CA2125445A1 - Dispositif de detection d'intrusions et d'usagers suspects pour ensemble informatique et systeme de securite comportant un tel dispositif - Google Patents
Dispositif de detection d'intrusions et d'usagers suspects pour ensemble informatique et systeme de securite comportant un tel dispositifInfo
- Publication number
- CA2125445A1 CA2125445A1 CA002125445A CA2125445A CA2125445A1 CA 2125445 A1 CA2125445 A1 CA 2125445A1 CA 002125445 A CA002125445 A CA 002125445A CA 2125445 A CA2125445 A CA 2125445A CA 2125445 A1 CA2125445 A1 CA 2125445A1
- Authority
- CA
- Canada
- Prior art keywords
- behavior
- intrusion
- users
- intrusions
- detection device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Abandoned
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
Abstract
Dispositif de détection d'intrusions et d'usagers suspects pour ensemble informatique et système de sécurité comportant un tel dispositif Dispositif de détection d'intrusions et d'usagers suspects, pour ensemble informatique (1), et système de sécurité incorporant un tel dispositif qui exploite les données de surveillance, relatives au fonctionnement de l'ensemble. Le dispositif comporte des moyens (01) pour modéliser l'ensemble informatique, ses usagers et leurs comportements respectifs à l'aide d'un réseau sémantique (06); des moyens (02) pour comparer le comportement modélisé du système et des utilisateurs par rapport au comportement normal modélisé; des moyens (03) pour interpréter en termes d'intrusions et d'hypothèses d'intrusion les anomalies constatées; des moyens (04) pour interpréter les hypothèses d'intrusion et les intrusions constatées afin de les signaler et de permettre de préparer des actions de contention. Des moyens (05) sont prévus pour évaluer le degré de suspicion des usagers. L'ensemble des moyens coopére dans un but d'information. Figure à publier : fig. 1
Description
-` 212~44~
::.
Dispositif de détection d~int~usions et d~usaqers sus~ects our ens~emble infermatiq~e_et syst~me de sécurité comnortant un tel dispositif.
L'invention concerne un dispositif de détection dlintrusions 5 et d'usagers suspects et un systame de sécurité, pour ensemble informatique, comportant un tel dispositif.
Le systame de sécurité est destina ~ protéger un ensemble informatique, auquel il est associé, contre les actions informatiques anormales des usagers ou d'utilisateurs lo intrus, lorsque ces actions sont susceptibles de porter directement ou indirectement atteinte à la confidentialité, ~ l'int~grité et/ou à la disponibilite des informations et des services de 1'ensemble informatique.
Le dispositif est destiné à assurer une d~tection des 15 intrusions que sont consid~r~es constituer lesdites actions informatiques anormales des usagers et a fortiori celles de tiers intrus, et corollairement une d~tection des personnes impliquées dans ces intrusions ou suspectes de l'~tre, ceci dans le cadre d'un système de sécurit~ tel qu'évoqué ci-20 dessuæ.De nombreux ensembles informatiques actuels, qu'ils soient dotés d'unit~s de traitement centralis~es, ou qu'ils soient ~.
organisés en réseaux reliant des unités de traitement géographiquement réparties, disposent de différents points 25 d'acc~s pour la desserte de leurs usagers. ~e nombre de ces points et la facilit~ avec laquelle ils sont souvent -:
accessibles, qui sont nécessaires ~ l'exploitation de ces enseimbles informatiques, ont pour inconvenient de faciliter les tentatives d'intrusion pàr des personnes qui ne font pas 30 partie des usagers admis et les tentatives par des utilisateurs, agissant isolément ou de mani~re concertée, :~
pour realiser des op~rations informatiques que, licitement, ce ou ces utilisateurs ne devraient pas pouvoir effectuer.
Il est connu de chercher ~ détecter les intrusions dans un 35 ensemble informatique et à identifier les usagers auteurs d'actions illicites par une approche statistique ou ~;~
:
` -- 2~25~
, neuronale. A cet effet, on compare algorithmiquement chaque donnée courante de surveillance, qui correspond à une action informatique d'un sujet sur un objet, ~ un comportement habituel d'usas?er, soit représenté par un profil statistique 5 préalablement déterminé, soit mémorisé dans un réseau neuronal.
Ceci n'est pas pleinement satisfaisant, dans la mesure où
les notions de comportement inhabituel et intrusif ne se recoupent pas, de plus il est possible qu'un comportement 10 intrusif puisse être mémorisé à tort en tant que comportement normal admissible.
Il est aussi connu d'utiliser un syst~me expert, notamment en liaison avec la méthode pr~cédente, pour chercher déterminer les intrusions en appliquant aux données de 15 surveillance, fournies par un syst~me de s~curit~ d'e~semble informatique, les connaissances xelatives aux scénarios potentiels d'attaque de l'ensemb?le informatique. Ceci n'est pas non plus pleinement satisfaisant, car seules sont d~tectées, par cette méthode, les intrusions qui 20 correspondent ~ des scénarios d'attaque préalablement mémoris~s. ~ -Dans la mesure où, dans chacune des approches su~cinctement évoquées ci-dessus, le comportemellt envisagé est limit~ à
des actions élémentaires au niveau du syst~me ; 25 d'ex~?loitation, par exemple la lecture d'un fichier, il ....
n'est pas possible de prendre en compte les opérations inadmissibles résultant d'une activit~ complexe, notamment celles qui interviennent au niveau d'une application. Il n'est alors pas possible de tirer des conclusions justifiées 30 ~ partir des informations obtenues sur l'~tat d'intrusion pour un ensemb?le informatique surveillé et sur la participation potentielle ou réelle des usagers ~ des op~rations répréhensibles.
L'invention propose donc un dispositif de détection 35 d'intrusions et ~ventuellement d'usagers suspects, pour ensemble informatique, exploitant des flots de données de . . .
21254~
surveillance, relatives au fonctionnement de l'ensemble informatique et notamment aux actions des utilisateurs sur cet ensemble, qui sont établies au niveau de ce dernier.
Selon une caractéristique de l'invention, ce dispositif de 5 détection comporte:
- des premiers moyens pour modéliser, par exploitation de r~gles et de connaissances pr~alablement acquises, la cible que constitue cet ensemble informatique et ses usagers ainsi que leurs comportements respectifs par une représentation 10 symbolique à l'aide d'un réseau sémantique;
- des seconds moyens pour comparer le comportement modélisé -:
du syst~me et de ses utilisateurs par rapport au comportement normal mod~lis~ prévu pour les mêmes conditions par des règles de comportement et de s~curité contenues dans 15 une base de connaissances propre ~ ces seconds moyens et pour en inférer soit un objet anomalie, en cas de violation d'au moins une règle de comportement, soit un objet intrusion ou hypothèse d'intrusion, en cas de violation d'au moins une règle de sécurité;
20 - des troisièmes moyens pour interpréter les anomalies ~:~
constatées par exploitation de règles et de connaissances préalablement acquises, afin d'émet:tre, renforcer ou confirmer des hypoth~ses d'intrusion en correspondance;
- des quatrièmes moyens pour corr~ler et interpréter les 2S hypothèses d'intrusion et les intrusions constat~es par exploitation des r~gles et des connaissances préalablement ~ ~-acquises afin de relier les diverses hypothèses d'intrusion .
et/ou intrusions, d'en inférer de nouvelles;
- des moyens de communication coop~rant avec les divers 30 autres moyens ~voqués ci-dessus pour assurer une signalisation des diverses informations que ces divers moyens produisent relativement aux anomalies, aux hypoth~ses ~ :
d'intrusion et aux intrusions.
Selon une car~ctéristique complémentaire, le dispositif de 35 d~tection selon l'in~ention est susceptible de comporter des cinquièmes moyens pour identifier ~ l'aide de connaissances ~, ... ... . ... ............ ...... .. .. .... .. . ..... . .. . . .. .. . .. .
,,. .s ~':'; ."~ .'"~,..,i . . ;~. ~,~ ,, ~, ~. " ,, ,,~;.,,,,, ","."" ,~ "~"",~ ~"", ,"
-" 2~ 2~44~
préalablement ac~uises les usagers réellement responsables des anomalies, hypoth~ses d'intrusion et intrusions établies par les seconds, troisièmes et/ou guatrièmes moyens, pour évaluer leur degré de suspicion et pour signaler ces usagers 5 responsables, en coopération avec ces moyens et par 1'intermédiaire des moyens de communication.
L'invention, ses caractéristiques et ses avantages sont précisés dans la descrip ion giui suit en liaison avec les figures evoguées ci-dessous.
10 La figure 1 présente une architecture logicielle de dispositif de détection d'intrusions selon llinvention.
La figure 2 présente un systame de sécurit~ selon 1'invention en liaison avec une machine d'ensemble informatique auquel ce syst~me est associé.
15 La figure 3 présente un schéma montrant les liaisons entre un moniteur local de système de sécuritél une machine ~
informatique qu'il dessert et un moniteur global dont il ~-d~pend.
La figure 4 présente un abstracteur-investigateur pour `~
20 dispositif de détection selon l'invention.
La figure 5 présente un sch~ma ~'un analyseur-contrôleur pour syst~me de s~curité selon l'invention.
La figure 6 présente un schéma d'un gestionnaire de ~ ~
suspicion et de réaction pour système de sécurité selon -25 l'invention.
Le dispositif de d~tection d'intrusions selon l'invention dont l'architecture logicielle est pr~sentée en figure 1 est plus particuli~rement destin~ ~ être associ~ ~ un ensemble informatique dans le cadre d'un système de sécurité destiné
30 ~ prot~ger cet ens~mble informatique des intrusions des usagers et/ou d'utilisateurs intrus, ce dispositif étant destin~ à d~tecter tant les intrusio~s et tentatives d'intrusions que les usagers susceptibles d'~tre impliqués dans ces intrusions et tentatives d'intrusion.
35 L'architecture logicielle proposée ici prévoit la mise en ;
oeuvre de cinq systames experts, référencés de 01 ~ 05, qui - ` 2~2~4~
coop~rent grâce à une application de type tableau noir, référencée o, et d'une interface homme-application 00 pour au moins une personne ayant la responsabilité de la s~curité
de l'ensemble informatique et du fonctionnement du 5 dispositif de détection d'intrusions~
Selon l'invention, pour prendre en compte une politique pour l'ensemble informatique qui, dans la réalisation considérée, concerne la sécurité de cet ensemble, se définit en termes d'actions permises ou non aux usagers et s'etend donc au~
10 delà de la notion d'intrusion telle que définie plus haut, il est prévu de prendre en compte, au niveau du dispositif de détection, des r~gles de comportement dont le non-respect constitue une anomalie, en plus des règles de sécurit~ dont le non-respect constitue de fait une intrusion caractérisée.
15 Le non-respect des règles se traduit donc en anomalies et en intrusions, étant entendu qu'une anomalie est susceptible d'être ultérieurement interprétée pour inférer une intrusion par le dispositif, suite au fonctionnement de ce dernier.
Le dispositif de détection est chaxgé de vérifier si les 20 flots de données de surveillance successivement reçus, ici sous forme d'enregistrements d'audit, en provenance de l'ensemble informatique qu'il dessert, permettent de considérer que cet ensemble fonctionne normalement comme prPvu. A cet effet, le syst~me expert 01 xe~oit, à un niveau 25 d'entrée r~f~rencé I, les enregistrements d'audit provenant de l'ensemble informatique et il les interprète pour en extraire une repr~sentation symbolique de 1'état de cet ensemble informatique, de son comportement et de celui de ses utilisateurs sous la forme d'un réseau sémantique, 30 réf~rencé 06 et ~ differents niveaux d'abstraction en particulier au niveau action, activité, etc.; un tel réseau ~tant constitué comme il est connu par un ensemble d'objets servant ~ la mod~lisation qui sont liés entre eux par des relations ~ cet effet.
35 Le syst~me expert 02 assure le contr~le du comportement de ~-l'ensemble informatique 2 et de ses utilisateurs de m~nière : 2125~
~ d~terminer si ce comportement est en accord avec les r~gles de comportement et de sécurité alors établies.
A partir de l'ensemble de connaissances que représente ces r~gles il détermine si l'évolution de comportement traduite 5 par un flot de données en cours d'examen correspond à un comportement normal reconnu ou non. Dans ce dernier cas il élabore un objet de type intrusion, s'il y a eu non-respect de règles contraignantes de sécurité ou un objet de type anomalie en cas de comportement considéré comme anormal, 10 c'est à dire en cas de comportement qui ne respecte pas les règles de comportement, sans toutefois violer les r~gles contraignantes évoquées ci-dessus.
Une intrusion est ici considérée comme une faute `~
caractérisée qui correspond par exemple à un vol de donn~es 15 ou ~ un acc~s par un utilisateur non autorisé dans 1'ensemble informatique, une anomalie est considérée comme un indice de faute, c'est par exemple une impression par un usager d'un volume de données sup~rieur au volume qui lui est allou~.
20 Le dispositif de détection selon l'invention est aussi charg~ d'assurer une gestion des anomalies pour émettre, renforcer ou confirmer des hypothèses d'intrusion et une gestion des intrusions pour d'une part permettre la prise de mesures de contention, qui sont des mesures de sécurité
25 visant ~ contrecarrer les intrusions pour protéger l'ensemble informatique, Pt d'autre part tenter d'identifier les usagers susceptibles d'atre impliqués dans une tentative simple ou complexe d'intrusion.
A cet effet, le systame expert 03 est chargé dlinterpréter 30 }es nouvelles anomalies ~ partir des objets, de type anomalie, incorporés dans un ensemble d'objets, ici réf~rencé 07, et reliés au réseau s~mantique 06. Il exploite une base de connaissances, propre pour l'interprétation des anomalies et il pose des hypoth~æes d'intrusion en cas 35 d'incertitude d'interprétation. Des objets de type hypoth~se d'intrusion sont produits dans ces conditions, afin d'être - 212544~
incorporés avec les obj~ts de type intrusion dans un ensemble d'objets, ici référencé 08, ces objets ékant reliés au réseau sémantique 060 Le processus de raisonnement de ce système expert 03 prend 5 en compte des règles établies, qui ne sont pas considérées comme totalement contraignantes, afin de d~terminer si la ou les violation(s) constatée(s) d'une ou de plusieurs r~gles, traduites par la présence d'une anomalie ou de plusieurs, sont susceptibles ou non d'~tre acceptées par l'ensemble 10 informatique sans danger. Des objets de type hypothèse d'intrusion simple, renforcée ou confirmée sont produits suivant les conditions et les ris~ues. Une hypoth~se d'intrusion confirmée est considérée comme une intrusion part enti~re.
15 Si plusieurs anomalies conduisent vers une mame hypothèse cette derni~re est renforc~e et il est prévu de lui affecter un coefficient de certitude de plus en plus élev~ au niveau de l'objet qui la représente, le d~passement d'un seuil élevé donné de niveau de certitude conduisant ici ~ la 20 confirmation d'une hypothèse d'intrusion, dès Iors prise en compte en tant qu'intrusion caractérisée.
Le système expert 04 est chargé de corr~ler et interpréter les intrusions, à partir des objets de type intrusion et -hypoth~ses d'intrusion incorporés dans l'ensemble d'objets 25 référencé 08, afin de produire de nouveaux objets, de type intrusion ou hypoth~se d'intrusion, et de relier des objets de l'ensemble 08 entre eux. Il est ainsi chargé de la prise en compte des intrusions complexes, par exemple celles qui rel~vent d'attaques conjuguées impliquant une collusion 30 entre des usagers, ou celles qui interviennent en cascade et ont en cons~quence des liens logiques ou temporels les unissant.
Il est donc apte ~ produire des objets de type intrusion ou hypoth~se d'intrusion du type déj~ ~voqu~ plus haut et 35 preciser leurs liens.
-~` 212~445 Le syst~me expert 05 est chargé de la gestion des usi~gers suspects en vue de déterminer à partir des objets de type ~ -anomalie, intrusion et hypothèse d'intrusion, ceux des usagers qui en sont réellement responsables et qui sont donc 5 suspects d'intrusion et en vue de leur attribuer en conséquence un coefficient caractéristique correspondant, ici appelé degré de suspicion. Il définit en conséquence de~
objets de type suspect par raisonnement i~ partir des objets ~ .
évoqués ci-dessus qu'il prend en compte et il emplit un 10 ensemble d'objets correspondant ici référencé 09, ces objets ~tant reliés au rés~au sémantique 06.
Dans la réalisation envisagée, les systèmes experts 01 à 05 partagent un même moteur d'inférences, fonctionnant en cha~nage avant, qui est exploité en liaison avec autant de lS bases de connaissances qu'il y a de systèmes experts.
Les systèmes experts 01 i~ 05 sont ici basés sur des r~gles de production d'ordre un, c'est-à-dire comportant des variables, comme il est connu. Ces systèmes sont régis par 1'application 0, de type tableau noir, gui permet ~ chacun 20 de communiquer aux autres les faits qu'il a obtenus par raisonnement et qu'il a classés afin de permettre à chacun de les exploiter. A chaque événement constitué soit par l'arrivée d'un flot de données de surveillance, sous la forme d'un enregistrement d'audit, soit par l'écriture d'un 25 objet, l'application 0 est chargée d'assurer en fonction des règles qui la r~gissent alors le déclenchement, pour un cycle de travail, d'un syst~me expert éventuellement choisi par elle parmi plusieurs, si plus d'un entre eux est susceptible de prendre e~ compte cet ~vénement, comme cela ~.
30 est connu. Ainsi, en cas d'arrivée d'un enregistrement d'audit, la priorité est normalement donnée au système expert o1 charg~ d'interpréter le comportement de 1'ensemble informatique surveill~, alors qu'en cas d'écriture d'un objet, de type intrusion, priorit~ est donn~e au système 35 expert 05 chargé de la gestion des usagers suspects dans la mesure o~ leur signalisation ainsi que celle des intrusions ``- 2~2~4~
à la personne ayant la responsabilité de la sécurité du ~.
syst~me informati~ue est un objectif prioritaire du dispositif selon l'invention.
L'information de ce(s) responsable(s) s'effectue par 5 l'intermédiaire de l'interface homme-application oo qui . :
donne accès aux connaissances emmagasinéeis dans des bases de données et de faits qui seront évoquées plus loin; cette .
information traduite par l'interface sous une forme humainement exploitable est destinée à permettre une mise en 10 oeuvre de mesures de contention au niveau de 1'ensemble informatique, à partir de l'analyse de la situation telle que traduite par le dispositif de détection et avec l'assistance de ce dispositif dans le choix des mesures à
prendre, si besoin est. La signalisation des anomalies, des 15 hypoth~ses d'intrusion, des intrusions, des usagers et des suspicions au responsable de sécurité est essentielle et un accès aux informations mémorisées au niveau du réseau s~mantique 06 et des ensembles d'objets 07 à os est donné ~:
pour permettre de conna~tre et comprendre le(s) 20 comportement(s~ susceptible(s) d'avoir conduit aux faits signalés.
Comme indiqué plus haut, le dispositif de detection d'intrusions décrit ci-dessus est ici supposé destiné à être incorporé dans un système de s~curit~ charg~ de prot~ger 25 l'ensemble informatique que surveille ce dispositif. -:
Un tel syst~me de sécurité est sch~matis~ en figure 2 il est ~: montré associ~ à un ensemble informatique référencé 1, qui est ici supposé composé de plusieurs machines 2, organis~es en réseau. Dans la réalisation envisagée, chaque machine 2 30 est suppos~e comporter un syst~me d'exploitation 2A, un ; logiciel de base 2B, un logiciel applicatif 2C et une :
interface d'application 2D qui ne sont pas détaillés ici dans la mesure o~ leurs constitutions respectives sont sans rapport direct avec l'invention.
35 Comme déjà indiqu~, le syst~me de sécurité est associé ~ ;-1'ensemble informatique 1 pour le protéger contre les -` 212~44~
. ~:
actions informatiques anormales et plus particulièrement suspectes ou malveillantes, ainsi qu'indiqué plus haut.
Ce système de sécurité comporte au moins une machine 3, ou éventuellement un réseau de machines, qui est apte à
5 communiquer avec les machines 2 de 1'ensemble informatique 1 pour assurer la protection de ces dernières vis-~-vis des actions informatiques anormales des utilisateurs après avoir effectué et fait effectuer des opérations en vue de détecter ces actions anormales et leurs auteurs.
lo Le système de sécurit~ comporte aussi au moins une interface homme-machine 4 d'acc~s matériel et/ou logique ~ la ou aux machines 3 du système de sécurité en vue de permettre une supervision du syst~me de sécurité et des interventions ~ au moins une personne ayant la responsabilité du fonctionnement 15 de ce syst~me, cette interface correspondant structurellement à l'interface homme-application 00 évoquée ~-en relation avec la f igure 1.
La détection des action~ informatiques anormales est obtenue ` -à partir d'informations fournies par des capteurs de 20 perception 5 affect~s ~ chaque machine 2 de l'ensemble informatique. Les capteurs 5 sont implantés dans le logiciel de la machine 2 à laquelle ils sont affectés, en particulier dans le système d'exploitation, ici référencé 2A de cette machine, dans son logiciel de base 2B, dans son logiciel 25 applicatif 2C et dans son interface applicative 2~.
certains capteurs sont destinés ~ signaler des actions et des ~vénements intervenant au niveau des ~léments de l'ensemble informatique cible auquel ils sont respectivement affect~s.
