Processing

Please wait...

Settings

Settings

Goto Application

1. WO2020193332 - PRE-EMPTIVE COMPUTER SECURITY

Publication Number WO/2020/193332
Publication Date 01.10.2020
International Application No. PCT/EP2020/057532
International Filing Date 18.03.2020
IPC
G06F 21/55 2013.01
GPHYSICS
06COMPUTING; CALCULATING OR COUNTING
FELECTRIC DIGITAL DATA PROCESSING
21Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
55Detecting local intrusion or implementing counter-measures
CPC
G06F 21/552
GPHYSICS
06COMPUTING; CALCULATING; COUNTING
FELECTRIC DIGITAL DATA PROCESSING
21Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
55Detecting local intrusion or implementing counter-measures
552involving long-term monitoring or reporting
G06F 21/554
GPHYSICS
06COMPUTING; CALCULATING; COUNTING
FELECTRIC DIGITAL DATA PROCESSING
21Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
55Detecting local intrusion or implementing counter-measures
554involving event detection and direct action
Applicants
  • BRITISH TELECOMMUNICATIONS PUBLIC LIMITED COMPANY [GB]/[GB]
Inventors
  • HERWONO, Ian
  • EL-MOUSSA, Fadi
Agents
  • BRITISH TELECOMMUNICATIONS PUBLIC LIMITED COMPANY, INTELLECTUAL PROPERTY DEPARTMENT
Priority Data
19165661.027.03.2019EP
Publication Language English (EN)
Filing Language English (EN)
Designated States
Title
(EN) PRE-EMPTIVE COMPUTER SECURITY
(FR) SÉCURITÉ INFORMATIQUE PRÉVENTIVE
Abstract
(EN)
A computer implemented method of computer security for a host computer system in communication with remote computer systems, the method comprising: generating an attack map as a directed graph data structure modelling individual events leading to an exploitation of the host computer system, the attack map being generated in a training phase of the host computer system in which the host is subjected to attacks by one or more attacking remote computer systems, and generating the attack map includes the steps of: a) collecting a log of each of a plurality of attack events occurring at the host including network packets involved in each attack event; b) using stacked autoencoders to extract features from the log event in each attack; c) generating a directed graph representation based on each of the extracted features based on a temporal relationship between events for each extracted feature and a predefined definition of each of a plurality of attack patterns defining events and temporal relationships between events, determining a subset of nodes in the attack map corresponding to events in one or more attacks such that each of the predetermined attack patterns involves at least one of the nodes in the subset; determining a component of the host computer system involved in each event represented by each of the nodes in the subset; and deploying one or more security facilities at each of the determined components of the host computer system so as to mitigate attacks according to each of the attack patterns.
(FR)
L’invention concerne un procédé mis en œuvre par ordinateur de sécurité informatique pour un système informatique hôte en communication avec des systèmes informatiques à distance, le procédé consistant à : générer une carte d'attaque sous la forme d'une structure de données graphiques orientée modélisant des événements individuels conduisant à une exploitation du système informatique hôte, la carte d'attaque étant générée dans une phase d'apprentissage du système informatique hôte dans laquelle l'hôte est soumis à des attaques par une ou plusieurs attaques de systèmes informatiques distants, et la génération de la carte d'attaque comprend les étapes consistant à :a) collecter un journal de chacun d'une pluralité d'événements d'attaque se produisant au niveau de l'hôte comprenant des paquets de réseau impliqués dans chaque événement d'attaque ; b) utiliser des autocodeurs empilés pour extraire des caractéristiques de l'événement de journal dans chaque attaque ; c) générer une représentation graphique dirigée sur la base de chacune des caractéristiques extraites sur la base d'une relation temporelle entre des événements pour chaque caractéristique extraite et une définition prédéfinie de chacun d'une pluralité de motifs d'attaque définissant des événements et des relations temporelles entre des événements, la détermination d'un sous-ensemble de nœuds dans la carte d'attaque correspondant à des événements dans une ou plusieurs attaques de telle sorte que chacun des motifs d'attaque prédéterminés implique au moins l'un des nœuds dans le sous-ensemble ; déterminer un composant du système informatique hôte impliqué dans chaque événement représenté par chacun des nœuds dans le sous-ensemble ; et déployer une ou plusieurs installations de sécurité au niveau de chacun des composants déterminés du système informatique hôte de façon à atténuer les attaques selon chacun des motifs d'attaque.
Latest bibliographic data on file with the International Bureau