論文の概要: You Cannot Escape Me: Detecting Evasions of SIEM Rules in Enterprise Networks
- arxiv url: http://arxiv.org/abs/2311.10197v2
- Date: Tue, 19 Dec 2023 20:54:12 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-18 23:02:51.242613
- Title: You Cannot Escape Me: Detecting Evasions of SIEM Rules in Enterprise Networks
- Title(参考訳): 脱出できない:エンタープライズネットワークにおけるSIEMルールの侵入を検出する
- Authors: Rafael Uetz, Marco Herzog, Louis Hackländer, Simon Schwarz, Martin Henze,
- Abstract要約: 本稿では,オープンソースの概念適応型誤用検出システムAMIDESを提案する。
その結果,AMIDESは誤報を伴わずに避難の大多数を検知できることが判明した。
- 参考スコア(独自算出の注目度): 2.310746340159112
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Cyberattacks have grown into a major risk for organizations, with common consequences being data theft, sabotage, and extortion. Since preventive measures do not suffice to repel attacks, timely detection of successful intruders is crucial to stop them from reaching their final goals. For this purpose, many organizations utilize Security Information and Event Management (SIEM) systems to centrally collect security-related events and scan them for attack indicators using expert-written detection rules. However, as we show by analyzing a set of widespread SIEM detection rules, adversaries can evade almost half of them easily, allowing them to perform common malicious actions within an enterprise network without being detected. To remedy these critical detection blind spots, we propose the idea of adaptive misuse detection, which utilizes machine learning to compare incoming events to SIEM rules on the one hand and known-benign events on the other hand to discover successful evasions. Based on this idea, we present AMIDES, an open-source proof-of-concept adaptive misuse detection system. Using four weeks of SIEM events from a large enterprise network and more than 500 hand-crafted evasions, we show that AMIDES successfully detects a majority of these evasions without any false alerts. In addition, AMIDES eases alert analysis by assessing which rules were evaded. Its computational efficiency qualifies AMIDES for real-world operation and hence enables organizations to significantly reduce detection blind spots with moderate effort.
- Abstract(参考訳): サイバー攻撃は組織にとって大きなリスクとなり、データ盗難、妨害、ゆがみがよくある。
予防対策は攻撃を撃退するのに十分ではないので、成功した侵入者のタイムリーな検出は、彼らが最終目標に達するのを阻止するために不可欠である。
この目的のために、多くの組織はセキュリティ情報およびイベント管理(SIEM)システムを使用して、セキュリティ関連のイベントを集中的に収集し、専門家による検出ルールを使用して攻撃指標をスキャンしている。
しかし,広く普及しているSIEM検出ルールを解析することにより,敵の約半数が容易に回避でき,検出されることなく,企業ネットワーク内で共通の悪意ある行動が実行できるようになる。
そこで本研究では、機械学習を用いて、入ってくる事象をSIEMルールと比較し、一方の事象と、他方の既知の事象を比較して回避を成功させる適応的誤用検出法を提案する。
このアイデアに基づいて,概念適応型誤用検知システムAMIDESを提案する。
大規模企業ネットワークから4週間のSIEMイベントと500件以上の手作りの回避策を用いて,AMIDESは誤報なしにこれらの回避行為の大部分を検出できた。
さらに、AMIDESは、どのルールが回避されたかを評価することで、アラート分析を容易にする。
その計算効率はAMIDESを現実世界の運用に適しており、組織は適度な努力で発見盲点を著しく削減することができる。
関連論文リスト
- Visually Analyze SHAP Plots to Diagnose Misclassifications in ML-based Intrusion Detection [0.3199881502576702]
