論文の概要: ORCHID: Streaming Threat Detection over Versioned Provenance Graphs

• arxiv url: http://arxiv.org/abs/2408.13347v1
• Date: Fri, 23 Aug 2024 19:44:40 GMT
• ステータス: 処理完了
• システム内更新日: 2024-08-27 19:59:01.968478
• Title: ORCHID: Streaming Threat Detection over Versioned Provenance Graphs
• Title（参考訳）: ORCHID: バージョン付きProvenance Graph上での脅威検出のストリーミング
• Authors: Akul Goyal, Jason Liu, Adam Bates, Gang Wang,
• Abstract要約: 本稿では,リアルタイムイベントストリーム上でプロセスレベルの脅威を詳細に検出する新しいProv-IDSであるORCHIDを提案する。 ORCHIDは、バージョン付き前処理グラフのユニークな不変特性を利用して、グラフ全体を逐次RNNモデルに反復的に埋め込む。 我々は、DARPA TCを含む4つの公開データセット上でORCHIDを評価し、ORCHIDが競合する分類性能を提供できることを示す。
• 参考スコア（独自算出の注目度）: 11.783370157959968
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: While Endpoint Detection and Response (EDR) are able to efficiently monitor threats by comparing static rules to the event stream, their inability to incorporate past system context leads to high rates of false alarms. Recent work has demonstrated Provenance-based Intrusion Detection Systems (Prov-IDS) that can examine the causal relationships between abnormal behaviors to improve threat classification. However, employing these Prov-IDS in practical settings remains difficult -- state-of-the-art neural network based systems are only fast in a fully offline deployment model that increases attacker dwell time, while simultaneously using simplified and less accurate provenance graphs to reduce memory consumption. Thus, today's Prov-IDS cannot operate effectively in the real-time streaming setting required for commercial EDR viability. This work presents the design and implementation of ORCHID, a novel Prov-IDS that performs fine-grained detection of process-level threats over a real time event stream. ORCHID takes advantage of the unique immutable properties of a versioned provenance graphs to iteratively embed the entire graph in a sequential RNN model while only consuming a fraction of the computation and memory costs. We evaluate ORCHID on four public datasets, including DARPA TC, to show that ORCHID can provide competitive classification performance while eliminating detection lag and reducing memory consumption by two orders of magnitude.
• Abstract（参考訳）: Endpoint Detection and Response (EDR)は、静的なルールとイベントストリームを比較して脅威を効率的に監視できるが、過去のシステムコンテキストを組み込むことができないため、誤報の頻度が高くなる。 Provenance-based Intrusion Detection Systems (Prov-IDS) は、異常な行動の因果関係を調べ、脅威分類を改善する。 しかし、これらのProv-IDSを実用的な設定で使用することは依然として難しい - 最先端のニューラルネットワークベースのシステムは、攻撃者の居住時間を短縮する完全にオフラインなデプロイメントモデルでのみ高速であり、同時にメモリ使用量を削減するために、シンプルで精度の低い前処理グラフを使用する。 したがって、今日のProv-IDSは商用のEDR実現に必要なリアルタイムストリーミング環境では効果的に動作できない。 本稿では,リアルタイムイベントストリーム上でプロセスレベルの脅威を詳細に検出する新しいProv-IDSであるORCHIDの設計と実装について述べる。 ORCHIDは、バージョン付き前処理グラフのユニークな不変特性を利用して、グラフ全体を逐次RNNモデルに反復的に埋め込み、計算とメモリコストのごく一部しか消費しない。 我々は、DARPA TCを含む4つの公開データセット上でORCHIDを評価し、ORCHIDが検出遅延を排除し、2桁のメモリ消費を削減しつつ、競合する分類性能を提供できることを示す。

