論文の概要: Ruling the Unruly: Designing Effective, Low-Noise Network Intrusion Detection Rules for Security Operations Centers
- arxiv url: http://arxiv.org/abs/2501.09808v1
- Date: Thu, 16 Jan 2025 19:35:10 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-01-20 13:56:50.965645
- Title: Ruling the Unruly: Designing Effective, Low-Noise Network Intrusion Detection Rules for Security Operations Centers
- Title(参考訳): セキュリティ・オペレーション・センターにおける効率的な低雑音ネットワーク侵入検出ルールの設計
- Authors: Koen T. W. Teuwen, Tom Mulders, Emmanuele Zambon, Luca Allodi,
- Abstract要約: セキュリティオペレーションセンター(SOC)は、Suricataのような署名ベースのネットワーク侵入検知システム(NIDS)に大きく依存している。
ルールの品質に影響を与える要因をよりよく理解することは、現在のSOC問題に対処するのに役立ちます。
- 参考スコア(独自算出の注目度): 6.087274577167399
- License:
- Abstract: Many Security Operations Centers (SOCs) today still heavily rely on signature-based Network Intrusion Detection Systems (NIDS) such as Suricata. The specificity of intrusion detection rules and the coverage provided by rulesets are common concerns within the professional community surrounding SOCs, which impact the effectiveness of automated alert post-processing approaches. We postulate a better understanding of factors influencing the quality of rules can help address current SOC issues. In this paper, we characterize the rules in use at a collaborating commercial (managed) SOC serving customers in sectors including education and IT management. During this process, we discover six relevant design principles, which we consolidate through interviews with experienced rule designers at the SOC.We then validate our design principles by quantitatively assessing their effect on rule specificity. We find that several of these design considerations significantly impact unnecessary workload caused by rules. For instance, rules that leverage proxies for detection, and rules that do not employ alert throttling or do not distinguish (un)successful malicious actions, cause significantly more workload for SOC analysts. Moreover, rules that match a generalized characteristic to detect malicious behavior, which is believed to increase coverage, also significantly increase workload, suggesting a tradeoff must be struck between rule specificity and coverage. We show that these design principles can be applied successfully at a SOC to reduce workload whilst maintaining coverage despite the prevalence of violations of the principles.
- Abstract(参考訳): 多くのセキュリティオペレーションセンター (SOC) は現在でも、Suricataのような署名ベースのネットワーク侵入検知システム (NIDS) に大きく依存している。
侵入検知ルールの特異性とルールセットによって提供されるカバレッジは、SOCを取り巻くプロフェッショナルコミュニティにおいて一般的な関心事であり、自動化された警告後処理アプローチの有効性に影響を及ぼす。
ルールの品質に影響を与える要因をよりよく理解することは、現在のSOC問題に対処するのに役立ちます。
本稿では,教育やIT管理を含む分野の顧客を対象とした,商業(管理)のSOC(SOC)を共同で実施する際のルールを特徴付ける。
この過程で、我々はSOCで経験豊富なルールデザイナーとのインタビューを通じて、関連する設計原則を6つ発見し、ルールの特異性に対する効果を定量的に評価することで、設計原則を検証した。
これらの設計上の考慮事項のいくつかは、ルールによって引き起こされる不要な作業負荷に大きな影響を及ぼすことがわかった。
例えば、検出にプロキシを利用するルールや、警告スロットリングを使わないルールや、(不必要な)悪意のあるアクションを区別しないルールは、SOCアナリストの作業負荷を大幅に増加させます。
さらに、悪質な振る舞いを検出するために一般化された特徴にマッチするルールは、カバレッジを増大させると考えられており、作業負荷も大幅に増加し、ルールの特異性とカバレッジの間にトレードオフを課す必要があることを示唆している。
