論文の概要: Kellect: a Kernel-Based Efficient and Lossless Event Log Collector for Windows Security

• arxiv url: http://arxiv.org/abs/2207.11530v2
• Date: Sun, 1 Oct 2023 19:03:41 GMT
• ステータス: 処理完了
• システム内更新日: 2023-10-24 15:18:49.070403
• Title: Kellect: a Kernel-Based Efficient and Lossless Event Log Collector for Windows Security
• Title（参考訳）: Kellect: Windowsセキュリティのためのカーネルベースの効率的でロスレスなイベントログコレクタ
• Authors: Tieming Chen, Qijie Song, Xuebo Qiu, Tiantian Zhu, Zhiling Zhu, Mingqi Lv
• Abstract要約: ETW for Windows上に構築されている既存のログ収集ツールは、データ損失、オーバーヘッドの増大、リアルタイムのパフォーマンスの低下など、作業不足に悩まされている。 本稿では, www.kellect.orgでオープンソースプロジェクトをオープンソース化したKellectという,効率的でロスレスなカーネルログコレクタを提案する。
• 参考スコア（独自算出の注目度）: 5.043058252123722
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Recently, APT attacks have frequently happened, which are increasingly complicated and more challenging for traditional security detection models. The system logs are vital for cyber security analysis mainly due to their effective reconstruction ability of system behavior. existing log collection tools built on ETW for Windows suffer from working shortages, including data loss, high overhead, and weak real-time performance. Therefore, It is still very difficult to apply ETW-based Windows tools to analyze APT attack scenarios. To address these challenges, this paper proposes an efficient and lossless kernel log collector called Kellect, which has open sourced with project at www.kellect.org. It takes extra CPU usage with only 2%-3% and about 40MB memory consumption, by dynamically optimizing the number of cache and processing threads through a multi-level cache solution. By replacing the TDH library with a sliding pointer, Kellect enhances analysis performance, achieving at least 9 times the efficiency of existing tools. Furthermore, Kellect improves compatibility with different OS versions. Additionally, Kellect enhances log semantics understanding by maintaining event mappings and application callstacks which provide more comprehensive characteristics for security behavior analysis. With plenty of experiments, Kellect demonstrates its capability to achieve non-destructive, real-time and full collection of kernel log data generated from events with a comprehensive efficiency of 9 times greater than existing tools. As a killer illustration to show how Kellect can work for APT, full data logs have been collected as a dataset Kellect4APT, generated by implementing TTPs from the latest ATT&CK. To our knowledge, it is the first open benchmark dataset representing ATT&CK technique-specific behaviors, which could be highly expected to improve more extensive research on APT study.
• Abstract（参考訳）: 近年、APT攻撃が頻繁に発生し、従来のセキュリティ検出モデルではますます複雑で困難になっている。 システムログは,システム動作の効果的な再構築能力のために,サイバーセキュリティ解析に不可欠である。 ETW for Windows上に構築されている既存のログ収集ツールは、データ損失、高いオーバーヘッド、低リアルタイムパフォーマンスなど、作業不足に悩まされている。 したがって、ETWベースのWindowsツールをAPT攻撃シナリオの分析に適用することは依然として困難である。 これらの課題に対処するため、本論文はkellectと呼ばれる効率的でロスレスなカーネルログコレクタを提案する。 マルチレベルキャッシュソリューションを通じてキャッシュ数と処理スレッド数を動的に最適化することで、cpu使用量を2%-3%と約40mbに抑えることができる。 TDHライブラリをスライディングポインタに置き換えることで、Kellectは解析性能を高め、既存のツールの少なくとも9倍の効率を達成する。 さらに、Kellectは異なるOSバージョンとの互換性を改善している。 さらに、Kellectは、イベントマッピングとアプリケーションコールスタックを維持することで、ログセマンティクスの理解を強化し、セキュリティ行動分析のより包括的な特性を提供する。 多くの実験でkellectは、既存のツールの9倍の総合的な効率で、イベントから生成されたカーネルログデータの非破壊的、リアルタイム、完全なコレクションを実現する能力を示している。 KellectがAPTでどのように動作するかを示すキラーイラストとして、最新のATT&CKのTPを実装したデータセットとして、完全なデータログが収集された。 我々の知る限り、ATT&CK技術固有の振る舞いを表す最初のオープンベンチマークデータセットであり、APT研究のより広範な研究を改善することが期待できる。

