論文の概要: Forecasting Attacker Actions using Alert-driven Attack Graphs

• arxiv url: http://arxiv.org/abs/2408.09888v1
• Date: Mon, 19 Aug 2024 11:04:47 GMT
• ステータス: 処理完了
• システム内更新日: 2024-08-20 16:35:11.024557
• Title: Forecasting Attacker Actions using Alert-driven Attack Graphs
• Title（参考訳）: アラート駆動アタックグラフによるアタックアクションの予測
• Authors: Ion Băbălău, Azqa Nadeem,
• Abstract要約: 本稿では、次の攻撃行為を予測するための警告駆動型AGフレームワーク上に、アクション予測機能を構築する。 また、新しいアラートがトリガーされるので、フレームワークをリアルタイムでAGを構築するように変更します。 このようにして、私たちは警告駆動のAGを早期警告システムに変換し、アナリストが進行中の攻撃を回避し、サイバー殺人連鎖を破ることができるようにします。
• 参考スコア（独自算出の注目度）: 1.3812010983144802
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: While intrusion detection systems form the first line-of-defense against cyberattacks, they often generate an overwhelming volume of alerts, leading to alert fatigue among security operations center (SOC) analysts. Alert-driven attack graphs (AGs) have been developed to reduce alert fatigue by automatically discovering attack paths in intrusion alerts. However, they only work in offline settings and cannot prioritize critical attack paths. This paper builds an action forecasting capability on top of the existing alert-driven AG framework for predicting the next likely attacker action given a sequence of observed actions, thus enabling analysts to prioritize non-trivial attack paths. We also modify the framework to build AGs in real time, as new alerts are triggered. This way, we convert alert-driven AGs into an early warning system that enables analysts to circumvent ongoing attacks and break the cyber killchain. We propose an expectation maximization approach to forecast future actions in a reversed suffix-based probabilistic deterministic finite automaton (rSPDFA). By utilizing three real-world intrusion and endpoint alert datasets, we empirically demonstrate that the best performing rSPDFA achieves an average top-3 accuracy of 67.27%, which reflects a 57.17% improvement over three baselines, on average. We also invite six SOC analysts to use the evolving AGs in two scenarios. Their responses suggest that the action forecasts help them prioritize critical incidents, while the evolving AGs enable them to choose countermeasures in real-time.
• Abstract（参考訳）: 侵入検知システムはサイバー攻撃に対する最初の防御線を形成するが、それらはしばしば圧倒的な数の警告を発生させ、セキュリティ運用センター(SOC)アナリストの間で警告疲労を引き起こす。 アラート駆動型攻撃グラフ(AG)は、侵入警報における攻撃経路を自動的に発見することにより、警告疲労を軽減するために開発された。 しかし、オフライン設定でしか動作せず、重要な攻撃経路を優先順位付けできない。 本稿では,既存の警告駆動型AGフレームワーク上にアクション予測機能を構築し,観測された一連のアクションから次の攻撃行為を予測することにより,アナリストが非自明な攻撃経路を優先順位付けできるようにする。 また、新しいアラートがトリガーされるので、フレームワークをリアルタイムでAGを構築するように変更します。 このようにして、私たちは警告駆動のAGを早期警告システムに変換し、アナリストが進行中の攻撃を回避し、サイバー殺人連鎖を破ることができるようにします。 本稿では,逆接尾辞に基づく確率的決定論的有限オートマトン (rSPDFA) における将来の行動を予測するための予測最大化手法を提案する。 3つの実世界の侵入とエンドポイント警告データセットを利用することで、最高のパフォーマンスの rSPDFA が平均最高3の精度67.27%を達成し、平均3つのベースラインに対して57.17%の改善を反映していることを実証的に実証した。 また、進化しているAGを2つのシナリオで使用するために、6人のSOCアナリストを招待します。 彼らの反応は、行動予測が重要なインシデントを優先順位付けするのに役立つことを示唆し、進化中のAGはリアルタイムで対策を選択することができることを示唆している。

