détection d'intrusions permet d'agréger les deux signatures activées en une seule afin de décrire un événement spécifique.
En effet, le moyen de confrontation 25 confronte l'événement E à l'ensemble de signatures d'intrusions prédéterminées et le moyen de détermination 27 détermine que le sous-ensemble de signatures d'intrusions révélant l'intrusion dans l'événement surveillé E est constitué des deux signatures ci-dessus Sl et S2. En outre, le moyen de production 31 crée une nouvelle signature notée S correspondant au sous-ensemble de signatures d'intrusions formé par les signatures Sl et S2. Cette nouvelle signature S est définie par un groupement ou assemblage des motifs associés à chacune des signatures Sl et S2, par exemple par un opérateur logique du type « et ». Par ailleurs, le générateur 15 de signatures injecte ou ajoute cette nouvelle signature dans le moyen de stockage 19; ainsi chaque nouvel événement sera confronté à cette nouvelle signature. Ainsi, la signature S résultante de l'activation des deux signatures Sl et S2 précédentes peut alors être dédiée à la reconnaissance de l'intrusion précise « activité du ver Nimda » définie par les nom et motif suivants: -nom de la signature : Nimda attempt -motifs recherché : « %35c » et « cmd. exe ». Alors, le module 5 de détection d'intrusions recherche les deux motifs « %35c » et « cmd. exe » de cette nouvelle signature dans chaque nouvel événement qui lui est soumis. Si cette signature est activée, alors l'événement associé à cette intrusion est catalogué comme une manifestation de l'activité du ver Nimda et le moyen d'émission 21 émet une alerte correspondant à cet événement à destination du module de gestion 7. Ainsi, ce module 5 de détection d'intrusions transmet au module de gestion une alerte comportant des informations plus pertinentes et plus précises sur la nature de l'intrusion. On notera que le module 5 de détection d'intrusions peut être mis en œuvre par un système informatique (non représenté) comportant de manière classique une unité centrale de traitement raccordée par des bus à une mémoire, une unité d'entrée et une unité de sortie. De plus, ce système informatique peut être utilisé pour exécuter un programme d'ordinateur comportant des instructions pour la mise en œuvre du procédé de détection d'intrusions selon l'invention.
La figure 3 est un organigramme illustrant le procédé de détection d'intrusion selon l'invention.
L'étape El est une initialisation où on définit un ensemble de n + l motifs ou « pattems », c'est-à-dire, P = {/?(,/e {0,---«}}. Chaque motif est associé à une signature d'intrusion prédéterminée d'un ensemble de signatures d'intrusions stockées dans le moyen de stockage 19. Par ailleurs, on considère que le nouveau motif à créer, appelé « méta- motif », est initialement vide. En outre, on se donne un événement E à traiter et on commence le traitement avec / = 0.
Les étapes E2 à E5 forment une boucle pour confronter l'événement E surveillé à l'ensemble P de motifs correspondant à l'ensemble de signatures d'intrusions pour créer de manière dynamique une nouvelle signature dédiée à la reconnaissance d'une intrusion déterminée et correspondant à un sous-ensemble de signatures d'intrusions.
Plus particulièrement, l'étape E2 est un test itératif vérifiant si on a parcouru les n + \ motifs de l'ensemble P . Ainsi, si l'indice / désignant Ie motif pt est inférieur ou égal à «+l (c'est-à-dire i ≤ n + l ) alors on passe à l'étape E3.
A l'étape E3, l'événement E est confronté au motif pt associé à une signature d'intrusion prédéterminée en utilisant par exemple, un algorithme de correspondance match(pt,E) entre des propriétés de cet événement surveillé E et le motif pt de la signature d'intrusion prédéterminée. Cet algorithme de correspondance est par exemple un algorithme Boyer-Moore de « pattern matching ».
L'itération des étapes de tests E3 permet de déterminer un sous-ensemble de signatures d'intrusions révélant une intrusion déterminée dans l'événement surveillé E.
Ainsi, si l'issue du test de l'étape E3 est positif, c'est-à-dire si le motif P1 est reconnu par l'algorithme de correspondance, alors on passe à l'étape E4.
A l'étape E4, le motif p, reconnu est assemblé au nouveau motif (c'est-à-dire au méta-motif ou « metapattern »). A titre d'exemple, cet assemblage peut être réalisé aux moyens des opérateurs et/ou des quantificateurs logiques.
A titre d'exemple, l'assemblage est réalisé par une conjonction « et » des différents motifs associés à chacune des signatures du sous- ensemble de signatures grâce à la conjonction d'un moteur de « pattern matching », c'est-à-dire : metapattern = conj (metapattern, P1 ) = metapattern Λ pt . Ensuite, après l'étape E4 et de même si l'issue du test de l'étape E3 est négatif, on passe à l'étape E5 où on incrémente l'indice i ( / = / + 1 ) avant de reboucler à l'étape E2.
Finalement, si l'événement E surveillé a été confronté à tous les motifs de l'ensemble P 1 c'est-à-dire si l'indice / du test E2 n'est pas inférieur ou égal à n + \, alors on passe à l'étape E6 pour renvoyer le nouveau motif ainsi formé définissant la nouvelle signature.
Après sa génération, la nouvelle signature est ajoutée à l'ensemble de signatures d'intrusions prédéterminées afin que chaque nouvel événement soit confronté à cette nouvelle signature.
Ainsi, contrairement à l'état de l'art qui utilise les motifs de façon atomique (c'est-à-dire, chaque motif est associé à une unique signature et lors de la phase de détection d'intrusion, un événement à surveiller est confronté de façon unitaire à chaque signature), le procédé selon l'invention se base sur ce qu'on peut appeler «une détection composée ». Autrement dit, à partir des signatures associées à une intrusion (ou attaque), ce procédé crée une nouvelle signature dédiée à la reconnaissance de cette attaque. Cette nouvelle signature utilise les motifs des signatures qui ont révélées l'attaque. On notera que la phase de création d'une signature dédiée à une attaque se déroule pendant la détection d'intrusion elle-même. La nouvelle signature est ensuite utilisée avec les autres signatures et le processus recommence pour l'analyse d'un nouvel événement.