これらの設計原則は、原則違反の頻度に拘わらず、カバー範囲を維持しながら、作業負荷を削減するために、SOCでうまく適用できることを示します。
関連論文リスト
- The Artificial Intelligence Act: critical overview [0.0]
この記事では、最近承認された人工知能法を概観する。
これはまず、2024/1689年のEU(Regulation)の主要な構造、目的、アプローチを示すことから始まる。
テキストは、全体的なフレームワークが適切かつバランスが取れたとしても、アプローチは非常に複雑であり、それ自体の目的を損なうリスクがある、と結論付けている。
論文 参考訳(メタデータ) (2024-08-30T21:38:02Z) - Characterizing the Modification Space of Signature IDS Rules [4.760192940831977]
署名に基づく侵入検知システムは、伝統的にネットワーク内の悪意ある活動を検出するために使用される。
現在のSIDSルールは、不正にフラグ付けされた正当なトラフィックの量を最小限に抑え、ネットワーク管理者の負担を軽減するように設計されている。
本稿では、実世界のSIDSルールに修正を適用することで、制約を緩和し、修正されたルールの性能空間を特徴付けることを実証する。
論文 参考訳(メタデータ) (2024-02-15T01:11:22Z) - On the Value of Myopic Behavior in Policy Reuse [67.37788288093299]
未知のシナリオで学習戦略を活用することは、人間の知性の基本である。
本稿では,Selectivemyopic bEhavior Control(SMEC)というフレームワークを提案する。
SMECは、事前ポリシーの共有可能な短期的行動とタスクポリシーの長期的行動を適応的に集約し、協調的な決定につながる。
論文 参考訳(メタデータ) (2023-05-28T03:59:37Z) - Towards a multi-stakeholder value-based assessment framework for
algorithmic systems [76.79703106646967]
我々は、価値間の近さと緊張を可視化する価値に基づくアセスメントフレームワークを開発する。
我々は、幅広い利害関係者に評価と検討のプロセスを開放しつつ、それらの運用方法に関するガイドラインを提示する。
論文 参考訳(メタデータ) (2022-05-09T19:28:32Z) - Direct Behavior Specification via Constrained Reinforcement Learning [12.679780444702573]
CMDPは、一連の行動制約を順守しながら、ゴールベースのタスクを解決するように適応することができる。
ビデオゲームにおけるNPC設計のための強化学習の適用に関連する一連の連続制御タスクについて,本フレームワークの評価を行った。
論文 参考訳(メタデータ) (2021-12-22T21:12:28Z) - Learning to Be Cautious [71.9871661858886]
強化学習の分野における重要な課題は、新しい状況下で慎重に行動するエージェントを開発することである。
注意深い行動がますます不要になるタスクのシーケンスと、システムが注意深いことを実証するアルゴリズムを提示する。
論文 参考訳(メタデータ) (2021-10-29T16:52:45Z) - Safe RAN control: A Symbolic Reinforcement Learning Approach [62.997667081978825]
本稿では,無線アクセスネットワーク(RAN)アプリケーションの安全管理のためのシンボル強化学習(SRL)アーキテクチャを提案する。
我々は、ユーザが所定のセルネットワークトポロジに対して高レベルの論理的安全性仕様を指定できる純粋に自動化された手順を提供する。
ユーザがシステムに意図仕様を設定するのを支援するために開発されたユーザインターフェース(UI)を導入し、提案するエージェントの動作の違いを検査する。
論文 参考訳(メタデータ) (2021-06-03T16:45:40Z) - Causal Policy Gradients [6.123324869194195]
因果ポリシー勾配(CPG)は、重要な最先端アルゴリズムを分析する共通のフレームワークを提供する。
CPGは従来の政策の勾配を一般化し、問題領域の生成過程の事前知識を組み込む原則的な方法をもたらす。
論文 参考訳(メタデータ) (2021-02-20T14:51:12Z) - Privacy-Constrained Policies via Mutual Information Regularized Policy Gradients [54.98496284653234]
報酬を最大化しつつ、行動を通じて特定の機密状態変数の開示を最小限に抑えながら、報酬を最大化する政策を訓練する課題を考察する。
本稿では, 感性状態と行動の相互情報に基づく正則化器を導入することで, この問題を解決する。
プライバシ制約のあるポリシーを最適化するためのモデルベース推定器を開発した。
論文 参考訳(メタデータ) (2020-12-30T03:22:35Z) - Robust Deep Reinforcement Learning against Adversarial Perturbations on
State Observations [88.94162416324505]
深部強化学習(DRL)エージェントは、自然な測定誤差や対向雑音を含む観測を通して、その状態を観察する。
観測は真の状態から逸脱するので、エージェントを誤解させ、準最適行動を起こすことができる。
本研究は, 従来の手法を, 対人訓練などの分類タスクの堅牢性向上に応用することは, 多くのRLタスクには有効でないことを示す。
論文 参考訳(メタデータ) (2020-03-19T17:59:59Z) - ARMS: Automated rules management system for fraud detection [1.7499351967216341]
オンライン不正検出は、入ってくる取引を合法か不正かのどちらかにリアルタイムで分類する。
現代の不正検出システムは、人間の専門家によって定義された機械学習モデルとルールで構成されている。
本稿では,個々のルールの貢献度を評価する自動ルール管理システムARMSを提案し,検索とユーザ定義の損失関数を用いたアクティブなルールセットを最適化する。
論文 参考訳(メタデータ) (2020-02-14T15:29:59Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。