論文の概要: SPARSE: Semantic Tracking and Path Analysis for Attack Investigation in Real-time

• arxiv url: http://arxiv.org/abs/2405.02629v1
• Date: Sat, 4 May 2024 10:19:28 GMT
• ステータス: 処理完了
• システム内更新日: 2024-05-07 19:10:59.451371
• Title: SPARSE: Semantic Tracking and Path Analysis for Attack Investigation in Real-time
• Title（参考訳）: SPARSE: リアルタイム攻撃調査のための意味的追跡と経路解析
• Authors: Jie Ying, Tiantian Zhu, Wenrui Cheng, Qixuan Yuan, Mingjun Ma, Chunlin Xiong, Tieming Chen, Mingqi Lv, Yan Chen,
• Abstract要約: 本稿では,ストリームログからクリティカルコンポーネントグラフ(すなわち,クリティカルイベントで構成される)を構築するための効率的なシステムであるSPARSEを提案する。 実大規模アタックデータセットを用いた評価では,SPARSEが1.6秒で重要なコンポーネントグラフ(エッジ113)を生成できることが示されている。 SPARSEは、無関係なエッジをフィルタリングする他の最先端技術よりも25倍効果的である。
• 参考スコア（独自算出の注目度）: 7.477027371128296
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: As the complexity and destructiveness of Advanced Persistent Threat (APT) increase, there is a growing tendency to identify a series of actions undertaken to achieve the attacker's target, called attack investigation. Currently, analysts construct the provenance graph to perform causality analysis on Point-Of-Interest (POI) event for capturing critical events (related to the attack). However, due to the vast size of the provenance graph and the rarity of critical events, existing attack investigation methods suffer from problems of high false positives, high overhead, and high latency. To this end, we propose SPARSE, an efficient and real-time system for constructing critical component graphs (i.e., consisting of critical events) from streaming logs. Our key observation is 1) Critical events exist in a suspicious semantic graph (SSG) composed of interaction flows between suspicious entities, and 2) Information flows that accomplish attacker's goal exist in the form of paths. Therefore, SPARSE uses a two-stage framework to implement attack investigation (i.e., constructing the SSG and performing path-level contextual analysis). First, SPARSE operates in a state-based mode where events are consumed as streams, allowing easy access to the SSG related to the POI event through semantic transfer rule and storage strategy. Then, SPARSE identifies all suspicious flow paths (SFPs) related to the POI event from the SSG, quantifies the influence of each path to filter irrelevant events. Our evaluation on a real large-scale attack dataset shows that SPARSE can generate a critical component graph (~ 113 edges) in 1.6 seconds, which is 2014 X smaller than the backtracking graph (~ 227,589 edges). SPARSE is 25 X more effective than other state-of-the-art techniques in filtering irrelevant edges.
• Abstract（参考訳）: 先進的永続脅威(APT)の複雑さと破壊性が増大するにつれて、攻撃者の標的を達成するための一連の行動を特定する傾向が高まり、攻撃調査と呼ばれる。 現在、アナリストは、重要なイベント(攻撃に関連する)をキャプチャするために、Point-Of-Interest(POI)イベントの因果解析を行うために、プロファイランスグラフを構築している。 しかし、プロファイナンスグラフの巨大化と臨界事象の希少性のため、既存の攻撃調査手法では、偽陽性、高オーバーヘッド、高レイテンシといった問題に悩まされている。 そこで本稿では,ストリームログから重要なコンポーネントグラフ(クリティカルイベント)を構築するための,効率的かつリアルタイムなシステムであるSPARSEを提案する。 私たちの重要な観察は 1)疑わしい実体間の相互作用フローからなる疑わしいセマンティックグラフ(SSG)に臨界事象が存在し、 2)攻撃者の目標を達成する情報の流れは経路の形で存在する。 そのため、SPARSEは攻撃調査(SSGの構築とパスレベルの文脈分析)を行うために2段階のフレームワークを使用する。 まず、SPARSEは、イベントをストリームとして消費する状態ベースのモードで動作し、セマンティックトランスファールールとストレージ戦略を通じて、POIイベントに関連するSSGへのアクセスを容易にする。 そして、SPARSEは、SSGからPOIイベントに関連するすべての疑わしい流れ経路(SFP)を特定し、各経路の影響を定量化し、無関係なイベントをフィルタリングする。 実大規模アタックデータセットを用いた評価では,SPARSEは,バックトラックグラフ(約227,589エッジ)よりも2014 Xの臨界成分グラフ(約113エッジ)を1.6秒で生成可能である。 SPARSEは、無関係なエッジをフィルタリングする他の最先端技術よりも25倍効果的である。

