(12) Translation of european patent specification (11) NO/EP 2737683 B1 (19) NO NORWAY (1) Int Cl. H04L 29/06 (06.01) Norwegian Industrial Property Office (21) Translation Published 16.07.11 (80) Date of The European Patent Office Publication of the Granted Patent 16.03.02 (86) European Application Nr. 127087.0 (86) European Filing Date 12.07.26 (87) The European Application s Publication Date 14.06.04 () Priority 11.07.26, NL, 07180 11.07.26, US, 11611168 P (84) Designated Contracting States: AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR (73) Proprietor SECURITY MATTERS B.V., 93, Mirastraat, 721 ZH Enschede, NL-Nederland (72) Inventor ZAMBON, Emmanuele, 37 Eikstraat, NL-74 JA Enschede, NL-Nederland (74) Agent or Attorney Bryn Aarflot AS, Postboks 449 Sentrum, 04 OSLO, Norge (4) Title METHOD AND SYSTEM FOR CLASSIFYING A PROTOCOL MESSAGE IN A DATA COMMUNICATION NETWORK (6) References Cited: WO-A2-0/047862 US-A1-07 239 999 US-A1-11 167 493 GARCIA-TEODORO P ET AL: "Anomaly-based network intrusion detection: Techniques, systems and challenges", COMPUTERS & SECURITY, ELSEVIER SCIENCE PUBLISHERS. AMSTERDAM, NL, vol. 28, no. 1-2, 1 February 09 (09-02-01), pages 18-28, XP02839371, ISSN: 0167-4048, DOI:.16/J.COSE.08.08.003 [retrieved on 08-08-27] IGOR NAI FOVINO ET AL: "Modbus/DNP3 State-Based Intrusion Detection System", ADVANCED INFORMATION NETWORKING AND APPLICATIONS (AINA), 24TH IEEE INTERNATIONAL CONFERENCE ON, IEEE, PISCATAWAY, NJ, USA, April (-04- ), pages 729-736, XP03168296, ISBN: 978-1-4244-669- CARCANO A ET AL: "A Multidimensional Critical State Analysis for Detecting Intrusions in SCADA Systems", IEEE TRANSACTIONS ON INDUSTRIAL INFORMATICS, IEEE SERVICE CENTER, NEW YORK, NY, US, vol. 7, no. 2, 1 May 11 (11-0-01), pages 179-186, XP011321687, ISSN: 11-33, DOI:.19/TII..99234
Enclosed is a translation of the patent claims in Norwegian. Please note that as per the Norwegian Patents Acts, section 66i the patent will receive protection in Norway only as far as there is agreement between the translation and the language of the application/patent granted at the EPO. In matters concerning the validity of the patent, language of the application/patent granted at the EPO will be used as the basis for the decision. The patent documents published by the EPO are available through Espacenet (http://worldwide.espacenet.com) or via the search engine on our website here: https://search.patentstyret.no/ NO/EP2737683
NO/EP2737683 1 PATENTKRAV 1. Inntrengningsdeteksjonsmetode for å detektere en inntrengning i datatrafikken på et datakommunikasjonsnettverk, fremgangsmåten omfatter: - parsing (b1) av datatrafikken for å ekstrahere i det minste ett protokollfelt til en protokollmelding i datatrafikken; - å assosiere (b2) det ekstraherte protokollfeltet med en respektiv modell for protokollfeltet, modellen er valgt fra et sett av modeller; - å vurdere (b3) dersom et innhold i det ekstraherte protokollfeltet er i et sikkert område som definert av modellen; og - å generere (b4) et inntrengningsdeteksjonssignal i tilfelle det er fastslått at innholdet i det utpakkede protokollfeltet er utenfor det trygge området, hvor en flerhet av modelltyper er gitt, karakterisert ved at en modelltype for det ekstraherte protokollfeltet er valgt fra flerheten av modelltyper på basis av en 1 karakteristikk av det ekstraherte protokollfeltet, og i det at modellen for det ekstraherte protokollfeltet er bygget på basis av den valgte modelltypen. 2. Inntrengningsdeteksjonsmetode ifølge krav 1, hvor settet av modellene omfatter en modell for et operatørprotokollfelt og en modell for et argument-protokollfelt, assosiering og vurdering blir utført for operatørprotokollfeltet og argumentetprotokollfeltet. 3. Inntrengningsdeteksjonsmetode ifølge krav 2, hvor settet av modellene videre omfatter en modell for et oppstillingsprotokollfelt, assosiering og vurdering utføres 2 videre for oppstillingsprotokollfeltet. 4. Inntrengningsdeteksjonsmetode ifølge hvilket som helst av de foregående krav, hvor karakteristikken for protokollfeltet omfatter en datatype av protokoll- feltet, hvor fremgangsmåten omfatter: - å bestemme en datatype for det utpakkede protokollfeltet, og - å velge modelltypen som bruker den bestemte datatypen.