侵入検知システム(IDS)は、警告を提供することで本質的に脅威を軽減することができる。
これらの脅威を検出するため、さまざまな機械学習(ML)モデルとディープラーニング(DL)モデルが提案されている。
本稿では、重なり合うSHAPプロットを用いた説明可能な人工知能(XAI)に基づく視覚分析手法を提案する。
論文 参考訳(メタデータ) (2024-11-04T23:08:34Z) - HADES: Detecting Active Directory Attacks via Whole Network Provenance Analytics [7.203330561731627]
Active Directory(AD)は、Advanced Persistence Threat(APT)アクターの一番のターゲットである。
我々は、正確な因果関係に基づくクロスマシントレースを行うことができる最初のPIDSであるHADESを提案する。
我々は、AD攻撃の分析に根ざした、新しい軽量認証異常検出モデルを導入する。
論文 参考訳(メタデータ) (2024-07-26T16:46:29Z) - Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。
最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
論文 参考訳(メタデータ) (2024-05-21T13:34:23Z) - Illusory Attacks: Information-Theoretic Detectability Matters in Adversarial Attacks [76.35478518372692]
エプシロン・イリューソリー(epsilon-illusory)は、シーケンシャルな意思決定者に対する敵対的攻撃の新たな形態である。
既存の攻撃と比較して,エプシロン・イリューソリーの自動検出は極めて困難である。
以上の結果から, より優れた異常検知器, 効果的なハードウェアおよびシステムレベルの防御の必要性が示唆された。
論文 参考訳(メタデータ) (2022-07-20T19:49:09Z) - Early Detection of Network Attacks Using Deep Learning [0.0]
ネットワーク侵入検知システム(英: Network Intrusion Detection System、IDS)は、ネットワークトラフィックを観察することによって、不正かつ悪意のない行動を特定するためのツールである。
本稿では,攻撃対象のシステムにダメージを与える前に,ネットワーク攻撃を防止するために,エンド・ツー・エンドの早期侵入検知システムを提案する。
論文 参考訳(メタデータ) (2022-01-27T16:35:37Z) - SAGE: Intrusion Alert-driven Attack Graph Extractor [4.530678016396476]
攻撃グラフ(AG)は、サイバー敵がネットワークに侵入する経路を評価するために使用される。
我々は、専門家の事前知識を必要とせず、侵入警報によって観察された行動に基づいてAGを自動的に学習することを提案する。
論文 参考訳(メタデータ) (2021-07-06T17:45:02Z) - A Rule Mining-Based Advanced Persistent Threats Detection System [2.75264806444313]
高度な永続的脅威(APT)は、標的組織から貴重な情報を盗もうとするステルスなサイバー攻撃である。
活動間の因果関係を見つけ出し、不審な出来事を発生させるのに役立てることができるため、希少な追跡と痕跡採掘は有望であると考えられている。
プロセスアクティビティを反映するOSに依存しない特徴を活用する教師なしの手法を導入し,プロファイランストレースから現実的なAPTライクな攻撃を検出する。
論文 参考訳(メタデータ) (2021-05-20T22:13:13Z) - TANTRA: Timing-Based Adversarial Network Traffic Reshaping Attack [46.79557381882643]
本稿では,TANTRA(Adversarial Network Traffic Reshaping Attack)を提案する。
我々の回避攻撃は、ターゲットネットワークの良性パケット間の時間差を学習するために訓練された長い短期記憶(LSTM)ディープニューラルネットワーク(DNN)を利用する。
TANTRAは、ネットワーク侵入検出システム回避の平均成功率99.99%を達成します。
論文 参考訳(メタデータ) (2021-03-10T19:03:38Z) - No Need to Know Physics: Resilience of Process-based Model-free Anomaly
Detection for Industrial Control Systems [95.54151664013011]
本稿では,システムの物理的特性に反する逆スプーフ信号を生成するための新しい枠組みを提案する。
トップセキュリティカンファレンスで公表された4つの異常検知器を分析した。
論文 参考訳(メタデータ) (2020-12-07T11:02:44Z) - Measurement-driven Security Analysis of Imperceptible Impersonation
Attacks [54.727945432381716]
本稿では,ディープニューラルネットワークを用いた顔認識システムの実用性について検討する。
皮膚の色,性別,年齢などの要因が,特定の標的に対する攻撃を行う能力に影響を及ぼすことを示す。
また,攻撃者の顔のさまざまなポーズや視点に対して堅牢なユニバーサルアタックを構築する可能性についても検討した。
論文 参考訳(メタデータ) (2020-08-26T19:27:27Z) - Investigating Robustness of Adversarial Samples Detection for Automatic
Speaker Verification [78.51092318750102]
本研究は,ASVシステムに対して,別個の検出ネットワークによる敵攻撃から防御することを提案する。
VGGライクな二分分類検出器を導入し、対向サンプルの検出に有効であることが実証された。
論文 参考訳(メタデータ) (2020-06-11T04:31:56Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。