論文の概要: Carbon Filter: Real-time Alert Triage Using Large Scale Clustering and Fast Search
- arxiv url: http://arxiv.org/abs/2405.04691v1
- Date: Tue, 7 May 2024 22:06:24 GMT
- ステータス: 処理完了
- システム内更新日: 2024-05-09 15:45:06.965208
- Title: Carbon Filter: Real-time Alert Triage Using Large Scale Clustering and Fast Search
- Title(参考訳): Carbon Filter: 大規模クラスタリングと高速検索によるリアルタイムアラートトリアージ
- Authors: Jonathan Oliver, Raghav Batta, Adam Bates, Muhammad Adil Inam, Shelly Mehta, Shugao Xia,
- Abstract要約: 今日セキュリティ・オペレーション・センター(SOC)が直面している最大の課題のひとつに「アラート・疲労」がある。
統計的学習に基づくシステムであるCarbon Filterは、アナリストが手動でレビューする必要があるアラートの数を劇的に削減します。
- 参考スコア(独自算出の注目度): 6.830322979559498
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: "Alert fatigue" is one of the biggest challenges faced by the Security Operations Center (SOC) today, with analysts spending more than half of their time reviewing false alerts. Endpoint detection products raise alerts by pattern matching on event telemetry against behavioral rules that describe potentially malicious behavior, but can suffer from high false positives that distract from actual attacks. While alert triage techniques based on data provenance may show promise, these techniques can take over a minute to inspect a single alert, while EDR customers may face tens of millions of alerts per day; the current reality is that these approaches aren't nearly scalable enough for production environments. We present Carbon Filter, a statistical learning based system that dramatically reduces the number of alerts analysts need to manually review. Our approach is based on the observation that false alert triggers can be efficiently identified and separated from suspicious behaviors by examining the process initiation context (e.g., the command line) that launched the responsible process. Through the use of fast-search algorithms for training and inference, our approach scales to millions of alerts per day. Through batching queries to the model, we observe a theoretical maximum throughput of 20 million alerts per hour. Based on the analysis of tens of million alerts from customer deployments, our solution resulted in a 6-fold improvement in the Signal-to-Noise ratio without compromising on alert triage performance.
- Abstract(参考訳): 今日、SOC(Security Operations Center)が直面している最大の課題のひとつに「アラート疲労」があります。
エンドポイント検出製品は、潜在的に悪意のある振る舞いを記述した行動ルールに対するイベントテレメトリのパターンマッチングによって警告を発生させるが、実際の攻撃から逸脱する偽陽性に悩まされる可能性がある。
データ証明に基づくアラートトリアージ技術は有望であるかも知れないが、これらのテクニックは単一のアラートを検査するのに1分以上かかり、EDRの顧客は1日に数千万のアラートに直面している可能性がある。
統計的学習に基づくシステムであるCarbon Filterは、アナリストが手動でレビューする必要があるアラートの数を劇的に削減します。
我々のアプローチは、プロセス開始状況(例えば、コマンド行)を調べて、疑わしい動作から偽のアラートトリガーを効率的に識別し、分離できるという観察に基づいています。
トレーニングと推論に高速検索アルゴリズムを使用することで、私たちのアプローチは1日に数百万のアラートにスケールします。
モデルにクエリをバッチすることで、理論的な最大スループットを1時間に2000万のアラートで観測する。
顧客のデプロイメントから数千万のアラートの分析に基づいて、当社のソリューションは、アラートトリアージのパフォーマンスを損なうことなく、Signal-to-Noise比を6倍改善しました。
関連論文リスト
- Forecasting Attacker Actions using Alert-driven Attack Graphs [1.3812010983144802]
本稿では、次の攻撃行為を予測するための警告駆動型AGフレームワーク上に、アクション予測機能を構築する。