関連論文リスト

• Relaxing Graph Transformers for Adversarial Attacks [49.450581960551276]
  グラフトランスフォーマー(GT)は、いくつかのベンチマークでMessage-Passing GNNを上回り、その逆の堅牢性は明らかにされていない。 本研究では,(1)ランダムウォークPE,(2)ペアワイドショートパス,(3)スペクトル摂動に基づく3つの代表的なアーキテクチャを対象とすることで,これらの課題を克服する。 評価の結果, 破滅的に脆弱であり, 作業の重要性と適応攻撃の必要性を浮き彫りにする可能性が示唆された。
  論文  参考訳（メタデータ） (2024-07-16T14:24:58Z)
• Carbon Filter: Real-time Alert Triage Using Large Scale Clustering and Fast Search [6.830322979559498]
  今日セキュリティ・オペレーション・センター(SOC)が直面している最大の課題のひとつに「アラート・疲労」がある。 統計的学習に基づくシステムであるCarbon Filterは、アナリストが手動でレビューする必要があるアラートの数を劇的に削減します。
  論文  参考訳（メタデータ） (2024-05-07T22:06:24Z)
• Nip in the Bud: Forecasting and Interpreting Post-exploitation Attacks in Real-time through Cyber Threat Intelligence Reports [6.954623537148434]
  Advanced Persistent Threat (APT) 攻撃は世界中で大きな被害をもたらした。 企業によって潜在的な脅威に対抗するために様々な検知・応答システム(EDR)が展開されている。 アナリストは、対策を講じる前に、検出結果を調査し、フィルタリングする必要がある。 本稿では,リアルタイム攻撃予測・解釈システムである予測・解釈システム(EFI)を提案する。
  論文  参考訳（メタデータ） (2024-05-05T06:25:52Z)
• Critical Path Prioritization Dashboard for Alert-driven Attack Graphs [3.4000567392487127]
  本稿では、SAGEのためのクエリと優先順位付けが可能なビジュアル分析ダッシュボードを提案する。 分散マルチステージチームベースのアタックシナリオから収集した侵入警報を用いて,提案したダッシュボードの有用性について述べる。 ダッシュボードは攻撃戦略や攻撃進行を描写するのに有用であるが、ユーザビリティの観点からは改善可能である。
  論文  参考訳（メタデータ） (2023-10-19T18:16:04Z)
• That Escalated Quickly: An ML Framework for Alert Prioritization [2.5845893156827158]
  我々は、SOCの最小限の変更でアラート疲労を低減する機械学習フレームワークであるThing Escalated Quickly(TEQ)を提示する。 現実世界のデータでは、アクション可能なインシデントに対応するのにかかる時間を22.9%のコストで削減し、54%の偽陽性を95.1%の検知レートで抑制し、アナリストが特異なインシデント内で調査する必要があるアラート数を14%のコストで削減することができる。
  論文  参考訳（メタデータ） (2023-02-13T19:20:52Z)
• AdvDO: Realistic Adversarial Attacks for Trajectory Prediction [87.96767885419423]
  軌道予測は、自動運転車が正しく安全な運転行動を計画するために不可欠である。 我々は,現実的な対向軌道を生成するために,最適化に基づく対向攻撃フレームワークを考案する。 私たちの攻撃は、AVが道路を走り去るか、シミュレーション中に他の車両に衝突する可能性がある。
  論文  参考訳（メタデータ） (2022-09-19T03:34:59Z)
• Illusory Attacks: Information-Theoretic Detectability Matters in Adversarial Attacks [76.35478518372692]
  エプシロン・イリューソリー(epsilon-illusory)は、シーケンシャルな意思決定者に対する敵対的攻撃の新たな形態である。 既存の攻撃と比較して,エプシロン・イリューソリーの自動検出は極めて困難である。 以上の結果から, より優れた異常検知器, 効果的なハードウェアおよびシステムレベルの防御の必要性が示唆された。
  論文  参考訳（メタデータ） (2022-07-20T19:49:09Z)
• Fixed Points in Cyber Space: Rethinking Optimal Evasion Attacks in the Age of AI-NIDS [70.60975663021952]
  ネットワーク分類器に対するブラックボックス攻撃について検討する。 我々は、アタッカー・ディフェンダーの固定点がそれ自体、複雑な位相遷移を持つ一般サムゲームであると主張する。 攻撃防御力学の研究には連続的な学習手法が必要であることを示す。
  論文  参考訳（メタデータ） (2021-11-23T23:42:16Z)
• Certifiers Make Neural Networks Vulnerable to Availability Attacks [70.69104148250614]
  私たちは初めて、逆転戦略が敵によって意図的に引き起こされる可能性があることを示します。 いくつかの入力や摂動のために自然に発生する障害に加えて、敵は故意にフォールバックを誘発するために訓練時間攻撃を使用することができる。 我々は2つの新しいアベイラビリティーアタックを設計し、これらの脅威の実用的妥当性を示す。
  論文  参考訳（メタデータ） (2021-08-25T15:49:10Z)
• SAGE: Intrusion Alert-driven Attack Graph Extractor [4.530678016396476]
  攻撃グラフ(AG)は、サイバー敵がネットワークに侵入する経路を評価するために使用される。 我々は、専門家の事前知識を必要とせず、侵入警報によって観察された行動に基づいてAGを自動的に学習することを提案する。
  論文  参考訳（メタデータ） (2021-07-06T17:45:02Z)
• Adversarial vs behavioural-based defensive AI with joint, continual and active learning: automated evaluation of robustness to deception, poisoning and concept drift [62.997667081978825]
  人工知能(AI)の最近の進歩は、サイバーセキュリティのための行動分析(UEBA)に新たな能力をもたらした。 本稿では、検出プロセスを改善し、人間の専門知識を効果的に活用することにより、この攻撃を効果的に軽減するソリューションを提案する。
  論文  参考訳（メタデータ） (2020-01-13T13:54:36Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。