30 D'autres capteurs permettent d'effectuer des mesures cycliques ou ponctuelles, par exemple en raison de leur programmation temporelle propre, ou sur demande.
Dans la r~alisation envisag~e, les informations recueillies par les differents capteurs d'une machine 2 sont traduites 35 sous forme d'enregistrements d'audit estampillés selon l'horloge locale de la machine dont ils proviennent et elles '`: ' ' ' ~'~
212~4~
sont rassembl~es et mises en forme au niveau d~un moniteur local 7 affect~ à cette machine 2. Ce moniteur local 7 est relié ~ un moniteur global 8 de machine 3 du système de sécurité, auquel il transmet les données d'audit qu'il a 5 reçues. Le moniteur global 8 d'une machine 3 assure la collecte des données d'audit provenant des moniteurs locaux 7 desservis par cette machine 3 et en conséquence reliés à
lui; il leur transmet les données de paramétrage et les demandes et/ou commandes qui sont fournies par la machine 3 10 le comportant et qui sont destinées aux capteurs 4 et aux effecteurs 5 que ces moniteurs locaux 7 desservent.
Les effecteurs 6 sont des processus ou autres agents permettant de mettre en oeuvre des mesures de contention pour contrecarrer les tentatives d'intrusion, ils sont 15 prévus implantés dans le logiciel de la machine 2 à laquelle ils sont affectés. Dans l'exemple de r~alisation proposé, cette implantation concerne le système d'exploitation 2A, le logiciel de base 2B, le logiciel applicatif 2C et l'interface applicative 2D de la machine 2 considérée.
20 Les effecteurs 6 sont par exemple des processus qui disposent de privilèges particuliers leur permettant d'affecter les droits ou l'existence d'autres processus, ce `-~
~ont alternativemént des agents qui correspondent par exemple à de parties de code dans des logiciels qui sont 25 capables d'a~fecter l'utilisation faite de ces logiciels.
Les mesures de contention qu'ils mettent en oeuvre sont par exemple des d~connexions, des changements de droits ou de priorité, des destructions de processus.
Comme indiqu~ plus haut, les effecteurs 6 sont invoqués par 30 le moniteur local 7 de la machine 2 ~ la~uelle ils sont affectés pour appliquer les mesures sp~cifiques de contention ordonnées par la machine 3 du système de sécurité
avec le moniteur global B de laquelle ce moniteur local 7 dialogue.
35 Un moniteur local 7 comporte par exemple - voir figure 3 -:
.
~" 2~25~5 ~ un collecteur local d'audit 70 o~ sont temporairement reçues dans un tampon les données d'audit des capteuræ 5 reliés à ce moniteur local 7.
- une base de données d'audit 71 pour le stockage des 5 enregistrements d'audit reçus par le collecteur local 70 et notamment de ceux qui ne sont pas immédiatement transmis vers le moniteur global 8 avec lequel dialogue le moniteur local 7, par exempl~ en raison d'un filtrage imposé par l'intermédiaire de ce moniteur global 8, ---10 - un moniteur d'audit 72 pour le paramétrage des capteurs 5 reliés au moniteur 7, selon les commandes émanant du moniteur global 8 défini ci-dessus, - un monikeur de co~tention 73 pour la commande des effecteurs en fonction des mesures spécifiques de contention 15 qui sont susceptibles d'~tre transmises par le moniteur global 8 défini ci-dessus et qui sont destinées à être appliquées au niveau de la machine 2 comportant le moniteur local 7.
La taille et le nombre d'enregistrements traités en un seul 20 lot sont choisis tels qu'il soit possible de restaurer l'ordre corxect des enregistrements dans le flot d'audit, l'estampille de ces enregistrements jusqu'alors basée sur l'horloge de la machine 2 étant traduite, au niveau du moniteur local, en une estampille relative ~ une horloge ~5 globale pour le syst~me de sécurit~. Une résolution locale des r~érences est aussi effectuée à ce niveau, elle consiste ~ assurer un étiquatage correct des enregistrements par exemple par processus et par usager ainsi que des ;~
données d'investigation ~ournies suite ~ des requ~tes 30 spécifiques de la machine 3 du syst~me de s~curité dont fait partie le moniteur global auquel les enregistrements sont transmis. Le filtrage évoqué plus haut permet de ne pas transmettre ~ ce moniteur global 8 les enregistremen~-s ne - ~-satis~aisant pas les clauses logiques spécifiées par des 35 contraintes de focalisation imposées par la machine 3 qui le comporte.
::.
Dispositif de détection d~int~usions et d~usaqers sus~ects our ens~emble infermatiq~e_et syst~me de sécurité comnortant un tel dispositif.
L'invention concerne un dispositif de détection dlintrusions 5 et d'usagers suspects et un systame de sécurité, pour ensemble informatique, comportant un tel dispositif.
Le systame de sécurité est destina ~ protéger un ensemble informatique, auquel il est associé, contre les actions informatiques anormales des usagers ou d'utilisateurs lo intrus, lorsque ces actions sont susceptibles de porter directement ou indirectement atteinte à la confidentialité, ~ l'int~grité et/ou à la disponibilite des informations et des services de 1'ensemble informatique.
Le dispositif est destiné à assurer une d~tection des 15 intrusions que sont consid~r~es constituer lesdites actions informatiques anormales des usagers et a fortiori celles de tiers intrus, et corollairement une d~tection des personnes impliquées dans ces intrusions ou suspectes de l'~tre, ceci dans le cadre d'un système de sécurit~ tel qu'évoqué ci-20 dessuæ.De nombreux ensembles informatiques actuels, qu'ils soient dotés d'unit~s de traitement centralis~es, ou qu'ils soient ~.
organisés en réseaux reliant des unités de traitement géographiquement réparties, disposent de différents points 25 d'acc~s pour la desserte de leurs usagers. ~e nombre de ces points et la facilit~ avec laquelle ils sont souvent -:
accessibles, qui sont nécessaires ~ l'exploitation de ces enseimbles informatiques, ont pour inconvenient de faciliter les tentatives d'intrusion pàr des personnes qui ne font pas 30 partie des usagers admis et les tentatives par des utilisateurs, agissant isolément ou de mani~re concertée, :~
pour realiser des op~rations informatiques que, licitement, ce ou ces utilisateurs ne devraient pas pouvoir effectuer.
Il est connu de chercher ~ détecter les intrusions dans un 35 ensemble informatique et à identifier les usagers auteurs d'actions illicites par une approche statistique ou ~;~
:
` -- 2~25~
, neuronale. A cet effet, on compare algorithmiquement chaque donnée courante de surveillance, qui correspond à une action informatique d'un sujet sur un objet, ~ un comportement habituel d'usas?er, soit représenté par un profil statistique 5 préalablement déterminé, soit mémorisé dans un réseau neuronal.
Ceci n'est pas pleinement satisfaisant, dans la mesure où
les notions de comportement inhabituel et intrusif ne se recoupent pas, de plus il est possible qu'un comportement 10 intrusif puisse être mémorisé à tort en tant que comportement normal admissible.
Il est aussi connu d'utiliser un syst~me expert, notamment en liaison avec la méthode pr~cédente, pour chercher déterminer les intrusions en appliquant aux données de 15 surveillance, fournies par un syst~me de s~curit~ d'e~semble informatique, les connaissances xelatives aux scénarios potentiels d'attaque de l'ensemb?le informatique. Ceci n'est pas non plus pleinement satisfaisant, car seules sont d~tectées, par cette méthode, les intrusions qui 20 correspondent ~ des scénarios d'attaque préalablement mémoris~s. ~ -Dans la mesure où, dans chacune des approches su~cinctement évoquées ci-dessus, le comportemellt envisagé est limit~ à
des actions élémentaires au niveau du syst~me ; 25 d'ex~?loitation, par exemple la lecture d'un fichier, il ....
n'est pas possible de prendre en compte les opérations inadmissibles résultant d'une activit~ complexe, notamment celles qui interviennent au niveau d'une application. Il n'est alors pas possible de tirer des conclusions justifiées 30 ~ partir des informations obtenues sur l'~tat d'intrusion pour un ensemb?le informatique surveillé et sur la participation potentielle ou réelle des usagers ~ des op~rations répréhensibles.
L'invention propose donc un dispositif de détection 35 d'intrusions et ~ventuellement d'usagers suspects, pour ensemble informatique, exploitant des flots de données de . . .
21254~
surveillance, relatives au fonctionnement de l'ensemble informatique et notamment aux actions des utilisateurs sur cet ensemble, qui sont établies au niveau de ce dernier.
Selon une caractéristique de l'invention, ce dispositif de 5 détection comporte:
- des premiers moyens pour modéliser, par exploitation de r~gles et de connaissances pr~alablement acquises, la cible que constitue cet ensemble informatique et ses usagers ainsi que leurs comportements respectifs par une représentation 10 symbolique à l'aide d'un réseau sémantique;
- des seconds moyens pour comparer le comportement modélisé -:
du syst~me et de ses utilisateurs par rapport au comportement normal mod~lis~ prévu pour les mêmes conditions par des règles de comportement et de s~curité contenues dans 15 une base de connaissances propre ~ ces seconds moyens et pour en inférer soit un objet anomalie, en cas de violation d'au moins une règle de comportement, soit un objet intrusion ou hypothèse d'intrusion, en cas de violation d'au moins une règle de sécurité;
20 - des troisièmes moyens pour interpréter les anomalies ~:~
constatées par exploitation de règles et de connaissances préalablement acquises, afin d'émet:tre, renforcer ou confirmer des hypoth~ses d'intrusion en correspondance;
- des quatrièmes moyens pour corr~ler et interpréter les 2S hypothèses d'intrusion et les intrusions constat~es par exploitation des r~gles et des connaissances préalablement ~ ~-acquises afin de relier les diverses hypothèses d'intrusion .
et/ou intrusions, d'en inférer de nouvelles;
- des moyens de communication coop~rant avec les divers 30 autres moyens ~voqués ci-dessus pour assurer une signalisation des diverses informations que ces divers moyens produisent relativement aux anomalies, aux hypoth~ses ~ :
d'intrusion et aux intrusions.
Selon une car~ctéristique complémentaire, le dispositif de 35 d~tection selon l'in~ention est susceptible de comporter des cinquièmes moyens pour identifier ~ l'aide de connaissances ~, ... ... . ... ............ ...... .. .. .... .. . ..... . .. . . .. .. . .. .
,,. .s ~':'; ."~ .'"~,..,i . . ;~. ~,~ ,, ~, ~. " ,, ,,~;.,,,,, ","."" ,~ "~"",~ ~"", ,"
-" 2~ 2~44~
préalablement ac~uises les usagers réellement responsables des anomalies, hypoth~ses d'intrusion et intrusions établies par les seconds, troisièmes et/ou guatrièmes moyens, pour évaluer leur degré de suspicion et pour signaler ces usagers 5 responsables, en coopération avec ces moyens et par 1'intermédiaire des moyens de communication.
L'invention, ses caractéristiques et ses avantages sont précisés dans la descrip ion giui suit en liaison avec les figures evoguées ci-dessous.
10 La figure 1 présente une architecture logicielle de dispositif de détection d'intrusions selon llinvention.
La figure 2 présente un systame de sécurit~ selon 1'invention en liaison avec une machine d'ensemble informatique auquel ce syst~me est associé.
15 La figure 3 présente un schéma montrant les liaisons entre un moniteur local de système de sécuritél une machine ~
informatique qu'il dessert et un moniteur global dont il ~-d~pend.
La figure 4 présente un abstracteur-investigateur pour `~
20 dispositif de détection selon l'invention.
La figure 5 présente un sch~ma ~'un analyseur-contrôleur pour syst~me de s~curité selon l'invention.
La figure 6 présente un schéma d'un gestionnaire de ~ ~
suspicion et de réaction pour système de sécurité selon -25 l'invention.
Le dispositif de d~tection d'intrusions selon l'invention dont l'architecture logicielle est pr~sentée en figure 1 est plus particuli~rement destin~ ~ être associ~ ~ un ensemble informatique dans le cadre d'un système de sécurité destiné
30 ~ prot~ger cet ens~mble informatique des intrusions des usagers et/ou d'utilisateurs intrus, ce dispositif étant destin~ à d~tecter tant les intrusio~s et tentatives d'intrusions que les usagers susceptibles d'~tre impliqués dans ces intrusions et tentatives d'intrusion.
35 L'architecture logicielle proposée ici prévoit la mise en ;
oeuvre de cinq systames experts, référencés de 01 ~ 05, qui - ` 2~2~4~
coop~rent grâce à une application de type tableau noir, référencée o, et d'une interface homme-application 00 pour au moins une personne ayant la responsabilité de la s~curité
de l'ensemble informatique et du fonctionnement du 5 dispositif de détection d'intrusions~
Selon l'invention, pour prendre en compte une politique pour l'ensemble informatique qui, dans la réalisation considérée, concerne la sécurité de cet ensemble, se définit en termes d'actions permises ou non aux usagers et s'etend donc au~
10 delà de la notion d'intrusion telle que définie plus haut, il est prévu de prendre en compte, au niveau du dispositif de détection, des r~gles de comportement dont le non-respect constitue une anomalie, en plus des règles de sécurit~ dont le non-respect constitue de fait une intrusion caractérisée.
15 Le non-respect des règles se traduit donc en anomalies et en intrusions, étant entendu qu'une anomalie est susceptible d'être ultérieurement interprétée pour inférer une intrusion par le dispositif, suite au fonctionnement de ce dernier.
Le dispositif de détection est chaxgé de vérifier si les 20 flots de données de surveillance successivement reçus, ici sous forme d'enregistrements d'audit, en provenance de l'ensemble informatique qu'il dessert, permettent de considérer que cet ensemble fonctionne normalement comme prPvu. A cet effet, le syst~me expert 01 xe~oit, à un niveau 25 d'entrée r~f~rencé I, les enregistrements d'audit provenant de l'ensemble informatique et il les interprète pour en extraire une repr~sentation symbolique de 1'état de cet ensemble informatique, de son comportement et de celui de ses utilisateurs sous la forme d'un réseau sémantique, 30 réf~rencé 06 et ~ differents niveaux d'abstraction en particulier au niveau action, activité, etc.; un tel réseau ~tant constitué comme il est connu par un ensemble d'objets servant ~ la mod~lisation qui sont liés entre eux par des relations ~ cet effet.
35 Le syst~me expert 02 assure le contr~le du comportement de ~-l'ensemble informatique 2 et de ses utilisateurs de m~nière : 2125~
~ d~terminer si ce comportement est en accord avec les r~gles de comportement et de sécurité alors établies.
A partir de l'ensemble de connaissances que représente ces r~gles il détermine si l'évolution de comportement traduite 5 par un flot de données en cours d'examen correspond à un comportement normal reconnu ou non. Dans ce dernier cas il élabore un objet de type intrusion, s'il y a eu non-respect de règles contraignantes de sécurité ou un objet de type anomalie en cas de comportement considéré comme anormal, 10 c'est à dire en cas de comportement qui ne respecte pas les règles de comportement, sans toutefois violer les r~gles contraignantes évoquées ci-dessus.
Une intrusion est ici considérée comme une faute `~
caractérisée qui correspond par exemple à un vol de donn~es 15 ou ~ un acc~s par un utilisateur non autorisé dans 1'ensemble informatique, une anomalie est considérée comme un indice de faute, c'est par exemple une impression par un usager d'un volume de données sup~rieur au volume qui lui est allou~.
20 Le dispositif de détection selon l'invention est aussi charg~ d'assurer une gestion des anomalies pour émettre, renforcer ou confirmer des hypothèses d'intrusion et une gestion des intrusions pour d'une part permettre la prise de mesures de contention, qui sont des mesures de sécurité
25 visant ~ contrecarrer les intrusions pour protéger l'ensemble informatique, Pt d'autre part tenter d'identifier les usagers susceptibles d'atre impliqués dans une tentative simple ou complexe d'intrusion.
A cet effet, le systame expert 03 est chargé dlinterpréter 30 }es nouvelles anomalies ~ partir des objets, de type anomalie, incorporés dans un ensemble d'objets, ici réf~rencé 07, et reliés au réseau s~mantique 06. Il exploite une base de connaissances, propre pour l'interprétation des anomalies et il pose des hypoth~æes d'intrusion en cas 35 d'incertitude d'interprétation. Des objets de type hypoth~se d'intrusion sont produits dans ces conditions, afin d'être - 212544~
incorporés avec les obj~ts de type intrusion dans un ensemble d'objets, ici référencé 08, ces objets ékant reliés au réseau sémantique 060 Le processus de raisonnement de ce système expert 03 prend 5 en compte des règles établies, qui ne sont pas considérées comme totalement contraignantes, afin de d~terminer si la ou les violation(s) constatée(s) d'une ou de plusieurs r~gles, traduites par la présence d'une anomalie ou de plusieurs, sont susceptibles ou non d'~tre acceptées par l'ensemble 10 informatique sans danger. Des objets de type hypothèse d'intrusion simple, renforcée ou confirmée sont produits suivant les conditions et les ris~ues. Une hypoth~se d'intrusion confirmée est considérée comme une intrusion part enti~re.
15 Si plusieurs anomalies conduisent vers une mame hypothèse cette derni~re est renforc~e et il est prévu de lui affecter un coefficient de certitude de plus en plus élev~ au niveau de l'objet qui la représente, le d~passement d'un seuil élevé donné de niveau de certitude conduisant ici ~ la 20 confirmation d'une hypothèse d'intrusion, dès Iors prise en compte en tant qu'intrusion caractérisée.
Le système expert 04 est chargé de corr~ler et interpréter les intrusions, à partir des objets de type intrusion et -hypoth~ses d'intrusion incorporés dans l'ensemble d'objets 25 référencé 08, afin de produire de nouveaux objets, de type intrusion ou hypoth~se d'intrusion, et de relier des objets de l'ensemble 08 entre eux. Il est ainsi chargé de la prise en compte des intrusions complexes, par exemple celles qui rel~vent d'attaques conjuguées impliquant une collusion 30 entre des usagers, ou celles qui interviennent en cascade et ont en cons~quence des liens logiques ou temporels les unissant.
Il est donc apte ~ produire des objets de type intrusion ou hypoth~se d'intrusion du type déj~ ~voqu~ plus haut et 35 preciser leurs liens.
-~` 212~445 Le syst~me expert 05 est chargé de la gestion des usi~gers suspects en vue de déterminer à partir des objets de type ~ -anomalie, intrusion et hypothèse d'intrusion, ceux des usagers qui en sont réellement responsables et qui sont donc 5 suspects d'intrusion et en vue de leur attribuer en conséquence un coefficient caractéristique correspondant, ici appelé degré de suspicion. Il définit en conséquence de~
objets de type suspect par raisonnement i~ partir des objets ~ .
évoqués ci-dessus qu'il prend en compte et il emplit un 10 ensemble d'objets correspondant ici référencé 09, ces objets ~tant reliés au rés~au sémantique 06.
Dans la réalisation envisagée, les systèmes experts 01 à 05 partagent un même moteur d'inférences, fonctionnant en cha~nage avant, qui est exploité en liaison avec autant de lS bases de connaissances qu'il y a de systèmes experts.
Les systèmes experts 01 i~ 05 sont ici basés sur des r~gles de production d'ordre un, c'est-à-dire comportant des variables, comme il est connu. Ces systèmes sont régis par 1'application 0, de type tableau noir, gui permet ~ chacun 20 de communiquer aux autres les faits qu'il a obtenus par raisonnement et qu'il a classés afin de permettre à chacun de les exploiter. A chaque événement constitué soit par l'arrivée d'un flot de données de surveillance, sous la forme d'un enregistrement d'audit, soit par l'écriture d'un 25 objet, l'application 0 est chargée d'assurer en fonction des règles qui la r~gissent alors le déclenchement, pour un cycle de travail, d'un syst~me expert éventuellement choisi par elle parmi plusieurs, si plus d'un entre eux est susceptible de prendre e~ compte cet ~vénement, comme cela ~.
30 est connu. Ainsi, en cas d'arrivée d'un enregistrement d'audit, la priorité est normalement donnée au système expert o1 charg~ d'interpréter le comportement de 1'ensemble informatique surveill~, alors qu'en cas d'écriture d'un objet, de type intrusion, priorit~ est donn~e au système 35 expert 05 chargé de la gestion des usagers suspects dans la mesure o~ leur signalisation ainsi que celle des intrusions ``- 2~2~4~
à la personne ayant la responsabilité de la sécurité du ~.
syst~me informati~ue est un objectif prioritaire du dispositif selon l'invention.
L'information de ce(s) responsable(s) s'effectue par 5 l'intermédiaire de l'interface homme-application oo qui . :
donne accès aux connaissances emmagasinéeis dans des bases de données et de faits qui seront évoquées plus loin; cette .
information traduite par l'interface sous une forme humainement exploitable est destinée à permettre une mise en 10 oeuvre de mesures de contention au niveau de 1'ensemble informatique, à partir de l'analyse de la situation telle que traduite par le dispositif de détection et avec l'assistance de ce dispositif dans le choix des mesures à
prendre, si besoin est. La signalisation des anomalies, des 15 hypoth~ses d'intrusion, des intrusions, des usagers et des suspicions au responsable de sécurité est essentielle et un accès aux informations mémorisées au niveau du réseau s~mantique 06 et des ensembles d'objets 07 à os est donné ~:
pour permettre de conna~tre et comprendre le(s) 20 comportement(s~ susceptible(s) d'avoir conduit aux faits signalés.