Claims

REVENDICATIONS
1. Procédé de détection automatique d'intrusions parmi des événements à surveiller, caractérisé en ce qu'il comprend :
-la confrontation d'un événement surveillé à un ensemble de motifs, chaque motif étant associé à une signature d'intrusion prédéterminée d'un ensemble de signatures d'intrusions, -la détermination parmi ledit ensemble de signatures d'intrusions d'un sous-ensemble de signatures d'intrusions révélant une intrusion déterminée dans ledit événement surveillé, et
-la génération dynamique d'une nouvelle signature correspondant audit sous-ensemble de signatures d'intrusions, ladite nouvelle signature étant dédiée à la reconnaissance de ladite intrusion déterminée.
2. Procédé selon la revendication 1, caractérisé en ce que ladite nouvelle signature engendre l'émission d'une alerte correspondant à l'événement associé à ladite intrusion déterminée.
3. Procédé selon la revendication 1, caractérisé en ce que la génération dynamique de la nouvelle signature comporte un assemblage des motifs associés à chacune des signatures dudit sous-ensemble de signatures d'intrusions obtenu pour former un nouveau motif associé à ladite nouvelle signature.
4.Procédé selon la revendication 1, caractérisé en ce que la détermination d'une signature révélant l'intrusion déterminée parmi ledit sous-ensemble de signatures d'intrusions comporte l'utilisation d'une fonction de correspondance entre des propriétés dudit événement surveillé et le motif associé à ladite signature.
5. Procédé selon l'une quelconque des revendications 1 à 4, caractérisé en ce que la nouvelle signature est ajoutée à l'ensemble de signatures d'intrusions prédéterminées de sorte que chaque nouvel événement soit confronté à cette nouvelle signature.
6. Module de détection d'intrusions comportant un capteur (23) destiné à capter des événements à surveiller dans un système d'information (1), caractérisé en ce qu'il comporte en outre : -un moyen de confrontation (25) permettant de confronter un événement surveillé à un ensemble de motifs associé à un ensemble de signatures d'intrusions prédéterminées,
-un moyen de détermination (27) permettant de déterminer parmi ledit ensemble de signatures d'intrusions prédéterminées, un sous-ensemble de signatures d'intrusions révélant une intrusion déterminée dans ledit événement surveillé, et
-un moyen de production (31) permettant de générer de manière dynamique une nouvelle signature correspondant audit sous-ensemble de signatures d'intrusions, ladite nouvelle signature étant dédiée à la reconnaissance de ladite intrusion déterminée.
7. Module de détection d'intrusions selon la revendication 6, caractérisé en ce qu'il comporte un moyen d'émission (21) permettant d'émettre une alerte à destination d'un module de gestion, l'alerte correspondant à l'événement associé à ladite intrusion déterminée.
8. Module de détection d'intrusions selon l'une quelconque des revendications 6 et 7, caractérisé en ce qu'il comporte en outre un moyen de stockage (19) permettant d'ajouter la nouvelle signature à l'ensemble de signatures d'intrusions prédéterminées déjà stocké dans ledit moyen de stockage de sorte que chaque nouvel événement soit confronté à cette nouvelle signature.
9. Système d'information surveillé comportant un module (7) de gestion d'alertes, et une console de présentation d'alertes caractérisé en ce qu'il comporte en outre une pluralité de modules (5) de détection d'intrusions selon l'une quelconque des revendications 6 à 8.
10. Programme d'ordinateur comportant des instructions pour la mise en œuvre du procédé de détection d'intrusions selon les revendications 1 à 5 lorsqu'il est exécuté par un système informatique.
11. Moyens de stockage de données comportant des instructions de code de programme informatique pour l'exécution des étapes d'un procédé selon l'une quelconque des revendications 1 à 5.
PCT/FR2006/050682 2005-07-08 2006-07-06 Procede et systeme de detection d'intrusions WO2007006999A2 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP06779022A EP1902565A2 (fr) 2005-07-08 2006-07-06 Procede et systeme de detection d'intrusions
US11/988,492 US20090138970A1 (en) 2005-07-08 2006-07-06 Method and System for Detecting Intrusions

