論文の概要: EagleEye: Attention to Unveil Malicious Event Sequences from Provenance Graphs

• arxiv url: http://arxiv.org/abs/2408.09217v2
• Date: Mon, 2 Sep 2024 06:07:06 GMT
• ステータス: 処理完了
• システム内更新日: 2024-09-04 16:42:00.398100
• Title: EagleEye: Attention to Unveil Malicious Event Sequences from Provenance Graphs
• Title（参考訳）: EagleEye: 悪質なイベントシーケンスを前兆グラフから明らかにする意図
• Authors: Philipp Gysel, Candid Wüest, Kenneth Nwafor, Otakar Jašek, Andrey Ustyuzhanin, Dinil Mon Divakaran,
• Abstract要約: エンドポイントのセキュリティは、脅威とアタックの進化の性質のため、難しい。 エンドポイントロギングシステムが成熟するにつれて、プロファイランスグラフ表現は洗練された振る舞いルールの作成を可能にします。 本稿では,行動事象の表現にプロファイランスグラフからリッチな特徴を利用する新しいシステムであるEagleEyeを開発し,提示する。
• 参考スコア（独自算出の注目度）: 1.3359586871482305
• License: http://creativecommons.org/licenses/by-nc-nd/4.0/
• Abstract: Securing endpoints is challenging due to the evolving nature of threats and attacks. With endpoint logging systems becoming mature, provenance-graph representations enable the creation of sophisticated behavior rules. However, adapting to the pace of emerging attacks is not scalable with rules. This led to the development of ML models capable of learning from endpoint logs. However, there are still open challenges: i) malicious patterns of malware are spread across long sequences of events, and ii) ML classification results are not interpretable. To address these issues, we develop and present EagleEye, a novel system that i) uses rich features from provenance graphs for behavior event representation, including command-line embeddings, ii) extracts long sequences of events and learns event embeddings, and iii) trains a lightweight Transformer model to classify behavior sequences as malicious or not. We evaluate and compare EagleEye against state-of-the-art baselines on two datasets, namely a new real-world dataset from a corporate environment, and the public DARPA dataset. On the DARPA dataset, at a false-positive rate of 1%, EagleEye detects $\approx$89% of all malicious behavior, outperforming two state-of-the-art solutions by an absolute margin of 38.5%. Furthermore, we show that the Transformer's attention mechanism can be leveraged to highlight the most suspicious events in a long sequence, thereby providing interpretation of malware alerts.
• Abstract（参考訳）: エンドポイントのセキュリティは、脅威とアタックの進化の性質のため、難しい。 エンドポイントロギングシステムが成熟するにつれて、プロファイランスグラフ表現は洗練された振る舞いルールの作成を可能にします。 しかし、出現する攻撃のペースに適応することは、ルールによってはスケーラブルではない。 これにより、エンドポイントログから学習できるMLモデルの開発につながった。 しかし、まだオープンな課題があります。 一 悪意あるマルウェアのパターンが長い一連の出来事に散らばり、 二 ML分類結果が解釈できないこと。 これらの問題に対処するため,我々は新しいシステムであるEagleEyeを開発し,提示する。 i) 動作イベントの表現には,コマンド行の埋め込みなど,プロファイランスグラフの豊富な機能を使用する。 二 イベントの長いシーケンスを抽出し、イベント埋め込みを学習し、 三 行動シーケンスを悪意の有無を分類するために、軽量トランスフォーマーモデルを訓練する。 我々はEagleEyeを、2つのデータセット、すなわち企業環境からの新しい実世界のデータセットと、公開DARPAデータセットの最先端のベースラインと比較し比較する。 DARPAのデータセットでは、偽陽性率1%で、EagleEyeは悪意のあるすべての行動の89%の$\approxを検知し、2つの最先端ソリューションを38.5%で上回っている。 さらに、トランスフォーマーの注意機構を利用して、長いシーケンスで最も疑わしい事象をハイライトし、マルウェアの警告を解釈できることが示される。