Comme indiqué plus haut, le dispositif de detection d'intrusions décrit ci-dessus est ici supposé destiné à être incorporé dans un système de s~curit~ charg~ de prot~ger 25 l'ensemble informatique que surveille ce dispositif. -:
Un tel syst~me de sécurité est sch~matis~ en figure 2 il est ~: montré associ~ à un ensemble informatique référencé 1, qui est ici supposé composé de plusieurs machines 2, organis~es en réseau. Dans la réalisation envisagée, chaque machine 2 30 est suppos~e comporter un syst~me d'exploitation 2A, un ; logiciel de base 2B, un logiciel applicatif 2C et une :
interface d'application 2D qui ne sont pas détaillés ici dans la mesure o~ leurs constitutions respectives sont sans rapport direct avec l'invention.
35 Comme déjà indiqu~, le syst~me de sécurité est associé ~ ;-1'ensemble informatique 1 pour le protéger contre les -` 212~44~
. ~:
actions informatiques anormales et plus particulièrement suspectes ou malveillantes, ainsi qu'indiqué plus haut.
Ce système de sécurité comporte au moins une machine 3, ou éventuellement un réseau de machines, qui est apte à
5 communiquer avec les machines 2 de 1'ensemble informatique 1 pour assurer la protection de ces dernières vis-~-vis des actions informatiques anormales des utilisateurs après avoir effectué et fait effectuer des opérations en vue de détecter ces actions anormales et leurs auteurs.
lo Le système de sécurit~ comporte aussi au moins une interface homme-machine 4 d'acc~s matériel et/ou logique ~ la ou aux machines 3 du système de sécurité en vue de permettre une supervision du syst~me de sécurité et des interventions ~ au moins une personne ayant la responsabilité du fonctionnement 15 de ce syst~me, cette interface correspondant structurellement à l'interface homme-application 00 évoquée ~-en relation avec la f igure 1.
La détection des action~ informatiques anormales est obtenue ` -à partir d'informations fournies par des capteurs de 20 perception 5 affect~s ~ chaque machine 2 de l'ensemble informatique. Les capteurs 5 sont implantés dans le logiciel de la machine 2 à laquelle ils sont affectés, en particulier dans le système d'exploitation, ici référencé 2A de cette machine, dans son logiciel de base 2B, dans son logiciel 25 applicatif 2C et dans son interface applicative 2~.
certains capteurs sont destinés ~ signaler des actions et des ~vénements intervenant au niveau des ~léments de l'ensemble informatique cible auquel ils sont respectivement affect~s.
30 D'autres capteurs permettent d'effectuer des mesures cycliques ou ponctuelles, par exemple en raison de leur programmation temporelle propre, ou sur demande.
Dans la r~alisation envisag~e, les informations recueillies par les differents capteurs d'une machine 2 sont traduites 35 sous forme d'enregistrements d'audit estampillés selon l'horloge locale de la machine dont ils proviennent et elles '`: ' ' ' ~'~
212~4~
sont rassembl~es et mises en forme au niveau d~un moniteur local 7 affect~ à cette machine 2. Ce moniteur local 7 est relié ~ un moniteur global 8 de machine 3 du système de sécurité, auquel il transmet les données d'audit qu'il a 5 reçues. Le moniteur global 8 d'une machine 3 assure la collecte des données d'audit provenant des moniteurs locaux 7 desservis par cette machine 3 et en conséquence reliés à
lui; il leur transmet les données de paramétrage et les demandes et/ou commandes qui sont fournies par la machine 3 10 le comportant et qui sont destinées aux capteurs 4 et aux effecteurs 5 que ces moniteurs locaux 7 desservent.
Les effecteurs 6 sont des processus ou autres agents permettant de mettre en oeuvre des mesures de contention pour contrecarrer les tentatives d'intrusion, ils sont 15 prévus implantés dans le logiciel de la machine 2 à laquelle ils sont affectés. Dans l'exemple de r~alisation proposé, cette implantation concerne le système d'exploitation 2A, le logiciel de base 2B, le logiciel applicatif 2C et l'interface applicative 2D de la machine 2 considérée.
20 Les effecteurs 6 sont par exemple des processus qui disposent de privilèges particuliers leur permettant d'affecter les droits ou l'existence d'autres processus, ce `-~
~ont alternativemént des agents qui correspondent par exemple à de parties de code dans des logiciels qui sont 25 capables d'a~fecter l'utilisation faite de ces logiciels.
Les mesures de contention qu'ils mettent en oeuvre sont par exemple des d~connexions, des changements de droits ou de priorité, des destructions de processus.
Comme indiqu~ plus haut, les effecteurs 6 sont invoqués par 30 le moniteur local 7 de la machine 2 ~ la~uelle ils sont affectés pour appliquer les mesures sp~cifiques de contention ordonnées par la machine 3 du système de sécurité
avec le moniteur global B de laquelle ce moniteur local 7 dialogue.
35 Un moniteur local 7 comporte par exemple - voir figure 3 -:
.
~" 2~25~5 ~ un collecteur local d'audit 70 o~ sont temporairement reçues dans un tampon les données d'audit des capteuræ 5 reliés à ce moniteur local 7.
- une base de données d'audit 71 pour le stockage des 5 enregistrements d'audit reçus par le collecteur local 70 et notamment de ceux qui ne sont pas immédiatement transmis vers le moniteur global 8 avec lequel dialogue le moniteur local 7, par exempl~ en raison d'un filtrage imposé par l'intermédiaire de ce moniteur global 8, ---10 - un moniteur d'audit 72 pour le paramétrage des capteurs 5 reliés au moniteur 7, selon les commandes émanant du moniteur global 8 défini ci-dessus, - un monikeur de co~tention 73 pour la commande des effecteurs en fonction des mesures spécifiques de contention 15 qui sont susceptibles d'~tre transmises par le moniteur global 8 défini ci-dessus et qui sont destinées à être appliquées au niveau de la machine 2 comportant le moniteur local 7.
La taille et le nombre d'enregistrements traités en un seul 20 lot sont choisis tels qu'il soit possible de restaurer l'ordre corxect des enregistrements dans le flot d'audit, l'estampille de ces enregistrements jusqu'alors basée sur l'horloge de la machine 2 étant traduite, au niveau du moniteur local, en une estampille relative ~ une horloge ~5 globale pour le syst~me de sécurit~. Une résolution locale des r~érences est aussi effectuée à ce niveau, elle consiste ~ assurer un étiquatage correct des enregistrements par exemple par processus et par usager ainsi que des ;~
données d'investigation ~ournies suite ~ des requ~tes 30 spécifiques de la machine 3 du syst~me de s~curité dont fait partie le moniteur global auquel les enregistrements sont transmis. Le filtrage évoqué plus haut permet de ne pas transmettre ~ ce moniteur global 8 les enregistremen~-s ne - ~-satis~aisant pas les clauses logiques spécifiées par des 35 contraintes de focalisation imposées par la machine 3 qui le comporte.
2 ~ 2 ~
Dans la réalisation envisagée, le moniteur global B d'une machine 3 de syst~me de s~curité assure au moyen d'un collecteur principal d'audit 80 - voir figure 3- la collecte des enregistrements d'audit provenant des machines 2 de S 1'ensemble informatique 1 qui lui sont rattachées et l'archivage de ces enregistrements, ~ des fins de consultation ultérieure, dans une base centrale de données d'audit 15 - voir figure 2 - de la machine 3 qui le comporte.
10 Cette collecte s'effectue par exemple par accumulation ordonn~e dans un tampon des enregistrements provenant des collecteurs locaux d'audi~ 70, la taille du tampon et le nombre d'enregistrements trait~s en un m~me lot étant ~ -choisis pour permettre cette accumulation ordonnée.
15 Les enregistrements sont préférablement traduits vers une représentation orientée objet commune c~ tous les modules du syst~me de sécurité, hormis ceux qui sont implantés dans 1'ensemble informatique 1. Chague moniteur global 8 comporte aussi un moniteur d'audit 81 lui permettant d'envoyer des 20 instructions aux moniteurs locaux 7 qu'il dessert en vue de leur permettre de calculer les directives de param~trage des capteurs, d'effectuer des investigations locales, et de réaliser un filtrage au niveau de leurs collecteurs locaux d'audit 70, respectifs, en fonction de contraintes de 25 focalisation d~terminées.
Ce moniteur global 8 comporte encore un moniteur de contention 82 assurant la répartition des mesures de contention au~ moniteurs locaux 7 desservis par lui qui ont à les appliquer et avec lesquels il dialogue.
30 Le moniteur global 8 d'une machine 3 d'un syst~me de sécurit~ agit sous le contr~le d'un dispositif de d~tection 10 auquel il communique les enregistrements traduits vers une repr~sentation orientée objet qui ont été obtenus à
partir des enregistrements d'audit ~our~is par les moniteurs 35 locaux 7 des machines 2 de l'ensemble informatique 1 ~u'il dessert. Il reçoit et transmet ~ ces moniteurs locaux 7 les -:` 2~2~
instructions de surveillance destinées ~ faire assurer le paramétrage des capteurs et la mise en oeuvre d'investigations locales, les instructions de focalisation de filtrage local d'audit et celles relatives aux me~ures de 5 contention ~ faire appliquer par les effecteurs 6 desservis par ces m~mes moniteurs locaux 7.
Le dispositif de détection 10 est présenté inclus dans une `~
seule machine 3 sur le schéma de la figure 2, bien qu'il puisse éventuellement etre réparti entre plusieurs machines 10 si besoin est. Il est structurellement réalisé à l'aide de composants construits par regroupement de fonctions constituant des ensembles logiques de traitement suivant leur position et leur niveau d'abstraction. Chaque composant " ;~
correspond ~ une unité structurelle destinée à être 15 implantée sous forme d'un processus ou d'un groupe de processus partageant des donn es communes, comme le sont par ailleurs les capteurs, le~ effecteurs et les moniteurs. `~
Dans la r~alisation proposée figure 2, le dispositif de d~tection 10 comporte essentiellement un abstracteur-20 investigateur 11, un analyseur-contrôleur 12 et un gestionnaire de suspicion et de r~action 13 auxquels sont associées une pluralité de bases de donn~es.
L'abstracteur-investigateur 11 correspond au syst~me expert d'interprétation du comportement 01 évoqué plus haut, il 25 construit une image du comportement de l'ensemble informati~ue 1 auguel il est associ~, ~ partir des informations qui lui sont fournies.
Il regroupe plusieurs fonctions afin de fournir les informations nécessaires ~ l'analyse et au contr81e du 30 comportement de l'ensemble informatique 1 ~ partir du flot d'audit transmis par le moniteur global a qui lui est associé.
Il dispose à cet effet d'un abstxacteur d'audit 110, d'un in~estigateur d'audit 111 et d'un investigateur de 35 comportement 112, ainsi qu'on le voit sur la figure 4.
'`
- 2125~
L'abstracteur d'audit llo ef~ectue une corrélation et une interprétation des enregistrements, ces derniers représentant des indices de comportement qui doivent être réunis suivant leur sémantique pour inférer des informations 5 relevant du comportement des entités. L'interprétation de ces indices repose sur un modale de l'ensemble informatique cible 1 et sur des connaissances propres ~ l'application mise en oeuvre par cet ensemble.
L'abstracteur llo effectue aussi une contextualisation du 10 comportement par interprétation des enregistrements d'audit en exploitant si nécessaire des informations de contexte, relatives au comportement caractérisé, qui sont soit éventuellement pr~sentes dans une base de faits 17, dite image du comportement, soit recherchées dans une base de 15 donn~es 16, dite de comportement. ~ -L'abstracteur 110 effectue encore une focalisation sur le comportement par filtrage des données avant envoi vers l'analyseur-contrôleur 12 associ~ et enregistrement dans la base de faits 17, afin d'éliminer les informations qui ne 20 vérifient pas les clauses logiques specifiées par des ^~
contraintes de focalisation relatives au comportement.
L'abstracteur llo effectue enfin un archivage des informations de comportement interprét~es dans la base de données de comportement 16 pour consultation ultérieure 25 notamment par l'investigateur de comportement 112 et par lui-m~me.
Comme indiqu~ ci-dessus, l'abstracteur llo est contrôl~ par l'investigateur de ~omportement 112 associé à lui dans le m~me abstracteur-investigateur et il est activé soit par les 30 enregistrements d'audit qu'il reçoit du moniteur global 8 associ~, soit par des donn~es d'investigation à traiter en provenance de l'investiga~eur d'audit 111 associé.
En relation ~vec les ~onctions définies ci-dessus, il assure pratiquement:
35 - une interpr~tation des informations d'audit, transmises par le collecteur d'audit 80 du moniteur global ~ associé, -' . ,, :: i.
212~4~5 en vue de créer l'image temporelle et spatiale de l'état et du comportement de la cible que constitue le syst~me informatique 1, sous forme d'un réseau séman~ique dans la base de faits 17;
5 - une interprétation de données d'investigation obtenues en réponse à des demandes de l'investigateur de comportement 112 associe;
- un filtrage des informations de comportement destinées ~tre transmises à l'analyseur-contr~leur 12 pour 10 exploitation et ~ la base de faits image du comportement 17, pour stockage, ce filtrage s'effectuant en ~onctio~ de contraintes de focalisation communiquées par l'investigateur de comportement 112.
L'image de l'ensemble in~ormatique est construite à partir 15 des informations stockées d~jà évoquées ainsi que de celles contenues dans une base de données 14 définissant un modèle de la cible que constitue l'ensemble informatique 1, de -~
celles directement fournies par }e collecteur d'audit 80 du ;~
moniteur global 8 qui dessert l'abstracteur 110, de celles ~ ::
20 stockées danc une base centrale de données d'audit 15 et de celles fournies par l'investigateur 111 associé à cet abstracteur 110. Les résultats obtenus par l'abstracteur ~10 sont notamment stockés dans la base de données de comporteme~t 16 ou dans la base de faits image du 25 comportement 17, qui est exploitée en retour par l'abstracteur 110 pour ses constructions d'image~
L'investigateur d'audit 111 est command~ par l'investigateur de comportement 112 de l'abstracteur-investigateur 11 qui le comporte, il assure~
30 - la recherche et la commande d'acquisition de données particuli~res d'audit dans la base centrale de données d'audit 15, ~ la demande de l'investigateur de comportement 112 agissant pour l'analyseur-contrôleur 12 ou le gestionnaire de suspicion e~ de réaction 13 associ~s;
35 - la transmission des élémPnts de réponse fournis par le collecteur d'audit 80 du moniteur global 8 associé ~
~ 212544~
l'investigateur de comportement 112, via l'abstracteur llo auquel il est relié;
~ la focalisation des collecteurs d'audit 70, 80 d~pendant ~ ~
de lui. ~ `
5 L'investigateur de comportement 112 a pour rôle essentiel de rechercher les informations désirées par l'analyseur-contrôleur 12 et le gestionnaire de suspicion et de réaction 13 dans la base de données de comportement 16 et de commander leur acquisition par envoi de re~uêtes 10 d'investigation de comportement ~ l'investigateur d'audit 111 auquel il est relié ou leur traitement par envoi de contraintes de focalisation ~ l'abstracteur 110 auquel il est également relié.
A cet effet, l'investigateur de comportement 112 assure une 15 agrégation des requêtes d'investigation de comportement qu'il reçoit afin de voir si elles se complètent ou se recoupent et peuvent en cons~guence être regroup~es pour factoriser leurs traitements. ~ -L'investigateur de comportement 112 effectue les recherches 20 dans la base de données de comportement 16 en construisant les demandes de mani~re à obtenir les réponses aux requêtes d'investigation et à demander des recherches au niveau audit en cas de requête non satisfaite.
Lorsque des informations désirées ~le sont pas stockées dans 25 la base de donn~es de comportement 16, l'investigateur de comportement 112 commande leur recherche à l'investigateur d'audit 111 auquel il est relié afin que ce dernier les trouve dans la base centrale de données d'audit 15. Les enregistrements d'audit retrouv~s sont alors interprét~s par 30 l'abstracteur llo pour construire les informations de comportement qui constituent les résultats de l'investigation. Ces résultats sont alors transmis l'investigateur de comportement 112 pour envoi ~ leur destinataire.
35 L'investigateur de comportement 112 est également apte à
calculer une nouvelle focalisation de l'abstracteur 110 et ~ ;
-~ 2~2~4~
faire calculer de nou~elles instructions de c~ntrôle d'audit et de focalisation par l'investigateur d'audit 111, sur demande de l'analyseur~contrôleur 12 pour des informations à
venir.
5 L'analyseur-contrôleur lZ du dispositif de détection selon l'invention est préférabl~ment constitué par une pluralité
de modules qui sont destinés ~ permettre une analyse ~t un contrôle du comportement de l'ensemble informatique 1 par raisonnement sur l'image du comportement qui a été
lo construite afin de détecter les anomalies et les intrusions susceptibles d'affecter la sécurit~ de cet ensemble.
Les fonctionnalités d'analyse du comportement tirent parti du modèle construit de l'ensemble informatique 1 et des connaissances du domaine posséd~es pour inf~rer le ~ ;
15 comportement à d'autres niveaux et pour vérifier les correspondances entre des comportements de niveaux différents. Ces fonctionnalités se divisent en analyse cognitive du comportement des usagers et en analyse du comportement opératoire de l'ensemble informatique c'est-à
20 dire des actions, des états et des événements au sein de cet ensemble.
Dans la réalisation envisagée, l'analyse cognitive du comportement des usagers comprend ici l'analyse des missions de ces usagers, de leurs tâches, de leurs buts, de leurs 25 plans et de leurs coopérations, ces analyses sont réalisées partir de modules spécialisés correspondants ré~érencés de 120 ~ 124 sur la figure 5 où figure l'analyseur-contrôleur 12.
L'analyseur de missions r~férencé 120 est destiné à vérifier 30 que les t~ches en cours poux un usager, alors considéré, dans l'ensemble informatique 1 correspondent aux missions sp~cifiées par les rôles propres à cet usager et ~ inférer de nouvelles missions à partir des tâches non prises en ;
compte par les missions courantes.
35 Il exploite notamment à cet effet la base modèle de la cible 14, la base de faits image du comportement 17, et coopère . . . ~
:
212~
avec l'investigateur de comportement 112 et avec certains des autres modules de l'analyseur-contrôleur 12, tels qu'un module analyseur de tâches 121 et un module analyseur die coopérations 124. Il informe plus particulièrement le 5 gestionnaire de suspicion et de r~action 13.
Les tâches en cours qui sont reconnues par le module analyseur de tâches 121 sont confrontées aux spécifications de tâches recensées par les missions affectées à l'usager et par les rôles que cet usager remplit, une vérification par 10 comparaison ~ un mod~le (dite pattern matching) est par : -exemple mise en oeuvre à cet effet. Lorsque des tâches ne - ~:
correspondant à aucune mission sont abstraites, elles sont signal~es à l'analyseur de coopération et/ou à un module gestionnaire d'anomalies du gestionnaire de suspicion et de 15 réaction 13.
L'analyseur de t~iches 121 qui est de niveau d'abstraction inférieur au préc~dent est charg~ de v~rifier si les nouveaux buts inférés pour les usagers entrent ou non dans leurs t~ches courantes et s'il n'y a pas de démarrages de 20 nouvelles tâches lorsqjue les buts de ces tâches restent inexpliqués.
Il exploite ~i cet effet la base modèle de la cible 14, la bAse de faits image du comportement 17, et coop~re avec l'analyseur de missions 120, avec un module analyseur de 25 buts 122, ainsi qu'avec l'investigateur de comportement 112;
il informe plus particuli~rement le g~stionnaire de : :
suspicion et de réaction 13.
~Une comparaison ~i un mod~le, de même type que celle ~voquée plus haut, permet de déterminer si les buts en cours pour un 30 usager qui sont reconnus par l'analyseur de buts 122 correspondent aux spécifications de buts données par ~es tâches reconnues précédemment ou découlant des missions affectées ~ cet usager. Les buts ne correspondant à aucune `
t~che reconnue sont éventuellement abstxaits, ou envoyés à
35 l'analyseur de coopération 124 ou encoxe au gestionnaire de suspicion et de réaction 13, suivant le cas.
212~4~
L'analyseur de buts 122 est destiné ~ tirer parti des actions, activités générales et plans reconnus pour un usager de manière à inférer ses buts, il assure aussi une évaluation de la satisfaction des buts courants par les 5 plans mis en oeuvre.
Il exploite la base mod~le de la cible 14, la base de faits image du comportement 17, et il coop~re a~ec l'analyseur de t8ches 121, un module analyseur de plans 123, l'analyseur de -coopérations 124 et l'investigateur de comportement 11~, il -10 informe plus particulièrement le gestionnaire de suspicion et de réaction 13.
A cet effet, il compare les plans en cours qui ont été -reconnus par l'analyseur de plans 123 ~ ceux qui sont recens~s pour les buts en cours ou attendus d'un usager, `~
15 alors consid~ré. Les plans ou actions ne correspondant aucun but modélisé sont abstraits, envoyés ~ l'analyseur de coopération 124 ou encore signalés comme des anomalies au `~
gestionnaire de suspicion et de r~action 13.
L'analyseur de plans 123 est destiné à reconna~tre les plans ;-~
20 exécutés par les usagers ~ partir de leurs actions présentes ou antérieures, d'après les plans en cours et les buts inf~rés. Il permet d'isoler les actions qui ne correspondent pas aux pl~ns en cours et qui nécessitent éventuellement une analyse pouss~e.
