論文の概要: An In-kernel Forensics Engine for Investigating Evasive Attacks
- arxiv url: http://arxiv.org/abs/2505.06498v1
- Date: Sat, 10 May 2025 03:40:17 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-05-13 20:21:48.870067
- Title: An In-kernel Forensics Engine for Investigating Evasive Attacks
- Title(参考訳): 侵入攻撃調査のためのカーネル内鑑定エンジン
- Authors: Javad Zhandi, Lalchandra Rampersaud, Amin Kharraz,
- Abstract要約: 本稿では,Windows オペレーティングシステムの脅威分析と鑑定を行うための,オープンソースのローアーティファクト・フォレスティクス・エンジン LASE を紹介する。
LASEは、検出可能なアーティファクトを最小限にしつつ、詳細なシステム全体の監視機能を提供することで、現在の分析ツールを拡張している。
- 参考スコア(独自算出の注目度): 0.28894038270224864
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Over the years, adversarial attempts against critical services have become more effective and sophisticated in launching low-profile attacks. This trend has always been concerning. However, an even more alarming trend is the increasing difficulty of collecting relevant evidence about these attacks and the involved threat actors in the early stages before significant damage is done. This issue puts defenders at a significant disadvantage, as it becomes exceedingly difficult to understand the attack details and formulate an appropriate response. Developing robust forensics tools to collect evidence about modern threats has never been easy. One main challenge is to provide a robust trade-off between achieving sufficient visibility while leaving minimal detectable artifacts. This paper will introduce LASE, an open-source Low-Artifact Forensics Engine to perform threat analysis and forensics in Windows operating system. LASE augments current analysis tools by providing detailed, system-wide monitoring capabilities while minimizing detectable artifacts. We designed multiple deployment scenarios, showing LASE's potential in evidence gathering and threat reasoning in a real-world setting. By making LASE and its execution trace data available to the broader research community, this work encourages further exploration in the field by reducing the engineering costs for threat analysis and building a longitudinal behavioral analysis catalog for diverse security domains.
- Abstract(参考訳): 長年にわたり、重要なサービスに対する敵対的試みは、目立たない攻撃を開始する上で、より効果的で洗練されたものになっている。
この傾向は常に問題視されてきた。
しかし、さらに警戒すべき傾向は、重大な被害を受ける前に、これらの攻撃と関与する脅威アクターに関する関連証拠を早期に収集することの難しさが増していることである。
この問題は、攻撃の詳細を理解し、適切な対応を定式化することが極端に困難になるため、守備側にとって重大な不利となる。
現代の脅威に関する証拠を集めるための堅牢な法医学ツールの開発は、決して容易ではない。
主な課題の1つは、検出可能な最小限の成果物を残しながら、十分な可視性を達成するための堅牢なトレードオフを提供することである。
本稿では,Windows オペレーティングシステムの脅威分析と鑑定を行うための,オープンソースのローアーティファクト・フォレスティクス・エンジン LASE を紹介する。
LASEは、検出可能なアーティファクトを最小限にしつつ、詳細なシステム全体の監視機能を提供することで、現在の分析ツールを拡張している。
実世界の環境でのエビデンス収集と脅威推論におけるLASEの可能性を示す複数のデプロイメントシナリオを設計した。
LASEとその実行トレースデータをより広い研究コミュニティに公開することにより、脅威分析のためのエンジニアリングコストを削減し、様々なセキュリティドメインのための縦方向の行動分析カタログを構築することにより、この分野のさらなる探索を促進する。
関連論文リスト
- SHIELD: APT Detection and Intelligent Explanation Using LLM [22.944352324963546]
高度な永続的脅威(APT)は、長期にわたって検出されない高度なサイバー攻撃である。
既存のプロファイランスに基づく攻撃検出手法は、しばしば解釈可能性に欠け、高い偽陽性率に悩まされる。
統計的異常検出とグラフに基づく解析と,大規模言語モデルの文脈解析機能を組み合わせた新しい手法である ShiELD を導入する。
論文 参考訳(メタデータ) (2025-02-04T14:20:51Z) - Robust Synthetic Data-Driven Detection of Living-Off-the-Land Reverse Shells [14.710331873072146]
LOTL(Living-off-the-land)技術は、セキュリティ運用において大きな課題となる。
セキュリティ情報およびイベント管理(SIEM)ソリューションとして,サイバー防衛システムのための堅牢な拡張フレームワークを提案する。
論文 参考訳(メタデータ) (2024-02-28T13:49:23Z) - Towards more Practical Threat Models in Artificial Intelligence Security [66.67624011455423]
最近の研究で、人工知能のセキュリティの研究と実践のギャップが特定されている。
我々は、AIセキュリティ研究で最も研究されている6つの攻撃の脅威モデルを再検討し、実際にAIの使用と一致させる。
論文 参考訳(メタデータ) (2023-11-16T16:09:44Z) - Investigative Pattern Detection Framework for Counterterrorism [0.09999629695552192]
自動ツールは、アナリストから応答するクエリに関する情報を抽出し、新しい情報を継続的にスキャンし、過去のイベントと統合し、出現する脅威について警告するために必要である。
我々は、調査パターン検出の課題に対処し、対テロ対策のための調査パターン検出フレームワーク(INSPECT)を開発する。
このフレームワークは、行動指標を特定する機械学習技術や、リスクプロファイルやグループを検出するグラフパターンマッチング技術を含む、多数のコンピューティングツールを統合している。
論文 参考訳(メタデータ) (2023-10-30T00:45:05Z) - On the Security Risks of Knowledge Graph Reasoning [71.64027889145261]
我々は、敵の目標、知識、攻撃ベクトルに応じて、KGRに対するセキュリティ脅威を体系化する。
我々は、このような脅威をインスタンス化する新しいタイプの攻撃であるROARを提示する。
ROARに対する潜在的な対策として,潜在的に有毒な知識のフィルタリングや,対向的な拡張クエリによるトレーニングについて検討する。
論文 参考訳(メタデータ) (2023-05-03T18:47:42Z) - Enabling Efficient Attack Investigation via Human-in-the-Loop Security Analysis [19.805667450941403]
ラプター(Raptor)は、人間の分析者が大規模システムの存在を効果的に分析できる防衛システムである。
ProvQLは、さまざまなタイプの攻撃分析に不可欠なプリミティブを提供する。
Raptorは、効率的な言語実行のための最適化された実行エンジンを提供する。
論文 参考訳(メタデータ) (2022-11-10T08:13:19Z) - Fact-Saboteurs: A Taxonomy of Evidence Manipulation Attacks against
Fact-Verification Systems [80.3811072650087]
証拠のクレームサレントスニペットを微調整し,多様かつクレームアラインな証拠を生成することが可能であることを示す。
この攻撃は、主張のポストホックな修正に対しても堅牢である。
これらの攻撃は、インスペクタブルとヒューマン・イン・ザ・ループの使用シナリオに有害な影響を及ぼす可能性がある。
論文 参考訳(メタデータ) (2022-09-07T13:39:24Z) - Agile Approach for IT Forensics Management [0.0]
本稿では,アジャイル手法を用いた新しいフラワーモデルと,新たな法医学的管理手法を提案する。
このような攻撃の法医学的な調査では、分析が必要なデータ量のために、ビッグデータの問題は解決されなければならない。
論文 参考訳(メタデータ) (2020-07-08T13:48:50Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。