論文の概要: Marlin: Knowledge-Driven Analysis of Provenance Graphs for Efficient and Robust Detection of Cyber Attacks
- arxiv url: http://arxiv.org/abs/2403.12541v2
- Date: Wed, 10 Jul 2024 05:49:48 GMT
- ステータス: 処理完了
- システム内更新日: 2024-07-11 21:29:48.871148
- Title: Marlin: Knowledge-Driven Analysis of Provenance Graphs for Efficient and Robust Detection of Cyber Attacks
- Title(参考訳): Marlin: サイバー攻撃の効率的かつロバストな検出のための確率グラフの知識駆動分析
- Authors: Zhenyuan Li, Yangyang Wei, Xiangmin Shen, Lingzhi Wang, Yan Chen, Haitao Xu, Shouling Ji, Fan Zhang, Liang Hou, Wenmao Liu, Xuhong Zhang, Jianwei Ying,
- Abstract要約: 本稿では,リアルタイムのプロファイランスグラフアライメントによるサイバー攻撃検出にアプローチしたMarlinを紹介する。
Marlinは毎秒137Kのイベントを処理でき、120のサブグラフと31の攻撃を正確に識別できる。
- 参考スコア(独自算出の注目度): 32.77246634664381
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Recent research in both academia and industry has validated the effectiveness of provenance graph-based detection for advanced cyber attack detection and investigation. However, analyzing large-scale provenance graphs often results in substantial overhead. To improve performance, existing detection systems implement various optimization strategies. Yet, as several recent studies suggest, these strategies could lose necessary context information and be vulnerable to evasions. Designing a detection system that is efficient and robust against adversarial attacks is an open problem. We introduce Marlin, which approaches cyber attack detection through real-time provenance graph alignment.By leveraging query graphs embedded with attack knowledge, Marlin can efficiently identify entities and events within provenance graphs, embedding targeted analysis and significantly narrowing the search space. Moreover, we incorporate our graph alignment algorithm into a tag propagation-based schema to eliminate the need for storing and reprocessing raw logs. This design significantly reduces in-memory storage requirements and minimizes data processing overhead. As a result, it enables real-time graph alignment while preserving essential context information, thereby enhancing the robustness of cyber attack detection. Moreover, Marlin allows analysts to customize attack query graphs flexibly to detect extended attacks and provide interpretable detection results. We conduct experimental evaluations on two large-scale public datasets containing 257.42 GB of logs and 12 query graphs of varying sizes, covering multiple attack techniques and scenarios. The results show that Marlin can process 137K events per second while accurately identifying 120 subgraphs with 31 confirmed attacks, along with only 1 false positive, demonstrating its efficiency and accuracy in handling massive data.
- Abstract(参考訳): 学術と産業の両分野における最近の研究は、先進的なサイバー攻撃の検出と調査における前向きなグラフによる検出の有効性を検証している。
しかし、大規模な前駆グラフの分析は、しばしばかなりのオーバーヘッドをもたらす。
性能向上のため、既存の検出システムは様々な最適化戦略を実装している。
しかし、最近のいくつかの研究が示唆しているように、これらの戦略は必要なコンテキスト情報を失い、回避に弱い可能性がある。
敵攻撃に対して効率的で堅牢な検知システムを設計することは、オープンな問題である。
