論文の概要: PARIS: A Practical, Adaptive Trace-Fetching and Real-Time Malicious Behavior Detection System

• arxiv url: http://arxiv.org/abs/2411.01273v1
• Date: Sat, 02 Nov 2024 14:52:04 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-11-05 14:45:38.388257
• Title: PARIS: A Practical, Adaptive Trace-Fetching and Real-Time Malicious Behavior Detection System
• Title（参考訳）: PARIS: 実践的で適応的なトレースフェッチとリアルタイム悪意行動検出システム
• Authors: Jian Wang, Lingzhi Wang, Husheng Yu, Xiangmin Shen, Yan Chen,
• Abstract要約: 本稿では,適応的トレースフェッチ,軽量かつリアルタイムな悪意ある行動検出システムを提案する。 具体的には、Event Tracing for Windows (ETW)で悪意ある振る舞いを監視し、悪意のあるAPIやコールスタックを選択的に収集することを学ぶ。 その結果、より広い範囲のAPIを監視し、より複雑な攻撃行動を検出することができる。
• 参考スコア（独自算出の注目度）: 6.068607290592521
• License:
• Abstract: The escalating sophistication of cyber-attacks and the widespread utilization of stealth tactics have led to significant security threats globally. Nevertheless, the existing static detection methods exhibit limited coverage, and traditional dynamic monitoring approaches encounter challenges in bypassing evasion techniques. Thus, it has become imperative to implement nuanced and dynamic analysis to achieve precise behavior detection in real time. There are two pressing concerns associated with current dynamic malware behavior detection solutions. Firstly, the collection and processing of data entail a significant amount of overhead, making it challenging to be employed for real-time detection on the end host. Secondly, these approaches tend to treat malware as a singular entity, thereby overlooking varied behaviors within one instance. To fill these gaps, we propose PARIS, an adaptive trace fetching, lightweight, real-time malicious behavior detection system. Specifically, we monitor malicious behavior with Event Tracing for Windows (ETW) and learn to selectively collect maliciousness-related APIs or call stacks, significantly reducing the data collection overhead. As a result, we can monitor a wider range of APIs and detect more intricate attack behavior. We implemented a prototype of PARIS and evaluated the system overhead, the accuracy of comparative behavior recognition, and the impact of different models and parameters. The result demonstrates that PARIS can reduce over 98.8% of data compared to the raw ETW trace and hence decreases the overhead on the host in terms of memory, bandwidth, and CPU usage with a similar detection accuracy to the baselines that suffer from the high overhead. Furthermore, a breakdown evaluation shows that 80% of the memory and bandwidth savings and a complete reduction in CPU usage can be attributed to our adaptive trace-fetching collector.
• Abstract（参考訳）: サイバー攻撃の高度化とステルス戦術の普及により、世界中で重大なセキュリティ上の脅威が生じた。 それでも、既存の静的検出手法はカバー範囲が限られており、従来の動的監視手法は回避手法をバイパスする際の課題に直面している。 したがって, 高精度な動作検出をリアルタイムに実現するためには, ニュアンス解析や動的解析を実装することが不可欠になっている。 現在の動的マルウェアの挙動検出ソリューションには2つの懸念点がある。 まず、データの収集と処理にはかなりのオーバーヘッドが伴うため、エンドホストでのリアルタイム検出に使用するのは難しい。 第二に、これらのアプローチはマルウェアを単一の実体として扱う傾向があり、1つのインスタンス内で様々な振る舞いを見渡す。 これらのギャップを埋めるために,PARIS,適応的トレースフェッチ,軽量かつリアルタイムな悪意のある行動検出システムを提案する。 具体的には、Event Tracing for Windows (ETW)で悪意ある振る舞いを監視し、悪意のあるAPIやコールスタックを選択的に収集することを学び、データ収集のオーバーヘッドを大幅に削減する。 その結果、より広い範囲のAPIを監視し、より複雑な攻撃行動を検出することができる。 我々はPARISのプロトタイプを実装し、システムオーバーヘッド、比較行動認識の精度、異なるモデルとパラメータの影響を評価した。 その結果、PARISは生のETWトレースと比較して98.8%以上のデータを削減でき、従ってメモリ、帯域幅、CPU使用量の観点からホストのオーバーヘッドを減らし、高いオーバーヘッドに悩まされるベースラインと同じような検出精度で検出できることがわかった。 さらに、メモリと帯域幅の80%の節約とCPU使用量の完全な削減が、我々の適応型トレースフェッチコレクタに起因していることを示す。

