論文の概要: Zebra: Deeply Integrating System-Level Provenance Search and Tracking
for Efficient Attack Investigation
- arxiv url: http://arxiv.org/abs/2211.05403v1
- Date: Thu, 10 Nov 2022 08:13:19 GMT
- ステータス: 処理完了
- システム内更新日: 2022-11-11 15:48:54.090670
- Title: Zebra: Deeply Integrating System-Level Provenance Search and Tracking
for Efficient Attack Investigation
- Title(参考訳): Zebra: 効果的な攻撃調査のためのシステムレベルプロヴァンス検索と追跡を深く統合する
- Authors: Xinyu Yang, Haoyuan Liu, Ziyu Wang, Peng Gao
- Abstract要約: 本稿では,攻撃パターン探索と因果依存性追跡を統合し,効果的な攻撃調査を行うシステムZebraを提案する。
Zebraは,(1)多種多様な検索・追跡分析を行うための表現的かつ簡潔なドメイン固有言語Tstl,(2)大量の監査データを効率的に実行するための最適化された言語実行エンジンを提供する。
- 参考スコア(独自算出の注目度): 17.51791844411799
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: System auditing has emerged as a key approach for monitoring system call
events and investigating sophisticated attacks. Based on the collected audit
logs, research has proposed to search for attack patterns or track the causal
dependencies of system events to reveal the attack sequence. However, existing
approaches either cannot reveal long-range attack sequences or suffer from the
dependency explosion problem due to a lack of focus on attack-relevant parts,
and thus are insufficient for investigating complex attacks.
To bridge the gap, we propose Zebra, a system that synergistically integrates
attack pattern search and causal dependency tracking for efficient attack
investigation. With Zebra, security analysts can alternate between search and
tracking to reveal the entire attack sequence in a progressive, user-guided
manner, while mitigating the dependency explosion problem by prioritizing the
attack-relevant parts. To enable this, Zebra provides (1) an expressive and
concise domain-specific language, Tstl, for performing various types of search
and tracking analyses, and (2) an optimized language execution engine for
efficient execution over a big amount of auditing data. Evaluations on a broad
set of attack cases demonstrate the effectiveness of Zebra in facilitating a
timely attack investigation.
- Abstract(参考訳): システム監査は、システムコールイベントを監視し、高度な攻撃を調査するための重要なアプローチとして登場した。
収集した監査ログに基づいて、攻撃パターンを探索したり、システムイベントの因果関係を追跡して攻撃シーケンスを明らかにする研究が提案されている。
しかし、既存のアプローチでは、攻撃関連部品に焦点が当てられていないため、長距離攻撃シーケンスを明らかにしたり、依存爆発問題に苦しむことはできず、複雑な攻撃を調査するには不十分である。
そこで本研究では,攻撃パターン探索と因果依存性追跡を相乗的に統合したシステムであるzebraを提案する。
Zebraを使用することで、セキュリティアナリストは検索とトラッキングを交互に切り替えて、攻撃に関連する部分の優先順位付けによる依存性の爆発問題を軽減しつつ、攻撃シーケンス全体を明らかにすることができる。
これを実現するために、Zebraは(1)様々な種類の探索・追跡分析を行うための表現的で簡潔なドメイン固有言語Tstl、(2)大量の監査データを効率的に実行するための最適化された言語実行エンジンを提供する。
広範囲にわたる攻撃事例の評価は、時間的攻撃調査を容易にするゼブラの有効性を示している。
関連論文リスト
- AdvQDet: Detecting Query-Based Adversarial Attacks with Adversarial Contrastive Prompt Tuning [93.77763753231338]
CLIP画像エンコーダを微調整し、2つの中間対向クエリに対して同様の埋め込みを抽出するために、ACPT(Adversarial Contrastive Prompt Tuning)を提案する。
