論文の概要: ActMiner: Applying Causality Tracking and Increment Aligning for Graph-based Cyber Threat Hunting
- arxiv url: http://arxiv.org/abs/2501.05793v1
- Date: Fri, 10 Jan 2025 08:53:54 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-01-13 15:25:53.944158
- Title: ActMiner: Applying Causality Tracking and Increment Aligning for Graph-based Cyber Threat Hunting
- Title(参考訳): ActMiner: グラフベースのサイバー脅威追跡のための因果追跡とインクリメントアライメントの適用
- Authors: Mingjun Ma, Tiantian Zhu, Tieming Chen, Shuang Li, Jie Ying, Chunlin Xiong, Mingqi Lv, Yan Chen,
- Abstract要約: 証明グラフに基づく既存の脅威狩りシステムは、高い偽陰性、高い偽陽性、低い効率の課題に直面している。
本稿では,記述グラフ上のサイバー脅威インテリジェンスレポートの正確な関係からクエリグラフを構築するActorminerを提案する。
アクティナーは偽陽性を39.1%減らし、偽陰性をすべて排除し、敵の攻撃を効果的に阻止することを示した。
- 参考スコア(独自算出の注目度): 13.402212544016287
- License:
- Abstract: To defend against Advanced Persistent Threats on the endpoint, threat hunting employs security knowledge such as cyber threat intelligence to continuously analyze system audit logs through retrospective scanning, querying, or pattern matching, aiming to uncover attack patterns/graphs that traditional detection methods (e.g., recognition for Point of Interest) fail to capture. However, existing threat hunting systems based on provenance graphs face challenges of high false negatives, high false positives, and low efficiency when confronted with diverse attack tactics and voluminous audit logs. To address these issues, we propose a system called Actminer, which constructs query graphs from descriptive relationships in cyber threat intelligence reports for precise threat hunting (i.e., graph alignment) on provenance graphs. First, we present a heuristic search strategy based on equivalent semantic transfer to reduce false negatives. Second, we establish a filtering mechanism based on causal relationships of attack behaviors to mitigate false positives. Finally, we design a tree structure to incrementally update the alignment results, significantly improving hunting efficiency. Evaluation on the DARPA Engagement dataset demonstrates that compared to the SOTA POIROT, Actminer reduces false positives by 39.1%, eliminates all false negatives, and effectively counters adversarial attacks.
- Abstract(参考訳): エンドポイント上のAdvanced Persistent Threatsに対抗するために、脅威ハントでは、サイバー脅威インテリジェンスなどのセキュリティ知識を使用して、リフレクションスキャン、クエリ、パターンマッチングを通じてシステムの監査ログを継続的に分析し、従来の検出方法(例えば、Point of Interestの認識)が捕捉できない攻撃パターンやグラフを明らかにする。
しかし,前兆グラフに基づく既存の脅威追跡システムは,多種多様な攻撃戦術や異常な監査記録に直面する場合,高い偽陰性,高い偽陽性,低効率の課題に直面している。
これらの問題に対処するため、我々はActorminerというシステムを提案し、このシステムはサイバー脅威情報レポートにおける記述的関係からクエリグラフを構築し、プロファイランスグラフ上の正確な脅威追跡(グラフアライメント)を行う。
まず,擬似否定を減らすために,等価な意味伝達に基づくヒューリスティックな探索戦略を提案する。
次に,攻撃行動の因果関係に基づくフィルタリング機構を構築し,偽陽性を緩和する。
最後に,アライメント結果を漸進的に更新する木構造を設計し,狩猟効率を著しく向上させる。
DARPA Engagementデータセットの評価では、SOTA POIROTと比較すると、アクターは偽陽性を39.1%減らし、すべての偽陰性を排除し、敵の攻撃を効果的に対抗している。
関連論文リスト
