SYSTEMS AND METHODS FOR CORRELATING AND DISTRIBUTING INTRUSION ALERT INFORMATION AMONG COLLABORATING COMPUTER SYSTEMS

Systems and methods for correlating and distributing intrusion alert information among collaborating computer systems are provided. These systems and methods provide an alert correlator and an alert distributor that enable early signs of an attack to be detected and rapidly disseminated to collaborating systems. The alert correlator utilizes data structures to correlate alert detections and provide a mechanism through which threat information can be revealed to other collaborating systems. The alert distributor uses an efficient technique to group collaborating systems and then pass data between certain members of those groups according to a schedule. In this way data can be routinely distributed without generating excess traffic loads. Systèmes et méthodes pour mettre en corrélation et distribuer l'information d'alerte en cas d'intrusion parmi des réseaux informatiques collaborateurs. Ces systèmes et méthodes proposent un corrélateur d'alerte et un distributeur d'alerte qui permet de détecter et de disséminer rapidement vers les systèmes collaborateurs les signes hâtifs d'une attaque. Le corrélateur d'alerte utilise des structures de données pour mettre en corrélation les détections d'alerte et fournit un mécanisme par lequel l'information de menace peut être révélée à d'autres systèmes collaborateurs. Le distributeur d'alerte utilise une technique efficace pour regrouper les systèmes collaborateurs, puis fait passer les données entre certains membres de ces groupes selon un horaire. Ainsi, les données peuvent être distribuées automatiquement sans générer de volumes de trafic excédentaire.