Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
SUPPRESSION OF FALSE ALARMS AMONG ALARMS PRODUCED IN A MONITORED INFORMATION SYSTEM
Document Type and Number:
WIPO Patent Application WO/2006/056721
Kind Code:
A1
Abstract:
The invention relates to a method for the suppression of false alarms among alarms produced in a monitored information system (1). The inventive method is characterised in that the alarms are automatically classified by means of a false alarm suppression module (17) according to two categories comprising false and true alarms, using determined criteria based on progressive learning on the part of the module (17) from the expertise of a human operator (23) responsible for the initial manual alarm classification.

Inventors:
MORIN BENJAMIN (FR)
VIINIKKA JOUNI (FR)
Application Number:
PCT/FR2005/050983
Publication Date:
June 01, 2006
Filing Date:
November 24, 2005
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
FRANCE TELECOM (FR)
MORIN BENJAMIN (FR)
VIINIKKA JOUNI (FR)
International Classes:
G08B15/00
Foreign References:
GB2258311A1993-02-03
EP0856826A21998-08-05
US20020161763A12002-10-31
Attorney, Agent or Firm:
Joly, Jean-jacques (158 rue de L'Université, Paris Cedex 07, FR)
Download PDF:
Claims:
REVENDICATIONS
1. Procédé de suppression de fausses alertes parmi les alertes produites dans un système d'informations surveillé (1), caractérisé en ce que les alertes sont classées automatiquement au moyen d'un module de suppression de fausses alertes (17) suivant deux catégories constituées de fausses et vraies alertes selon des critères déterminés basés sur un apprentissage progressif dudit module (17) à partir de l'expertise d'un opérateur humain (23) en charge d'un classement initial manuel des alertes, ledit apprentissage progressif comportant les phases suivantes : une phase d'apprentissage initial (Pl) dans laquelle ledit module de suppression de fausses alertes (17) procède à un enregistrement de diagnostics de l'opérateur humain (23) concernant un nombre déterminé d'alertes initiales et comprenant pour une alerte initiale donnée, une extraction de l'ensemble de mots composant ladite alerte initiale donnée, et une association à chaque mot dudit ensemble de mots, d'un compteur désignant le nombre cumulé d'occurrences dudit mot dans l'une des deux catégories, et une phase de validation (P2) dans laquelle ledit module de suppression de fausses alertes (17) procède à la classification de nouvelles alertes en fonction dudit enregistrement de diagnostics et d'une supervision de l'opérateur humain (23) qui confirme ou corrige les classifications de nouvelles alertes.
2. Procédé selon la revendication 1, caractérisé en ce que lesdits critères déterminés comportent une comparaison des probabilités d'appartenance des alertes à l'une et à l'autre desdites deux catégories.
3. Procédé selon la revendication 1, caractérisé en ce que dans la phase de validation (P2), lesdites confirmations ou corrections des classifications de nouvelles alertes apportées par l'opérateur humain (23) sont utilisées par le module de suppression de fausses alertes (17) pour minimiser un taux de correction lui permettant d'augmenter la fiabilité de toute classification ultérieure de nouvelles alertes.
4. Procédé selon la revendication 3, caractérisé en ce qu'il comporte une phase opérationnelle (P3) dans laquelle la classification des nouvelles alertes est effectuée de manière autonome, si le taux de correction de la classification des nouvelles alertes de la phase de validation (P2) devient inférieur à un nombre seuil déterminé.
5. Procédé selon la revendication 4, caractérisé en ce que dans la phase opérationnelle (P3), les fausses alertes sont supprimées ou stockées dans un moyen de stockage (27) et seules les vraies alertes sont envoyées à une console de présentation des alertes (5).
6. Procédé selon l'une quelconque des revendications 1 à 5, caractérisé en ce que la classification des alertes durant la phase de validation (P2) et la phase opérationnelle (P3) comporte, pour une nouvelle alerte donnée, les étapes suivantes : extraction de l'ensemble de mots composant ladite nouvelle alerte donnée, comparaison des probabilités d'appartenance de la nouvelle alerte donnée à l'une et à l'autre desdites catégories, classement de la nouvelle alerte donnée dans l'une des deux catégories selon le résultat de la comparaison de l'étape précédente, incrémentation des compteurs selon la catégorie de la nouvelle alerte donnée, et transmission de la nouvelle alerte donnée ainsi classée à la console de présentation des alertes (5).