- Slot: Provenance-Driven APT Detection through Graph Reinforcement Learning [24.84110719035862]
先進的永続脅威(Advanced Persistent Threats、APT)は、長期にわたって検出されていない能力によって特徴づけられる高度なサイバー攻撃である。
本稿では,前駆グラフとグラフ強化学習に基づく高度なAPT検出手法であるSlotを提案する。
Slotの卓越した精度、効率、適応性、そしてAPT検出の堅牢性を示し、ほとんどのメトリクスは最先端の手法を超越している。
論文 参考訳(メタデータ) (2024-10-23T14:28:32Z) - Untargeted Backdoor Attack against Object Detection [69.63097724439886]
我々は,タスク特性に基づいて,無目標で毒のみのバックドア攻撃を設計する。
攻撃によって、バックドアがターゲットモデルに埋め込まれると、トリガーパターンでスタンプされたオブジェクトの検出を失う可能性があることを示す。
論文 参考訳(メタデータ) (2022-11-02T17:05:45Z) - Illusory Attacks: Information-Theoretic Detectability Matters in Adversarial Attacks [76.35478518372692]
エプシロン・イリューソリー(epsilon-illusory)は、シーケンシャルな意思決定者に対する敵対的攻撃の新たな形態である。
既存の攻撃と比較して,エプシロン・イリューソリーの自動検出は極めて困難である。
以上の結果から, より優れた異常検知器, 効果的なハードウェアおよびシステムレベルの防御の必要性が示唆された。
論文 参考訳(メタデータ) (2022-07-20T19:49:09Z) - Game-Theoretic Neyman-Pearson Detection to Combat Strategic Evasion [17.014913888753238]
この研究は、このような回避攻撃に対抗するための全体論的理論を開発することを目的としている。
本稿では,戦略的回避攻撃と回避対応NP検出器の競合関係を捉えるためのゲーム理論フレームワークを提案する。
回避認識型NP検出器は、攻撃者の行動に対して戦略的に行動することができるように、受動型NP検出器よりも優れていることを示す。
論文 参考訳(メタデータ) (2022-06-10T23:16:41Z) - Zero-Query Transfer Attacks on Context-Aware Object Detectors [95.18656036716972]
敵は、ディープニューラルネットワークが誤った分類結果を生成するような摂動画像を攻撃する。
自然の多目的シーンに対する敵対的攻撃を防御するための有望なアプローチは、文脈整合性チェックを課すことである。
本稿では,コンテキスト整合性チェックを回避可能な,コンテキスト整合性攻撃を生成するための最初のアプローチを提案する。
論文 参考訳(メタデータ) (2022-03-29T04:33:06Z) - A Heterogeneous Graph Learning Model for Cyber-Attack Detection [4.559898668629277]
サイバー攻撃は、ハッカーが標的とする情報システムに侵入する悪意のある試みである。
本稿では,証明データに基づく知的サイバー攻撃検出手法を提案する。
実験の結果,提案手法は他の学習ベース検出モデルよりも優れていることがわかった。
論文 参考訳(メタデータ) (2021-12-16T16:03:39Z) - Ready for Emerging Threats to Recommender Systems? A Graph
Convolution-based Generative Shilling Attack [8.591490818966882]
プリミティブアタックは、非常に実現可能であるが、単純な手作りのルールのため効果が低い。
アップグレードされた攻撃は、より強力だが、費用がかかり、展開が困難である。
本稿では,グラフcOnvolutionに基づく生成シリングアタック(GOAT)と呼ばれる新たなシリング攻撃を探索し,攻撃の実現可能性と効果のバランスをとる。
論文 参考訳(メタデータ) (2021-07-22T05:02:59Z) - Enabling Efficient Cyber Threat Hunting With Cyber Threat Intelligence [94.94833077653998]
ThreatRaptorは、オープンソースのCyber Threat Intelligence(OSCTI)を使用して、コンピュータシステムにおける脅威追跡を容易にするシステムである。
構造化されていないOSCTIテキストから構造化された脅威行動を抽出し、簡潔で表現力豊かなドメイン固有クエリ言語TBQLを使用して悪意のあるシステムアクティビティを探索する。
広範囲にわたる攻撃事例の評価は、現実的な脅威狩りにおけるThreatRaptorの精度と効率を実証している。
論文 参考訳(メタデータ) (2020-10-26T14:54:01Z) - Robust Tracking against Adversarial Attacks [69.59717023941126]
まず,ビデオシーケンス上に敵の例を生成して,敵の攻撃に対するロバスト性を改善する。
提案手法を最先端のディープトラッキングアルゴリズムに適用する。
論文 参考訳(メタデータ) (2020-07-20T08:05:55Z) - Adversarial vs behavioural-based defensive AI with joint, continual and
active learning: automated evaluation of robustness to deception, poisoning
and concept drift [62.997667081978825]
人工知能(AI)の最近の進歩は、サイバーセキュリティのための行動分析(UEBA)に新たな能力をもたらした。
本稿では、検出プロセスを改善し、人間の専門知識を効果的に活用することにより、この攻撃を効果的に軽減するソリューションを提案する。
論文 参考訳(メタデータ) (2020-01-13T13:54:36Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。