また、新しいアラートがトリガーされるので、フレームワークをリアルタイムでAGを構築するように変更します。
このようにして、私たちは警告駆動のAGを早期警告システムに変換し、アナリストが進行中の攻撃を回避し、サイバー殺人連鎖を破ることができるようにします。
論文 参考訳(メタデータ) (2024-08-19T11:04:47Z) - FineWAVE: Fine-Grained Warning Verification of Bugs for Automated Static Analysis Tools [18.927121513404924]
ASAT(Automated Static Analysis Tools)は、バグ検出を支援するために、時間とともに進化してきた。
これまでの研究は、報告された警告を検証するための学習ベースの方法を探究してきた。
我々は,バグに敏感な警告をきめ細かい粒度で検証する学習ベースアプローチであるFineWAVEを提案する。
論文 参考訳(メタデータ) (2024-03-24T06:21:35Z) - A Hierarchical Security Events Correlation Model for Real-time Cyber Threat Detection and Response [0.0]
我々は,侵入検知システムによって発行される警告数を減らすことを約束する,新しい階層的な事象相関モデルを開発した。
提案モデルでは、類似性とグラフベースの相関技術から特徴を最大限に活用して、どちらのアプローチも別途実現できないアンサンブル機能を実現する。
このモデルはDARPA 99 侵入検知セットで実験を行うという概念実証として実装されている。
論文 参考訳(メタデータ) (2023-12-02T20:07:40Z) - Token-Level Adversarial Prompt Detection Based on Perplexity Measures
and Contextual Information [67.78183175605761]
大規模言語モデルは、敵の迅速な攻撃に影響を受けやすい。
この脆弱性は、LLMの堅牢性と信頼性に関する重要な懸念を浮き彫りにしている。
トークンレベルで敵のプロンプトを検出するための新しい手法を提案する。
論文 参考訳(メタデータ) (2023-11-20T03:17:21Z) - That Escalated Quickly: An ML Framework for Alert Prioritization [2.5845893156827158]
我々は、SOCの最小限の変更でアラート疲労を低減する機械学習フレームワークであるThing Escalated Quickly(TEQ)を提示する。
現実世界のデータでは、アクション可能なインシデントに対応するのにかかる時間を22.9%のコストで削減し、54%の偽陽性を95.1%の検知レートで抑制し、アナリストが特異なインシデント内で調査する必要があるアラート数を14%のコストで削減することができる。
論文 参考訳(メタデータ) (2023-02-13T19:20:52Z) - Illusory Attacks: Information-Theoretic Detectability Matters in Adversarial Attacks [76.35478518372692]
エプシロン・イリューソリー(epsilon-illusory)は、シーケンシャルな意思決定者に対する敵対的攻撃の新たな形態である。
既存の攻撃と比較して,エプシロン・イリューソリーの自動検出は極めて困難である。
以上の結果から, より優れた異常検知器, 効果的なハードウェアおよびシステムレベルの防御の必要性が示唆された。
論文 参考訳(メタデータ) (2022-07-20T19:49:09Z) - Towards Adversarial Patch Analysis and Certified Defense against Crowd
Counting [61.99564267735242]
安全クリティカルな監視システムの重要性から、群衆のカウントは多くの注目を集めています。
近年の研究では、ディープニューラルネットワーク(DNN)の手法が敵の攻撃に弱いことが示されている。
群衆カウントモデルのロバスト性を評価するために,Momentumを用いた攻撃戦略としてAdversarial Patch Attackを提案する。
論文 参考訳(メタデータ) (2021-04-22T05:10:55Z) - Detecting Invisible People [58.49425715635312]
我々は,追跡ベンチマークを再利用し,目立たない物体を検出するための新しい指標を提案する。
私たちは、現在の検出および追跡システムがこのタスクで劇的に悪化することを実証します。
第2に,最先端の単眼深度推定ネットワークによる観測結果を用いて,3次元で明示的に推論する動的モデルを構築した。
論文 参考訳(メタデータ) (2020-12-15T16:54:45Z) - Robust Spammer Detection by Nash Reinforcement Learning [64.80986064630025]
我々は,スパマーとスパム検知器が互いに現実的な目標を競うミニマックスゲームを開発する。
提案アルゴリズムは,スパマーが混在するスパマーが実用目標を達成するのを確実に防止できる平衡検出器を確実に見つけることができることを示す。
論文 参考訳(メタデータ) (2020-06-10T21:18:07Z) - Moving Metric Detection and Alerting System at eBay [4.778341933013294]
eBayでは、さまざまなドメインチームが監視するプロダクトヘルスメトリクスが何千もある。
異常検出と警告検索に基づいて,動作可能な警告をユーザに通知する2段階警告システムを構築した。
論文 参考訳(メタデータ) (2020-04-06T00:28:39Z) - Detection in Crowded Scenes: One Proposal, Multiple Predictions [79.28850977968833]
混み合ったシーンにおける高過度なインスタンスを検出することを目的とした,提案手法によるオブジェクト検出手法を提案する。
このアプローチの鍵は、各提案が以前の提案ベースのフレームワークの1つではなく、関連したインスタンスのセットを予測できるようにすることです。
我々の検出器は、CrowdHumanデータセットの挑戦に対して4.9%のAPゲインを得ることができ、CityPersonsデータセットでは1.0%$textMR-2$の改善がある。
論文 参考訳(メタデータ) (2020-03-20T09:48:53Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。