論文の概要: You Cannot Escape Me: Detecting Evasions of SIEM Rules in Enterprise Networks
- arxiv url: http://arxiv.org/abs/2311.10197v2
- Date: Tue, 19 Dec 2023 20:54:12 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-18 23:02:51.242613
- Title: You Cannot Escape Me: Detecting Evasions of SIEM Rules in Enterprise Networks
- Title(参考訳): 脱出できない:エンタープライズネットワークにおけるSIEMルールの侵入を検出する
- Authors: Rafael Uetz, Marco Herzog, Louis Hackländer, Simon Schwarz, Martin Henze,
- Abstract要約: 本稿では,オープンソースの概念適応型誤用検出システムAMIDESを提案する。
その結果,AMIDESは誤報を伴わずに避難の大多数を検知できることが判明した。
- 参考スコア(独自算出の注目度): 2.310746340159112
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Cyberattacks have grown into a major risk for organizations, with common consequences being data theft, sabotage, and extortion. Since preventive measures do not suffice to repel attacks, timely detection of successful intruders is crucial to stop them from reaching their final goals. For this purpose, many organizations utilize Security Information and Event Management (SIEM) systems to centrally collect security-related events and scan them for attack indicators using expert-written detection rules. However, as we show by analyzing a set of widespread SIEM detection rules, adversaries can evade almost half of them easily, allowing them to perform common malicious actions within an enterprise network without being detected. To remedy these critical detection blind spots, we propose the idea of adaptive misuse detection, which utilizes machine learning to compare incoming events to SIEM rules on the one hand and known-benign events on the other hand to discover successful evasions. Based on this idea, we present AMIDES, an open-source proof-of-concept adaptive misuse detection system. Using four weeks of SIEM events from a large enterprise network and more than 500 hand-crafted evasions, we show that AMIDES successfully detects a majority of these evasions without any false alerts. In addition, AMIDES eases alert analysis by assessing which rules were evaded. Its computational efficiency qualifies AMIDES for real-world operation and hence enables organizations to significantly reduce detection blind spots with moderate effort.
- Abstract(参考訳): サイバー攻撃は組織にとって大きなリスクとなり、データ盗難、妨害、ゆがみがよくある。
予防対策は攻撃を撃退するのに十分ではないので、成功した侵入者のタイムリーな検出は、彼らが最終目標に達するのを阻止するために不可欠である。
この目的のために、多くの組織はセキュリティ情報およびイベント管理(SIEM)システムを使用して、セキュリティ関連のイベントを集中的に収集し、専門家による検出ルールを使用して攻撃指標をスキャンしている。
しかし,広く普及しているSIEM検出ルールを解析することにより,敵の約半数が容易に回避でき,検出されることなく,企業ネットワーク内で共通の悪意ある行動が実行できるようになる。
そこで本研究では、機械学習を用いて、入ってくる事象をSIEMルールと比較し、一方の事象と、他方の既知の事象を比較して回避を成功させる適応的誤用検出法を提案する。
このアイデアに基づいて,概念適応型誤用検知システムAMIDESを提案する。
大規模企業ネットワークから4週間のSIEMイベントと500件以上の手作りの回避策を用いて,AMIDESは誤報なしにこれらの回避行為の大部分を検出できた。
さらに、AMIDESは、どのルールが回避されたかを評価することで、アラート分析を容易にする。
その計算効率はAMIDESを現実世界の運用に適しており、組織は適度な努力で発見盲点を著しく削減することができる。
関連論文リスト
- That Escalated Quickly: An ML Framework for Alert Prioritization [2.5845893156827158]
我々は、SOCの最小限の変更でアラート疲労を低減する機械学習フレームワークであるThing Escalated Quickly(TEQ)を提示する。