25 Il exploite la base modèle de la cible 14, la base de faits image du comportement 17 et une base de données de plans 19.
Il coop~re avec l'analyseur de buts 122, l'abstracteur 110, l'analyseur de coopérations 124 et l'investigateur de -comportement 112. Il informe plus particulièrement le 30 gestionnaire de suspicion et de réaction 13.
Dans la mesure où chaque action nouvelle entreprise par un usager peut poursuivre un plan en cours, démarrer un nouveau plan ou être une action isolée, elle est par exemple reliée par des graphes aux actions ant~rieures qui n'ont pas encore 35 ét~ oubliées pour l'opération de reconnaissance de plans;
chaque graphe représente alors l'occurrence d'un plan dont 21~4~
l'action est susceptible de faire partie. Une action est ici consid~r~e comme oubliée selon la terminologie employée ci-dessus, lorsque le plan auquel elle est rattachée est terminé et validé. Les actions inexpliquées sont 5 susceptibles d~être envoyées ~ l~analyseur de coopération 124 ou signalées en tant qu'anomalies.
Les graphes représentant des candidats résultant de la reconnaissance de plans sont évalu~s, comme indiqué plus haut, afin que seuls soient retenus les plus plausibles, des 10 heuristiques étant employés à des fins limitatives, tel le choix préférentiel des hypothèses correspondant a la satisfaction d'un but courant ou attendu. Ces évaluations ;
sont susceptibles de conduire ~ une signalisation d'anomalie, si justifié.
15 L'analyseur de coopérations 124 est destiné ~ reconna~tre l'occurrence de coopérations, sp~cifiées ou non dans le mod~le de l'ensemble informatique 1, ~ partir d'actions, de plans ou de tâches, inexpliqués par l'analyse des plans, t~ches et missions; la reconnaissance de coopérations non 20 spécifiées et ne correspondant pas ~ la structure de l'organisation ou de l'application doit se traduire par une signalisation d'anomalie.
La base mod~le de la cible 14 et la base de faits image du comportement 17 sont exploitées par les analys~urs de 25 missions, de t~ches et de plans 120, 121j 123; l'abstracteur 110 et l'i~vestigateur de comportement 112 coopèrent avec l'analyseur de coopérations 124 qui informe plus particuli~rement le gestionnaire de suspicion et de réaction 13.
30 Les coop~rations potentielles entre usagers, qui sont spécifiées par la modélisation organisationnelle incluse dans le modble de la cible, sont explorées pour détecter leurs occurrences~ Le modèle de l'ensemble informatique 1 et des connaissances expertes relatives au domaine de 35 l'application sont exploités pour la reconnaissance d'une éventueIle coopération d'un usager avec au moins un autre - 2~254~
qui permettrait d'expliquer des actions, plans, buts, t8ches ~-autrement restés inexpliqués.
L'analyse du comportement opératoire de l'ensemble informatique 1, ~ui compl~te l'analyse cognitive ~voquée ci-5 dessus, comprend ici une analyse des comportements tant actifs que passifs au sein de cet ensemble, les premiers se ~ :
définissant en termes dlactions1 les seconds en termes d'événements ou d'etats. Cette analyse de comportement opératoire est mise en oeuvre à l'aide de modules 10 specialisés réf~rencés 125 et 126 sur la figure 5.
L'analyse des actions qui est assur~e par un module `~
~nalyseur ~25, est destinée ~ assurer la détection des modalités anormales dl~xécutio~ des operations dans l'ensemble informatique 1. Elle s'effectue par un contrôle 15 de conformité des effets des actions aux spécifications des opérations, par une vérification de la répercussion des actions aux couches sous-jacentes, toute action non satisfaisante étant signalée en tant qu'anomalie.
Le module analyseur d'actions 125 exploite notamment la base 20 modèle de la cible 14 et la base de faits image du comportement 17; il coop~re avec l'abstracteur 110 et - ~
l'investigateur de comportement 112 et il informe plus ~ :
particuli~rement le gestionnaire de suspicion et de réaction 13.
25 L'analyse des actions s'effectue par contrôle de protocole, ~;
les r~cepteurs et paramètres mis en oeuvre par les actions ~ta~t analys~s par rapport aux mod~les des opérations ex~cut~es. Elle s'effectue aussi par contr81e d'effets, les états et ~vénements faisant suite aux actions étant 30 confrontés ~ la spécification des effets des opérations :
exécutées. Elle s'effectue encore par contrôle des répercussions, les éventuelles actions secondaires, 3i un même niveau ou dans une couche sous-jacente, qui constituent des r~percussions d'actions primaires, étant ~valu~es par 35 rapport aux spécifications d'effets des opérations ex~cut~es.
212~4~ ~
23 ~
L'analyse des états et événements qui est assurée par un module analyseur 126, est destinée à assurer la détection :
des états et evénements anormaux dans l'ensemble informatique 1, étant considerés comme anormaux les états et 5 événements qui ne correspondent pas à leurs causes ou à
leurs spécifications et qui sont incohérents entre eux ou~ ~;
par rapport aux actions effectuées sur les entités.
L'analyseur d'états et é~énements 126 e~ploite à cet effet la base modèle de la cible 14 et la base de faits image du lo comportement 17. Il coopère avec l'abstracteur 110 et l'investigatieur de comportement 112. Il informe plus particulièrement le gestionnaire de suspicion et de réaction 13. ~ ; :
Un contrôle de protocole est effectué par analyse des états 15 ainsi que des paramètres et caractéristiques des événements par rapport au mod~ile des év~inements et de l'ensemble informatique 1. Un contrôle de cohérence est également effectué; il vérifie la correspondance entre, d'une part, les états et évenements secondaires faisant suite aux états ~ :
20 et événements analysés et, d'autre part, les actions et historiques des entit~is que constituent les agents, processus et objets de l'ensemble informatique 1.
Les fonctions de contr~le de comportement qu'incorpore l'analyseur-contr81eur 12 sont ici assurées par une 2s pluralité de modules référencés 127, 128, 129A et 129B sur la figure 5.
Ces fonctions de contr81e sont destinées ~ vérifier la conformi~i du comportement de 1'ensemble informatique 1 par rappork à ici trois référentiels correspondants qui sont 30 respectivement classifiés historique, opérationnel et intrusionnel. Ils contiennent respectivement des profils, une expression des politiques de sécurité de comportement et un historique des scénarios dlattaque et des descriptio~s ~.
d'intrusions. Les fonctions de contr81e ont pour objet de 35 vérifier que le comportement d~terminé par constatation est conforme aux profils, qu'il respecte les politiques de 2~2~4~
sécurité et de comportement établies; elles doivent aussi détecter l'éventuelle mise en oeuvre de scénarios d'attaque.
La conformité du comportement détermin~ par constatation par rapport aux profils archivés est vérifi~e par un module 127, 5 dit contr81eur de profils. Les profils rattachés aux entités dénotent leur comportement habituel et ceux définis pour des -classes et groupes d'entités sont considérés comme des référencas de comportement standard ou typique. un test de correspondance symbolique ou numérique et principalement 1~ statistique est r~alisé pour contrôler le profil d'une entité; les mesures correspondant à ses caractéristiques sont effectuées sur le comportement et elles sont comparées aux valeurs enregistrées dans le profil archivé. Une conformité globale au profil archivé est évaluée par exemple 15 d'après les correspondances des mesures individuelles, elle entra~ne une signalisation d'anomalie, si la conformité est ;
consid~rée comme mauvaise.
Le contrôleur de profils 127 exploite à cet effet la base modèle de la cible 14 et la base de faits image du 20 comportement 17, une base de données de profils 20. Il coopère avec l'abstracteur 110 et l'investigateur de comportement 112. Il informe plus particulièrement le gestionnaire de suspicion et de réaction 13. ;
une action est susceptible de donner lieu à une vérification ~-25 de profil de l'acteur, usager ou agent, de l'action et des récepteurs, agents ou objets subissant l'action.
Un ~vénement, un état ou une autre information de comportement est aussi susceptible de provoquer la v~rification du profil des unités impliquées.
30 Pour la mesure des caractéristiques, les arguments auxquels s'appliquent ces caractéristiques sont valués et les méthodes de mesure leur sont appliquées, ces méthodes étant définies par les classes qui représentent les types de mesure. Des demandes ~ l'investigateur de comportement 112 35 permettent d'obtenir les éventuelles données manquantes.
:
2 ~
2 5 :
Pour la vérification du respect des profils, les caractéristiques déterminées sont confrontées, par exemple par test statistique ou par correspondance symbolique, avec les valeurs correspondantes du profil et une co~formité
5 globale est estimée d'apr~s les correspondan~es respectives ~ `~
des différentes caractéristiques. Les écarts sont considérés comme représentatifs d'un comportement inhabituel ou atypique correspondant ~ une anomalie.
~e contr~le des politiques est assur~ par un module 129A
10 pour la sécurité et un module 129B pour le comportement, ces modules vérifient les règles exprimées sur le comportement perçu et inféré de l'ensemble informatique 1 et des usagers, qui sont par exemple exprimées sous forme de contraintes par des clauses logiques ou comme des r~gles de production.
15 Le module de contr~le de la politique de la sécurit~ 129A
vérifie le respect de la politique de sécurité tant en ce qui concerne le comportement actif que passif, il est ici activé par l'abstracteur 110 ou par les mises à jour de l'image du comportement. Il exploite la base modèle de la 20 cible 14, la base de faits image du comportement 17 et une base de donn~es de politique de sécurité 21, il coopère avec l'abstracteur 110 et avec llinvesti.gateur de comportement 112. Il est apte à emettre des requêtes ~ destination de l'investigateur de comportement en cas de besoin et il 25 informe plus particulièrement le gestionnaire de suspicion et de réaction 13.
Comme déj~ indiqué, les comportements qui ne vérifient pas les r~gles de la politique de securité sont considérés comme ;
des intrusions et signalés en conséquence au gestionnaire de -30 suspicion et de réaction 13 et bien entendu au responsable de s~curit~ directement ou via ce gestionnaire.
Le module de contrôle de la politique de comportement 129B
vérifie le respect de la politique de comportement, il est ~ -également activé par l'abstracteur 110 ou par les mises ~ -35 jour de l'image du comportement. I1 exploite la base mod~le de la cible 14, la base de faits image du comportement 17 et ;~
"',~,"i`~, ", '.': ";, ,, " ,~, -` 212544~ ~
une base de données de ~olitique de comportement 22, il coopère avec l'abstracteur llo et llinvestigateur de comportement 112. Il est apte ~ émettre des requêtes à
destination de l'investigateur de comportement en cas de 5 besoin et il informe plus particulièrement le gestionnaire de suspicion et de réaction 13. --Le non~respect des règle~ de politique de comportement est consid~ré comme significatif d'anomalie ou d'intrusion suivant l'esp~ce et est signalé en conséquence au 10 gestionnaire de suspicion et de réaction 13 et au responsable de sécurité via ce gestionnaire, si necessaire.
La détection des éventuelles mises en oeuvre de scénarios d'attaque d~j~ connus est effectuée par l'intermédiaire d'un module identificateur 128. Elle repose sur une prise en 15 compte des actions, états et événements impliqués dans une ex~cution. Un scénario d'attaque défini pour une intrusion donnée est susceptible d'~tre reconnu si le comportement des entités et de 1'ensemble informatique correspond aux spécifications qu'il inclut. Une vérification de la ~-20 réalisation effective des actions sp~écifiées par un scénario et des états et/ou événements auxquelles elles aboutissent est donc susceptible d'être faite. Une concordance partielle traduit d~j~ une anomalie qui se transforme en intrusion si le niveau de concordance atteint un seuil de certitude 25 prédétermin~
A cet effet, le module identificateur 128 exploite la base mod~le de la cible 14, la base de faits image du comportement 17 et des bases de donn~es d'intrusions 23 et de scénarios d'attaque 24, il coopère avec l'abstracteur 30 llo, avec l'investigateur de comportement 112 et avec le gestionnaire de suspicion et de réaction 13 qu'il informe.
Il est guidé par les données par exemple à l'occurrence de nouvelles actions ou de nouveaux événements. Une nouvelle ~ `~
action d'un acteur, un nouvel état ou un nouvel événement 35 est susceptible de faire partie d'un scénario d'attaque -~
courant, de démarrer un nouveau scénario d'attaque ou encore ~ ;
-~- 2~254'~
d'~tre un elément de comportement isolé, il doit donc être confronté aux scénarios en cours d'examen et aux débuts des scénarios connus; chaque possibilité de scénario est ici supposée représentée par un graphe reliant les éléments de 5 comportement concernés. une évaluation des graphes susceptibles d'stre reconnus comme impliqués dans un scénario est réalisée pour sélectionner les plus plausibles d'entre eux, des heuristiques sont par exemple exploités pour d~limitation. Le degr~ de conformité vis-~-vis d'un 10 scénario d'attaque connu permet de d~terminer si l'action permet d'inférer une anomalie ou une intrusion. Les intrusions soupçonnées donnent éventuellement lieu ~ une planification et la base de données de sc~narios d'attaque 24 est alors compl~tée par les nouve~ux scénarios d'attaque 15 ~ui ont été obtenus.
Le gestionnaire de suspicion et de r~action 13 du dispositif de détection selon llinvention est généralement destiné
servir d'intermédiaire entre l'analyseur-contrôleur 12 et d'une part l'ensemble informatique 1, d'autre part le 20 responsable de s~curité, via l'interface homme-machine 4, pour ce dernier. Il est destin~ à permettre l'interprétation des anomalies et intrusions qui sont signalées par l'anaIyseur-contrôleur 12, ~ évsluer le degré de suspicion des usagers et 3i aider à déclencher les mesures de 25 contention n~cessaires, sous la supervision du responsable de sécurité qu'il assiste. ;
Le gestionnaire de suspicion et de réaction 13 comporte ici une pluralité de modules référencés 130 ~ 135, un premier de ces modules, r~férencé 130 est un gestionnaire dianomalies 30 qui est charg~ de traiter les anomalies signal~es par l'analyieur-contraleur 12. Il identifie parmi ces anomalies celles qui nécessitent de d~clencher des alarmes ou de mettre en oeuvre des mesures de contention pour intrusion et il inf~re des intrusions ou des hypothbses d'intrusion.
35 Ce gestionnaire d'anomalies 130 coop~re avec les différents analyseurs 120 ~ 127 et les contrôleurs 127 et 129B de ~.
2~2~44~
l'analyseur-contrôl0ur 12, il exploite la base mod~le de la cible 14 et la base de faits image du comportement 17. Il alimente des déclencheurs d'alarmes 131 et de contention 132, des gestionnaires d'intrusions 133 et de suspects 134 5 et la base de faits image du comportement 17. . .: ~ .
Pour interpréter les anomalies la base de connaissances du gestionnaire d'anomalies exprime les heuristiques permettant la classification de certaines anomalies en tant que sympt~mes d'intrusion. Les hypothèses d'intrusion conduisent :
lo ~ rechercher des anomalies complémentaires dans l'image du comportement. Les intrusions et les hypoth~ses d'intrusion : .
sont signalées au gestionnaire d'intrusions 133. :
Pour aiguiller les autres anomalies, la base de ~ :
connaissances exprime les critères de signal d'anomalies au ~-15 g~stionnaire de suspects 134, au déclencheur d'alarmes 131 et au déclencheur de contention 112.
Le gestionnaire d'intrusions 133 est chargé d'interpréter les intrusions et les hypothèses d'intrusion pour vérifier :~
qu'il n'y a pas d'intrusion(s) plus globale(s) et/ou 20 consécutives. Il est susceptible d'être activé par les analyseurs de missions 120, de tâches 121 et de buts 122, par l'identificateur de scénarios d'attague 128, par les contrôleurs de politique I29A et 129B et par le gestionnaire -:
d'anomalies 130. Il communique avec la base modèle de la 25 cible 14, les dsclencheurs d'alarmes 131 et de contention 132, le gestionnaire de suspects 134 et la base de faits ~:
image du comportement 17.
Les connaissances exprimées par la base de connaissances du gestionnaire d'intrusions sont exploitées pour relier les 30 intrusions, pour en inférer de nouvelles et pour interpréter les intrusions en tant qu'~l~ments constitutifs éventuels d'intrusions plus globales. Les hypothases d'intrusions de plus haut niveau am~nent ~ rechercher des informations complémentaires dans l'image du comportement. ~ x ~;
35 Les intrusions structurées de cette manière sont signalées au gestionnaire de suspects 134. La base de connaissances ~ -:
:: ~
~ ~ 2~25~5 exprime aussi les critères de signalisation des intrusions et des hypothèses d'intrusion au déclencheur d'alarmes 131 et au déclencheur de contention 132, comme déj~ indigué.
Le gestionnaire de suspects 134 est chargé d'identifier les 5 usagers réellement responsables des anomalies, des hypothèses d'intrusion et des intrusions; il évalue le degré
de suspicion qui leur est alors affecté. Il assure aussi l'identification des usagers pour lesquels il est nécessaire de déclencher des alarmes ou de prévoir de mettre en oeuvre 10 des mesures de contention.
Ce gestionnaire de suspects 134 est ici susceptible d'être activé par les gestionnaires d'anomalies 130 et d'intrusions 133, il communique avec la base mod~le de la cible 14 et la base de faits image du comportement 17 et il alimente les ~ -~
15 déclencheurs d'alarmes 131 et de contention 13~.
L'interprétation des anomalies et des intrusions dans le cadre de coopérations pouvant d~noter une coopération directe ou une collusion est assur~e p~r la base de connaissances lors de la recherche des responsabilités. -20 Des degrés de suspicion sont induits par les anomalies, les ;
hypoth~ses d'intrusion ou intrusions dont un usager ou agent informatique est responsable, ils sont combinés pour permettre la d~duction d'un niveau de suspicion global pour l'usager considéré.
25 Les usagers suspects sont signal~s aux déclencheurs d'alarmes 131 et de contention 132. ;
Le d~clencheur d'alarmes 131 est charg~ de signaler les anomaIies, les hypoth~ses~d'intrusion, les intrusions et les usagers suspects déterminés par les gestionnaires 30 d'anomalies 130, d'intrusions 133 et de suspects 134 au ~-responsable de sécurité. Il décide et élabore en conséquence, à partir des critares et connaissances stockées dans la base modele de la cible 14, les alarmes qui sont transmises à l'interface homme-machine 4 pour présentation 35 au rasponsable de s~curité, ces alarmes étant complétées par -` 212~4~
:
adjonction de leur contexte, lu dans la base de faits image du comportement 17.
Le déclencheur de contention 132 est chargé de proposer des mesures de contention au responsable de sécurité pour 5 contrecarrer les anomalies, intrusions et usagers suspects signalés par les gestionnaires 130, 133 et 134 évoqués ci-dessus. La décision et l'élaboration de ces mesures de contention s'effectuent par application dP critères stockés dans la base modèle de la cible 14 aux informations émanant lo des gestionnaires d'anomalies, d'intrusions et de suspects.
Les mesures propos~es au responsable de sécurité via l'interface homme-machine 4 sont elles aussi complét~es par :
adjonction de leur contexte obtenu de la base de faits image du comportement 17.
15 Le sélectionneur d'informations 135 est chargé de signaler 12s événements, actions et informations concernant le comportement de l'ensemble informatique 1 qui sont susceptibles de présenter un intérêt pour le responsable de sécurité. ~ - -. -20 Il est susceptible d'être activé par les modules de :~
l'analyseur-contrôIeur 12 et par les mises à jour intervenant au niveau de la base de faits image du comportement 17. Il communique en ce but avec la base mod~le de la cible 14 et avec l'investigateur de comportement 112. : ~;~
25 Les informations transmises par le sélectionneur 135 pour signaler des ~vénements, des actions ou des informations relatives au comportement de l'ensemble informatique 1, sont obtenues par dies tris effectu~s parmi les données de ;~
comportement inférées par les modules de l'analyseur- :`
30 contrôleur 12 et obtenues dans la base de faits image du comportement 17, suivant les critères définis dans sa base de connaissances. L'investigateur de comportement 112 permet au responsable de sécurité de formuler des requêtes pour obtenir des informations complémentaires du sélectionneur :
~5 d'informations 135, selon ses besoins. :
~ : ~
Dans la réalisation envisagée, le moniteur global B d'une machine 3 de syst~me de s~curité assure au moyen d'un collecteur principal d'audit 80 - voir figure 3- la collecte des enregistrements d'audit provenant des machines 2 de S 1'ensemble informatique 1 qui lui sont rattachées et l'archivage de ces enregistrements, ~ des fins de consultation ultérieure, dans une base centrale de données d'audit 15 - voir figure 2 - de la machine 3 qui le comporte.
10 Cette collecte s'effectue par exemple par accumulation ordonn~e dans un tampon des enregistrements provenant des collecteurs locaux d'audi~ 70, la taille du tampon et le nombre d'enregistrements trait~s en un m~me lot étant ~ -choisis pour permettre cette accumulation ordonnée.
15 Les enregistrements sont préférablement traduits vers une représentation orientée objet commune c~ tous les modules du syst~me de sécurité, hormis ceux qui sont implantés dans 1'ensemble informatique 1. Chague moniteur global 8 comporte aussi un moniteur d'audit 81 lui permettant d'envoyer des 20 instructions aux moniteurs locaux 7 qu'il dessert en vue de leur permettre de calculer les directives de param~trage des capteurs, d'effectuer des investigations locales, et de réaliser un filtrage au niveau de leurs collecteurs locaux d'audit 70, respectifs, en fonction de contraintes de 25 focalisation d~terminées.