7. Procédé selon la revendication 6, caractérisé en ce que la comparaison des probabilités d'appartenance de la nouvelle alerte donnée à l'une et à l'autre desdites catégories comporte les étapes suivantes : calculer pour chaque mot de l'ensemble de mots de ladite nouvelle alerte, la probabilité que chaque mot soit présent dans des alertes appartenant à l'une ou à l'autre des catégories en déterminant le rapport entre le compteur désignant le nombre cumulé d'occurrences de chaque mot dans des alertes de l'une ou l'autre des catégories et le nombre total d'occurrences de mots dans l'une ou l'autre des catégories respectivement, calculer la probabilité de chaque catégorie en déterminant le rapport entre le nombre total d'occurrences de mots dans des alertes de chaque catégorie et le nombre total de mots, calculer le produit, sur l'ensemble des mots composant l'alerte, des probabilités que chaque mot respectif de l'alerte soit présent dans des alertes appartenant à chaque catégorie multiplié par la probabilité de chaque catégorie, et comparer le résultat de l'étape précédente selon les deux catégories.
8. Procédé selon l'une quelconque des revendications 1 à 7, caractérisé en ce que la correction par ledit module de suppression de fausses alertes (17) de la classification des nouvelles alertes durant la phase de validation (P2) comporte les étapes suivantes : correction de la catégorie d'une nouvelle alerte précédemment classée par ledit module (17) s'il reçoit une notification de l'opérateur humain (23) indiquant que ledit précédent classement de ladite nouvelle alerte est faux, décrémentation des compteurs désignant les nombres cumulés d'occurrences de mots dans la catégorie faussement classée, incrémentation des compteurs désignant les nombres cumulés d'occurrences de mots dans la catégorie corrigée.
9. Module de suppression de fausses alertes, caractérisé en ce qu'il comporte : des moyens de traitement (21) de données permettant de classer automatiquement les alertes suivant deux catégories constituées de fausses et vraies alertes selon des critères déterminés basés sur un apprentissage progressif à partir de l'expertise d'un opérateur humain (23) en charge d'un classement initial manuel des alertes, et des moyens mémoires (25) permettant d'enregistrer, lors d'une phase d'apprentissage initial de l'apprentissage progressif, des diagnostics de l'opérateur humain (23) concernant un nombre déterminé d'alertes initiales en permettant pour une alerte initiale donnée d'extraire l'ensemble de mots composant ladite alerte initiale donnée et en associant à chaque mot dudit ensemble de mots, un compteur désignant le nombre cumulé d'occurrences dudit mot dans l'une des deux catégories, les moyens de traitement (21) de données permettant en outre de procéder à la classification de nouvelles alertes en fonction dudit enregistrement de diagnostics et d'une supervision de l'opérateur humain (23) qui confirme ou corrige les classifications de nouvelles alertes.
10. Module selon la revendication 9, caractérisé en ce que lors d'une phase opérationnelle (P3), les moyens de traitement (21) de données sont destinés en outre à classifler de manière autonome de nouvelles alertes si un taux de correction de la classification des nouvelles alertes de la phase de validation (P2) devient inférieur à un nombre seuil déterminé.
11. Module selon la revendication 10, caractérisé en ce qu'il comporte en outre un moyen de stockage (27) permettant de stocker, lors de la phase opérationnelle, les fausses alertes de sorte que seules les vraies alertes sont envoyées à une console de présentation des alertes (5).
12. Système d'informations surveillé comportant un réseau interne à surveiller (7), des sondes de détection d'intrusions (lia, llb, Ile), un système de gestion d'alertes (15), et une console de présentation d'alertes (5) caractérisé en ce qu'il comporte en outre un module de suppression de fausses alertes (17) selon l'une quelconque des revendications 9 à 11.
Description:
Suppression de fausses alertes parmi les alertes produites dans un système d'informations surveillé.