2. Inntrengningsdeteksjonsmetode ifølge hvilket som helst av de foregående krav, hvor karakteristikken for protokollfeltet omfatter en semantikk av protokollfeltet, hvor fremgangsmåten omfatter: - å bestemmelse en semantikk av den ekstraherte protokollen felt, og - å velge modelltypen som bruker den bestemte semantikk. 6. Inntrengningsdeteksjonsmetode ifølge hvilket som helst av de foregående krav, hvor settet av modellene omfatter en respektiv modell for hvert protokollfelt av settet av protokollfelt. 7. Inntrengningsdeteksjonsmetode ifølge hvilket som helst av de foregående krav, hvor modellen for feltet bestemmes i en læringsfase, læringsfasen omfatter: - parsing av datatrafikken for å ekstrahere i det minste ett protokollfelt i protokollen som er anvendt i datatrafikken; 1 - å assosiere det ekstrahert protokollfeltet med modellen for dette protokollfeltet, modellen er valgt fra settet av modeller, og - å oppdatere modellen for det utpakkede protokollfeltet ved å bruke et innhold av det utpakkede protokollfeltet. 8. Inntrengningsdeteksjonsmetode ifølge krav 7, hvor, dersom ingen assosiering kan foretas mellom det ekstraherte protokollfeltet og en av modellene, - å skape en ny modell for det ekstraherte protokollfeltet og legge den nye modellen til settet av modellene. 2 9. Inntrengningsdeteksjonsmetode ifølge hvilket som helst av de foregående krav, hvor inntrengningsdeteksjonssignalet ytterligere genereres - når parsing ikke kan etablere at feltet er i samsvar med protokollen, eller - når det utpakkede feltet ikke kan være assosiert med noen av modellene i settet av modeller.. Inntrengningsdeteksjonsmetode ifølge hvilket som helst av de foregående krav, hvor protokollen er minst én av en applikasjonslagsprotokoll, en sesjonslagprotokoll, en transportlagsprotokoll eller et lavere-nivå-protokollstakk-protokoll.
3 11. Inntrengningsdeteksjonsmetode ifølge hvilket som helst av de foregående krav, hvor modellen for protokollfeltet omfatter minst én av - et sett av akseptable protokollfeltverdier, - en numerisk fordeling av protokollfeltverdier; - en definisjon av et område av akseptable protokollfeltverdier; - en definisjon av akseptable bokstaver, tall, symboler og skrift; og; - et sett av forhåndsdefinerte inntrengingssignaturer. 12. Inntrengningsdeteksjonsmetode ifølge hvilket som helst av de foregående krav, hvor settet av modellene omfatter to modeller for ett protokollfelt, en spesifikk én av de to modellene blir assosiert med det ene protokollfeltet basert på verdien av et annet protokollfelt. 1 13. Inntrengningsdeteksjonssystem for å detektere en inntrengning i datatrafikk på et datakommunikasjonsnettverk, der systemet omfatter: - en parser (21) for analysering av datatrafikken for å ekstrahere i det minste ett protokollfelt til en protokollmelding i datatrafikken; - en anordning (23) for å assosiere det ekstraherte protokollfeltet med en respektiv modell for dette protokollfeltet, modellen er valgt fra et sett av modeller; - en modell håndterer (24) for å vurdere om et innhold av det ekstraherte protokollfeltet er i et sikkert område som definert av modellen; og 2 - en aktivator (22) for å generere et inntrengningsdeteksjonssignal i tilfelle det er fastslått at innholdet av det ekstraherte protokollfeltet er utenfor det sikre området, hvor en flerhet av modelltyper er gitt, karakterisert ved at systemet er innrettet for å velge en modelltype for det utpakkede protokollfeltet fra flerheten av modelltyper på basis av en karakteristikk av det ekstraherte protokollfeltet, og for å bygge modellen for det ekstraherte protokollfeltet på basis av den valgte modelltypen. 14. Inntrengningsdeteksjonssystem ifølge krav 13, hvor settet av modeller består av en modell for et operatørprotokollfelt og en modell for et argument-protokollfelt, idet