Ce moniteur global 8 comporte encore un moniteur de contention 82 assurant la répartition des mesures de contention au~ moniteurs locaux 7 desservis par lui qui ont à les appliquer et avec lesquels il dialogue.
30 Le moniteur global 8 d'une machine 3 d'un syst~me de sécurit~ agit sous le contr~le d'un dispositif de d~tection 10 auquel il communique les enregistrements traduits vers une repr~sentation orientée objet qui ont été obtenus à
partir des enregistrements d'audit ~our~is par les moniteurs 35 locaux 7 des machines 2 de l'ensemble informatique 1 ~u'il dessert. Il reçoit et transmet ~ ces moniteurs locaux 7 les -:` 2~2~
instructions de surveillance destinées ~ faire assurer le paramétrage des capteurs et la mise en oeuvre d'investigations locales, les instructions de focalisation de filtrage local d'audit et celles relatives aux me~ures de 5 contention ~ faire appliquer par les effecteurs 6 desservis par ces m~mes moniteurs locaux 7.
Le dispositif de détection 10 est présenté inclus dans une `~
seule machine 3 sur le schéma de la figure 2, bien qu'il puisse éventuellement etre réparti entre plusieurs machines 10 si besoin est. Il est structurellement réalisé à l'aide de composants construits par regroupement de fonctions constituant des ensembles logiques de traitement suivant leur position et leur niveau d'abstraction. Chaque composant " ;~
correspond ~ une unité structurelle destinée à être 15 implantée sous forme d'un processus ou d'un groupe de processus partageant des donn es communes, comme le sont par ailleurs les capteurs, le~ effecteurs et les moniteurs. `~
Dans la r~alisation proposée figure 2, le dispositif de d~tection 10 comporte essentiellement un abstracteur-20 investigateur 11, un analyseur-contrôleur 12 et un gestionnaire de suspicion et de r~action 13 auxquels sont associées une pluralité de bases de donn~es.
L'abstracteur-investigateur 11 correspond au syst~me expert d'interprétation du comportement 01 évoqué plus haut, il 25 construit une image du comportement de l'ensemble informati~ue 1 auguel il est associ~, ~ partir des informations qui lui sont fournies.
Il regroupe plusieurs fonctions afin de fournir les informations nécessaires ~ l'analyse et au contr81e du 30 comportement de l'ensemble informatique 1 ~ partir du flot d'audit transmis par le moniteur global a qui lui est associé.
Il dispose à cet effet d'un abstxacteur d'audit 110, d'un in~estigateur d'audit 111 et d'un investigateur de 35 comportement 112, ainsi qu'on le voit sur la figure 4.
'`
- 2125~
L'abstracteur d'audit llo ef~ectue une corrélation et une interprétation des enregistrements, ces derniers représentant des indices de comportement qui doivent être réunis suivant leur sémantique pour inférer des informations 5 relevant du comportement des entités. L'interprétation de ces indices repose sur un modale de l'ensemble informatique cible 1 et sur des connaissances propres ~ l'application mise en oeuvre par cet ensemble.
L'abstracteur llo effectue aussi une contextualisation du 10 comportement par interprétation des enregistrements d'audit en exploitant si nécessaire des informations de contexte, relatives au comportement caractérisé, qui sont soit éventuellement pr~sentes dans une base de faits 17, dite image du comportement, soit recherchées dans une base de 15 donn~es 16, dite de comportement. ~ -L'abstracteur 110 effectue encore une focalisation sur le comportement par filtrage des données avant envoi vers l'analyseur-contrôleur 12 associ~ et enregistrement dans la base de faits 17, afin d'éliminer les informations qui ne 20 vérifient pas les clauses logiques specifiées par des ^~
contraintes de focalisation relatives au comportement.
L'abstracteur llo effectue enfin un archivage des informations de comportement interprét~es dans la base de données de comportement 16 pour consultation ultérieure 25 notamment par l'investigateur de comportement 112 et par lui-m~me.
Comme indiqu~ ci-dessus, l'abstracteur llo est contrôl~ par l'investigateur de ~omportement 112 associé à lui dans le m~me abstracteur-investigateur et il est activé soit par les 30 enregistrements d'audit qu'il reçoit du moniteur global 8 associ~, soit par des donn~es d'investigation à traiter en provenance de l'investiga~eur d'audit 111 associé.
En relation ~vec les ~onctions définies ci-dessus, il assure pratiquement:
35 - une interpr~tation des informations d'audit, transmises par le collecteur d'audit 80 du moniteur global ~ associé, -' . ,, :: i.
212~4~5 en vue de créer l'image temporelle et spatiale de l'état et du comportement de la cible que constitue le syst~me informatique 1, sous forme d'un réseau séman~ique dans la base de faits 17;
5 - une interprétation de données d'investigation obtenues en réponse à des demandes de l'investigateur de comportement 112 associe;
- un filtrage des informations de comportement destinées ~tre transmises à l'analyseur-contr~leur 12 pour 10 exploitation et ~ la base de faits image du comportement 17, pour stockage, ce filtrage s'effectuant en ~onctio~ de contraintes de focalisation communiquées par l'investigateur de comportement 112.
L'image de l'ensemble in~ormatique est construite à partir 15 des informations stockées d~jà évoquées ainsi que de celles contenues dans une base de données 14 définissant un modèle de la cible que constitue l'ensemble informatique 1, de -~
celles directement fournies par }e collecteur d'audit 80 du ;~
moniteur global 8 qui dessert l'abstracteur 110, de celles ~ ::
20 stockées danc une base centrale de données d'audit 15 et de celles fournies par l'investigateur 111 associé à cet abstracteur 110. Les résultats obtenus par l'abstracteur ~10 sont notamment stockés dans la base de données de comporteme~t 16 ou dans la base de faits image du 25 comportement 17, qui est exploitée en retour par l'abstracteur 110 pour ses constructions d'image~
L'investigateur d'audit 111 est command~ par l'investigateur de comportement 112 de l'abstracteur-investigateur 11 qui le comporte, il assure~
30 - la recherche et la commande d'acquisition de données particuli~res d'audit dans la base centrale de données d'audit 15, ~ la demande de l'investigateur de comportement 112 agissant pour l'analyseur-contrôleur 12 ou le gestionnaire de suspicion e~ de réaction 13 associ~s;
35 - la transmission des élémPnts de réponse fournis par le collecteur d'audit 80 du moniteur global 8 associé ~
~ 212544~
l'investigateur de comportement 112, via l'abstracteur llo auquel il est relié;
~ la focalisation des collecteurs d'audit 70, 80 d~pendant ~ ~
de lui. ~ `
5 L'investigateur de comportement 112 a pour rôle essentiel de rechercher les informations désirées par l'analyseur-contrôleur 12 et le gestionnaire de suspicion et de réaction 13 dans la base de données de comportement 16 et de commander leur acquisition par envoi de re~uêtes 10 d'investigation de comportement ~ l'investigateur d'audit 111 auquel il est relié ou leur traitement par envoi de contraintes de focalisation ~ l'abstracteur 110 auquel il est également relié.
A cet effet, l'investigateur de comportement 112 assure une 15 agrégation des requêtes d'investigation de comportement qu'il reçoit afin de voir si elles se complètent ou se recoupent et peuvent en cons~guence être regroup~es pour factoriser leurs traitements. ~ -L'investigateur de comportement 112 effectue les recherches 20 dans la base de données de comportement 16 en construisant les demandes de mani~re à obtenir les réponses aux requêtes d'investigation et à demander des recherches au niveau audit en cas de requête non satisfaite.
Lorsque des informations désirées ~le sont pas stockées dans 25 la base de donn~es de comportement 16, l'investigateur de comportement 112 commande leur recherche à l'investigateur d'audit 111 auquel il est relié afin que ce dernier les trouve dans la base centrale de données d'audit 15. Les enregistrements d'audit retrouv~s sont alors interprét~s par 30 l'abstracteur llo pour construire les informations de comportement qui constituent les résultats de l'investigation. Ces résultats sont alors transmis l'investigateur de comportement 112 pour envoi ~ leur destinataire.
35 L'investigateur de comportement 112 est également apte à
calculer une nouvelle focalisation de l'abstracteur 110 et ~ ;
-~ 2~2~4~
faire calculer de nou~elles instructions de c~ntrôle d'audit et de focalisation par l'investigateur d'audit 111, sur demande de l'analyseur~contrôleur 12 pour des informations à
venir.
5 L'analyseur-contrôleur lZ du dispositif de détection selon l'invention est préférabl~ment constitué par une pluralité
de modules qui sont destinés ~ permettre une analyse ~t un contrôle du comportement de l'ensemble informatique 1 par raisonnement sur l'image du comportement qui a été
lo construite afin de détecter les anomalies et les intrusions susceptibles d'affecter la sécurit~ de cet ensemble.
Les fonctionnalités d'analyse du comportement tirent parti du modèle construit de l'ensemble informatique 1 et des connaissances du domaine posséd~es pour inf~rer le ~ ;
15 comportement à d'autres niveaux et pour vérifier les correspondances entre des comportements de niveaux différents. Ces fonctionnalités se divisent en analyse cognitive du comportement des usagers et en analyse du comportement opératoire de l'ensemble informatique c'est-à
20 dire des actions, des états et des événements au sein de cet ensemble.
Dans la réalisation envisagée, l'analyse cognitive du comportement des usagers comprend ici l'analyse des missions de ces usagers, de leurs tâches, de leurs buts, de leurs 25 plans et de leurs coopérations, ces analyses sont réalisées partir de modules spécialisés correspondants ré~érencés de 120 ~ 124 sur la figure 5 où figure l'analyseur-contrôleur 12.
L'analyseur de missions r~férencé 120 est destiné à vérifier 30 que les t~ches en cours poux un usager, alors considéré, dans l'ensemble informatique 1 correspondent aux missions sp~cifiées par les rôles propres à cet usager et ~ inférer de nouvelles missions à partir des tâches non prises en ;
compte par les missions courantes.
35 Il exploite notamment à cet effet la base modèle de la cible 14, la base de faits image du comportement 17, et coopère . . . ~
:
212~
avec l'investigateur de comportement 112 et avec certains des autres modules de l'analyseur-contrôleur 12, tels qu'un module analyseur de tâches 121 et un module analyseur die coopérations 124. Il informe plus particulièrement le 5 gestionnaire de suspicion et de r~action 13.
Les tâches en cours qui sont reconnues par le module analyseur de tâches 121 sont confrontées aux spécifications de tâches recensées par les missions affectées à l'usager et par les rôles que cet usager remplit, une vérification par 10 comparaison ~ un mod~le (dite pattern matching) est par : -exemple mise en oeuvre à cet effet. Lorsque des tâches ne - ~:
correspondant à aucune mission sont abstraites, elles sont signal~es à l'analyseur de coopération et/ou à un module gestionnaire d'anomalies du gestionnaire de suspicion et de 15 réaction 13.
L'analyseur de t~iches 121 qui est de niveau d'abstraction inférieur au préc~dent est charg~ de v~rifier si les nouveaux buts inférés pour les usagers entrent ou non dans leurs t~ches courantes et s'il n'y a pas de démarrages de 20 nouvelles tâches lorsqjue les buts de ces tâches restent inexpliqués.
Il exploite ~i cet effet la base modèle de la cible 14, la bAse de faits image du comportement 17, et coop~re avec l'analyseur de missions 120, avec un module analyseur de 25 buts 122, ainsi qu'avec l'investigateur de comportement 112;
il informe plus particuli~rement le g~stionnaire de : :
suspicion et de réaction 13.
~Une comparaison ~i un mod~le, de même type que celle ~voquée plus haut, permet de déterminer si les buts en cours pour un 30 usager qui sont reconnus par l'analyseur de buts 122 correspondent aux spécifications de buts données par ~es tâches reconnues précédemment ou découlant des missions affectées ~ cet usager. Les buts ne correspondant à aucune `
t~che reconnue sont éventuellement abstxaits, ou envoyés à
35 l'analyseur de coopération 124 ou encoxe au gestionnaire de suspicion et de réaction 13, suivant le cas.
212~4~
L'analyseur de buts 122 est destiné ~ tirer parti des actions, activités générales et plans reconnus pour un usager de manière à inférer ses buts, il assure aussi une évaluation de la satisfaction des buts courants par les 5 plans mis en oeuvre.
Il exploite la base mod~le de la cible 14, la base de faits image du comportement 17, et il coop~re a~ec l'analyseur de t8ches 121, un module analyseur de plans 123, l'analyseur de -coopérations 124 et l'investigateur de comportement 11~, il -10 informe plus particulièrement le gestionnaire de suspicion et de réaction 13.
A cet effet, il compare les plans en cours qui ont été -reconnus par l'analyseur de plans 123 ~ ceux qui sont recens~s pour les buts en cours ou attendus d'un usager, `~
15 alors consid~ré. Les plans ou actions ne correspondant aucun but modélisé sont abstraits, envoyés ~ l'analyseur de coopération 124 ou encore signalés comme des anomalies au `~
gestionnaire de suspicion et de r~action 13.
L'analyseur de plans 123 est destiné à reconna~tre les plans ;-~
20 exécutés par les usagers ~ partir de leurs actions présentes ou antérieures, d'après les plans en cours et les buts inf~rés. Il permet d'isoler les actions qui ne correspondent pas aux pl~ns en cours et qui nécessitent éventuellement une analyse pouss~e.
25 Il exploite la base modèle de la cible 14, la base de faits image du comportement 17 et une base de données de plans 19.
Il coop~re avec l'analyseur de buts 122, l'abstracteur 110, l'analyseur de coopérations 124 et l'investigateur de -comportement 112. Il informe plus particulièrement le 30 gestionnaire de suspicion et de réaction 13.
Dans la mesure où chaque action nouvelle entreprise par un usager peut poursuivre un plan en cours, démarrer un nouveau plan ou être une action isolée, elle est par exemple reliée par des graphes aux actions ant~rieures qui n'ont pas encore 35 ét~ oubliées pour l'opération de reconnaissance de plans;
chaque graphe représente alors l'occurrence d'un plan dont 21~4~
l'action est susceptible de faire partie. Une action est ici consid~r~e comme oubliée selon la terminologie employée ci-dessus, lorsque le plan auquel elle est rattachée est terminé et validé. Les actions inexpliquées sont 5 susceptibles d~être envoyées ~ l~analyseur de coopération 124 ou signalées en tant qu'anomalies.
Les graphes représentant des candidats résultant de la reconnaissance de plans sont évalu~s, comme indiqué plus haut, afin que seuls soient retenus les plus plausibles, des 10 heuristiques étant employés à des fins limitatives, tel le choix préférentiel des hypothèses correspondant a la satisfaction d'un but courant ou attendu. Ces évaluations ;
sont susceptibles de conduire ~ une signalisation d'anomalie, si justifié.
15 L'analyseur de coopérations 124 est destiné ~ reconna~tre l'occurrence de coopérations, sp~cifiées ou non dans le mod~le de l'ensemble informatique 1, ~ partir d'actions, de plans ou de tâches, inexpliqués par l'analyse des plans, t~ches et missions; la reconnaissance de coopérations non 20 spécifiées et ne correspondant pas ~ la structure de l'organisation ou de l'application doit se traduire par une signalisation d'anomalie.
La base mod~le de la cible 14 et la base de faits image du comportement 17 sont exploitées par les analys~urs de 25 missions, de t~ches et de plans 120, 121j 123; l'abstracteur 110 et l'i~vestigateur de comportement 112 coopèrent avec l'analyseur de coopérations 124 qui informe plus particuli~rement le gestionnaire de suspicion et de réaction 13.
30 Les coop~rations potentielles entre usagers, qui sont spécifiées par la modélisation organisationnelle incluse dans le modble de la cible, sont explorées pour détecter leurs occurrences~ Le modèle de l'ensemble informatique 1 et des connaissances expertes relatives au domaine de 35 l'application sont exploités pour la reconnaissance d'une éventueIle coopération d'un usager avec au moins un autre - 2~254~
qui permettrait d'expliquer des actions, plans, buts, t8ches ~-autrement restés inexpliqués.
L'analyse du comportement opératoire de l'ensemble informatique 1, ~ui compl~te l'analyse cognitive ~voquée ci-5 dessus, comprend ici une analyse des comportements tant actifs que passifs au sein de cet ensemble, les premiers se ~ :
définissant en termes dlactions1 les seconds en termes d'événements ou d'etats. Cette analyse de comportement opératoire est mise en oeuvre à l'aide de modules 10 specialisés réf~rencés 125 et 126 sur la figure 5.
L'analyse des actions qui est assur~e par un module `~
~nalyseur ~25, est destinée ~ assurer la détection des modalités anormales dl~xécutio~ des operations dans l'ensemble informatique 1. Elle s'effectue par un contrôle 15 de conformité des effets des actions aux spécifications des opérations, par une vérification de la répercussion des actions aux couches sous-jacentes, toute action non satisfaisante étant signalée en tant qu'anomalie.
Le module analyseur d'actions 125 exploite notamment la base 20 modèle de la cible 14 et la base de faits image du comportement 17; il coop~re avec l'abstracteur 110 et - ~
l'investigateur de comportement 112 et il informe plus ~ :
particuli~rement le gestionnaire de suspicion et de réaction 13.
25 L'analyse des actions s'effectue par contrôle de protocole, ~;
les r~cepteurs et paramètres mis en oeuvre par les actions ~ta~t analys~s par rapport aux mod~les des opérations ex~cut~es. Elle s'effectue aussi par contr81e d'effets, les états et ~vénements faisant suite aux actions étant 30 confrontés ~ la spécification des effets des opérations :
exécutées. Elle s'effectue encore par contrôle des répercussions, les éventuelles actions secondaires, 3i un même niveau ou dans une couche sous-jacente, qui constituent des r~percussions d'actions primaires, étant ~valu~es par 35 rapport aux spécifications d'effets des opérations ex~cut~es.
212~4~ ~
23 ~
L'analyse des états et événements qui est assurée par un module analyseur 126, est destinée à assurer la détection :
des états et evénements anormaux dans l'ensemble informatique 1, étant considerés comme anormaux les états et 5 événements qui ne correspondent pas à leurs causes ou à
leurs spécifications et qui sont incohérents entre eux ou~ ~;
par rapport aux actions effectuées sur les entités.
L'analyseur d'états et é~énements 126 e~ploite à cet effet la base modèle de la cible 14 et la base de faits image du lo comportement 17. Il coopère avec l'abstracteur 110 et l'investigatieur de comportement 112. Il informe plus particulièrement le gestionnaire de suspicion et de réaction 13. ~ ; :
Un contrôle de protocole est effectué par analyse des états 15 ainsi que des paramètres et caractéristiques des événements par rapport au mod~ile des év~inements et de l'ensemble informatique 1. Un contrôle de cohérence est également effectué; il vérifie la correspondance entre, d'une part, les états et évenements secondaires faisant suite aux états ~ :
20 et événements analysés et, d'autre part, les actions et historiques des entit~is que constituent les agents, processus et objets de l'ensemble informatique 1.
Les fonctions de contr~le de comportement qu'incorpore l'analyseur-contr81eur 12 sont ici assurées par une 2s pluralité de modules référencés 127, 128, 129A et 129B sur la figure 5.
Ces fonctions de contr81e sont destinées ~ vérifier la conformi~i du comportement de 1'ensemble informatique 1 par rappork à ici trois référentiels correspondants qui sont 30 respectivement classifiés historique, opérationnel et intrusionnel. Ils contiennent respectivement des profils, une expression des politiques de sécurité de comportement et un historique des scénarios dlattaque et des descriptio~s ~.
d'intrusions. Les fonctions de contr81e ont pour objet de 35 vérifier que le comportement d~terminé par constatation est conforme aux profils, qu'il respecte les politiques de 2~2~4~
sécurité et de comportement établies; elles doivent aussi détecter l'éventuelle mise en oeuvre de scénarios d'attaque.
La conformité du comportement détermin~ par constatation par rapport aux profils archivés est vérifi~e par un module 127, 5 dit contr81eur de profils. Les profils rattachés aux entités dénotent leur comportement habituel et ceux définis pour des -classes et groupes d'entités sont considérés comme des référencas de comportement standard ou typique. un test de correspondance symbolique ou numérique et principalement 1~ statistique est r~alisé pour contrôler le profil d'une entité; les mesures correspondant à ses caractéristiques sont effectuées sur le comportement et elles sont comparées aux valeurs enregistrées dans le profil archivé. Une conformité globale au profil archivé est évaluée par exemple 15 d'après les correspondances des mesures individuelles, elle entra~ne une signalisation d'anomalie, si la conformité est ;
consid~rée comme mauvaise.
Le contrôleur de profils 127 exploite à cet effet la base modèle de la cible 14 et la base de faits image du 20 comportement 17, une base de données de profils 20. Il coopère avec l'abstracteur 110 et l'investigateur de comportement 112. Il informe plus particulièrement le gestionnaire de suspicion et de réaction 13. ;
une action est susceptible de donner lieu à une vérification ~-25 de profil de l'acteur, usager ou agent, de l'action et des récepteurs, agents ou objets subissant l'action.
Un ~vénement, un état ou une autre information de comportement est aussi susceptible de provoquer la v~rification du profil des unités impliquées.
30 Pour la mesure des caractéristiques, les arguments auxquels s'appliquent ces caractéristiques sont valués et les méthodes de mesure leur sont appliquées, ces méthodes étant définies par les classes qui représentent les types de mesure. Des demandes ~ l'investigateur de comportement 112 35 permettent d'obtenir les éventuelles données manquantes.