Arrière-plan de l'invention L'invention concerne un système et un procédé de suppression de fausses alertes parmi les alertes produites dans un système d'informations surveillé.

La sécurité des systèmes d'informations passe par le déploiement de systèmes de détection d'intrusions. Ces systèmes de détection d'intrusions se situent en amont des systèmes de prévention d'intrusions. Ils permettent de détecter des activités allant à rencontre de la politique de sécurité d'un système d'informations.

Les systèmes de détection d'intrusions sont entre autres constitués de sondes de détection d'intrusions « SDI » qui émettent des alertes vers des systèmes de gestion d'alertes « SGA ».

En effet, les sondes de détection d'intrusions sont des composants actifs du système de détection d'intrusions qui analysent une ou plusieurs sources de données à la recherche d'événements caractéristiques d'une activité intrusive et émettent des alertes vers les systèmes de gestion d'alertes. Un système de gestion d'alertes SGA centralise les alertes provenant des sondes et effectue éventuellement une analyse de l'ensemble de ces alertes.

Les SGA sont constitués de plusieurs modules de traitement d'alertes « MTA », chargés de traiter les alertes en aval de leur production par les SDI. Les MTA produisent eux-mêmes des alertes de plus haut niveau traduisant leur traitement sur les alertes.

Une fois traitées par les modules du SGA, les alertes sont présentées à un opérateur de sécurité du système d'information dans une console de présentation des alertes « CPA ».

Parmi les MTA, on peut distinguer les modules de suppression de fausse alertes « MSFA », qui sont chargés d'identifier les alertes qui sont de fausses alertes « faux positifs », c'est à dire les alertes qui sont produites par les SDI alors qu'aucune activité intrusive n'a eu lieu. A l'inverse, les alertes produites suite à une activité intrusive qui a effectivement eu lieu sont des vraies alertes « vrais positifs ».

Les sondes de détection d'intrusions génèrent un très grand nombre d'alertes qui peut comprendre plusieurs milliers d'alertes par jour en fonction des configurations et de l'environnement Cet excès d'alertes est majoritairement lié aux fausses alertes.

En général, parmi les milliers d'alertes générées quotidiennement dans un système d'informations, 90 à 99% des alertes sont des fausses alertes.

L'analyse de la cause de ces fausses alertes montre qu'il s'agit très souvent de comportements erratiques d'entités (par exemple des serveurs) du réseau surveillé, mais qui ne sont pas pertinents du point de vue de la sécurité du système d'informations. Il peut aussi s'agir de comportements normaux d'entités, dont l'activité ressemble à une activité intrusive, si bien que les sondes de détection d'intrusions (SDI) émettent des alertes par erreur. Comme les comportements normaux constituent la majorité de l'activité d'une entité, les fausses alertes engendrées sont récurrentes et participent pour une grande part à l'excès global d'alertes.

Une mauvaise prise en compte de la politique de sécurité du système d'informations dans la configuration des SDI peut aussi engendrer de fausses alertes. Dans tous les cas, la nature (vrai ou faux positif) d'une alerte dépend en grande partie des propriétés intrinsèques du système d'informations surveillé.

Dans les SGA actuels, la qualification d'une alerte de vrai ou faux positif est laissée à l'appréciation de l'opérateur de sécurité en charge de l'analyse des alertes car c'est lui qui connaît les propriétés de son

système d'informations. Comme le nombre d'alertes générées est grand, le temps consacré par l'opérateur à chaque alerte est réduit.

Il existe des techniques probabilistes de traitement des alertes issues de sondes de détection d'intrusions pour détecter de fausses alertes. Ces techniques reposent sur des connaissances préalables des propriétés des attaques qui sont référencées dans les alertes, ainsi que sur les propriétés du système d'informations surveillé.

Objet et résumé de l'invention L'invention a pour but de remédier à ces inconvénients, et de fournir un procédé simple de suppression de fausses alertes qui ne nécessite pas de connaissances préalables et qui permette un diagnostique réel, aisé et rapide de ces alertes.

Ces buts sont atteints grâce à un procédé de suppression de fausses alertes parmi les alertes produites dans un système d'informations surveillé, dans lequel les alertes sont classées automatiquement au moyen d'un module de suppression de fausses alertes suivant deux catégories constituées de fausses et vraies alertes selon des critères déterminés basés sur un apprentissage progressif dudit module à partir de l'expertise d'un opérateur humain en charge d'un classement initial manuel des alertes, ledit apprentissage progressif comportant les phases suivantes : -une phase d'apprentissage initial dans laquelle ledit module de suppression de fausses alertes procède à un enregistrement de diagnostics de l'opérateur humain concernant un nombre déterminé d'alertes initiales et comprenant pour une alerte initiale donnée, une extraction de l'ensemble de mots composant ladite alerte initiale donnée, et une association à chaque mot dudit ensemble de mots, d'un compteur désignant le nombre cumulé d'occurrences dudit mot dans l'une des deux catégories, et

-une phase de validation dans laquelle ledit module de suppression de fausses alertes procède à la classification de nouvelles alertes en fonction dudit enregistrement de diagnostics et d'une supervision de l'opérateur humain qui confirme ou corrige les classifications de nouvelles alertes. Ainsi, le procédé selon l'invention facilite le travail de l'opérateur de sécurité en permettant au MSFA d'apprendre progressivement le travail de ce dernier pour lui proposer au bout de cet apprentissage, des diagnostics automatiques sur la nature des alertes sans aucune connaissance préalable. L'apprentissage progressif et supervisé du MSFA permet une prise en compte optimale des modifications pouvant être apportées par l'opérateur de sécurité tout en permettant de mesurer de manière simple la fréquence d'apparition des mots dans les catégories de fausses et vraies alertes.

Ces critères déterminés comportent une comparaison des probabilités d'appartenance des alertes à l'une et à l'autre des deux catégories.

Ainsi, une technique probabiliste de comparaison garantie un apprentissage efficace et mesurable.