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0507292A FR2888440A1 (fr) 2005-07-08 2005-07-08 Procede et systeme de detection d'intrusions
FR0507292 2005-07-08

Publications (2)

Publication Number Publication Date
WO2007006999A2 true WO2007006999A2 (fr) 2007-01-18
WO2007006999A3 WO2007006999A3 (fr) 2007-03-08

Family

ID=36096353

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2006/050682 WO2007006999A2 (fr) 2005-07-08 2006-07-06 Procede et systeme de detection d'intrusions

Country Status (4)

Country Link
US (1) US20090138970A1 (fr)
EP (1) EP1902565A2 (fr)
FR (1) FR2888440A1 (fr)
WO (1) WO2007006999A2 (fr)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7574740B1 (en) * 2000-04-28 2009-08-11 International Business Machines Corporation Method and system for intrusion detection in a computer network

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030097557A1 (en) * 2001-10-31 2003-05-22 Tarquini Richard Paul Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
WO2003083660A1 (fr) * 2002-03-29 2003-10-09 Global Dataguard, Inc. Systemes et procedes de detection adaptative d'intrusion de comportement

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6487666B1 (en) * 1999-01-15 2002-11-26 Cisco Technology, Inc. Intrusion detection signature analysis using regular expressions and logical operators
US6609205B1 (en) * 1999-03-18 2003-08-19 Cisco Technology, Inc. Network intrusion detection signature analysis using decision graphs
AU2001275737A1 (en) * 2000-08-11 2002-02-25 British Telecommunications Public Limited Company System and method of detecting events
US7076803B2 (en) * 2002-01-28 2006-07-11 International Business Machines Corporation Integrated intrusion detection services
US7017186B2 (en) * 2002-07-30 2006-03-21 Steelcloud, Inc. Intrusion detection system using self-organizing clusters
US7603711B2 (en) * 2002-10-31 2009-10-13 Secnap Networks Security, LLC Intrusion detection system
US7305708B2 (en) * 2003-04-14 2007-12-04 Sourcefire, Inc. Methods and systems for intrusion detection
FR2864282A1 (fr) * 2003-12-17 2005-06-24 France Telecom Procede de gestion d'un ensemble d'alertes issus de sondes de detection d'intrusions d'un systeme de securite d'informations.
US20060026684A1 (en) * 2004-07-20 2006-02-02 Prevx Ltd. Host intrusion prevention system and method
US7540025B2 (en) * 2004-11-18 2009-05-26 Cisco Technology, Inc. Mitigating network attacks using automatic signature generation

