Traitement en cours

Veuillez attendre...

Paramétrages

Paramétrages

Aller à Demande

1. WO2016057994 - SUIVI DE DÉPENDANCE DIFFÉRENTIELLE POUR LA RECHERCHE CRIMINALISTE D’ATTAQUES

Numéro de publication WO/2016/057994
Date de publication 14.04.2016
N° de la demande internationale PCT/US2015/055137
Date du dépôt international 12.10.2015
CIB
H04L 29/06 2006.01
HÉLECTRICITÉ
04TECHNIQUE DE LA COMMUNICATION ÉLECTRIQUE
LTRANSMISSION D'INFORMATION NUMÉRIQUE, p.ex. COMMUNICATION TÉLÉGRAPHIQUE
29Dispositions, appareils, circuits ou systèmes non couverts par un seul des groupes H04L1/-H04L27/135
02Commande de la communication; Traitement de la communication
06caractérisés par un protocole
H04L 12/26 2006.01
HÉLECTRICITÉ
04TECHNIQUE DE LA COMMUNICATION ÉLECTRIQUE
LTRANSMISSION D'INFORMATION NUMÉRIQUE, p.ex. COMMUNICATION TÉLÉGRAPHIQUE
12Réseaux de données à commutation
02Détails
26Dispositions de surveillance; Dispositions de test
CPC
G06F 16/9024
GPHYSICS
06COMPUTING; CALCULATING; COUNTING
FELECTRIC DIGITAL DATA PROCESSING
16Information retrieval; Database structures therefor; File system structures therefor
90Details of database functions independent of the retrieved data types
901Indexing; Data structures therefor; Storage structures
9024Graphs; Linked lists
H04L 2463/146
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
2463Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
146Tracing the source of attacks
H04L 63/1416
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
63Network architectures or network communication protocols for network security
14for detecting or protecting against malicious traffic
1408by monitoring network traffic
1416Event detection, e.g. attack signature detection
H04L 63/1425
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
63Network architectures or network communication protocols for network security
14for detecting or protecting against malicious traffic
1408by monitoring network traffic
1425Traffic logging, e.g. anomaly detection
H04L 63/1441
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
63Network architectures or network communication protocols for network security
14for detecting or protecting against malicious traffic
1441Countermeasures against malicious traffic
Déposants
  • NEC LABORATORIES AMERICA, INC. [US]/[US]
Inventeurs
  • LI, Zhichun
  • WU, Zhenyu
  • QIAN, Zhiyun
  • JIANG, Guofei
  • AKHOONDI, Masoud
  • KUSANO, Markus
Mandataires
  • TUTUNJIAN, John, G.
Données relatives à la priorité
14/879,87609.10.2015US
62/062,29810.10.2014US
Langue de publication anglais (EN)
Langue de dépôt anglais (EN)
États désignés
Titre
(EN) DIFFERENTIAL DEPENDENCY TRACKING FOR ATTACK FORENSICS
(FR) SUIVI DE DÉPENDANCE DIFFÉRENTIELLE POUR LA RECHERCHE CRIMINALISTE D’ATTAQUES
Abrégé
(EN)
Methods and systems for intrusion attack recovery include monitoring (502) two or more hosts in a network to generate audit logs of system events. One or more dependency graphs (DGraphs) is generated (504) based on the audit logs. A relevancy score for each edge of the DGraphs is determined (510). Irrelevant events from the DGraphs are pruned (510) to generate a condensed backtracking graph. An origin is located by backtracking (512) from an attack detection point in the condensed backtracking graph.
(FR)
La présente invention concerne des procédés et des systèmes permettant une récupération après attaque par intrusion, lesdits procédés consistant à surveiller (502) au moins deux hôtes dans un réseau afin de générer des journaux d’audits d’événements du système. Un ou plusieurs graphes de dépendance sont générés (504) sur la base des journaux d’audits. Une note de pertinence pour chaque arête des graphes de dépendance est déterminée (510). Des événements non pertinents sont éliminés des graphes de dépendance (510) afin de générer un graphe de retour arrière condensé. Une origine est localisée par le retour arrière (512) à partir d’un point de détection d’attaque dans le graphe de retour arrière condensé.
Également publié en tant que
Dernières données bibliographiques dont dispose le Bureau international