Avantageusement, dans la phase de validation, les confirmations ou corrections des classifications de nouvelles alertes apportées par l'opérateur humain sont utilisées par le module de suppression de fausses alertes pour minimiser un taux de correction lui permettant d'augmenter la fiabilité de toute classification ultérieure de nouvelles alertes. Ainsi, le taux de correction permet de quantifier la fiabilité du classement des alertes et par conséquent d'améliorer toute classification ultérieure de nouvelles alertes.

Selon une autre particularité de l'invention, le procédé comporte une phase opérationnelle dans laquelle la classification des nouvelles alertes est effectuée de manière autonome si le taux de

correction de la classification des nouvelles alertes de la phase de validation devient inférieur à un nombre seuil déterminé.

Ainsi, le taux de correction fournit un filtrage fiable pour le passage vers une phase de classification autonome des nouvelles alertes. Selon encore une autre particularité de l'invention, dans la phase opérationnelle, les fausses alertes peuvent être supprimées ou stockées dans un moyen de stockage et seules les vraies alertes sont envoyées à une console de présentation des alertes (CPA).

Ainsi, le volume d'alertes devant être présenté à l'opérateur humain en charge de la sécurité est considérablement réduit.

La classification des alertes durant la phase de validation et la phase opérationnelle comporte, pour une nouvelle alerte donnée, les étapes suivantes :

-extraction de l'ensemble de mots composant ladite nouvelle alerte donnée,

-comparaison des probabilités d'appartenance de la nouvelle alerte donnée à l'une et à l'autre desdites catégories,

-classement de la nouvelle alerte donnée dans l'une des deux catégories selon le résultat de la comparaison de l'étape précédente, -incrémentation des compteurs selon la catégorie de la nouvelle alerte donnée, et

-transmission de la nouvelle alerte donnée ainsi classée à la console de présentation des alertes.

Ainsi, en utilisant l'ensemble de mots constituants les alertes et leurs compteurs associés selon les étapes ci-dessus, les alertes peuvent être classées avec une fiabilité continuellement croissante.

La comparaison des probabilités d'appartenance de la nouvelle alerte donnée à l'une et à l'autre desdites catégories comporte les étapes suivantes :

-calculer pour chaque mot de l'ensemble de mots de ladite nouvelle alerte, la probabilité que chaque mot soit présent dans des alertes appartenant à l'une ou à l'autre des catégories en déterminant le rapport entre le compteur désignant le nombre cumulé d'occurrences de chaque mot dans des alertes de l'une ou l'autre des catégories et le nombre total d'occurrences de mots dans l'une ou l'autre des catégories respectivement,

-calculer la probabilité de chaque catégorie en déterminant le rapport entre le nombre total d'occurrences de mots dans des alertes de chaque catégorie et le nombre total de mots,

-calculer le produit, sur l'ensemble des mots composant l'alerte, des probabilités que chaque mot respectif de l'alerte soit présent dans des alertes appartenant à chaque catégorie multiplié par la probabilité de chaque catégorie, et -comparer le résultat de l'étape précédente selon les deux catégories.

Ainsi, les étapes ci-dessus tirent profit des compteurs pour comparer les probabilités d'appartenance d'une alerte donnée à l'une et à l'autre des catégories avec un nombre optimal d'étapes de calcul, minimisant par conséquent le temps de calcul. Avantageusement, la correction par le module de suppression de fausses alertes, de la classification des nouvelles alertes durant la phase de validation comporte les étapes suivantes : -correction de la catégorie d'une nouvelle alerte précédemment classée par ledit module, s'il reçoit une notification de l'opérateur humain indiquant que ledit précédent classement de ladite nouvelle alerte est faux,

-décrémentation des compteurs désignant les nombres cumulés d'occurrences de mots dans la catégorie faussement classée, -incrémentation des compteurs désignant les nombres cumulés d'occurrences de mots dans la catégorie corrigée.

Ainsi, le réglage des compteurs est un moyen efficace et rapide pour améliorer l'apprentissage du MSFA.

L'invention vise aussi un module de suppression de fausses alertes comportant : -des moyens de traitement de données permettant de classer automatiquement les alertes suivant deux catégories constituées de fausses et vraies alertes selon des critères déterminés basés sur un apprentissage progressif à partir de l'expertise d'un opérateur humain en charge d'un classement initial manuel des alertes, et -des moyens mémoires permettant d'enregistrer, lors d'une phase d'apprentissage initial de l'apprentissage progressif, des diagnostics de l'opérateur humain concernant un nombre déterminé d'alertes initiales en permettant pour une alerte initiale donnée d'extraire l'ensemble de mots composant ladite alerte initiale donnée et en associant à chaque mot dudit ensemble de mots, un compteur désignant le nombre cumulé d'occurrences dudit mot dans l'une des deux catégories, les moyens de traitement de données permettant en outre de procéder à la classification de nouvelles alertes en fonction dudit enregistrement de diagnostics et d'une supervision de l'opérateur humain qui confirme ou corrige les classifications de nouvelles alertes.