我々は,ACPTが7つの最先端クエリベースの攻撃を検出できることを示す。
また,ACPTは3種類のアダプティブアタックに対して堅牢であることを示す。
論文 参考訳(メタデータ) (2024-08-04T09:53:50Z) - A Hierarchical Security Events Correlation Model for Real-time Cyber Threat Detection and Response [0.0]
我々は,侵入検知システムによって発行される警告数を減らすことを約束する,新しい階層的な事象相関モデルを開発した。
提案モデルでは、類似性とグラフベースの相関技術から特徴を最大限に活用して、どちらのアプローチも別途実現できないアンサンブル機能を実現する。
このモデルはDARPA 99 侵入検知セットで実験を行うという概念実証として実装されている。
論文 参考訳(メタデータ) (2023-12-02T20:07:40Z) - Token-Level Adversarial Prompt Detection Based on Perplexity Measures
and Contextual Information [67.78183175605761]
大規模言語モデルは、敵の迅速な攻撃に影響を受けやすい。
この脆弱性は、LLMの堅牢性と信頼性に関する重要な懸念を浮き彫りにしている。
トークンレベルで敵のプロンプトを検出するための新しい手法を提案する。
論文 参考訳(メタデータ) (2023-11-20T03:17:21Z) - Investigative Pattern Detection Framework for Counterterrorism [0.09999629695552192]
自動ツールは、アナリストから応答するクエリに関する情報を抽出し、新しい情報を継続的にスキャンし、過去のイベントと統合し、出現する脅威について警告するために必要である。
我々は、調査パターン検出の課題に対処し、対テロ対策のための調査パターン検出フレームワーク(INSPECT)を開発する。
このフレームワークは、行動指標を特定する機械学習技術や、リスクプロファイルやグループを検出するグラフパターンマッチング技術を含む、多数のコンピューティングツールを統合している。
論文 参考訳(メタデータ) (2023-10-30T00:45:05Z) - Kairos: Practical Intrusion Detection and Investigation using
Whole-system Provenance [4.101641763092759]
警告グラフは、システムの実行履歴を記述した構造化監査ログである。
証明に基づく侵入検知システム(PIDS)の開発を促進する4つの共通次元を同定する。
4次元のデシラタを同時に満足させる最初のPIDSであるKAIROSについて述べる。
論文 参考訳(メタデータ) (2023-08-09T16:04:55Z) - Object-fabrication Targeted Attack for Object Detection [54.10697546734503]
物体検出の敵攻撃は 標的攻撃と未標的攻撃を含む。
新たなオブジェクトファブリケーションターゲット攻撃モードは、特定のターゲットラベルを持つ追加の偽オブジェクトをファブリケートする検出器を誤解させる可能性がある。
論文 参考訳(メタデータ) (2022-12-13T08:42:39Z) - Illusory Attacks: Information-Theoretic Detectability Matters in Adversarial Attacks [76.35478518372692]
エプシロン・イリューソリー(epsilon-illusory)は、シーケンシャルな意思決定者に対する敵対的攻撃の新たな形態である。
既存の攻撃と比較して,エプシロン・イリューソリーの自動検出は極めて困難である。
以上の結果から, より優れた異常検知器, 効果的なハードウェアおよびシステムレベルの防御の必要性が示唆された。
論文 参考訳(メタデータ) (2022-07-20T19:49:09Z) - Zero-Query Transfer Attacks on Context-Aware Object Detectors [95.18656036716972]
敵は、ディープニューラルネットワークが誤った分類結果を生成するような摂動画像を攻撃する。
自然の多目的シーンに対する敵対的攻撃を防御するための有望なアプローチは、文脈整合性チェックを課すことである。
本稿では,コンテキスト整合性チェックを回避可能な,コンテキスト整合性攻撃を生成するための最初のアプローチを提案する。
論文 参考訳(メタデータ) (2022-03-29T04:33:06Z) - Unsupervised Anomaly Detectors to Detect Intrusions in the Current
Threat Landscape [0.11470070927586014]
本研究では,Isolation Forests,One-Class Support Vector Machines,Self-Organizing Mapsが侵入検知用よりも有効であることを示した。
不安定、分散、あるいは非可逆的行動による攻撃を、ファジング、ワーム、ボットネットなどによって検出することがより困難である点を詳述する。
論文 参考訳(メタデータ) (2020-12-21T14:06:58Z) - No Need to Know Physics: Resilience of Process-based Model-free Anomaly
Detection for Industrial Control Systems [95.54151664013011]
本稿では,システムの物理的特性に反する逆スプーフ信号を生成するための新しい枠組みを提案する。
トップセキュリティカンファレンスで公表された4つの異常検知器を分析した。
論文 参考訳(メタデータ) (2020-12-07T11:02:44Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。