:
2 ~
2 5 :
Pour la vérification du respect des profils, les caractéristiques déterminées sont confrontées, par exemple par test statistique ou par correspondance symbolique, avec les valeurs correspondantes du profil et une co~formité
5 globale est estimée d'apr~s les correspondan~es respectives ~ `~
des différentes caractéristiques. Les écarts sont considérés comme représentatifs d'un comportement inhabituel ou atypique correspondant ~ une anomalie.
~e contr~le des politiques est assur~ par un module 129A
10 pour la sécurité et un module 129B pour le comportement, ces modules vérifient les règles exprimées sur le comportement perçu et inféré de l'ensemble informatique 1 et des usagers, qui sont par exemple exprimées sous forme de contraintes par des clauses logiques ou comme des r~gles de production.
15 Le module de contr~le de la politique de la sécurit~ 129A
vérifie le respect de la politique de sécurité tant en ce qui concerne le comportement actif que passif, il est ici activé par l'abstracteur 110 ou par les mises à jour de l'image du comportement. Il exploite la base modèle de la 20 cible 14, la base de faits image du comportement 17 et une base de donn~es de politique de sécurité 21, il coopère avec l'abstracteur 110 et avec llinvesti.gateur de comportement 112. Il est apte à emettre des requêtes ~ destination de l'investigateur de comportement en cas de besoin et il 25 informe plus particulièrement le gestionnaire de suspicion et de réaction 13.
Comme déj~ indiqué, les comportements qui ne vérifient pas les r~gles de la politique de securité sont considérés comme ;
des intrusions et signalés en conséquence au gestionnaire de -30 suspicion et de réaction 13 et bien entendu au responsable de s~curit~ directement ou via ce gestionnaire.
Le module de contrôle de la politique de comportement 129B
vérifie le respect de la politique de comportement, il est ~ -également activé par l'abstracteur 110 ou par les mises ~ -35 jour de l'image du comportement. I1 exploite la base mod~le de la cible 14, la base de faits image du comportement 17 et ;~
"',~,"i`~, ", '.': ";, ,, " ,~, -` 212544~ ~
une base de données de ~olitique de comportement 22, il coopère avec l'abstracteur llo et llinvestigateur de comportement 112. Il est apte ~ émettre des requêtes à
destination de l'investigateur de comportement en cas de 5 besoin et il informe plus particulièrement le gestionnaire de suspicion et de réaction 13. --Le non~respect des règle~ de politique de comportement est consid~ré comme significatif d'anomalie ou d'intrusion suivant l'esp~ce et est signalé en conséquence au 10 gestionnaire de suspicion et de réaction 13 et au responsable de sécurité via ce gestionnaire, si necessaire.
La détection des éventuelles mises en oeuvre de scénarios d'attaque d~j~ connus est effectuée par l'intermédiaire d'un module identificateur 128. Elle repose sur une prise en 15 compte des actions, états et événements impliqués dans une ex~cution. Un scénario d'attaque défini pour une intrusion donnée est susceptible d'~tre reconnu si le comportement des entités et de 1'ensemble informatique correspond aux spécifications qu'il inclut. Une vérification de la ~-20 réalisation effective des actions sp~écifiées par un scénario et des états et/ou événements auxquelles elles aboutissent est donc susceptible d'être faite. Une concordance partielle traduit d~j~ une anomalie qui se transforme en intrusion si le niveau de concordance atteint un seuil de certitude 25 prédétermin~
A cet effet, le module identificateur 128 exploite la base mod~le de la cible 14, la base de faits image du comportement 17 et des bases de donn~es d'intrusions 23 et de scénarios d'attaque 24, il coopère avec l'abstracteur 30 llo, avec l'investigateur de comportement 112 et avec le gestionnaire de suspicion et de réaction 13 qu'il informe.
Il est guidé par les données par exemple à l'occurrence de nouvelles actions ou de nouveaux événements. Une nouvelle ~ `~
action d'un acteur, un nouvel état ou un nouvel événement 35 est susceptible de faire partie d'un scénario d'attaque -~
courant, de démarrer un nouveau scénario d'attaque ou encore ~ ;
-~- 2~254'~
d'~tre un elément de comportement isolé, il doit donc être confronté aux scénarios en cours d'examen et aux débuts des scénarios connus; chaque possibilité de scénario est ici supposée représentée par un graphe reliant les éléments de 5 comportement concernés. une évaluation des graphes susceptibles d'stre reconnus comme impliqués dans un scénario est réalisée pour sélectionner les plus plausibles d'entre eux, des heuristiques sont par exemple exploités pour d~limitation. Le degr~ de conformité vis-~-vis d'un 10 scénario d'attaque connu permet de d~terminer si l'action permet d'inférer une anomalie ou une intrusion. Les intrusions soupçonnées donnent éventuellement lieu ~ une planification et la base de données de sc~narios d'attaque 24 est alors compl~tée par les nouve~ux scénarios d'attaque 15 ~ui ont été obtenus.
Le gestionnaire de suspicion et de r~action 13 du dispositif de détection selon llinvention est généralement destiné
servir d'intermédiaire entre l'analyseur-contrôleur 12 et d'une part l'ensemble informatique 1, d'autre part le 20 responsable de s~curité, via l'interface homme-machine 4, pour ce dernier. Il est destin~ à permettre l'interprétation des anomalies et intrusions qui sont signalées par l'anaIyseur-contrôleur 12, ~ évsluer le degré de suspicion des usagers et 3i aider à déclencher les mesures de 25 contention n~cessaires, sous la supervision du responsable de sécurité qu'il assiste. ;
Le gestionnaire de suspicion et de réaction 13 comporte ici une pluralité de modules référencés 130 ~ 135, un premier de ces modules, r~férencé 130 est un gestionnaire dianomalies 30 qui est charg~ de traiter les anomalies signal~es par l'analyieur-contraleur 12. Il identifie parmi ces anomalies celles qui nécessitent de d~clencher des alarmes ou de mettre en oeuvre des mesures de contention pour intrusion et il inf~re des intrusions ou des hypothbses d'intrusion.
35 Ce gestionnaire d'anomalies 130 coop~re avec les différents analyseurs 120 ~ 127 et les contrôleurs 127 et 129B de ~.
2~2~44~
l'analyseur-contrôl0ur 12, il exploite la base mod~le de la cible 14 et la base de faits image du comportement 17. Il alimente des déclencheurs d'alarmes 131 et de contention 132, des gestionnaires d'intrusions 133 et de suspects 134 5 et la base de faits image du comportement 17. . .: ~ .
Pour interpréter les anomalies la base de connaissances du gestionnaire d'anomalies exprime les heuristiques permettant la classification de certaines anomalies en tant que sympt~mes d'intrusion. Les hypothèses d'intrusion conduisent :
lo ~ rechercher des anomalies complémentaires dans l'image du comportement. Les intrusions et les hypoth~ses d'intrusion : .
sont signalées au gestionnaire d'intrusions 133. :
Pour aiguiller les autres anomalies, la base de ~ :
connaissances exprime les critères de signal d'anomalies au ~-15 g~stionnaire de suspects 134, au déclencheur d'alarmes 131 et au déclencheur de contention 112.
Le gestionnaire d'intrusions 133 est chargé d'interpréter les intrusions et les hypothèses d'intrusion pour vérifier :~
qu'il n'y a pas d'intrusion(s) plus globale(s) et/ou 20 consécutives. Il est susceptible d'être activé par les analyseurs de missions 120, de tâches 121 et de buts 122, par l'identificateur de scénarios d'attague 128, par les contrôleurs de politique I29A et 129B et par le gestionnaire -:
d'anomalies 130. Il communique avec la base modèle de la 25 cible 14, les dsclencheurs d'alarmes 131 et de contention 132, le gestionnaire de suspects 134 et la base de faits ~:
image du comportement 17.
Les connaissances exprimées par la base de connaissances du gestionnaire d'intrusions sont exploitées pour relier les 30 intrusions, pour en inférer de nouvelles et pour interpréter les intrusions en tant qu'~l~ments constitutifs éventuels d'intrusions plus globales. Les hypothases d'intrusions de plus haut niveau am~nent ~ rechercher des informations complémentaires dans l'image du comportement. ~ x ~;
35 Les intrusions structurées de cette manière sont signalées au gestionnaire de suspects 134. La base de connaissances ~ -:
:: ~
~ ~ 2~25~5 exprime aussi les critères de signalisation des intrusions et des hypothèses d'intrusion au déclencheur d'alarmes 131 et au déclencheur de contention 132, comme déj~ indigué.
Le gestionnaire de suspects 134 est chargé d'identifier les 5 usagers réellement responsables des anomalies, des hypothèses d'intrusion et des intrusions; il évalue le degré
de suspicion qui leur est alors affecté. Il assure aussi l'identification des usagers pour lesquels il est nécessaire de déclencher des alarmes ou de prévoir de mettre en oeuvre 10 des mesures de contention.
Ce gestionnaire de suspects 134 est ici susceptible d'être activé par les gestionnaires d'anomalies 130 et d'intrusions 133, il communique avec la base mod~le de la cible 14 et la base de faits image du comportement 17 et il alimente les ~ -~
15 déclencheurs d'alarmes 131 et de contention 13~.
L'interprétation des anomalies et des intrusions dans le cadre de coopérations pouvant d~noter une coopération directe ou une collusion est assur~e p~r la base de connaissances lors de la recherche des responsabilités. -20 Des degrés de suspicion sont induits par les anomalies, les ;
hypoth~ses d'intrusion ou intrusions dont un usager ou agent informatique est responsable, ils sont combinés pour permettre la d~duction d'un niveau de suspicion global pour l'usager considéré.
25 Les usagers suspects sont signal~s aux déclencheurs d'alarmes 131 et de contention 132. ;
Le d~clencheur d'alarmes 131 est charg~ de signaler les anomaIies, les hypoth~ses~d'intrusion, les intrusions et les usagers suspects déterminés par les gestionnaires 30 d'anomalies 130, d'intrusions 133 et de suspects 134 au ~-responsable de sécurité. Il décide et élabore en conséquence, à partir des critares et connaissances stockées dans la base modele de la cible 14, les alarmes qui sont transmises à l'interface homme-machine 4 pour présentation 35 au rasponsable de s~curité, ces alarmes étant complétées par -` 212~4~
:
adjonction de leur contexte, lu dans la base de faits image du comportement 17.
Le déclencheur de contention 132 est chargé de proposer des mesures de contention au responsable de sécurité pour 5 contrecarrer les anomalies, intrusions et usagers suspects signalés par les gestionnaires 130, 133 et 134 évoqués ci-dessus. La décision et l'élaboration de ces mesures de contention s'effectuent par application dP critères stockés dans la base modèle de la cible 14 aux informations émanant lo des gestionnaires d'anomalies, d'intrusions et de suspects.
Les mesures propos~es au responsable de sécurité via l'interface homme-machine 4 sont elles aussi complét~es par :
adjonction de leur contexte obtenu de la base de faits image du comportement 17.
15 Le sélectionneur d'informations 135 est chargé de signaler 12s événements, actions et informations concernant le comportement de l'ensemble informatique 1 qui sont susceptibles de présenter un intérêt pour le responsable de sécurité. ~ - -. -20 Il est susceptible d'être activé par les modules de :~
l'analyseur-contrôIeur 12 et par les mises à jour intervenant au niveau de la base de faits image du comportement 17. Il communique en ce but avec la base mod~le de la cible 14 et avec l'investigateur de comportement 112. : ~;~
25 Les informations transmises par le sélectionneur 135 pour signaler des ~vénements, des actions ou des informations relatives au comportement de l'ensemble informatique 1, sont obtenues par dies tris effectu~s parmi les données de ;~
comportement inférées par les modules de l'analyseur- :`
30 contrôleur 12 et obtenues dans la base de faits image du comportement 17, suivant les critères définis dans sa base de connaissances. L'investigateur de comportement 112 permet au responsable de sécurité de formuler des requêtes pour obtenir des informations complémentaires du sélectionneur :
~5 d'informations 135, selon ses besoins. :
~ : ~
Claims (11)
1/ Dispositif de détection d'intrusions et éventuellement d'usagers suspects, pour ensemble informatique (1), exploitant des flots de données de surveillance, relatives au comportement de l'ensemble informatique en fonctionnement et notamment aux actions des utilisateurs sur cet ensemble, qui sont établies au niveau de ce dernier, caractérisé en ce qu'il comporte:
- des premiers moyens (01) pour modéliser, par exploitation de règles et de connaissances préalablement acquises, la cible que constitue cet ensemble informatique (1) et ses usagers ainsi que leurs comportements respectifs par une représentation symbolique à l'aide d'un réseau sémantique (06);
- des seconds moyens (02) pour comparer le comportement modélisé du système et de ses utilisateurs par rapport au comportement normal modélisé prévu pour les mêmes conditions par des règles de comportement et de sécurité contenues dans une base de connaissances propre à ces seconds moyens et pour en inférer soit un objet anomalie, en cas de violation d'au moins une règle de comportement, soit un objet intrusion ou hypothèse d'intrusion, en cas de violation d'au moins une règle de sécurité;
- des troisièmes moyens (03) pour interpréter les anomalies constatées par exploitation de règles et de connaissances préalablement acquises afin d'émettre, renforcer ou confirmer des hypothèses d'intrusion en correspondance;
- des quatrièmes moyens (04) pour corréler et interpréter les hypothèses d'intrusion et les intrusions constatées par exploitation de règles et de connaissances préalablement acquises afin de relier les diverses hypothèses d'intrusion et/ou intrusions, d'en inférer de nouvelles.
- des moyens de communication (00) coopérant avec les divers autres moyens (01 à 04) évoqués ci-dessus pour assurer une signalisation des diverses informations que ces divers moyens produisent relativement au comportement, aux anomalies, aux hypothèses d'intrusion et aux intrusions.
- des premiers moyens (01) pour modéliser, par exploitation de règles et de connaissances préalablement acquises, la cible que constitue cet ensemble informatique (1) et ses usagers ainsi que leurs comportements respectifs par une représentation symbolique à l'aide d'un réseau sémantique (06);
- des seconds moyens (02) pour comparer le comportement modélisé du système et de ses utilisateurs par rapport au comportement normal modélisé prévu pour les mêmes conditions par des règles de comportement et de sécurité contenues dans une base de connaissances propre à ces seconds moyens et pour en inférer soit un objet anomalie, en cas de violation d'au moins une règle de comportement, soit un objet intrusion ou hypothèse d'intrusion, en cas de violation d'au moins une règle de sécurité;
- des troisièmes moyens (03) pour interpréter les anomalies constatées par exploitation de règles et de connaissances préalablement acquises afin d'émettre, renforcer ou confirmer des hypothèses d'intrusion en correspondance;
- des quatrièmes moyens (04) pour corréler et interpréter les hypothèses d'intrusion et les intrusions constatées par exploitation de règles et de connaissances préalablement acquises afin de relier les diverses hypothèses d'intrusion et/ou intrusions, d'en inférer de nouvelles.
- des moyens de communication (00) coopérant avec les divers autres moyens (01 à 04) évoqués ci-dessus pour assurer une signalisation des diverses informations que ces divers moyens produisent relativement au comportement, aux anomalies, aux hypothèses d'intrusion et aux intrusions.
2/ Dispositif de détection d'intrusions, selon la revendication 1, caractérisé en ce qu'il comporte des cinquièmes moyens (05) pour identifier, à l'aide de connaissances préalablement acquises, les usagers réellement responsables des anomalies, hypothèses d'intrusion et intrusions établies par les seconds, troisièmes et/ou quatrièmes moyens, pour évaluer leur degré de suspicion et pour signaler ces usagers responsables, en coopération avec ces autres moyens et par l'intermédiaire des moyens de communication (00).
3/ Dispositif de détection d'intrusions, selon au moins l'une des revendications 1 et 2, caractérisé en ce que les divers moyens (01 à 04 ou 05) qu'il met en oeuvre sont constitués par des systèmes experts qui partagent un même moteur d'inférences, fonctionnant en chaînage avant, ce moteur étant exploité en liaison avec autant de bases de connaissances qu'il y a de systèmes experts.
4/ Dispositif de détection d'intrusion selon au moins l'une des revendications 1 à 3, caractérisé en ce qu'il comporte:
- un abstracteur-investigateur (11) doté de moyens (110 à
112) pour construire une image du comportement de la cible, constituée par le système informatique (1) et par ses usagers, et pour mener des investigations dans des bases de données (14 à 15) et de faits (17) ainsi qu'au niveau de l'ensemble informatique (1);
- un analyseur-contrôleur (12) doté de moyens (120 à
129)pour interpréter le comportement de l'ensemble informatique et de ses utilisateurs par rapport au modèle de la cible que traduisent les connaissances contenues dans des bases de données (14, 19 à 24) et de faits (17), afin de détecter les anomalies;
un gestionnaire de suspicion et de réaction (13) doté de moyens (130 à 135) pour interpréter les anomalies et les intrusions détectées, pour identifier les usagers réellement responsables des anomalies et intrusions, pour affecter un degré de suspicion à au moins ces usagers de manière à
déclencher des signalisations correspondantes destinées être transmises via une interface homme-machine (4) et éventuellement des mesures de contention applicables à
l'ensemble informatique (1) sous supervision humaine via ladite interface homme-machine.
- un abstracteur-investigateur (11) doté de moyens (110 à
112) pour construire une image du comportement de la cible, constituée par le système informatique (1) et par ses usagers, et pour mener des investigations dans des bases de données (14 à 15) et de faits (17) ainsi qu'au niveau de l'ensemble informatique (1);
- un analyseur-contrôleur (12) doté de moyens (120 à
129)pour interpréter le comportement de l'ensemble informatique et de ses utilisateurs par rapport au modèle de la cible que traduisent les connaissances contenues dans des bases de données (14, 19 à 24) et de faits (17), afin de détecter les anomalies;
un gestionnaire de suspicion et de réaction (13) doté de moyens (130 à 135) pour interpréter les anomalies et les intrusions détectées, pour identifier les usagers réellement responsables des anomalies et intrusions, pour affecter un degré de suspicion à au moins ces usagers de manière à
déclencher des signalisations correspondantes destinées être transmises via une interface homme-machine (4) et éventuellement des mesures de contention applicables à
l'ensemble informatique (1) sous supervision humaine via ladite interface homme-machine.
5/ Dispositif de détection d'intrusion selon la revendication 4, caractérisé en ce qu'il comporte un abstracteur-investigateur (11) associant un abstracteur d'audit (110) chargé de créer une image temporelle et spatiale de l'état et du comportement de la cible constituée par le système informatique et par ses usagers et d'interpréter à la demande des données résultant de demandes d'investigation, un investigateur d'audit (111) chargé de rechercher des données dans une base centrale de données d'audit (15) du dispositif et d'acquérir des données de surveillance sur demande au niveau de l'ensemble informatique, et un investigateur de comportement (112) chargé de rechercher des informations pour l'analyseur-contrôleur (12) et pour le gestionnaire de suspicion et de réaction (13) dans les bases de données (14 à 16) et de faits (17) du dispositif en liaison avec l'investigateur d'audit qu'il commande.
6/ Dispositif de détection d'intrusion selon la revendication 4, caractérisé en ce qu'il comporte un analyseur-contrôleur (13) associant une pluralité de modules analyseurs de comportement de la cible (120 à 126) à une pluralité de modules de contrôle du comportement de cette cible (127 à 129).
7/ Dispositif de détection d'intrusion selon la revendication 6, caractérisé en ce que les modules analyseurs se répartissent en modules (120 à 124) assurant une analyse cognitive du comportement des usagers et modules (125, 126) assurant une analyse du comportement opératoire de l'ensemble informatique (1).
8/ Dispositif de détection d'intrusion selon la revendication 6, caractérisé en ce que les modules de contrôle de comportement associent un contrôleur de profils (127) chargé de contrôler la conformité du comportement déterminé par constatation avec un profil archivé, un identificateur d'attaques (128) chargé de rechercher la similarité du comportement déterminé avec des scénarios d'attaque connus et deux contrôleurs de politique l'un (129A) de sécurité apte à déterminer le non-respect des règles de sécurité stockées dans une base de données de politique de sécurité (21), afin de déclencher une signalisation d'intrusion à destination du gestionnaire de suspicion et de réaction (13) en cas de non-respect, et l'autre (129B) de comportement apte à déterminer le non-respect des règles de comportement stockées dans une base de données de politique de comportement (22) afin de déclencher, suivant l'espèce, une signalisation d'anomalie ou d'intrusion à destination du gestionnaire de suspicion et de réaction (13).
9/ Dispositif de détection d'intrusion, selon la revendication 4, caractérisé en ce que le gestionnaire de suspicion et de réaction (13) comporte notamment des moyens (130, 131, 133) pour interpréter les anomalies et intrusions signalées, des moyens (134) pour déterminer les usagers suspects d'implication dans les anomalies, hypothèses d'intrusion et intrusions, ainsi qu'un niveau de suspicion qui est affecté à ces suspects en conséquence, des moyens (131, 132) pour respectivement déclencher des procédures d'alarme et de préparation de mesures de contention au profit d'un responsable de sécurité via l'interface homme-machine (4) du dispositif.