Avantageusement, lors d'une phase opérationnelle, les moyens de traitement de données sont destinés en outre à classifier de manière autonome de nouvelles alertes si un taux de correction de la classification des nouvelles alertes de la phase de validation devient inférieur à un nombre seuil déterminé.

De préférence, le module comporte en outre un moyen de stockage permettant de stocker, lors de la phase opérationnelle, les fausses alertes de sorte que seules les vraies alertes sont envoyées à une console de présentation des alertes.

L'invention vise aussi un système d'informations surveillé comportant un réseau interne à surveiller, des sondes de détection d'intrusions, un système de gestion d'alertes, une console de présentation d'alertes, et un module de suppression de fausses alertes selon les caractéristiques ci-dessus.

Brève description des dessins

D'autres particularités et avantages de l'invention ressortiront à la lecture de la description faite, ci-après, à titre indicatif mais non limitatif, en référence aux dessins annexés, sur lesquels :

-la figure 1 est une vue très schématique d'un système d'informations surveillé comportant un module de suppression de fausses alertes selon l'invention ; et

-la figure 2 est un organigramme très schématique illustrant les étapes d'un procédé de suppression de fausses alertes parmi les alertes produites dans un système de sécurité d'informations, selon l'invention.

Description détaillée de modes de réalisation

La figure 1 illustre un exemple très schématique d'un réseau ou d'un système d'informations surveillé 1 comportant un système de sécurité d'informations 3, une console de présentation d'alertes « CPA » 5 et un réseau interne 7 à surveiller comprenant un ensemble d'entités, par exemple des stations de travail 7a, 7b, 7c, des serveurs 7d, des proxy web 7e etc. Le système de sécurité d'informations 3 comporte un ensemble

11 de sondes de détection d'intrusions « SDI » lia, 11b et lie destinées à émettre des alertes lorsque des attaques sont détectées, et un système de gestion d'alertes « SGA » 15 destiné à analyser les alertes émises par les sondes lia, 11b et lie et comprenant des modules de traitement d'alertes « MTA » 15a, 15b.

En outre, conformément à l'invention, le système de sécurité d'informations 3 comporte un module de suppression de fausses alertes

« MSFA » 17 connecté aux sondes de détection d'intrusions lia, 11b et lie, au système de gestion d'alertes 15, et à la console de présentation d'alertes 5, par l'intermédiaire d'un routeur 19 d'aiguillage.

En effet, le routeur 19 est connecté au MSFA 17 via des liaisons 18a et 18b, aux sondes de détection d'intrusions lia, 11b et lie via des liaisons 13a, 13b et 13c, au SGA 15 via des liaisons 16a et 16b, et à la CPA 5 via une liaison 6. Le module de suppression de fausses alertes 17 comporte des moyens de traitement 21 de données permettant de classer (c'est-à-dire marquer) automatiquement les alertes suivant deux catégories constituées de fausses et vraies alertes selon des critères déterminés basés sur un apprentissage progressif du MSFA 17 à partir de l'expertise d'un opérateur humain 23 en charge d'un classement initial manuel des alertes. Ces critères déterminés comportent une comparaison des probabilités d'appartenance des alertes à l'une et à l'autre des deux catégories. Ainsi, un programme informatique conçu pour mettre en œuvre un procédé de suppression de fausses alertes selon la présente invention peut être exécuté par les moyens de traitement 21 du MSFA 17.

Le MSFA 17 selon l'invention est adaptatif en ce sens qu'il intègre progressivement l'expertise de l'opérateur humain 23 en charge de la qualification initiale manuelle des fausses alertes et présente trois phases successives de fonctionnement (voir aussi figure 2). La première phase Pl est une phase d'apprentissage initial dans lequel le MSFA 17 ne marque pas les alertes, il se contente d'enregistrer les diagnostics de l'opérateur humain 23. En effet, le MSFA 17 comporte des moyens mémoires 25 permettant aux moyens de traitement 21 d'enregistrer des diagnostics de l'opérateur humain 23 concernant un nombre déterminé d'alertes initiales.

La deuxième phase P2 est une phase de validation dans laquelle les moyens de traitement 21 de données du MSFA 17 procèdent à la classification de nouvelles alertes en fonction de l'enregistrement de diagnostics et d'une supervision de l'opérateur humain 23 qui confirme ou corrige les classifications de nouvelles alertes. En effet, lorsque le nombre d'alertes ayant transité par le MSFA 17 a atteint un nombre suffisant, par exemple supérieur à un seuil fixé par l'opérateur humain 23, le MSFA 17 commence à marquer les alertes, qui lui sont présentées à travers la liaison 18a. Avantageusement, dans la phase de validation, les confirmations ou corrections des classifications de nouvelles alertes apportées par l'opérateur humain 23 sont utilisées par le module de suppression de fausses alertes 17 pour minimiser un taux de correction lui permettant d'augmenter la fiabilité de toute classification ultérieure de nouvelles alertes.

