論文の概要: threaTrace: Detecting and Tracing Host-based Threats in Node Level
Through Provenance Graph Learning
- arxiv url: http://arxiv.org/abs/2111.04333v1
- Date: Mon, 8 Nov 2021 08:48:26 GMT
- ステータス: 処理完了
- システム内更新日: 2021-11-09 23:15:45.935833
- Title: threaTrace: Detecting and Tracing Host-based Threats in Node Level
Through Provenance Graph Learning
- Title(参考訳): threaTrace: Provenance Graph Learningによるノードレベルのホストベースの脅威の検出と追跡
- Authors: Su Wang, Zhiliang Wang, Tao Zhou, Xia Yin, Dongqi Han, Han Zhang,
Hongbin Sun, Xingang Shi, Jiahai Yang
- Abstract要約: 近年の研究では、ホスト内の脅威を検出するために、データ証明におけるリッチなコンテキスト情報を活用する方法が提案されている。
本稿では,攻撃パターンを事前に知ることなく,システムエンティティレベルでホストベースの脅威を検出する異常検出装置であるthreaTraceを提案する。
- 参考スコア(独自算出の注目度): 29.48927285179188
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Host-based threats such as Program Attack, Malware Implantation, and Advanced
Persistent Threats (APT), are commonly adopted by modern attackers. Recent
studies propose leveraging the rich contextual information in data provenance
to detect threats in a host. Data provenance is a directed acyclic graph
constructed from system audit data. Nodes in a provenance graph represent
system entities (e.g., $processes$ and $files$) and edges represent system
calls in the direction of information flow. However, previous studies, which
extract features of the whole provenance graph, are not sensitive to the small
number of threat-related entities and thus result in low performance when
hunting stealthy threats.
We present threaTrace, an anomaly-based detector that detects host-based
threats at system entity level without prior knowledge of attack patterns. We
tailor GraphSAGE, an inductive graph neural network, to learn every benign
entity's role in a provenance graph. threaTrace is a real-time system, which is
scalable of monitoring a long-term running host and capable of detecting
host-based intrusion in their early phase. We evaluate threaTrace on three
public datasets. The results show that threaTrace outperforms three
state-of-the-art host intrusion detection systems.
- Abstract(参考訳): Program Attack、Malware implantation、Advanced Persistent Threats (APT)といったホストベースの脅威は、現代の攻撃者によって一般的に採用されている。
最近の研究は、ホスト内の脅威を検出するためにデータプロヴァンスにおける豊かな文脈情報を活用することを提案する。
データ証明は、システム監査データから構築された非循環グラフである。
証明グラフのノードはシステムエンティティ($processes$や$files$など)を表し、エッジは情報フローの方向のシステムコールを表す。
しかし、前者グラフの特徴を抽出する以前の研究では、少数の脅威関連物質に敏感ではないため、ステルスな脅威を狩る際には性能が低下する。
本稿では,攻撃パターンを事前に知ることなく,システムエンティティレベルでホストベースの脅威を検出する異常検出装置であるthreaTraceを提案する。
インダクティブグラフニューラルネットワークであるGraphSAGEをカスタマイズして、前駆グラフにおけるすべての良性エンティティの役割を学習します。
threaTraceはリアルタイムシステムで、長期実行中のホストを監視でき、初期の段階でホストベースの侵入を検出することができる。
3つの公開データセットからthreaTraceを評価する。
その結果、threatraceは3つの最先端のホスト侵入検出システムを上回ることがわかった。
関連論文リスト
- Multitask Active Learning for Graph Anomaly Detection [48.690169078479116]
MultItask acTIve Graph Anomaly Detection framework,すなわちMITIGATEを提案する。