現実世界のデータでは、アクション可能なインシデントに対応するのにかかる時間を22.9%のコストで削減し、54%の偽陽性を95.1%の検知レートで抑制し、アナリストが特異なインシデント内で調査する必要があるアラート数を14%のコストで削減することができる。
論文 参考訳(メタデータ) (2023-02-13T19:20:52Z) - Untargeted Backdoor Attack against Object Detection [69.63097724439886]
我々は,タスク特性に基づいて,無目標で毒のみのバックドア攻撃を設計する。
攻撃によって、バックドアがターゲットモデルに埋め込まれると、トリガーパターンでスタンプされたオブジェクトの検出を失う可能性があることを示す。
論文 参考訳(メタデータ) (2022-11-02T17:05:45Z) - Illusory Attacks: Information-Theoretic Detectability Matters in Adversarial Attacks [76.35478518372692]
エプシロン・イリューソリー(epsilon-illusory)は、シーケンシャルな意思決定者に対する敵対的攻撃の新たな形態である。
既存の攻撃と比較して,エプシロン・イリューソリーの自動検出は極めて困難である。
以上の結果から, より優れた異常検知器, 効果的なハードウェアおよびシステムレベルの防御の必要性が示唆された。
論文 参考訳(メタデータ) (2022-07-20T19:49:09Z) - Early Detection of Network Attacks Using Deep Learning [0.0]
ネットワーク侵入検知システム(英: Network Intrusion Detection System、IDS)は、ネットワークトラフィックを観察することによって、不正かつ悪意のない行動を特定するためのツールである。
本稿では,攻撃対象のシステムにダメージを与える前に,ネットワーク攻撃を防止するために,エンド・ツー・エンドの早期侵入検知システムを提案する。
論文 参考訳(メタデータ) (2022-01-27T16:35:37Z) - SAGE: Intrusion Alert-driven Attack Graph Extractor [4.530678016396476]
攻撃グラフ(AG)は、サイバー敵がネットワークに侵入する経路を評価するために使用される。
我々は、専門家の事前知識を必要とせず、侵入警報によって観察された行動に基づいてAGを自動的に学習することを提案する。
論文 参考訳(メタデータ) (2021-07-06T17:45:02Z) - A Rule Mining-Based Advanced Persistent Threats Detection System [2.75264806444313]
高度な永続的脅威(APT)は、標的組織から貴重な情報を盗もうとするステルスなサイバー攻撃である。
活動間の因果関係を見つけ出し、不審な出来事を発生させるのに役立てることができるため、希少な追跡と痕跡採掘は有望であると考えられている。
プロセスアクティビティを反映するOSに依存しない特徴を活用する教師なしの手法を導入し,プロファイランストレースから現実的なAPTライクな攻撃を検出する。
論文 参考訳(メタデータ) (2021-05-20T22:13:13Z) - Robustness of ML-Enhanced IDS to Stealthy Adversaries [0.0]
侵入検知システム(IDS)は「正常」なサイバー行動のプロトタイプを効率的に構築する能力を示した。
これらは主にブラックボックスであるため、敵を盗むためには頑丈さの証明が必要である。
本研究は,ネットワーク活動に対する各種の有害な活動が混入したオートエンコーダによる異常検出システムを訓練し,この種の中毒に対して堅牢であることを示す。
論文 参考訳(メタデータ) (2021-04-21T20:00:31Z) - TANTRA: Timing-Based Adversarial Network Traffic Reshaping Attack [46.79557381882643]
本稿では,TANTRA(Adversarial Network Traffic Reshaping Attack)を提案する。
我々の回避攻撃は、ターゲットネットワークの良性パケット間の時間差を学習するために訓練された長い短期記憶(LSTM)ディープニューラルネットワーク(DNN)を利用する。
TANTRAは、ネットワーク侵入検出システム回避の平均成功率99.99%を達成します。
論文 参考訳(メタデータ) (2021-03-10T19:03:38Z) - No Need to Know Physics: Resilience of Process-based Model-free Anomaly
Detection for Industrial Control Systems [95.54151664013011]
本稿では,システムの物理的特性に反する逆スプーフ信号を生成するための新しい枠組みを提案する。
トップセキュリティカンファレンスで公表された4つの異常検知器を分析した。
論文 参考訳(メタデータ) (2020-12-07T11:02:44Z) - Measurement-driven Security Analysis of Imperceptible Impersonation
Attacks [54.727945432381716]
本稿では,ディープニューラルネットワークを用いた顔認識システムの実用性について検討する。
皮膚の色,性別,年齢などの要因が,特定の標的に対する攻撃を行う能力に影響を及ぼすことを示す。
また,攻撃者の顔のさまざまなポーズや視点に対して堅牢なユニバーサルアタックを構築する可能性についても検討した。
論文 参考訳(メタデータ) (2020-08-26T19:27:27Z) - Investigating Robustness of Adversarial Samples Detection for Automatic
Speaker Verification [78.51092318750102]
本研究は,ASVシステムに対して,別個の検出ネットワークによる敵攻撃から防御することを提案する。
VGGライクな二分分類検出器を導入し、対向サンプルの検出に有効であることが実証された。
論文 参考訳(メタデータ) (2020-06-11T04:31:56Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。