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030097557A1 (en) * 2001-10-31 2003-05-22 Tarquini Richard Paul Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
WO2003083660A1 (fr) * 2002-03-29 2003-10-09 Global Dataguard, Inc. Systemes et procedes de detection adaptative d'intrusion de comportement

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
ALMGREN M, DEBAR H, DACIER M: "A lightweight tool for detecting web server attacks"[Online] 2000, XP002375914 Extrait de l'Internet: URL:http://www.isoc.org/isoc/conferences/ndss/2000/proceedings/007.pdf> cité dans la demande *
KAI HWANG ET AL: "Defending Distributed Systems Against Malicious Intrusions and Network Anomalies" PARALLEL AND DISTRIBUTED PROCESSING SYMPOSIUM, 2005. PROCEEDINGS. 19TH IEEE INTERNATIONAL DENVER, CO, USA 04-08 APRIL 2005, PISCATAWAY, NJ, USA,IEEE, 4 avril 2005 (2005-04-04), pages 286a-286a, XP010785920 ISBN: 0-7695-2312-9 *
ROESCH M: "Snort - lightweight intrusion detection for networks" PROCEEDINGS OF LISA99:13TH SYSTEM ADMINISTRATION CONFERENCE AND EXHIBITION, [Online] novembre 1999 (1999-11), XP002375913 Seattle Extrait de l'Internet: URL:http://www.usenix.org/events/lisa99/full_papers/roesch/roesch.pdf> cité dans la demande *

Also Published As

Publication number Publication date
WO2007006999A3 (fr) 2007-03-08
FR2888440A1 (fr) 2007-01-12
EP1902565A2 (fr) 2008-03-26
US20090138970A1 (en) 2009-05-28

Similar Documents

Publication Publication Date Title
US20100192222A1 (en) Malware detection using multiple classifiers
CN108337266B (zh) 一种高效的协议客户端漏洞发掘方法与系统
EP3399720B1 (fr) Procédé et dispositif électronique de surveillance d'une application logicielle avionique, programme d'ordinateur et système avionique associés
KR102362516B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
EP3053320B1 (fr) Procédé de détection d'anomalies dans un trafic réseau
EP3489831A1 (fr) Procédé et dispositif de surveillance d'un processus générateur de données d'une métrique pour la prédiction d'anomalies
KR102396237B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
EP1902565A2 (fr) Procede et systeme de detection d'intrusions
US10931693B2 (en) Computation apparatus and method for identifying attacks on a technical system on the basis of events of an event sequence
US20090144821A1 (en) Auxiliary method for investigating lurking program incidents
FR3113153A1 (fr) Procédé mis en œuvre par ordinateur pour tester la cybersécurité d’un environnement cible
Gantikow et al. Container anomaly detection using neural networks analyzing system calls
EP2849404B1 (fr) Procédé de détection d'intrusions non solliciteés dans un reseau d'information, dispositif, produit programme d'ordinateur et moyen de stockage correspondants
US20230048076A1 (en) Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program
EP4181002A1 (fr) Procédé de détection d'une cybermenace pesant sur un système d'information ; produit programme d'ordinateur et système informatique associés
KR102411383B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
CH718977A2 (fr) Analyse du comportement basée sur une machine à états finis pour la détection de logiciels malveillants.
FR3125346A1 (fr) Procédé de détermination d’un degré d’exposition de données
FR3111228A1 (fr) Garantie de la confiance en un programme informatique pour dispositifs de l’internet des objets
Lanoe et al. An efficient and scalable intrusion detection system on logs of distributed applications
KR102396236B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
EP4033361B1 (fr) Procédé et dispositif de détermination d'au moins une machine impliquée dans une anomalie détectée dans une infrastructure informatique complexe
KR102447280B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
KR102396238B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
KR102432649B1 (ko) 사이버 위협 정보 처리 프로세서, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체

Legal Events

Date Code Title Description
NENP Non-entry into the national phase

Ref country code: DE

WWW Wipo information: withdrawn in national office

Country of ref document: DE

WWE Wipo information: entry into national phase

Ref document number: 2006779022

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 2006779022

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 11988492

Country of ref document: US