WIPO logo
Mobile | Deutsch | English | Español | 日本語 | 한국어 | Português | Русский | 中文 | العربية |
PATENTSCOPE

Recherche dans les collections de brevets nationales et internationales
World Intellectual Property Organization
Recherche
 
Options de navigation
 
Traduction
 
Options
 
Quoi de neuf
 
Connexion
 
Aide
 
Traduction automatique
1. (WO2001016745) SYSTEME ET PROCEDE D'UTILISATION DES CORRELATIONS DE CONNEXION ET PROCEDE D'UTILISATION DE CES CORRELATIONS POUR DETECTER LES INTRUSIONS
Dernières données bibliographiques dont dispose le Bureau international   

N° de publication :    WO/2001/016745    N° de la demande internationale :    PCT/US2000/023869
Date de publication : 08.03.2001 Date de dépôt international : 30.08.2000
Demande présentée en vertu du Chapitre 2 :    20.03.2001    
CIB :
G06E 1/00 (2006.01), G06E 3/00 (2006.01), G06F 1/12 (2006.01), G06F 7/00 (2006.01), G06F 9/26 (2006.01), G06F 9/34 (2006.01), G06F 11/00 (2006.01), G06F 11/30 (2006.01), G06F 12/00 (2006.01), G06F 12/02 (2006.01), G06F 12/04 (2006.01), G06F 12/08 (2006.01), G06F 12/10 (2006.01), G06F 12/14 (2006.01), G06F 13/00 (2006.01), G06F 15/18 (2006.01), G06F 17/00 (2006.01), G06F 17/30 (2006.01), G06G 7/00 (2006.01), H02H 3/05 (2006.01), H03K 19/003 (2006.01), H04B 1/74 (2006.01), H04L 1/22 (2006.01), H04L 9/00 (2006.01), H04L 9/30 (2006.01), H04L 9/32 (2006.01)
Déposants : RECOURSE TECHNOLOGIES, INC. [US/US]; 2450 El Camino Real #100 Palo Alto, CA 94306 (US)
Inventeurs : MORAN, Douglas, B.; (US)
Mandataire : YI, Susan, C.; Van Pelt & Yi, LLP, 4906 El Camino Real, Suite 205, Los Altos, CA 94022 (US)
Données relatives à la priorité :
60/151,531 30.08.1999 US
09/615,967 14.07.2000 US
Titre (EN) SYSTEM AND METHOD FOR USING LOGIN CORRELATIONS TO DETECT INTRUSIONS
(FR) SYSTEME ET PROCEDE D'UTILISATION DES CORRELATIONS DE CONNEXION ET PROCEDE D'UTILISATION DE CES CORRELATIONS POUR DETECTER LES INTRUSIONS
Abrégé : front page image
(EN)A system and method are disclosed for detecting intrusions (220) in a host system on a network (212). The intrusion detection system (220) comprises an analysis engine configured to use continuations and apply forward- and -backward-chaining using rules. Also provided are sensors, which communicate with the analysis engine using a meta-protocol in which the data packet comprises a 4-tuple. A configuration discovery mechanism locates host system (212) files and communicates the locations to the analysis engine. A file processing mechanism matches contents of a deleted file to a directory or filename, and a directory processing mechanism extracts deallocated directory entries from a directory, creating a partial ordering of the entries. A signature checking mechanism computes the signature of a file and compares it to previously computed signatures. A buffer overflow attack detector compares access times of commands and their associated files. The intrusion detection system (220) further includes a mechanism for checking timestamps to identify and analyze forward and backward time steps in a log file.
(FR)La présente invention concerne un système et un procédé permettant de détecter les intrusions (220) dans un système hôte sur un réseau (212). Le système de détection des intrusions (220) comprend un moteur d'analyse configuré pour utiliser les suites et appliquer les règles d'utilisation de chaînage avant-arrière. En outre, cette invention concerne des détecteurs qui communiquent avec le moteur d'analyse au moyen d'un méta-protocole dans lequel le paquet de données comprend un 4-uplet. Un mécanisme de découverte de configuration localise les fichiers du système hôte (212) et communique ces emplacements au moteur d'analyse. Un mécanisme de traitement de fichiers apparie le contenu d'un fichier effacé à un registre ou un nom de fichier, et un mécanisme de traitement de registres extrait du registre les entrées de registres désaffectés, créant ainsi un ordre partial des entrées. Un mécanisme de vérification de signatures analyse la signature d'un fichier et la compare aux signatures précédemment analysées. Un détecteur d'attaque de surcharge de tampon compare les temps d'accès et leurs fichiers associés. Le système de détection d'intrusions (220) comprend un mécanisme de vérification des heures système permettant d'identifier et d'analyser les étapes temps avant et arrière dans un fichier journal.
États désignés : AE, AL, AM, AT, AU, AZ, BA, BB, BG, BR, BY, CA, CH, CN, CR, CU, CZ, DE, DK, DM, EE, ES, FI, GB, GD, GE, GH, GM, HR, HU, ID, IL, IN, IS, JP, KE, KG, KP, KR, KZ, LC, LK, LR, LS, LT, LU, LV, MA, MD, MG, MK, MN, MW, MX, NO, NZ, PL, PT, RO, RU, SD, SE, SG, SI, SK, SL, TJ, TM, TR, TT, TZ, UA, UG, UZ, VN, YU, ZA, ZW.
Organisation régionale africaine de la propriété intellectuelle (ARIPO) (GH, GM, KE, LS, MW, MZ, SD, SL, SZ, TZ, UG, ZW)
Office eurasien des brevets (OEAB) (AM, AZ, BY, KG, KZ, MD, RU, TJ, TM)
Office européen des brevets (OEB) (AT, BE, CH, CY, DE, DK, ES, FI, FR, GB, GR, IE, IT, LU, MC, NL, PT, SE)
Organisation africaine de la propriété intellectuelle (OAPI) (BF, BJ, CF, CG, CI, CM, GA, GN, GW, ML, MR, NE, SN, TD, TG).
Langue de publication : anglais (EN)
Langue de dépôt : anglais (EN)