関連論文リスト

• PARIS: A Practical, Adaptive Trace-Fetching and Real-Time Malicious Behavior Detection System [6.068607290592521]
  本稿では,適応的トレースフェッチ,軽量かつリアルタイムな悪意ある行動検出システムを提案する。 具体的には、Event Tracing for Windows (ETW)で悪意ある振る舞いを監視し、悪意のあるAPIやコールスタックを選択的に収集することを学ぶ。 その結果、より広い範囲のAPIを監視し、より複雑な攻撃行動を検出することができる。
  論文  参考訳（メタデータ） (2024-11-02T14:52:04Z)
• CICAPT-IIOT: A provenance-based APT attack dataset for IIoT environment [1.841560106836332]
  産業用モノのインターネット(Industrial Internet of Things, IIoT)は、スマートセンサー、高度な分析、産業プロセス内の堅牢な接続を統合する、変革的なパラダイムである。 Advanced Persistent Threats (APTs) は、そのステルス性、長く、標的とする性質のために特に重大な懸念を抱いている。 CICAPT-IIoTデータセットは、全体的なサイバーセキュリティ対策を開発するための基盤を提供する。
  論文  参考訳（メタデータ） (2024-07-15T23:08:34Z)
• Efficient Architecture Search via Bi-level Data Pruning [70.29970746807882]
  この研究は、DARTSの双方向最適化におけるデータセット特性の重要な役割を探求する先駆者となった。 我々は、スーパーネット予測力学を計量として活用する新しいプログレッシブデータプルーニング戦略を導入する。 NAS-Bench-201サーチスペース、DARTSサーチスペース、MobileNetのようなサーチスペースに関する総合的な評価は、BDPがサーチコストを50%以上削減することを検証する。
  論文  参考訳（メタデータ） (2023-12-21T02:48:44Z)
• LogShield: A Transformer-based APT Detection System Leveraging Self-Attention [2.1256044139613772]
  本稿では,変圧器における自己注意力を利用したAPT攻撃パターンの検出を目的としたフレームワークであるLogShieldを提案する。 カスタマイズした埋め込みレイヤを組み込んで、前兆グラフから派生したイベントシーケンスのコンテキストを効果的にキャプチャします。 LSTMモデルではF1スコアが96%,94%を上回っ,F1スコアが98%,95%であった。
  論文  参考訳（メタデータ） (2023-11-09T20:43:15Z)
• ETAD: A Unified Framework for Efficient Temporal Action Detection [70.21104995731085]
  時間的行動検出(TAD)のようなトリミングされていないビデオ理解は、しばしば計算資源に対する膨大な需要の苦痛に悩まされる。 我々は、効率的なエンド・ツー・エンドの時間的行動検出(ETAD)のための統合されたフレームワークを構築している。 ETADはTHUMOS-14とActivityNet-1.3の両方で最先端のパフォーマンスを実現している。
  論文  参考訳（メタデータ） (2022-05-14T21:16:21Z)
• ARLIF-IDS -- Attention augmented Real-Time Isolation Forest Intrusion Detection System [0.0]
  Internet of ThingsとSoftware Defined Networkingは、DDoS攻撃の早期検出に軽量戦略を活用する。 低数の機能に基づいて、迅速かつ効果的なセキュリティ識別モデルを持つことが不可欠である。 本研究は,新規なアテンションベース森林侵入検知システムを提案する。
  論文  参考訳（メタデータ） (2022-04-20T18:40:23Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• LogLAB: Attention-Based Labeling of Log Data Anomalies via Weak Supervision [63.08516384181491]
  専門家の手作業を必要とせず,ログメッセージの自動ラベル付けのための新しいモデリング手法であるLogLABを提案する。 本手法は,監視システムが提供する推定故障時間ウィンドウを用いて,正確なラベル付きデータセットを振り返りに生成する。 我々の評価によると、LogLABは3つの異なるデータセットで9つのベンチマークアプローチを一貫して上回り、大規模な障害時ウィンドウでも0.98以上のF1スコアを維持している。
  論文  参考訳（メタデータ） (2021-11-02T15:16:08Z)
• Robust and Transferable Anomaly Detection in Log Data using Pre-Trained Language Models [59.04636530383049]
  クラウドのような大規模コンピュータシステムにおける異常や障害は、多くのユーザに影響を与える。 システム情報の主要なトラブルシューティングソースとして,ログデータの異常検出のためのフレームワークを提案する。
  論文  参考訳（メタデータ） (2021-02-23T09:17:05Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)
• Detecting the Insider Threat with Long Short Term Memory (LSTM) Neural Networks [0.799536002595393]
  本研究では,ディープラーニング,特にLong Short Term Memory(LSTM)リカレントネットワークを用いて,インサイダー脅威の検出を可能にする。 我々は、LSTMが検索空間を減らし、セキュリティアナリストの仕事をより効果的にするために、データのシーケンシャルな性質をどのように利用するか、非常に大規模で匿名化されたデータセットを通して示す。
  論文  参考訳（メタデータ） (2020-07-20T23:29:01Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。