Ainsi, les première et deuxième phases d'apprentissage initial et de validation forment un apprentissage progressif du MSFA 17.

Par ailleurs, la troisième phase P3 est une phase opérationnelle dans laquelle la classification des nouvelles alertes est effectuée de manière autonome par les moyens de traitement 21 du MSFA 17 si le taux de correction de la classification des nouvelles alertes de la phase de validation devient inférieur à un nombre seuil déterminé. Ainsi, le MSFA 17 marque les alertes et envoie seulement les vraies alertes à la console de présentation des alertes CPA 5. Les fausses alertes sont soit directement supprimées, soit stockées dans les moyens mémoires 25 ou de préférence dans un moyen de stockage 27 annexe via une liaison 26. Le choix entre la suppression ou le stockage des fausses alertes peut être déterminé par l'opérateur humain 23.

Ainsi, le MSFA 17 est destiné à traiter les alertes provenant directement des SDI lia, 11b, lie via les liaisons 13a, 13b, 13c et 18a ou

éventuellement des autres MTA 15a, 15b via les liaisons 16b et 18a. Chaque alerte générée par un SDI lia, 11b, lie ou un MTA 15a, 15b est soumise au MSFA 17 pour analyse. Le MSFA 17 marque les alertes qu'il juge être de fausses alertes et les soumet (liaisons 18b, 16a) au SGA 15. L'alerte munie de son marquage est ensuite envoyée (liaisons 16b, 6) à la CPA 5 pour y être consultée par l'opérateur humain 23 de sécurité.

On notera que, au cours des deuxième et troisième phases, l'opérateur humain 23 peut toujours intervenir, par exemple via une liaison directe 8 avec le MSFA 17 pour réviser les diagnostics de ce dernier. En effet, en cas d'erreur de qualification d'une alerte par le MSFA 17, l'opérateur humain 23 a la possibilité de corriger le diagnostic du MSFA 17 a posteriori via la CPA 5. Cette correction est transmise (liaison 8) au MSFA 17, qui révise ainsi ses diagnostics ultérieurs en prenant en compte la correction apportée par l'opérateur humain 23. Ainsi, l'apprentissage du MSFA 17 est supervisé par l'opérateur humain 23 de sécurité qui apprend à ce dernier à classifier les alertes. De plus, cet apprentissage est progressif car au début, le MSFA 17 commet des erreurs de marquage et au fur et à mesure que l'opérateur humain 23 de sécurité confirme ou infirme les marquages, le diagnostic du MSFA 17 devient plus fiable. Finalement, lorsque le filtrage du MSFA 17 est suffisamment fiable, c'est à dire que son taux d'erreur de classification est tolérable, les alertes identifiées comme étant de fausses alertes (faux positifs) peuvent être soit directement supprimées, soit stockées dans le moyen de stockage 27 annexe de manière à ce que seules les vraies alertes (vrais positifs) soient présentées à l'opérateur humain 23. Le travail de l'opérateur humain 23 se trouve donc facilité car le volume d'alertes qui lui est présenté est très réduit.

Ainsi, le critère permettant de décider si une alerte est un vrai ou un faux positif est basé sur une comparaison des probabilités d'appartenance des alertes à l'une et à l'autre des deux catégories.

D'une manière générale, un « message d'alerte » a (ou plus simplement une alerte a ) peut être défini comme un ensemble de n mots m, e{ , n} , n étant un nombre entier qui peut varier d'une alerte à une autre : a = (m x ,...,m n ). Les mots d'une alerte désignent par exemple la nature d'une attaque contre le système d'informations 1, l'identité des victimes, l'identité présumée des attaquants, le type de faille exploitée, et la date.

Conformément à l'invention, étant donné une alerte a , le problème à résoudre Q consiste à déterminer si la probabilité que l'alerte a soit un faux positif est supérieure à la probabilité que l'alerte a soit un vrai positif. Si c'est le cas, alors l'alerte a est marquée comme « faux positif » sinon l'alerte a est inchangée (c'est-à-dire considérée comme « vrai positif »).

On désigne par P(vp \ m x ,...,m n ) la probabilité qu'une alerte a contenant les mots m ι ,...,m n soit un vrai positif vp et P{fp \ m x ,...,m n ) la probabilité qu'une alerte a contenant les mots m x ,...,m n soit un faux positif fp .