攻撃知識に埋め込まれたクエリグラフを活用することにより、マーリンはプロファイランスグラフ内のエンティティやイベントを効率的に識別し、ターゲット分析を埋め込み、検索空間を著しく狭めることができる。
さらに,グラフアライメントアルゴリズムをタグ伝搬ベースのスキーマに組み込んで,生ログの保存と再処理を不要にする。
この設計はインメモリストレージの要求を大幅に減らし、データ処理のオーバーヘッドを最小化する。
その結果、重要なコンテキスト情報を保存しながらリアルタイムなグラフアライメントが可能となり、サイバー攻撃検出の堅牢性を高めることができる。
さらに、アナリストはクエリグラフを柔軟にカスタマイズし、拡張攻撃を検出し、解釈可能な検出結果を提供する。
我々は,257.42GBのログと12種類のクエリグラフを含む2つの大規模公開データセットに対して,複数の攻撃手法とシナリオを網羅した実験的な評価を行った。
その結果、Marlinは毎秒137Kのイベントを処理でき、120のサブグラフを正確に識別し、31の攻撃が確認された。
関連論文リスト
- LogSHIELD: A Graph-based Real-time Anomaly Detection Framework using Frequency Analysis [3.140349394142226]
ホストデータにおけるグラフベースの異常検出モデルであるLogSHIELDを提案する。
平均98%以上のAUCとF1スコアで、ステルスで高度な攻撃を検出できる。
スループットを大幅に向上し、平均検出レイテンシ0.13秒を実現し、検出時間で最先端モデルを上回るパフォーマンスを実現している。
論文 参考訳(メタデータ) (2024-10-29T10:52:43Z) - GraphGuard: Detecting and Counteracting Training Data Misuse in Graph
Neural Networks [69.97213941893351]
グラフデータ分析におけるグラフニューラルネットワーク(GNN)の出現は、モデルトレーニング中のデータ誤用に関する重要な懸念を引き起こしている。
既存の手法は、データ誤用検出または緩和のいずれかに対応しており、主にローカルGNNモデル用に設計されている。
本稿では,これらの課題に対処するため,GraphGuardという先駆的なアプローチを導入する。
論文 参考訳(メタデータ) (2023-12-13T02:59:37Z) - Effective In-vehicle Intrusion Detection via Multi-view Statistical
Graph Learning on CAN Messages [9.04771951523525]
車両内ネットワーク(IVN)は、様々な複雑な外部サイバー攻撃に直面している。
現在の主流侵入検知機構では、粗粒度しか認識できない。
本稿では,多視点統計グラフ学習の効果的な侵入検出法であるStatGraphを提案する。
論文 参考訳(メタデータ) (2023-11-13T03:49:55Z) - GraphCloak: Safeguarding Task-specific Knowledge within Graph-structured Data from Unauthorized Exploitation [61.80017550099027]
グラフニューラルネットワーク(GNN)は、さまざまな分野でますます普及している。
個人データの不正利用に関する懸念が高まっている。
近年の研究では、このような誤用から画像データを保護する効果的な方法として、知覚不能な毒殺攻撃が報告されている。
本稿では,グラフデータの不正使用に対する保護のためにGraphCloakを導入する。
論文 参考訳(メタデータ) (2023-10-11T00:50:55Z) - Kairos: Practical Intrusion Detection and Investigation using
Whole-system Provenance [4.101641763092759]
警告グラフは、システムの実行履歴を記述した構造化監査ログである。
証明に基づく侵入検知システム(PIDS)の開発を促進する4つの共通次元を同定する。
4次元のデシラタを同時に満足させる最初のPIDSであるKAIROSについて述べる。
論文 参考訳(メタデータ) (2023-08-09T16:04:55Z) - Model Inversion Attacks against Graph Neural Networks [65.35955643325038]
グラフニューラルネットワーク(GNN)に対するモデル反転攻撃について検討する。
本稿では,プライベートトレーニンググラフデータを推測するためにGraphMIを提案する。
実験の結果,このような防御効果は十分ではないことが示され,プライバシー攻撃に対するより高度な防御が求められている。
論文 参考訳(メタデータ) (2022-09-16T09:13:43Z) - Deep Fraud Detection on Non-attributed Graph [61.636677596161235]
グラフニューラルネットワーク(GNN)は不正検出に強い性能を示している。
ラベル付きデータは大規模な産業問題、特に不正検出には不十分である。
よりラベルのないデータを活用するための新しいグラフ事前学習戦略を提案する。
論文 参考訳(メタデータ) (2021-10-04T03:42:09Z) - Information Obfuscation of Graph Neural Networks [96.8421624921384]
本稿では,グラフ構造化データを用いた学習において,情報難読化による機密属性保護の問題について検討する。
本稿では,全変動量とワッサーシュタイン距離を交互に学習することで,事前決定された機密属性を局所的にフィルタリングするフレームワークを提案する。
論文 参考訳(メタデータ) (2020-09-28T17:55:04Z) - Graph Backdoor [53.70971502299977]
GTAはグラフニューラルネットワーク(GNN)に対する最初のバックドア攻撃である。
GTAは、トポロジカル構造と記述的特徴の両方を含む特定の部分グラフとしてトリガーを定義する。
トランスダクティブ(ノード分類など)とインダクティブ(グラフ分類など)の両方のタスクに対してインスタンス化することができる。
論文 参考訳(メタデータ) (2020-06-21T19:45:30Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。