関連論文リスト

• PARIS: A Practical, Adaptive Trace-Fetching and Real-Time Malicious Behavior Detection System [6.068607290592521]
  本稿では,適応的トレースフェッチ,軽量かつリアルタイムな悪意ある行動検出システムを提案する。 具体的には、Event Tracing for Windows (ETW)で悪意ある振る舞いを監視し、悪意のあるAPIやコールスタックを選択的に収集することを学ぶ。 その結果、より広い範囲のAPIを監視し、より複雑な攻撃行動を検出することができる。
  論文  参考訳（メタデータ） (2024-11-02T14:52:04Z)
• REST: Efficient and Accelerated EEG Seizure Analysis through Residual State Updates [54.96885726053036]
  本稿では,リアルタイム脳波信号解析のための新しいグラフベース残状態更新機構(REST)を提案する。 グラフニューラルネットワークとリカレント構造の組み合わせを活用することで、RESTは、非ユークリッド幾何学とEEGデータ内の時間的依存関係の両方を効率的にキャプチャする。 本モデルは,発作検出と分類作業において高い精度を示す。
  論文  参考訳（メタデータ） (2024-06-03T16:30:19Z)
• Detecting Anomalies in Dynamic Graphs via Memory enhanced Normality [39.476378833827184]
  動的グラフにおける異常検出は、グラフ構造と属性の時間的進化によって大きな課題となる。 時空間記憶強調グラフオートエンコーダ(STRIPE)について紹介する。 STRIPEは、AUCスコアが5.8%改善し、トレーニング時間が4.62倍速く、既存の手法よりも大幅に優れている。
  論文  参考訳（メタデータ） (2024-03-14T02:26:10Z)
• Effective In-vehicle Intrusion Detection via Multi-view Statistical Graph Learning on CAN Messages [9.04771951523525]
  車両内ネットワーク(IVN)は、様々な複雑な外部サイバー攻撃に直面している。 現在の主流侵入検知機構では、粗粒度しか認識できない。 本稿では,多視点統計グラフ学習の効果的な侵入検出法であるStatGraphを提案する。
  論文  参考訳（メタデータ） (2023-11-13T03:49:55Z)
• PREM: A Simple Yet Effective Approach for Node-Level Graph Anomaly Detection [65.24854366973794]
  ノードレベルのグラフ異常検出(GAD)は、医学、ソーシャルネットワーク、eコマースなどの分野におけるグラフ構造化データから異常ノードを特定する上で重要な役割を果たす。 本稿では,GADの効率を向上させるために,PREM (preprocessing and Matching) という簡単な手法を提案する。 我々のアプローチは、強力な異常検出機能を維持しながら、GADを合理化し、時間とメモリ消費を削減します。
  論文  参考訳（メタデータ） (2023-10-18T02:59:57Z)
• Prov2vec: Learning Provenance Graph Representation for Unsupervised APT Detection [2.07180164747172]
  できるだけ早く、先進的永続的脅威を検出する必要がある。 本稿では,攻撃者の行動を検出するエンタープライズホストの行動を継続的に監視するシステムであるProv2Vecを提案する。
  論文  参考訳（メタデータ） (2023-10-02T01:38:13Z)
• AEGNN: Asynchronous Event-based Graph Neural Networks [54.528926463775946]
  イベントベースのグラフニューラルネットワークは、標準のGNNを一般化して、イベントを"進化的"時間グラフとして処理する。 AEGNNは同期入力で容易に訓練でき、テスト時に効率的な「非同期」ネットワークに変換できる。
  論文  参考訳（メタデータ） (2022-03-31T16:21:12Z)
• Background Adaptive Faster R-CNN for Semi-Supervised Convolutional Object Detection of Threats in X-Ray Images [64.39996451133268]
  我々は、バックグラウンド適応型高速R-CNNと呼ばれる脅威認識のための半教師付きアプローチを提案する。 本手法は,ディープラーニング分野からのドメイン適応手法を用いた2段階物体検出器の訓練手法である。 2つのドメイン識別器(1つはオブジェクト提案を識別し、もう1つは画像特徴を識別する)は、ドメイン固有の情報を符号化するのを防ぐために敵対的に訓練される。 これにより、手作業の背景から抽出した特徴の統計と実世界のデータとを一致させることで、脅威検出の誤報率を低減することができる。
  論文  参考訳（メタデータ） (2020-10-02T21:05:13Z)
• Real-Time Anomaly Detection in Edge Streams [49.26098240310257]
  マイクロクラスタ異常の検出に焦点を当てたMIDASを提案する。 さらに、アルゴリズムの内部状態に異常が組み込まれている問題を解くために、MIDAS-Fを提案する。 実験の結果,MIDAS-Fの精度はMIDASよりも有意に高かった。
  論文  参考訳（メタデータ） (2020-09-17T17:59:27Z)
• Graph Backdoor [53.70971502299977]
  GTAはグラフニューラルネットワーク(GNN)に対する最初のバックドア攻撃である。 GTAは、トポロジカル構造と記述的特徴の両方を含む特定の部分グラフとしてトリガーを定義する。 トランスダクティブ(ノード分類など)とインダクティブ(グラフ分類など)の両方のタスクに対してインスタンス化することができる。
  論文  参考訳（メタデータ） (2020-06-21T19:45:30Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。