Processing

Please wait...

Settings

Settings

Goto Application

1. WO2020193335 - ADAPTIVE COMPUTER SECURITY

Publication Number WO/2020/193335
Publication Date 01.10.2020
International Application No. PCT/EP2020/057535
International Filing Date 18.03.2020
IPC
G06F 21/55 2013.01
GPHYSICS
06COMPUTING; CALCULATING OR COUNTING
FELECTRIC DIGITAL DATA PROCESSING
21Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
55Detecting local intrusion or implementing counter-measures
CPC
G06F 21/552
GPHYSICS
06COMPUTING; CALCULATING; COUNTING
FELECTRIC DIGITAL DATA PROCESSING
21Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
55Detecting local intrusion or implementing counter-measures
552involving long-term monitoring or reporting
G06F 21/554
GPHYSICS
06COMPUTING; CALCULATING; COUNTING
FELECTRIC DIGITAL DATA PROCESSING
21Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
55Detecting local intrusion or implementing counter-measures
554involving event detection and direct action
Applicants
  • BRITISH TELECOMMUNICATIONS PUBLIC LIMITED COMPANY [GB]/[GB]
Inventors
  • HERWONO, Ian
  • EL-MOUSSA, Fadi
Agents
  • BRITISH TELECOMMUNICATIONS PUBLIC LIMITED COMPANY, INTELLECTUAL PROPERTY DEPARTMENT
Priority Data
19165663.627.03.2019EP
Publication Language English (EN)
Filing Language English (EN)
Designated States
Title
(EN) ADAPTIVE COMPUTER SECURITY
(FR) SÉCURITÉ INFORMATIQUE ADAPTATIVE
Abstract
(EN)
A computer implemented method of computer security for a host computer system in communication with remote computer systems, the method comprising: generating an attack map as a directed graph data structure modelling individual events leading to an exploitation of the host computer system, the attack map being generated in a training phase of the host computer system in which the host is subjected to attacks by one or more attacking remote computer systems, and generating the attack map includes the steps of: a) collecting a log of each of a plurality of attack events occurring at the host including network packets involved in each attack event; b) using stacked autoencoders to extract features from the log event in each attack; c) generating a directed graph representation based on each of the extracted features based on a temporal relationship between events for each extracted feature and a predefined definition of each of a plurality of attack patterns defining events and temporal relationships between events, responsive to an occurrence of a new attack in the host computer system, the attack not resulting in the generation of attack events constituting a path through the attack map to a known exploitation, triggering the regeneration of the attack map by the above steps including additionally events generated in respect of the new attack.
(FR)
La présente invention concerne un procédé de sécurité informatique mis en œuvre par ordinateur pour un système informatique hôte en communication avec des systèmes informatiques distants, le procédé consistant : à générer une carte d'attaque sous la forme d'une structure de données de graphe orienté modélisant des événements individuels conduisant à une exploitation du système informatique hôte, la carte d'attaque étant générée dans une phase d'apprentissage du système informatique hôte dans laquelle l'hôte est soumis à des attaques par un ou plusieurs systèmes informatiques distants d'attaque, et à générer la carte d'attaque comprenant les étapes consistant : a) à collecter un journal de chacun d'une pluralité d'événements d'attaque se produisant au niveau de l'hôte comprenant des paquets de réseau impliqués dans chaque événement d'attaque ; b) à utiliser des auto-codeurs empilés pour extraire des caractéristiques de l'événement de journal dans chaque attaque ; c) à générer une représentation de graphe dirigé sur la base de chacune des caractéristiques extraites sur la base d'une relation temporelle entre des événements pour chaque caractéristique extraite et une définition prédéfinie de chacun d'une pluralité de modèles d'attaque définissant des événements et des relations temporelles entre des événements, en réponse à une occurrence d'une nouvelle attaque dans le système informatique hôte, l'attaque n'entraînant pas la génération d'événements d'attaque constituant un trajet à travers la carte d'attaque jusqu'à une exploitation connue, ce qui déclenche la régénération de la carte d'attaque par les étapes ci-dessus comprenant en outre des événements générés par rapport à la nouvelle attaque.
Latest bibliographic data on file with the International Bureau