ノード分類タスクを結合することにより、MITIGATEは既知の異常を伴わずに配布外ノードを検出する能力を得る。
4つのデータセットに関する実証的研究は、MITIGATEが異常検出のための最先端の手法を著しく上回っていることを示している。
論文 参考訳(メタデータ) (2024-01-24T03:43:45Z) - Few-shot Message-Enhanced Contrastive Learning for Graph Anomaly
Detection [15.757864894708364]
グラフ異常検出は、多数派から大きく逸脱するグラフデータの例外的なインスタンスを特定する上で重要な役割を果たす。
我々はFMGADと呼ばれる新しい数ショットグラフ異常検出モデルを提案する。
FMGADは, 人工的に注入された異常やドメイン・有機異常によらず, 他の最先端手法よりも優れた性能が得られることを示す。
論文 参考訳(メタデータ) (2023-11-17T07:49:20Z) - Effective In-vehicle Intrusion Detection via Multi-view Statistical
Graph Learning on CAN Messages [9.04771951523525]
車両内ネットワーク(IVN)は、様々な複雑な外部サイバー攻撃に直面している。
現在の主流侵入検知機構では、粗粒度しか認識できない。
本稿では,多視点統計グラフ学習の効果的な侵入検出法であるStatGraphを提案する。
論文 参考訳(メタデータ) (2023-11-13T03:49:55Z) - Prov2vec: Learning Provenance Graph Representation for Unsupervised APT Detection [2.07180164747172]
できるだけ早く、先進的永続的脅威を検出する必要がある。
本稿では,攻撃者の行動を検出するエンタープライズホストの行動を継続的に監視するシステムであるProv2Vecを提案する。
論文 参考訳(メタデータ) (2023-10-02T01:38:13Z) - Kairos: Practical Intrusion Detection and Investigation using
Whole-system Provenance [4.101641763092759]
警告グラフは、システムの実行履歴を記述した構造化監査ログである。
証明に基づく侵入検知システム(PIDS)の開発を促進する4つの共通次元を同定する。
4次元のデシラタを同時に満足させる最初のPIDSであるKAIROSについて述べる。
論文 参考訳(メタデータ) (2023-08-09T16:04:55Z) - Model Inversion Attacks against Graph Neural Networks [65.35955643325038]
グラフニューラルネットワーク(GNN)に対するモデル反転攻撃について検討する。
本稿では,プライベートトレーニンググラフデータを推測するためにGraphMIを提案する。
実験の結果,このような防御効果は十分ではないことが示され,プライバシー攻撃に対するより高度な防御が求められている。
論文 参考訳(メタデータ) (2022-09-16T09:13:43Z) - Deep Fraud Detection on Non-attributed Graph [61.636677596161235]
グラフニューラルネットワーク(GNN)は不正検出に強い性能を示している。
ラベル付きデータは大規模な産業問題、特に不正検出には不十分である。
よりラベルのないデータを活用するための新しいグラフ事前学習戦略を提案する。
論文 参考訳(メタデータ) (2021-10-04T03:42:09Z) - NF-GNN: Network Flow Graph Neural Networks for Malware Detection and
Classification [11.624780336645006]
悪意あるソフトウェア(マルウェア)は、通信システムのセキュリティに対する脅威を増大させる。
監視および監視されていない設定でマルウェアの検出と分類をサポートする3つのベースモデルを紹介します。
4つの異なる予測タスクに関する実験は、一貫してこのアプローチの利点を実証し、グラフニューラルネットワークモデルが検出性能を大幅に向上させることができることを示した。
論文 参考訳(メタデータ) (2021-03-05T20:54:38Z) - No Need to Know Physics: Resilience of Process-based Model-free Anomaly
Detection for Industrial Control Systems [95.54151664013011]
本稿では,システムの物理的特性に反する逆スプーフ信号を生成するための新しい枠組みを提案する。
トップセキュリティカンファレンスで公表された4つの異常検知器を分析した。
論文 参考訳(メタデータ) (2020-12-07T11:02:44Z) - Graph Backdoor [53.70971502299977]
GTAはグラフニューラルネットワーク(GNN)に対する最初のバックドア攻撃である。
GTAは、トポロジカル構造と記述的特徴の両方を含む特定の部分グラフとしてトリガーを定義する。
トランスダクティブ(ノード分類など)とインダクティブ(グラフ分類など)の両方のタスクに対してインスタンス化することができる。
論文 参考訳(メタデータ) (2020-06-21T19:45:30Z) - Structural Temporal Graph Neural Networks for Anomaly Detection in
Dynamic Graphs [54.13919050090926]
本稿では,動的グラフの異常エッジを検出するために,エンドツーエンドの時間構造グラフニューラルネットワークモデルを提案する。
特に,まずターゲットエッジを中心にした$h$ホップ囲むサブグラフを抽出し,各ノードの役割を識別するノードラベル機能を提案する。
抽出した特徴に基づき,GRU(Gated Recurrent Unit)を用いて,異常検出のための時間的情報を取得する。
論文 参考訳(メタデータ) (2020-05-15T09:17:08Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。