4 anordningen er anordnet for å utføre assosiering og vurdering av operatørprotokollfeltet og argument-protokollfeltet. 1. Inntrengningsdeteksjonssystem ifølge krav 14, hvor settet av modellene omfatter videre en modell for et oppstillingsprotokollfelt, anordningen er dessuten innrettet for å utføre assosiering og vurdering av oppstillingsprotokollfeltet. 16. Inntrengningsdeteksjonssystem ifølge hvilket som helst av kravene 13-1, hvor karakteristikken til protokollfeltet omfatter en datatype til protokollfeltet, systemet er innrettet for: - bestemmelse av en datatype for det utpakkede protokollfeltet, og - valg av modelltype som bruker den bestemte datatypen. 1 17. Inntrengningsdeteksjonssystem ifølge hvilket som helst av kravene 13-16, hvor karakteristikken til protokollfeltet omfatter en semantikk av protokollfeltet, systemet er innrettet for: - bestemmelse av en semantikk av det ekstraherte protokollfeltet, og - valg av modelltype som bruker den bestemte semantikk. 18. Inntrengningsdeteksjonssystem ifølge hvilket som helst av kravene 13-17, hvor settet av modellene omfatter en respektiv modell for hvert protokollfelt av et sett av protokollfelt. 2 19. Inntrengningsdeteksjonssystem ifølge hvilket som helst av kravene 13-18, videre innrettet for å kunne opereres i en læringsfase, læringsfasen er for læring av i det minste én av modellene, idet modellbehandleren er innrettet for å oppdatere i læringsfasen modellen for det ekstraherte protokollfeltet med et innhold fra det utpakkede protokollfeltet.. Inntrengningsdeteksjonssystem ifølge krav 19, hvor anordningen videre er innrettet for i læringsfasen, dersom ingen assosiering kan foretas mellom det ekstraherte protokollfeltet og en av modellene, å skape en ny modell for det ekstraherte protokollfeltet og å legge den nye modellen til settet av modellene. 3 21. Inntrengningsdeteksjonssystem ifølge hvilket som helst av kravene 13 -, hvor aktivatoren videre er anordnet for å generere inntrengningsdeteksjonssignalet
- som svar på en indikasjon fra parser at parser ikke kan etablere om feltet er i samsvar med protokollen, eller - som svar på en indikasjon fra anordningen om at det ekstraherte feltet ikke kan være assosiert med noen av modellene i settet av modellene. 22. Inntrengningsdeteksjonssystem ifølge hvilket som helst av kravene 13-21, hvor protokollen er minst én av en applikasjonslagprotokoll, en sesjonslagsprotokoll, en transportlagsprotokoll eller en lavere-nivå protokollstakk protokoll. 23. Inntrengningsdeteksjonssystem ifølge hvilket som helst av kravene 13-22, hvor modellen for protokollfeltet omfatter minst én av - et sett av akseptable protokollfeltverdier, - en numerisk fordeling av protokollfeltverdier; - en definisjon av et område for akseptable protokollfeltverdier; 1 - en definisjon av akseptable bokstaver, tall, symboler og skrift; og - et sett av forhåndsdefinerte inntrengingssignaturer. 24. Inntrengningsdeteksjonssystem ifølge hvilket som helst av kravene 13-23, hvor settet av modellene omfatter to modeller for ett protokollfelt, idet anordningen er anordnet for å assosiere en spesifikk én av de to modellene med en protokollfeltet basert på verdien av et annet protokollfelt.