関連論文リスト

• Bidirectional Decoding: Improving Action Chunking via Closed-Loop Resampling [51.38330727868982]
  双方向デコーディング(BID)は、クローズドループ操作で動作チャンキングをブリッジするテスト時間推論アルゴリズムである。 BIDは、7つのシミュレーションベンチマークと2つの実世界のタスクにまたがって、最先端の2つの生成ポリシーの性能を向上させることを示す。
  論文  参考訳（メタデータ） (2024-08-30T15:39:34Z)
• ORCHID: Streaming Threat Detection over Versioned Provenance Graphs [11.783370157959968]
  本稿では,リアルタイムイベントストリーム上でプロセスレベルの脅威を詳細に検出する新しいProv-IDSであるORCHIDを提案する。 ORCHIDは、バージョン付き前処理グラフのユニークな不変特性を利用して、グラフ全体を逐次RNNモデルに反復的に埋め込む。 我々は、DARPA TCを含む4つの公開データセット上でORCHIDを評価し、ORCHIDが競合する分類性能を提供できることを示す。
  論文  参考訳（メタデータ） (2024-08-23T19:44:40Z)
• Detecting Masquerade Attacks in Controller Area Networks Using Graph Machine Learning [0.2812395851874055]
  本稿では,グラフ機械学習(ML)を用いたCANバスにおけるマスクレード攻撃検出のための新しいフレームワークを提案する。 本稿では,CANバスフレームをメッセージシーケンスグラフ(MSG)として表現し,時系列からコンテキスト統計属性を付加することにより,検出能力を向上できることを示す。 提案手法は,CANフレームの相互作用を包括的かつ動的に解析し,ロバスト性や効率性を向上する。
  論文  参考訳（メタデータ） (2024-08-10T04:17:58Z)
• RTracker: Recoverable Tracking via PN Tree Structured Memory [71.05904715104411]
  本稿では,木構造メモリを用いてトラッカーと検出器を動的に関連付け,自己回復を可能にするRTrackerを提案する。 具体的には,正負と負のターゲットサンプルを時系列に保存し,維持する正負のツリー構造メモリを提案する。 我々の中核となる考え方は、正と負の目標カテゴリーの支持サンプルを用いて、目標損失の信頼性評価のための相対的距離に基づく基準を確立することである。
  論文  参考訳（メタデータ） (2024-03-28T08:54:40Z)
• FLTracer: Accurate Poisoning Attack Provenance in Federated Learning [38.47921452675418]
  Federated Learning(FL)は、複数のクライアントが共同で共有グローバルモデルをトレーニングできる、有望な分散学習アプローチである。 近年の研究では、FLは様々な毒殺攻撃に弱いことが示されており、グローバルモデルの性能を低下させるか、バックドアを導入することができる。 FLTracerは、様々な攻撃を正確に検出し、攻撃時間、目的、タイプ、および更新の有毒な位置を追跡できる最初のFL攻撃フレームワークである。
  論文  参考訳（メタデータ） (2023-10-20T11:24:38Z)
• PREM: A Simple Yet Effective Approach for Node-Level Graph Anomaly Detection [65.24854366973794]
  ノードレベルのグラフ異常検出(GAD)は、医学、ソーシャルネットワーク、eコマースなどの分野におけるグラフ構造化データから異常ノードを特定する上で重要な役割を果たす。 本稿では,GADの効率を向上させるために,PREM (preprocessing and Matching) という簡単な手法を提案する。 我々のアプローチは、強力な異常検出機能を維持しながら、GADを合理化し、時間とメモリ消費を削減します。
  論文  参考訳（メタデータ） (2023-10-18T02:59:57Z)
• Prov2vec: Learning Provenance Graph Representation for Unsupervised APT Detection [2.07180164747172]
  できるだけ早く、先進的永続的脅威を検出する必要がある。 本稿では,攻撃者の行動を検出するエンタープライズホストの行動を継続的に監視するシステムであるProv2Vecを提案する。
  論文  参考訳（メタデータ） (2023-10-02T01:38:13Z)
• Kellect: a Kernel-Based Efficient and Lossless Event Log Collector for Windows Security [5.043058252123722]
  ETW for Windows上に構築されている既存のログ収集ツールは、データ損失、オーバーヘッドの増大、リアルタイムのパフォーマンスの低下など、作業不足に悩まされている。 本稿では, www.kellect.orgでオープンソースプロジェクトをオープンソース化したKellectという,効率的でロスレスなカーネルログコレクタを提案する。
  論文  参考訳（メタデータ） (2022-07-23T14:38:43Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)
• SADet: Learning An Efficient and Accurate Pedestrian Detector [68.66857832440897]
  本稿では,一段検出器の検出パイプラインに対する一連の最適化手法を提案する。 効率的な歩行者検出のための単発アンカーベース検出器(SADet)を形成する。 構造的には単純だが、VGA解像度の画像に対して最先端の結果と20ドルFPSのリアルタイム速度を示す。
  論文  参考訳（メタデータ） (2020-07-26T12:32:38Z)
• Cascaded Regression Tracking: Towards Online Hard Distractor Discrimination [202.2562153608092]
  本稿では,2段階の逐次回帰トラッカーを提案する。 第1段階では, 容易に同定可能な負の候補を抽出する。 第2段階では、残留するあいまいな硬質試料をダブルチェックするために、離散サンプリングに基づくリッジ回帰を設計する。
  論文  参考訳（メタデータ） (2020-06-18T07:48:01Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。