関連論文リスト

• Unified Semantic Log Parsing and Causal Graph Construction for Attack Attribution [3.9936021096611576]
  マルチソースログは、進行中のシステムアクティビティの包括的概要を提供し、詳細な分析によって潜在的な脅威を検出することができる。 脅威検出の実践的なアプローチは、システム動作の分析を容易にするために、グラフを構築するためのエンティティトリプル(オブジェクト、アクション、オブジェクト)を明示的に抽出することである。 個別のログソースから複数のサブグラフをマージして因果グラフを構築するために意味解析を採用する。
  論文  参考訳（メタデータ） (2024-11-22T21:40:19Z)
• A Flow is a Stream of Packets: A Stream-Structured Data Approach for DDoS Detection [32.22817720403158]
  本稿では,フローをストリーム構造として動作させる新しいツリーベースDDoS検出手法を提案する。 我々のアプローチは、最先端のディープラーニング手法を含む既存の機械学習技術の精度と一致しているか、あるいは超えている。
  論文  参考訳（メタデータ） (2024-05-12T09:29:59Z)
• Effective In-vehicle Intrusion Detection via Multi-view Statistical Graph Learning on CAN Messages [9.04771951523525]
  車両内ネットワーク(IVN)は、様々な複雑な外部サイバー攻撃に直面している。 現在の主流侵入検知機構では、粗粒度しか認識できない。 本稿では,多視点統計グラフ学習の効果的な侵入検出法であるStatGraphを提案する。
  論文  参考訳（メタデータ） (2023-11-13T03:49:55Z)
• PRAT: PRofiling Adversarial aTtacks [52.693011665938734]
  PRofiling Adversarial aTacks (PRAT) の新たな問題点について紹介する。 敵対的な例として、PRATの目的は、それを生成するのに使用される攻撃を特定することである。 AIDを用いてPRATの目的のための新しいフレームワークを考案する。
  論文  参考訳（メタデータ） (2023-09-20T07:42:51Z)
• Pair then Relation: Pair-Net for Panoptic Scene Graph Generation [54.92476119356985]
  Panoptic Scene Graph (PSG) は、ボックスの代わりにパン光学セグメンテーションを使用して、より包括的なシーングラフ表現を作成することを目的としている。 現在のPSGメソッドは性能が限られており、下流のタスクやアプリケーションを妨げる。 Pair then Relation (Pair-Net) - Pair Proposal Network (PPN) を用いて、対象と対象間の疎対関係を学習・フィルタリングする。
  論文  参考訳（メタデータ） (2023-07-17T17:58:37Z)
• Zebra: Deeply Integrating System-Level Provenance Search and Tracking for Efficient Attack Investigation [17.51791844411799]
  本稿では,攻撃パターン探索と因果依存性追跡を統合し,効果的な攻撃調査を行うシステムZebraを提案する。 Zebraは,(1)多種多様な検索・追跡分析を行うための表現的かつ簡潔なドメイン固有言語Tstl,(2)大量の監査データを効率的に実行するための最適化された言語実行エンジンを提供する。
  論文  参考訳（メタデータ） (2022-11-10T08:13:19Z)
• On Trace of PGD-Like Adversarial Attacks [77.75152218980605]
  敵対的攻撃は、ディープラーニングアプリケーションに対する安全性とセキュリティ上の懸念を引き起こす。 モデルの勾配一貫性を反映した適応応答特性(ARC)特性を構築する。 私たちの方法は直感的で、軽量で、非侵襲的で、データ不要です。
  論文  参考訳（メタデータ） (2022-05-19T14:26:50Z)
• ERGO: Event Relational Graph Transformer for Document-level Event Causality Identification [24.894074201193927]
  イベントレベルのイベント因果同定(DECI)は、文書内のイベントペア間の因果関係を特定することを目的としている。 DeCIのための新しいグラフトランスフォーマー(ERGO)フレームワークを提案する。
  論文  参考訳（メタデータ） (2022-04-15T12:12:16Z)
• Zero-Query Transfer Attacks on Context-Aware Object Detectors [95.18656036716972]
  敵は、ディープニューラルネットワークが誤った分類結果を生成するような摂動画像を攻撃する。 自然の多目的シーンに対する敵対的攻撃を防御するための有望なアプローチは、文脈整合性チェックを課すことである。 本稿では,コンテキスト整合性チェックを回避可能な,コンテキスト整合性攻撃を生成するための最初のアプローチを提案する。
  論文  参考訳（メタデータ） (2022-03-29T04:33:06Z)
• ADC: Adversarial attacks against object Detection that evade Context consistency checks [55.8459119462263]
  文脈整合性チェックさえも、適切に構築された敵の例に対して脆弱であることを示す。 このような防御を覆す実例を生成するための適応型フレームワークを提案する。 我々の結果は、コンテキストを堅牢にモデル化し、一貫性をチェックする方法はまだ未解決の問題であることを示している。
  論文  参考訳（メタデータ） (2021-10-24T00:25:09Z)
• Graph Backdoor [53.70971502299977]
  GTAはグラフニューラルネットワーク(GNN)に対する最初のバックドア攻撃である。 GTAは、トポロジカル構造と記述的特徴の両方を含む特定の部分グラフとしてトリガーを定義する。 トランスダクティブ(ノード分類など)とインダクティブ(グラフ分類など)の両方のタスクに対してインスタンス化することができる。
  論文  参考訳（メタデータ） (2020-06-21T19:45:30Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。