10/ Système de sécurité, pour ensemble informatique (1), exploitant des flots de données de surveillance, relatives au comportement de l'ensemble en fonctionnement et notamment aux actions des utilisateurs sur cet ensemble, caractérisé
en ce qu'il associe un dispositif de détection d'intrusions (10), selon au moins une des revendications 1 à 9, à un ensemble de capteurs (5) implantés dans le(s) logiciel(s) de l'ensemble informatique pour signaler les actions et événements intervenant à leur niveau, ainsi que les résultats de mesures, ce éventuellement sur demande, les dits capteurs étant reliés au dispositif de détection d'intrusions par des moniteurs (7, 8) notamment chargés de la mise en forme des données, recueillies par les capteurs, sous la forme de flots de données de surveillance, ces données correspondant chacune à une action, un événement ou une mesure.
en ce qu'il associe un dispositif de détection d'intrusions (10), selon au moins une des revendications 1 à 9, à un ensemble de capteurs (5) implantés dans le(s) logiciel(s) de l'ensemble informatique pour signaler les actions et événements intervenant à leur niveau, ainsi que les résultats de mesures, ce éventuellement sur demande, les dits capteurs étant reliés au dispositif de détection d'intrusions par des moniteurs (7, 8) notamment chargés de la mise en forme des données, recueillies par les capteurs, sous la forme de flots de données de surveillance, ces données correspondant chacune à une action, un événement ou une mesure.
11/ Système de sécurité selon la revendication 10, caractérise en ce qu'il comporte de plus un ensemble d'effecteurs (6), de type processus ou agents, implantés dans le(s) logiciel(s) de l'ensemble informatique (1) pour réaliser la mise en oeuvre de mesures de contention au niveau de l'ensemble informatique en vue de contrecarrer les tentatives d'intrusion visant cet ensemble informatique, ces effecteurs étant commandés à partir du gestionnaire de suspicion et de réaction (13) via des moniteurs (7, 8) associés à ce dispositif (10) et aux machines (2) de l'ensemble informatique.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR9306935A FR2706652B1 (fr) | 1993-06-09 | 1993-06-09 | Dispositif de détection d'intrusions et d'usagers suspects pour ensemble informatique et système de sécurité comportant un tel dispositif. |
| FR9306935 | 1993-06-09 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CA2125445A1 true CA2125445A1 (fr) | 1994-12-10 |
Family
ID=9447936
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CA002125445A Abandoned CA2125445A1 (fr) | 1993-06-09 | 1994-06-08 | Dispositif de detection d'intrusions et d'usagers suspects pour ensemble informatique et systeme de securite comportant un tel dispositif |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US5621889A (fr) |
| EP (1) | EP0629940B1 (fr) |
| CA (1) | CA2125445A1 (fr) |
| DE (1) | DE69428631T2 (fr) |
| ES (1) | ES2164091T3 (fr) |
| FR (1) | FR2706652B1 (fr) |
| NO (1) | NO942108L (fr) |
Families Citing this family (243)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10361802B1 (en) | 1999-02-01 | 2019-07-23 | Blanding Hovenweep, Llc | Adaptive pattern recognition based control system and method |
| JP3165366B2 (ja) * | 1996-02-08 | 2001-05-14 | 株式会社日立製作所 | ネットワークセキュリティシステム |
| US6453345B2 (en) * | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
| US8079086B1 (en) | 1997-11-06 | 2011-12-13 | Finjan, Inc. | Malicious mobile code runtime monitoring system and methods |
| US7058822B2 (en) | 2000-03-30 | 2006-06-06 | Finjan Software, Ltd. | Malicious mobile code runtime monitoring system and methods |
| US9219755B2 (en) | 1996-11-08 | 2015-12-22 | Finjan, Inc. | Malicious mobile code runtime monitoring system and methods |
| US5991881A (en) * | 1996-11-08 | 1999-11-23 | Harris Corporation | Network surveillance system |
| US5796942A (en) * | 1996-11-21 | 1998-08-18 | Computer Associates International, Inc. | Method and apparatus for automated network-wide surveillance and security breach intervention |
| US6029144A (en) * | 1997-08-29 | 2000-02-22 | International Business Machines Corporation | Compliance-to-policy detection method and system |
| JP3351318B2 (ja) * | 1997-11-07 | 2002-11-25 | 株式会社日立製作所 | 計算機システムの監視方法 |
| US6202157B1 (en) * | 1997-12-08 | 2001-03-13 | Entrust Technologies Limited | Computer network security system and method having unilateral enforceable security policy provision |
| US6334121B1 (en) * | 1998-05-04 | 2001-12-25 | Virginia Commonwealth University | Usage pattern based user authenticator |
| US6347374B1 (en) | 1998-06-05 | 2002-02-12 | Intrusion.Com, Inc. | Event detection |
| US6735701B1 (en) * | 1998-06-25 | 2004-05-11 | Macarthur Investments, Llc | Network policy management and effectiveness system |
| US6282546B1 (en) | 1998-06-30 | 2001-08-28 | Cisco Technology, Inc. | System and method for real-time insertion of data into a multi-dimensional database for network intrusion detection and vulnerability assessment |
| US6324656B1 (en) | 1998-06-30 | 2001-11-27 | Cisco Technology, Inc. | System and method for rules-driven multi-phase network vulnerability assessment |
| US6711127B1 (en) * | 1998-07-31 | 2004-03-23 | General Dynamics Government Systems Corporation | System for intrusion detection and vulnerability analysis in a telecommunications signaling network |
| DE69817176T2 (de) * | 1998-09-09 | 2004-06-24 | International Business Machines Corp. | Verfahren und Vorrichtung zur Eindringdetektion in Rechnern und Rechnernetzen |
| JP2000148276A (ja) * | 1998-11-05 | 2000-05-26 | Fujitsu Ltd | セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体 |
| US6321338B1 (en) | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| US6530024B1 (en) | 1998-11-20 | 2003-03-04 | Centrax Corporation | Adaptive feedback security system and method |
| US6499107B1 (en) | 1998-12-29 | 2002-12-24 | Cisco Technology, Inc. | Method and system for adaptive network security using intelligent packet analysis |
| US6415321B1 (en) | 1998-12-29 | 2002-07-02 | Cisco Technology, Inc. | Domain mapping method and system |
| US6301668B1 (en) | 1998-12-29 | 2001-10-09 | Cisco Technology, Inc. | Method and system for adaptive network security using network vulnerability assessment |
| US6477651B1 (en) | 1999-01-08 | 2002-11-05 | Cisco Technology, Inc. | Intrusion detection system and method having dynamically loaded signatures |
| US6487666B1 (en) | 1999-01-15 | 2002-11-26 | Cisco Technology, Inc. | Intrusion detection signature analysis using regular expressions and logical operators |
| US6954775B1 (en) | 1999-01-15 | 2005-10-11 | Cisco Technology, Inc. | Parallel intrusion detection sensors with load balancing for high speed networks |
| US6578147B1 (en) | 1999-01-15 | 2003-06-10 | Cisco Technology, Inc. | Parallel intrusion detection sensors with load balancing for high speed networks |
| US6567917B1 (en) | 1999-02-01 | 2003-05-20 | Cisco Technology, Inc. | Method and system for providing tamper-resistant executable software |
| US6484315B1 (en) | 1999-02-01 | 2002-11-19 | Cisco Technology, Inc. | Method and system for dynamically distributing updates in a network |
| US6405318B1 (en) | 1999-03-12 | 2002-06-11 | Psionic Software, Inc. | Intrusion detection system |
| US6609205B1 (en) | 1999-03-18 | 2003-08-19 | Cisco Technology, Inc. | Network intrusion detection signature analysis using decision graphs |
| US7096499B2 (en) * | 1999-05-11 | 2006-08-22 | Cylant, Inc. | Method and system for simplifying the structure of dynamic execution profiles |
| US6681331B1 (en) | 1999-05-11 | 2004-01-20 | Cylant, Inc. | Dynamic software system intrusion detection |
| US7185367B2 (en) | 1999-05-11 | 2007-02-27 | Cylant, Inc. | Method and system for establishing normal software system behavior and departures from normal behavior |
| US6910135B1 (en) * | 1999-07-07 | 2005-06-21 | Verizon Corporate Services Group Inc. | Method and apparatus for an intruder detection reporting and response system |
| AU5935400A (en) * | 1999-07-14 | 2001-01-30 | Recourse Technologies, Inc. | System and method for protecting a computer network against denial of service attacks |
| US7117532B1 (en) * | 1999-07-14 | 2006-10-03 | Symantec Corporation | System and method for generating fictitious content for a computer |
| US6981155B1 (en) * | 1999-07-14 | 2005-12-27 | Symantec Corporation | System and method for computer security |
| US7203962B1 (en) | 1999-08-30 | 2007-04-10 | Symantec Corporation | System and method for using timestamps to detect attacks |
| US7085936B1 (en) | 1999-08-30 | 2006-08-01 | Symantec Corporation | System and method for using login correlations to detect intrusions |
| US6996843B1 (en) * | 1999-08-30 | 2006-02-07 | Symantec Corporation | System and method for detecting computer intrusions |
| US6826697B1 (en) | 1999-08-30 | 2004-11-30 | Symantec Corporation | System and method for detecting buffer overflow attacks |
| US6647400B1 (en) | 1999-08-30 | 2003-11-11 | Symantec Corporation | System and method for analyzing filesystems to detect intrusions |
| US7065657B1 (en) | 1999-08-30 | 2006-06-20 | Symantec Corporation | Extensible intrusion detection system |
| FR2798490B1 (fr) | 1999-09-13 | 2001-10-26 | Inst Nat Rech Inf Automat | Procede et dispositif de resolution de modeles et utilisation pour la detection des attaques contre les systemes informatiques |
| US6880087B1 (en) | 1999-10-08 | 2005-04-12 | Cisco Technology, Inc. | Binary state machine system and method for REGEX processing of a data stream in an intrusion detection system |
| US6789202B1 (en) * | 1999-10-15 | 2004-09-07 | Networks Associates Technology, Inc. | Method and apparatus for providing a policy-driven intrusion detection system |
| US6671811B1 (en) * | 1999-10-25 | 2003-12-30 | Visa Internation Service Association | Features generation for use in computer network intrusion detection |
| US6769066B1 (en) * | 1999-10-25 | 2004-07-27 | Visa International Service Association | Method and apparatus for training a neural network model for use in computer network intrusion detection |
| IL132916A (en) | 1999-11-14 | 2004-02-08 | Mcafee Inc | Method and system for intercepting an application program interface |
| IL132915A (en) | 1999-11-14 | 2004-05-12 | Networks Assoc Tech Inc | Method for secure function execution by calling address validation |
| US7107347B1 (en) | 1999-11-15 | 2006-09-12 | Fred Cohen | Method and apparatus for network deception/emulation |
| US6859805B1 (en) * | 1999-11-29 | 2005-02-22 | Actuate Corporation | Method and apparatus for generating page-level security in a computer generated report |
| US6772156B1 (en) | 1999-11-29 | 2004-08-03 | Actuate Corporation | Method and apparatus for creating and displaying a table of content for a computer-generated report having page-level security |
| US6597957B1 (en) | 1999-12-20 | 2003-07-22 | Cisco Technology, Inc. | System and method for consolidating and sorting event data |
| US6775657B1 (en) | 1999-12-22 | 2004-08-10 | Cisco Technology, Inc. | Multilayered intrusion detection system and method |
| WO2003050799A1 (fr) * | 2001-12-12 | 2003-06-19 | International Business Machines Corporation | Procede et dispositif de verification discrete des locuteurs au moyen de modeles comportementaux |
| US6490560B1 (en) * | 2000-03-01 | 2002-12-03 | International Business Machines Corporation | Method and system for non-intrusive speaker verification using behavior models |
| US6591265B1 (en) * | 2000-04-03 | 2003-07-08 | International Business Machines Corporation | Dynamic behavior-based access control system and method |
| GB2362076B (en) * | 2000-05-03 | 2002-08-14 | 3Com Corp | Detection of an attack such as a pre-attack on a computer network |
| US6772349B1 (en) | 2000-05-03 | 2004-08-03 | 3Com Corporation | Detection of an attack such as a pre-attack on a computer network |
| US7024694B1 (en) * | 2000-06-13 | 2006-04-04 | Mcafee, Inc. | Method and apparatus for content-based instrusion detection using an agile kernel-based auditor |
| US20040073617A1 (en) | 2000-06-19 | 2004-04-15 | Milliken Walter Clark | Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail |
| US6470297B1 (en) | 2000-06-21 | 2002-10-22 | The United States Of America As Represented By The Director Of The National Security Agency | Method of multi-dimensionally accentuating a deviation in information and identifying its cause |
| US7587368B2 (en) * | 2000-07-06 | 2009-09-08 | David Paul Felsher | Information record infrastructure, system and method |
| US6907533B2 (en) * | 2000-07-14 | 2005-06-14 | Symantec Corporation | System and method for computer security using multiple cages |
| US20020162017A1 (en) * | 2000-07-14 | 2002-10-31 | Stephen Sorkin | System and method for analyzing logfiles |
| US6993448B2 (en) | 2000-08-09 | 2006-01-31 | Telos Corporation | System, method and medium for certifying and accrediting requirements compliance |
| US6901346B2 (en) | 2000-08-09 | 2005-05-31 | Telos Corporation | System, method and medium for certifying and accrediting requirements compliance |
| US7380270B2 (en) * | 2000-08-09 | 2008-05-27 | Telos Corporation | Enhanced system, method and medium for certifying and accrediting requirements compliance |
| US7032114B1 (en) | 2000-08-30 | 2006-04-18 | Symantec Corporation | System and method for using signatures to detect computer intrusions |
| US7702806B2 (en) * | 2000-09-07 | 2010-04-20 | Riverbed Technology, Inc. | Statistics collection for network traffic |
| US20110213869A1 (en) * | 2000-09-25 | 2011-09-01 | Yevgeny Korsunsky | Processing data flows with a data flow processor |
| US20020165947A1 (en) * | 2000-09-25 | 2002-11-07 | Crossbeam Systems, Inc. | Network application apparatus |
| US20100042565A1 (en) * | 2000-09-25 | 2010-02-18 | Crossbeam Systems, Inc. | Mezzazine in-depth data analysis facility |
| US8010469B2 (en) * | 2000-09-25 | 2011-08-30 | Crossbeam Systems, Inc. | Systems and methods for processing data flows |
| US20070192863A1 (en) * | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
| US20110219035A1 (en) * | 2000-09-25 | 2011-09-08 | Yevgeny Korsunsky | Database security via data flow processing |
| US9525696B2 (en) | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
| US20110214157A1 (en) * | 2000-09-25 | 2011-09-01 | Yevgeny Korsunsky | Securing a network with data flow processing |
| US9800608B2 (en) | 2000-09-25 | 2017-10-24 | Symantec Corporation | Processing data flows with a data flow processor |
| US8564661B2 (en) | 2000-10-24 | 2013-10-22 | Objectvideo, Inc. | Video analytic rule detection system and method |
| US20050162515A1 (en) * | 2000-10-24 | 2005-07-28 | Objectvideo, Inc. | Video surveillance system |
| US9892606B2 (en) | 2001-11-15 | 2018-02-13 | Avigilon Fortress Corporation | Video surveillance system employing video primitives |
| US8711217B2 (en) | 2000-10-24 | 2014-04-29 | Objectvideo, Inc. | Video surveillance system employing video primitives |
| US7058709B2 (en) * | 2000-11-14 | 2006-06-06 | International Business Machines Corporation | Enabling surveillance of network connected device |
| US7225467B2 (en) * | 2000-11-15 | 2007-05-29 | Lockheed Martin Corporation | Active intrusion resistant environment of layered object and compartment keys (airelock) |
| US7213265B2 (en) * | 2000-11-15 | 2007-05-01 | Lockheed Martin Corporation | Real time active network compartmentalization |
| US6996845B1 (en) | 2000-11-28 | 2006-02-07 | S.P.I. Dynamics Incorporated | Internet security analysis system and process |
| AU3054102A (en) * | 2000-11-30 | 2002-06-11 | Lancope Inc | Flow-based detection of network intrusions |
| CA2327847C (fr) * | 2000-12-07 | 2010-02-23 | Phasys Limited | Systeme de transmission et de verification de signaux d'alarmes |
| MXPA03006024A (es) * | 2001-01-02 | 2005-02-14 | Trusecure Corp | Metodo orientado a objetos, sistema y medio para administracion de riesgos al crear interdependencia entre objetos, criterios y metricas. |
| CA2436710C (fr) * | 2001-01-31 | 2011-06-14 | Lancope, Inc. | Profilage d'acces reseau |
| US7290283B2 (en) * | 2001-01-31 | 2007-10-30 | Lancope, Inc. | Network port profiling |
| US7181017B1 (en) | 2001-03-23 | 2007-02-20 | David Felsher | System and method for secure three-party communications |
| US7424175B2 (en) | 2001-03-23 | 2008-09-09 | Objectvideo, Inc. | Video segmentation using statistical pixel modeling |
| US7068998B2 (en) * | 2001-04-13 | 2006-06-27 | Northrop Grumman Corp. | Methodology for the detection of intrusion into radio frequency (RF) based networks including tactical data links and the tactical internet |
| US20020171546A1 (en) * | 2001-04-18 | 2002-11-21 | Evans Thomas P. | Universal, customizable security system for computers and other devices |
| US7036148B2 (en) | 2001-05-08 | 2006-04-25 | International Business Machines Corporation | Method of operating an intrusion detection system according to a set of business rules |
| US7624444B2 (en) * | 2001-06-13 | 2009-11-24 | Mcafee, Inc. | Method and apparatus for detecting intrusions on a computer system |
| US6513122B1 (en) | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
| KR100424723B1 (ko) * | 2001-07-27 | 2004-03-27 | 김상욱 | 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법 |
| US7299496B2 (en) * | 2001-08-14 | 2007-11-20 | Illinois Institute Of Technology | Detection of misuse of authorized access in an information retrieval system |
| US7657935B2 (en) * | 2001-08-16 | 2010-02-02 | The Trustees Of Columbia University In The City Of New York | System and methods for detecting malicious email transmission |
| US7278160B2 (en) * | 2001-08-16 | 2007-10-02 | International Business Machines Corporation | Presentation of correlated events as situation classes |
| US7571480B2 (en) * | 2001-08-16 | 2009-08-04 | International Business Machines Corporation | Presentation of correlated events as situation classes |
| US7039953B2 (en) * | 2001-08-30 | 2006-05-02 | International Business Machines Corporation | Hierarchical correlation of intrusion detection events |
| US20030046583A1 (en) * | 2001-08-30 | 2003-03-06 | Honeywell International Inc. | Automated configuration of security software suites |
| WO2003029934A1 (fr) * | 2001-09-28 | 2003-04-10 | British Telecommunications Public Limited Company | Systeme de detection d'intrusion au moyen d'agents |
| US20030079140A1 (en) * | 2001-10-24 | 2003-04-24 | Yosuke Ura | Multiple protecting system to protect personal computer data from burglary utilized flash memory drive |
| US20030159060A1 (en) * | 2001-10-31 | 2003-08-21 | Gales George S. | System and method of defining the security condition of a computer system |
| US20030084323A1 (en) * | 2001-10-31 | 2003-05-01 | Gales George S. | Network intrusion detection system and method |
| EP1315066A1 (fr) * | 2001-11-21 | 2003-05-28 | BRITISH TELECOMMUNICATIONS public limited company | Système de sécurité pour ordinateur |
| US7895326B2 (en) * | 2002-03-25 | 2011-02-22 | Lancope, Inc. | Network service zone locking |
| US7644151B2 (en) | 2002-01-31 | 2010-01-05 | Lancope, Inc. | Network service zone locking |
| US7512980B2 (en) * | 2001-11-30 | 2009-03-31 | Lancope, Inc. | Packet sampling flow-based detection of network intrusions |
| US7475426B2 (en) * | 2001-11-30 | 2009-01-06 | Lancope, Inc. | Flow-based detection of network intrusions |
| US20040054505A1 (en) * | 2001-12-12 | 2004-03-18 | Lee Susan C. | Hierarchial neural network intrusion detector |
| US8544087B1 (en) | 2001-12-14 | 2013-09-24 | The Trustess Of Columbia University In The City Of New York | Methods of unsupervised anomaly detection using a geometric framework |
| US9306966B2 (en) | 2001-12-14 | 2016-04-05 | The Trustees Of Columbia University In The City Of New York | Methods of unsupervised anomaly detection using a geometric framework |
| US7225343B1 (en) * | 2002-01-25 | 2007-05-29 | The Trustees Of Columbia University In The City Of New York | System and methods for adaptive model generation for detecting intrusions in computer systems |
| US8578480B2 (en) * | 2002-03-08 | 2013-11-05 | Mcafee, Inc. | Systems and methods for identifying potentially malicious messages |
| US20060015942A1 (en) | 2002-03-08 | 2006-01-19 | Ciphertrust, Inc. | Systems and methods for classification of messaging entities |