Le problème Q consiste donc à déterminer si

P{fp \ m ι ,...,m n )≤P(vp \ m x ,...,m n ) Cependant, d'après la définition des probabilités conditionnelles :

Par conséquent, le problème Q se réduit à déterminer si

P(fp,m x ,...,m n )≤ P{vp,m x ,...,m n ) . En outre, étant donné que P(fp \ m x ,...,m n ) = P(m x ,...,m n \ fp).P{fp) et

p(vp\ m ι ,...,m n )= P(m ι ,...,m n \ vp).P(vp) et en faisant l'hypothèse que les variables m, sont conditionnellement indépendantes entre elles, il s'ensuit :

P{fp,m x ,...,m n ) = P{m x \ fp). P(m n | ^).P(fp) et P(vp,m ] ,...,m n ) = P{m ι \ vp). P(m n | vp).P(vp) .

Les valeurs P(m, | C) représentent la probabilité qu'un mot m, soit présent dans une alerte qui appartient à la classe ou catégorie

Ce {vp,fp}.

Au cours de l'apprentissage du MSFA 17, les moyens de traitement 21 construisent des compteurs H c qui indiquent la fréquence des différents mots dans les deux catégories Ce {vp,fp}. En effet, le MSFA 17 construit une première table de hashage H fp qui associe à chaque mot M 1 la valeur H ^m 1 ) qui désigne le nombre cumulé d'occurrences du mot M 1 dans des alertes qui sont des faux positifs, ainsi qu'une seconde table de hashage H vp qui associe à chaque mot m, la valeur H^m 1 ) qui désigne le nombre cumulé d'occurrences du mot m, dans des alertes qui sont des vrais positifs. Dans la suite, la notation mots(H c ) désigne le domaine de définition de la table de hachage H c , c'est-à-dire l'ensemble des mots correspondant à la catégorie Ce {vp,fp}. Par conséquent, le nombre total d'occurrences de mots dans des vrais positifs est donné par la formule suivante :

N vp = ∑Hjm,).

De même, le nombre total d'occurrences de mots dans des faux positifs est donné par la formule suivante : N n , = ∑H fp (m,)

Par ailleurs, la probabilité qu'un mot m, soit présent dans une alerte qui appartient à la classe Ce {vp,fp} est donnée par la formule suivante :

Jy c En outre, la probabilité d'une classe C est donnée par la formule suivante :

Par conséquent, les deux dernières formules permettent de calculer les probabilités p(fp,m x ,...,m n ) et P(vp,m γ ,...,m n ) et ainsi de résoudre le problème Q ci-dessus.

La figure 2 est un organigramme très schématique illustrant les étapes du procédé de suppression de fausses alertes parmi les alertes produites dans un système de sécurité d'informations 3.

Les étapes El à E3 décrivent l'enregistrement dans les moyens mémoires 25 du MSFA 17 des diagnostics de l'opérateur humain 23 durant la phase d'apprentissage initial Pl.

A l'étape El, le MSFA 17 reçoit une alerte initiale donnée a' .

A l'étape E2, le MSFA 17 procède à l'extraction de l'ensemble de mots m\ composant cette alerte initiale donnée ; a'= (m\ ,...,m'J. A l'étape E3, le MSFA 17 associe à chaque mot m\ de l'ensemble de mots {m\ ,...,m' n }, un compteur H c (m\ ) désignant le nombre cumulé d'occurrences du mot m\ dans l'une des deux catégories

Ce {vp,fp}.

L'étape E4 est un test destiné à vérifier si le nombre d'alertes ayant transité par le MSFA 17 a atteint un nombre suffisant. Ainsi, lorsque le nombre d'alertes est inférieur à un nombre seuil fixé par exemple par l'opérateur humain 23, on reboucle à l'étape El.

En revanche, si le nombre d'alertes n'est pas inférieur au nombre seuil alors on passe aux étapes E5 à E14 décrivant la classification des alertes, par le MSFA 17 durant la phase de validation P2.

On notera que dans la phase d'apprentissage initiale Pl, aucun marquage n'est effectué par le MSFA 17.

L'étape E5 indique la réception par le MSFA 17 d'une nouvelle alerte donnée notée a .

A l'étape E6, le MSFA 17 procède à l'extraction de l'ensemble de mots m, composant cette nouvelle alerte donnée α = (m,,...,mj. A l'étape E7, les probabilités d'appartenance de la nouvelle alerte donnée a à l'une et à l'autre des catégories sont comparées :

P{fp \ m v ...,m n )≤ P{vp \ m { ,...,m n ) .

Cette comparaison peut comporter les sous étapes E71 à E74 suivantes : A l'étape E71, le MSFA 17 calcule pour chaque mot m, de l'ensemble de mots {m v ...,m n } de la nouvelle alerte a, la probabilité que chaque mot m, soit présent dans des alertes appartenant à l'une ou à l'autre des catégories C (Ce {vp,fp}) en déterminant le rapport entre le compteur H c (m, ) désignant le nombre cumulé d'occurrences de chaque mot m, dans des alertes de l'une ou l'autre des catégories C et le nombre total N c d'occurrences de mots dans l'une ou l'autre des catégories

respectivement, c'est-à-dire P(m \ c) = — c ^ m ' ' .