関連論文リスト

• PARIS: A Practical, Adaptive Trace-Fetching and Real-Time Malicious Behavior Detection System [6.068607290592521]
  本稿では,適応的トレースフェッチ,軽量かつリアルタイムな悪意ある行動検出システムを提案する。 具体的には、Event Tracing for Windows (ETW)で悪意ある振る舞いを監視し、悪意のあるAPIやコールスタックを選択的に収集することを学ぶ。 その結果、より広い範囲のAPIを監視し、より複雑な攻撃行動を検出することができる。
  論文  参考訳（メタデータ） (2024-11-02T14:52:04Z)
• ORCHID: Streaming Threat Detection over Versioned Provenance Graphs [11.783370157959968]
  本稿では,リアルタイムイベントストリーム上でプロセスレベルの脅威を詳細に検出する新しいProv-IDSであるORCHIDを提案する。 ORCHIDは、バージョン付き前処理グラフのユニークな不変特性を利用して、グラフ全体を逐次RNNモデルに反復的に埋め込む。 我々は、DARPA TCを含む4つの公開データセット上でORCHIDを評価し、ORCHIDが競合する分類性能を提供できることを示す。
  論文  参考訳（メタデータ） (2024-08-23T19:44:40Z)
• Few-shot Message-Enhanced Contrastive Learning for Graph Anomaly Detection [15.757864894708364]
  グラフ異常検出は、多数派から大きく逸脱するグラフデータの例外的なインスタンスを特定する上で重要な役割を果たす。 我々はFMGADと呼ばれる新しい数ショットグラフ異常検出モデルを提案する。 FMGADは, 人工的に注入された異常やドメイン・有機異常によらず, 他の最先端手法よりも優れた性能が得られることを示す。
  論文  参考訳（メタデータ） (2023-11-17T07:49:20Z)
• Combating Bilateral Edge Noise for Robust Link Prediction [56.43882298843564]
  本稿では,RGIB(Robust Graph Information Bottleneck)という情報理論の原則を提案し,信頼性の高い監視信号を抽出し,表現の崩壊を回避する。 RGIB-SSLとRGIB-REPの2つのインスタンス化は、異なる手法の利点を活用するために検討されている。 6つのデータセットと3つのGNNの様々なノイズシナリオによる実験は、我々のRGIBインスタンスの有効性を検証する。
  論文  参考訳（メタデータ） (2023-11-02T12:47:49Z)
• GADY: Unsupervised Anomaly Detection on Dynamic Graphs [18.1896489628884]
  本稿では,従来の離散的手法の限界を突破する細粒度情報を取得するための連続的動的グラフモデルを提案する。 第2の課題として、負の相互作用を生成するためにジェネレーティブ・アドバイサル・ネットワーク(Generative Adversarial Networks)を開拓した。 提案したGADYは,3つの実世界のデータセットにおいて,従来の最先端手法よりも大幅に優れていた。
  論文  参考訳（メタデータ） (2023-10-25T05:27:45Z)
• Prov2vec: Learning Provenance Graph Representation for Unsupervised APT Detection [2.07180164747172]
  できるだけ早く、先進的永続的脅威を検出する必要がある。 本稿では,攻撃者の行動を検出するエンタープライズホストの行動を継続的に監視するシステムであるProv2Vecを提案する。
  論文  参考訳（メタデータ） (2023-10-02T01:38:13Z)
• Towards General Visual-Linguistic Face Forgery Detection [95.73987327101143]
  ディープフェイクは現実的な顔操作であり、セキュリティ、プライバシー、信頼に深刻な脅威をもたらす可能性がある。 既存の方法は、このタスクを、デジタルラベルまたはマスク信号を使用して検出モデルをトレーニングするバイナリ分類として扱う。 本稿では, 微粒な文レベルのプロンプトをアノテーションとして用いた, VLFFD (Visual-Linguistic Face Forgery Detection) という新しいパラダイムを提案する。
  論文  参考訳（メタデータ） (2023-07-31T10:22:33Z)
• Augment and Criticize: Exploring Informative Samples for Semi-Supervised Monocular 3D Object Detection [64.65563422852568]
  我々は、一般的な半教師付きフレームワークを用いて、難解な単分子3次元物体検出問題を改善する。 我々は、ラベルのないデータから豊富な情報的サンプルを探索する、新しい、シンプルで効果的なAugment and Criticize'フレームワークを紹介します。 3DSeMo_DLEと3DSeMo_FLEXと呼ばれる2つの新しい検出器は、KITTIのAP_3D/BEV(Easy)を3.5%以上改善した。
  論文  参考訳（メタデータ） (2023-03-20T16:28:15Z)
• Deep Fraud Detection on Non-attributed Graph [61.636677596161235]
  グラフニューラルネットワーク(GNN)は不正検出に強い性能を示している。 ラベル付きデータは大規模な産業問題、特に不正検出には不十分である。 よりラベルのないデータを活用するための新しいグラフ事前学習戦略を提案する。
  論文  参考訳（メタデータ） (2021-10-04T03:42:09Z)
• Software Vulnerability Detection via Deep Learning over Disaggregated Code Graph Representation [57.92972327649165]
  この研究は、コードコーパスから安全でないパターンを自動的に学習するためのディープラーニングアプローチを探求する。 コードには解析を伴うグラフ構造が自然に認められるため,プログラムの意味的文脈と構造的規則性の両方を利用する新しいグラフニューラルネットワーク(GNN)を開発する。
  論文  参考訳（メタデータ） (2021-09-07T21:24:36Z)
• Graph Backdoor [53.70971502299977]
  GTAはグラフニューラルネットワーク(GNN)に対する最初のバックドア攻撃である。 GTAは、トポロジカル構造と記述的特徴の両方を含む特定の部分グラフとしてトリガーを定義する。 トランスダクティブ(ノード分類など)とインダクティブ(グラフ分類など)の両方のタスクに対してインスタンス化することができる。
  論文  参考訳（メタデータ） (2020-06-21T19:45:30Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。