| CA2478299C (fr) * | 2002-03-08 | 2012-05-22 | Ciphertrust, Inc. | Systemes et procedes permettant d'ameliorer la securite des communications electroniques |
| US8561167B2 (en) | 2002-03-08 | 2013-10-15 | Mcafee, Inc. | Web reputation scoring |
| US20030172291A1 (en) * | 2002-03-08 | 2003-09-11 | Paul Judge | Systems and methods for automated whitelisting in monitored communications |
| US6715084B2 (en) | 2002-03-26 | 2004-03-30 | Bellsouth Intellectual Property Corporation | Firewall system and method via feedback from broad-scope monitoring for intrusion detection |
| US7203963B1 (en) | 2002-06-13 | 2007-04-10 | Mcafee, Inc. | Method and apparatus for adaptively classifying network traffic |
| US7904955B1 (en) | 2002-06-13 | 2011-03-08 | Mcafee, Inc. | Method and apparatus for detecting shellcode |
| US7788718B1 (en) | 2002-06-13 | 2010-08-31 | Mcafee, Inc. | Method and apparatus for detecting a distributed denial of service attack |
| US8539580B2 (en) * | 2002-06-19 | 2013-09-17 | International Business Machines Corporation | Method, system and program product for detecting intrusion of a wireless network |
| US7017186B2 (en) * | 2002-07-30 | 2006-03-21 | Steelcloud, Inc. | Intrusion detection system using self-organizing clusters |
| US6986161B2 (en) * | 2002-08-12 | 2006-01-10 | Harris Corporation | Mobile ad-hoc network with intrusion detection features and related methods |
| US6952779B1 (en) | 2002-10-01 | 2005-10-04 | Gideon Cohen | System and method for risk detection and analysis in a computer network |
| US8407798B1 (en) | 2002-10-01 | 2013-03-26 | Skybox Secutiry Inc. | Method for simulation aided security event management |
| US20070061884A1 (en) * | 2002-10-29 | 2007-03-15 | Dapp Michael C | Intrusion detection accelerator |
| US7146643B2 (en) * | 2002-10-29 | 2006-12-05 | Lockheed Martin Corporation | Intrusion detection accelerator |
| US7080094B2 (en) * | 2002-10-29 | 2006-07-18 | Lockheed Martin Corporation | Hardware accelerated validating parser |
| US20040083466A1 (en) * | 2002-10-29 | 2004-04-29 | Dapp Michael C. | Hardware parser accelerator |
| US7370271B2 (en) * | 2002-10-30 | 2008-05-06 | Actuate Corporation | Methods and apparatus for generating a spreadsheet report template |
| US7603711B2 (en) * | 2002-10-31 | 2009-10-13 | Secnap Networks Security, LLC | Intrusion detection system |
| US7359930B2 (en) * | 2002-11-21 | 2008-04-15 | Arbor Networks | System and method for managing computer networks |
| US7779113B1 (en) * | 2002-11-25 | 2010-08-17 | Oracle International Corporation | Audit management system for networks |
| US7421738B2 (en) * | 2002-11-25 | 2008-09-02 | Honeywell International Inc. | Skeptical system |
| US6980927B2 (en) * | 2002-11-27 | 2005-12-27 | Telos Corporation | Enhanced system, method and medium for certifying and accrediting requirements compliance utilizing continuous risk assessment |
| US20040103309A1 (en) * | 2002-11-27 | 2004-05-27 | Tracy Richard P. | Enhanced system, method and medium for certifying and accrediting requirements compliance utilizing threat vulnerability feed |
| US6983221B2 (en) * | 2002-11-27 | 2006-01-03 | Telos Corporation | Enhanced system, method and medium for certifying and accrediting requirements compliance utilizing robust risk assessment model |
| US7389430B2 (en) * | 2002-12-05 | 2008-06-17 | International Business Machines Corporation | Method for providing access control to single sign-on computer networks |
| US20040116102A1 (en) * | 2002-12-17 | 2004-06-17 | International Business Machines Corporation | Heuristics for behavior based life support services |
| US7418730B2 (en) * | 2002-12-17 | 2008-08-26 | International Business Machines Corporation | Automatic client responses to worm or hacker attacks |
| US7272565B2 (en) * | 2002-12-17 | 2007-09-18 | Technology Patents Llc. | System and method for monitoring individuals |
| US8239942B2 (en) * | 2002-12-30 | 2012-08-07 | Cisco Technology, Inc. | Parallel intrusion detection sensors with load balancing for high speed networks |
| DE10300609A1 (de) * | 2003-01-10 | 2004-07-29 | Wincor Nixdorf International Gmbh | Rückwirkungsfreie Geräteschnittstelle |
| US7409721B2 (en) * | 2003-01-21 | 2008-08-05 | Symantac Corporation | Network risk analysis |
| US9818136B1 (en) | 2003-02-05 | 2017-11-14 | Steven M. Hoffberg | System and method for determining contingent relevance |
| US20040172234A1 (en) * | 2003-02-28 | 2004-09-02 | Dapp Michael C. | Hardware accelerator personality compiler |
| US7278162B2 (en) | 2003-04-01 | 2007-10-02 | International Business Machines Corporation | Use of a programmable network processor to observe a flow of packets |
| US7281270B2 (en) * | 2003-04-01 | 2007-10-09 | Lockheed Martin Corporation | Attack impact prediction system |
| US8201249B2 (en) * | 2003-05-14 | 2012-06-12 | Northrop Grumman Systems Corporation | Steady state computer intrusion and misuse detection |
| US7308716B2 (en) * | 2003-05-20 | 2007-12-11 | International Business Machines Corporation | Applying blocking measures progressively to malicious network traffic |
| US7617526B2 (en) * | 2003-05-20 | 2009-11-10 | International Business Machines Corporation | Blocking of spam e-mail at a firewall |
| US7464404B2 (en) * | 2003-05-20 | 2008-12-09 | International Business Machines Corporation | Method of responding to a truncated secure session attack |
| US20060206615A1 (en) * | 2003-05-30 | 2006-09-14 | Yuliang Zheng | Systems and methods for dynamic and risk-aware network security |
| EP1629623A4 (fr) * | 2003-05-30 | 2010-12-08 | Calyptix Security | Systemes et procedes de securite dynamique et tenant compte du risque d'un reseau |
| US7596807B2 (en) * | 2003-07-03 | 2009-09-29 | Arbor Networks, Inc. | Method and system for reducing scope of self-propagating attack code in network |
| US8869267B1 (en) * | 2003-09-23 | 2014-10-21 | Symantec Corporation | Analysis for network intrusion detection |
| JP2005108099A (ja) * | 2003-10-01 | 2005-04-21 | Hitachi Ltd | 情報セキュリティポリシー評価システム及びその制御方法 |
| US7464158B2 (en) | 2003-10-15 | 2008-12-09 | International Business Machines Corporation | Secure initialization of intrusion detection system |
| US20050086529A1 (en) * | 2003-10-21 | 2005-04-21 | Yair Buchsbaum | Detection of misuse or abuse of data by authorized access to database |
| US8839417B1 (en) | 2003-11-17 | 2014-09-16 | Mcafee, Inc. | Device, system and method for defending a computer network |
| US20050114658A1 (en) * | 2003-11-20 | 2005-05-26 | Dye Matthew J. | Remote web site security system |
| US8272053B2 (en) | 2003-12-18 | 2012-09-18 | Honeywell International Inc. | Physical security management system |
| US20050157662A1 (en) * | 2004-01-20 | 2005-07-21 | Justin Bingham | Systems and methods for detecting a compromised network |
| US8146160B2 (en) * | 2004-03-24 | 2012-03-27 | Arbor Networks, Inc. | Method and system for authentication event security policy generation |
| GB2412979A (en) * | 2004-04-07 | 2005-10-12 | Hewlett Packard Development Co | Computer access control based on user behaviour |
| US7779463B2 (en) | 2004-05-11 | 2010-08-17 | The Trustees Of Columbia University In The City Of New York | Systems and methods for correlating and distributing intrusion alert information among collaborating computer systems |
| US20060026679A1 (en) * | 2004-07-29 | 2006-02-02 | Zakas Phillip H | System and method of characterizing and managing electronic traffic |
| US8176126B2 (en) | 2004-08-26 | 2012-05-08 | International Business Machines Corporation | System, method and program to limit rate of transferring messages from suspected spammers |
| US7925658B2 (en) * | 2004-09-17 | 2011-04-12 | Actuate Corporation | Methods and apparatus for mapping a hierarchical data structure to a flat data structure for use in generating a report |
| WO2006039208A2 (fr) * | 2004-09-22 | 2006-04-13 | Cyberdefender Corporation | Réseau de protection contre des menaces |
| US8635690B2 (en) | 2004-11-05 | 2014-01-21 | Mcafee, Inc. | Reputation based message processing |
| US20060168193A1 (en) * | 2004-11-23 | 2006-07-27 | Gerald Starling | Methods, computer program products, and systems for detecting incidents within a communications network |
| US7784097B1 (en) * | 2004-11-24 | 2010-08-24 | The Trustees Of Columbia University In The City Of New York | Systems and methods for correlating and distributing intrusion alert information among collaborating computer systems |
| US7610610B2 (en) | 2005-01-10 | 2009-10-27 | Mcafee, Inc. | Integrated firewall, IPS, and virus scanner system and method |
| US7870480B1 (en) | 2005-03-14 | 2011-01-11 | Actuate Corporation | Methods and apparatus for storing and retrieving annotations accessible by a plurality of reports |
| EP1915743A1 (fr) * | 2005-08-17 | 2008-04-30 | Honeywell International Inc. | Systeme de gestion de securite physique |
| US8874477B2 (en) | 2005-10-04 | 2014-10-28 | Steven Mark Hoffberg | Multifactorial optimization system and method |
| WO2007045051A1 (fr) | 2005-10-21 | 2007-04-26 | Honeywell Limited | Systeme et procede d'autorisation |
| US7996898B2 (en) * | 2005-10-25 | 2011-08-09 | Webroot Software, Inc. | System and method for monitoring events on a computer to reduce false positive indication of pestware |
| US8468589B2 (en) | 2006-01-13 | 2013-06-18 | Fortinet, Inc. | Computerized system and method for advanced network content processing |
| US20070143842A1 (en) * | 2005-12-15 | 2007-06-21 | Turner Alan K | Method and system for acquisition and centralized storage of event logs from disparate systems |
| US8646025B2 (en) * | 2005-12-21 | 2014-02-04 | Mcafee, Inc. | Automated local exception rule generation system, method and computer program product |
| CA2649389A1 (fr) * | 2006-04-17 | 2007-11-08 | Objectvideo, Inc. | Segmentation video utilisant une modelisation statistique de pixels |
| WO2007143011A2 (fr) * | 2006-05-31 | 2007-12-13 | The Trustees Of Columbia University In The City Ofnew York | Systèmes, méthodes et support pour engendrer des informations pièges pour les moyens de défense basés sur un piégeage |
| US9178907B2 (en) | 2006-06-09 | 2015-11-03 | Mcafee, Inc. | System, method and computer program product for detecting encoded shellcode in network traffic |
| FI20060665A0 (fi) * | 2006-07-07 | 2006-07-07 | Nokia Corp | Poikkeavuuden havaitseminen |
| US8190868B2 (en) | 2006-08-07 | 2012-05-29 | Webroot Inc. | Malware management through kernel detection |
| US8763114B2 (en) | 2007-01-24 | 2014-06-24 | Mcafee, Inc. | Detecting image spam |
| US7779156B2 (en) | 2007-01-24 | 2010-08-17 | Mcafee, Inc. | Reputation based load balancing |
| US8179798B2 (en) | 2007-01-24 | 2012-05-15 | Mcafee, Inc. | Reputation based connection throttling |
| US8214497B2 (en) | 2007-01-24 | 2012-07-03 | Mcafee, Inc. | Multi-dimensional reputation scoring |
| EP1986391A1 (fr) * | 2007-04-23 | 2008-10-29 | Mitsubishi Electric Corporation | Détection d'anomalies dans des flux de signalisation |
| CN101765835B (zh) | 2007-05-28 | 2013-05-08 | 霍尼韦尔国际公司 | 用于配置访问控制装置的系统和方法 |
| US8598982B2 (en) | 2007-05-28 | 2013-12-03 | Honeywell International Inc. | Systems and methods for commissioning access control devices |
| US9009829B2 (en) | 2007-06-12 | 2015-04-14 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for baiting inside attackers |
| US7792770B1 (en) | 2007-08-24 | 2010-09-07 | Louisiana Tech Research Foundation; A Division Of Louisiana Tech University Foundation, Inc. | Method to indentify anomalous data using cascaded K-Means clustering and an ID3 decision tree |
| US8185930B2 (en) | 2007-11-06 | 2012-05-22 | Mcafee, Inc. | Adjusting filter or classification control settings |
| EP2081163B1 (fr) | 2008-01-21 | 2011-10-26 | Thales Nederland B.V. | Système de sûreté et de sécurité multi-menaces et son procédé de spécification |
| US8589503B2 (en) | 2008-04-04 | 2013-11-19 | Mcafee, Inc. | Prioritizing network traffic |
| US8583574B2 (en) * | 2008-08-06 | 2013-11-12 | Delfigo Corporation | Method of and apparatus for combining artificial intelligence (AI) concepts with event-driven security architectures and ideas |
| US9704313B2 (en) | 2008-09-30 | 2017-07-11 | Honeywell International Inc. | Systems and methods for interacting with access control devices |
| US8769684B2 (en) | 2008-12-02 | 2014-07-01 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for masquerade attack detection by monitoring computer user behavior |
| MY151479A (en) * | 2008-12-16 | 2014-05-30 | Secure Corp M Sdn Bhd F | Method and apparatus for detecting shellcode insertion |
| US8878931B2 (en) | 2009-03-04 | 2014-11-04 | Honeywell International Inc. | Systems and methods for managing video data |
| WO2010106474A1 (fr) | 2009-03-19 | 2010-09-23 | Honeywell International Inc. | Systèmes et procédés de gestion de dispositifs de contrôle d'accès |
| US11489857B2 (en) | 2009-04-21 | 2022-11-01 | Webroot Inc. | System and method for developing a risk profile for an internet resource |
| US20110082723A1 (en) * | 2009-10-02 | 2011-04-07 | National Ict Australia Limited | Rating agents participating in electronic transactions |
| US9280365B2 (en) | 2009-12-17 | 2016-03-08 | Honeywell International Inc. | Systems and methods for managing configuration data at disconnected remote devices |
| US8528091B2 (en) | 2009-12-31 | 2013-09-03 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for detecting covert malware |
| US8707414B2 (en) | 2010-01-07 | 2014-04-22 | Honeywell International Inc. | Systems and methods for location aware access control management |
| US8621638B2 (en) | 2010-05-14 | 2013-12-31 | Mcafee, Inc. | Systems and methods for classification of messaging entities |
| US8787725B2 (en) | 2010-11-11 | 2014-07-22 | Honeywell International Inc. | Systems and methods for managing video data |
| DE102011077611A1 (de) | 2011-06-16 | 2012-12-20 | Universität Bremen | Verfahren zum rechnergestützten Erkennen von Angriffen auf ein Computernetz |
| WO2012174603A1 (fr) | 2011-06-24 | 2012-12-27 | Honeywell International Inc. | Systèmes et procédés de présentation d'informations de système dvm |
| WO2013020165A2 (fr) | 2011-08-05 | 2013-02-14 | HONEYWELL INTERNATIONAL INC. Attn: Patent Services | Systèmes et procédés de gestion de données vidéo |
| US10362273B2 (en) | 2011-08-05 | 2019-07-23 | Honeywell International Inc. | Systems and methods for managing video data |
| US9344684B2 (en) | 2011-08-05 | 2016-05-17 | Honeywell International Inc. | Systems and methods configured to enable content sharing between client terminals of a digital video management system |
| US9038130B2 (en) * | 2013-05-14 | 2015-05-19 | Dell Products, L.P. | Sensor aware security policies with embedded controller hardened enforcement |
| US9172721B2 (en) | 2013-07-16 | 2015-10-27 | Fortinet, Inc. | Scalable inline behavioral DDOS attack mitigation |
| KR101414061B1 (ko) | 2013-08-26 | 2014-07-04 | 한국전자통신연구원 | 침입탐지규칙 간의 유사도 측정 장치 및 그 방법 |
| US9961096B1 (en) | 2013-09-17 | 2018-05-01 | Cisco Technology, Inc. | Distributed behavior based anomaly detection |
| US10523903B2 (en) | 2013-10-30 | 2019-12-31 | Honeywell International Inc. | Computer implemented systems frameworks and methods configured for enabling review of incident data |
| WO2016138400A1 (fr) | 2015-02-27 | 2016-09-01 | Cisco Technology, Inc. | Système et procédés pour la sécurité de réseaux d'ordinateurs impliquant une confirmation de connexions de réseau par les utilisateurs |
| US20160292445A1 (en) | 2015-03-31 | 2016-10-06 | Secude Ag | Context-based data classification |
| EP3196798A1 (fr) | 2016-01-19 | 2017-07-26 | Secude AG | Bloc de copier-coller sensibles au contexte |
| US10257172B2 (en) | 2016-11-18 | 2019-04-09 | International Business Machines Corporation | Risk-based encryption of communication on a computer system node |
| US10313395B2 (en) | 2016-12-19 | 2019-06-04 | International Business Machines Corporation | Placement of operators and encryption of communication based on risk in a computer system node |
| US11194915B2 (en) | 2017-04-14 | 2021-12-07 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for testing insider threat detection systems |
| US10560487B2 (en) * | 2017-07-26 | 2020-02-11 | International Business Machines Corporation | Intrusion detection and mitigation in data processing |
| US11196669B2 (en) | 2018-05-17 | 2021-12-07 | At&T Intellectual Property I, L.P. | Network routing of media streams based upon semantic contents |
| CN111651753A (zh) * | 2019-03-04 | 2020-09-11 | 顺丰科技有限公司 | 用户行为分析系统及方法 |
| US11748473B2 (en) | 2020-10-15 | 2023-09-05 | International Business Machines Corporation | Intrusion detection in micro-services through container telemetry and behavior modeling |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0329415A3 (fr) * | 1988-02-17 | 1992-02-26 | Digital Equipment Corporation | Système expert pour l'inspection de sécurité d'un système de calculateur numérique dans un environnement de réseau |
| US5278901A (en) * | 1992-04-30 | 1994-01-11 | International Business Machines Corporation | Pattern-oriented intrusion-detection system and method |
| US5448722A (en) * | 1993-03-10 | 1995-09-05 | International Business Machines Corporation | Method and system for data processing system error diagnosis utilizing hierarchical blackboard diagnostic sessions |
-
1993
- 1993-06-09 FR FR9306935A patent/FR2706652B1/fr not_active Expired - Fee Related
-
1994
- 1994-06-07 NO NO942108A patent/NO942108L/no not_active Application Discontinuation
- 1994-06-08 US US08/257,052 patent/US5621889A/en not_active Expired - Lifetime
- 1994-06-08 DE DE69428631T patent/DE69428631T2/de not_active Expired - Lifetime
- 1994-06-08 ES ES94401285T patent/ES2164091T3/es not_active Expired - Lifetime
- 1994-06-08 EP EP94401285A patent/EP0629940B1/fr not_active Expired - Lifetime
- 1994-06-08 CA CA002125445A patent/CA2125445A1/fr not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| NO942108D0 (no) | 1994-06-07 |
| FR2706652B1 (fr) | 1995-08-18 |
| DE69428631D1 (de) | 2001-11-22 |
| FR2706652A1 (fr) | 1994-12-23 |
| EP0629940B1 (fr) | 2001-10-17 |
| NO942108L (no) | 1994-12-12 |
| US5621889A (en) | 1997-04-15 |
| DE69428631T2 (de) | 2002-08-08 |
| EP0629940A1 (fr) | 1994-12-21 |
| ES2164091T3 (es) | 2002-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP0629940B1 (fr) | Dispositif de détection d'intrusions et d'usagers suspects pour ensemble informatique et système de sécurité comportant un tel dispositif | |
| US20210374027A1 (en) | Self-learning alerting and anomaly detection | |
| Freiling et al. | A common process model for incident response and computer forensics | |
| US10078317B2 (en) | Method, device and computer program for monitoring an industrial control system | |
| Tianfield | Cyber security situational awareness | |
| Al-Dhaqm et al. | Towards the development of an integrated incident response model for database forensic investigation field | |
| CN112560027A (zh) | 一种数据安全监测系统 | |
| CN103718170A (zh) | 用于事件的分布式基于规则的相关的系统和方法 | |
| Claycomb et al. | Chronological examination of insider threat sabotage: Preliminary observations. | |
| CN111915468B (zh) | 网络反诈骗主动巡检与预警系统 | |
| KR101256507B1 (ko) | 사용자 행위 분석을 통한 자료유출 탐지 시스템 및 그 방법 | |
| Kotenko et al. | Event correlation in the integrated cyber-physical security system | |
| CN112039858A (zh) | 一种区块链服务安全加固系统与方法 | |
| Grosse et al. | Machine learning security in industry: A quantitative survey | |
| CN107592503A (zh) | 执法音视频采集管理系统及管理方法 | |
| DE112021000689T5 (de) | Attestierung von neuronalen abläufen | |
| Chockalingam et al. | An ontology for effective security incident management | |
| Sibai | AI crimes: a classification | |
| Falaye et al. | Design and implementation of crime investigation system using biometric approach (nigerian police force). | |
| Karie et al. | A generic framework for digital evidence traceability | |
| Macak et al. | Scenarios for process-aware insider attack detection in manufacturing | |
| Dambe et al. | The Role of Artificial Intelligence in Enhancing Cybersecurity and Internal Audit | |
| CN115567241A (zh) | 一种多站点网络感知检测系统 | |
| CN113923036A (zh) | 一种持续免疫安全系统的区块链信息管理方法及装置 | |
| FR3009615A1 (fr) | Procede et systeme de captage, discrimination et caracterisation de signaux faibles au moyen de leurs signatures respectives |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FZDE | Discontinued |