A l'étape E72, le MSFA 17 calcule la probabilité de chaque catégorie en déterminant le rapport entre le nombre total N c d'occurrences de mots dans des alertes de chaque catégorie C et le

nombre total de mots N vp + N fp , c'est-à-dire P(C)= — N(' N v + N *

A l'étape E73, le MSFA 17 calcule le produit, sur l'ensemble des mots {m x ,...,m n } composant la nouvelle alerte donnée a, des probabilités

P{m, I C) que chaque mot respectif de cette alerte soit présent dans des alertes appartenant à chaque catégorie multiplié par la probabilité de

chaque catégorie P{c), c'est-à-dire I JJP[M 1 | C)IP(C) .

A l'étape E74, le MSFA 17 compare le résultat de l'étape précédente selon les deux catégories, c'est-à-dire :

( Y[P[M 1 |#)Wp)<fπP(m, |vp)l.P(vp) .

A l'étape E8, la nouvelle alerte donnée a est classée par le MSFA 17 dans l'une des deux catégories selon le résultat de la comparaison de l'étape précédente E7.

A l'étape E9, le MSFA 17 incrémente les compteurs H c (m,) selon la catégorie Ce {vp,fp} de la nouvelle alerte donnée.

Ensuite, à l'étape ElO, le MSFA 17 transmet la nouvelle alerte donnée a ainsi classée (marquée) à la console de présentation des alertes

CPA 5.

Eventuellement, l'opérateur humain 23 interagit avec le MSFA

17 via la CPA 5 pour corriger un diagnostic erroné effectué par le MSFA

17. En effet, à l'étape EIl, si le MSFA 17 reçoit une notification de l'opérateur humain 23 indiquant que le précédent classement C de la nouvelle alerte a est faux, alors le MSFA 17 procède à la correction du diagnostic selon les étapes E12 à E14, sinon on passe directement à l'étape E15. A l'étape E12, le MSFA 17 corrige la catégorie de la nouvelle alerte a selon la notification de l'opérateur humain 23. Autrement dit, le

MSFA 17 marque la nouvelle alerte a par un classement C contraire au classement antérieure .

A l'étape E13, le MSFA 17 décrémente les compteurs H c (m,) désignant les nombres cumulés d'occurrences de mots dans la catégorie C faussement classée.

A l'étape E14, le MSFA 17 incrémente les compteurs H 1 Xm 1 ) désignant les nombres cumulés d'occurrences de mots dans la catégorie corrigée C .

L'étape E15 est un test destiné à vérifier si le taux d'erreur de classification est tolérable.

En effet, tant que le taux de correction de la classification des nouvelles alertes de la phase de validation P2 n'est pas inférieur à un nombre seuil déterminé, on reboucle à l'étape E5.

Sinon, on passe aux étapes E16 à E22 décrivant la classification des alertes, par le MSFA 17 durant la phase opérationnelle P3. Les étapes E16 à E21 sont similaires aux étapes E5 à ElO de la phase de validation P2.

En effet, à la réception d'une autre nouvelle alerte a à l'étape E16, le MSFA 17 procède à extraire à l'étape E17, l'ensemble de mots m, composant cette nouvelle alerte a = {m x ,...,m n ). L'étape E18, est une comparaison des probabilités d'appartenance de cette nouvelle alerte à l'une et à l'autre des catégories. L'étape E19 est le classement de la nouvelle alerte. L'étape E20, consiste à incrémenter les compteurs selon la catégorie de classement de la nouvelle alerte. A l'étape E21, le MSFA 17 transmet la nouvelle alerte ainsi classée à la CPA 5.

Finalement, à l'étape E22 les fausses alertes sont stockées dans le moyen de stockage 27. En variante à l'étape E22 les fausses alertes peuvent être supprimées.

Ainsi, le MSFA 17 selon l'invention, évalue la probabilité qu'une alerte soit un faux positif en fonction des mots qui la composent. Le MSFA 17 marque les alertes qu'il juge être des faux positifs et transmet l'alerte munie de son marquage à l'opérateur humain 23 de sécurité. Ce dernier a la possibilité de modifier le diagnostic effectué par le MSFA 17 si celui-ci est erroné via la console de présentation des alertes CPA 5. Dans ce dernier cas, la modification est prise en compte par le MSFA 17 pour réviser ses diagnostics ultérieurs.

De cette manière, la fiabilité du MSFA 17 dans le traitement des alertes va croissant à mesure que l'opérateur humain 23 corrige ses diagnostics.