論文の概要: OCR-APT: Reconstructing APT Stories from Audit Logs using Subgraph Anomaly Detection and LLMs

• arxiv url: http://arxiv.org/abs/2510.15188v2
• Date: Mon, 20 Oct 2025 12:03:37 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-10-25 00:56:38.703298
• Title: OCR-APT: Reconstructing APT Stories from Audit Logs using Subgraph Anomaly Detection and LLMs
• Title（参考訳）: OCR-APT:サブグラフ異常検出とLCMを用いた監査ログからのAPTストーリーの再構築
• Authors: Ahmed Aly, Essam Mansour, Amr Youssef,
• Abstract要約: Advanced Persistent Threats(APT)はステルスなサイバー攻撃で、システムレベルの監査ログの検知を回避している。 既存のシステムはこれらのグラフに異常検出を適用しているが、しばしば偽陽性率と粗い警告に悩まされる。 OCR-APTは,人型攻撃物語のAPT検出と再構築を行うシステムである。
• 参考スコア（独自算出の注目度）: 4.663916214040153
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Advanced Persistent Threats (APTs) are stealthy cyberattacks that often evade detection in system-level audit logs. Provenance graphs model these logs as connected entities and events, revealing relationships that are missed by linear log representations. Existing systems apply anomaly detection to these graphs but often suffer from high false positive rates and coarse-grained alerts. Their reliance on node attributes like file paths or IPs leads to spurious correlations, reducing detection robustness and reliability. To fully understand an attack's progression and impact, security analysts need systems that can generate accurate, human-like narratives of the entire attack. To address these challenges, we introduce OCR-APT, a system for APT detection and reconstruction of human-like attack stories. OCR-APT uses Graph Neural Networks (GNNs) for subgraph anomaly detection, learning behavior patterns around nodes rather than fragile attributes such as file paths or IPs. This approach leads to a more robust anomaly detection. It then iterates over detected subgraphs using Large Language Models (LLMs) to reconstruct multi-stage attack stories. Each stage is validated before proceeding, reducing hallucinations and ensuring an interpretable final report. Our evaluations on the DARPA TC3, OpTC, and NODLINK datasets show that OCR-APT outperforms state-of-the-art systems in both detection accuracy and alert interpretability. Moreover, OCR-APT reconstructs human-like reports that comprehensively capture the attack story.
• Abstract（参考訳）: Advanced Persistent Threats(APT)はステルスなサイバー攻撃で、システムレベルの監査ログの検知を回避している。 Provenance graphsはこれらのログを連結エンティティとイベントとしてモデル化し、線形ログ表現によって見逃される関係を明らかにする。 既存のシステムはこれらのグラフに異常検出を適用しているが、しばしば偽陽性率と粗い警告に悩まされる。 ファイルパスやIPなどのノード属性への依存は、重大な相関関係となり、検出の堅牢性と信頼性が低下する。 攻撃の進行と影響を十分に理解するためには、セキュリティアナリストは攻撃全体の正確な人間的な物語を生成するシステムが必要である。 これらの課題に対処するために,人間に似た攻撃ストーリーをAPTで検出・再構築するシステムであるOCR-APTを導入する。 OCR-APTはグラフニューラルネットワーク(GNN)を使用して、ファイルパスやIPなどの脆弱な属性ではなく、ノード周辺の振る舞いパターンをサブグラフで検出し、学習する。 このアプローチはより堅牢な異常検出につながる。 次に、Large Language Models (LLM)を使用して検出されたサブグラフを反復して、マルチステージ攻撃ストーリーを再構築する。 各段階は、進行前に検証され、幻覚を減らし、解釈可能な最終報告が確保される。 DARPA TC3,OPC,NODLINKのデータセットを用いて評価した結果,OCR-APTは検出精度と警告解釈性の両方で最先端のシステムより優れていることがわかった。 さらに、OCR-APTは、攻撃ストーリーを包括的にキャプチャする人間のようなレポートを再構築する。

関連論文リスト

• IDGraphs: Intrusion Detection and Analysis Using Stream Compositing [8.0129134921247]
  IDGraphsは侵入検知のためのインタラクティブな可視化システムである。 実ネットワークルータデータセットにIDGraphを適用すると,総トラフィック1.16TBのフローレベルレコードが179Mになる。 システムは様々な攻撃や異常を検出し解析する。
  論文  参考訳（メタデータ） (2025-06-26T16:08:20Z)
• CONTINUUM: Detecting APT Attacks through Spatial-Temporal Graph Neural Networks [0.9553673944187253]
  Advanced Persistent Threats (APT) はサイバーセキュリティにおいて重要な課題である。 従来の侵入検知システム(IDS)は、これらの多段階攻撃を検出するのに不足することが多い。
  論文  参考訳（メタデータ） (2025-01-06T12:43:59Z)
• STATGRAPH: Effective In-vehicle Intrusion Detection via Multi-view Statistical Graph Learning [8.494964689206432]
  STATGRAPHは、車載ネットワーク(IVN)セキュリティサービスのための、効果的できめ細かな侵入検出手法である。 CANメッセージ検出ウィンドウに2つの統計グラフ、タイミング相関グラフ(TCG)と結合関係グラフ(CRG)を生成する。 様々なパターンの普遍的な法則をより効果的に学習し、検出性能をさらに向上させる。
  論文  参考訳（メタデータ） (2023-11-13T03:49:55Z)
• GLAD: Content-aware Dynamic Graphs For Log Anomaly Detection [49.9884374409624]
  GLADは、システムログの異常を検出するように設計されたグラフベースのログ異常検出フレームワークである。 システムログの異常を検出するために設計されたグラフベースのログ異常検出フレームワークであるGLADを紹介する。
  論文  参考訳（メタデータ） (2023-09-12T04:21:30Z)
• Semi-Supervised and Long-Tailed Object Detection with CascadeMatch [91.86787064083012]
  そこで我々はCascadeMatchと呼ばれる新しい擬似ラベル型検出器を提案する。 我々の検出器は、プログレッシブな信頼しきい値を持つ多段検出ヘッドを備えたカスケードネットワークアーキテクチャを備えている。 CascadeMatchは、長い尾のオブジェクト検出の処理において、既存の最先端の半教師付きアプローチを超越していることを示す。
  論文  参考訳（メタデータ） (2023-05-24T07:09:25Z)
• Disentangled Causal Graph Learning for Online Unsupervised Root Cause Analysis [49.910053255238566]
  ルート原因分析(RCA)は、システム監視データを分析することにより、システム障害/障害の根本原因を特定することができる。 従来の研究は主にオフラインのRCAアルゴリズムの開発に重点を置いており、しばしば手動でRCAプロセスを開始する必要がある。 我々は、RCAプロセスを自動的に起動し、RCAモデルを漸進的に更新できる新しいオンラインRCAフレームワークであるCORALを提案する。
  論文  参考訳（メタデータ） (2023-05-18T01:27:48Z)
• Graph Backdoor [53.70971502299977]
  GTAはグラフニューラルネットワーク(GNN)に対する最初のバックドア攻撃である。 GTAは、トポロジカル構造と記述的特徴の両方を含む特定の部分グラフとしてトリガーを定義する。 トランスダクティブ(ノード分類など)とインダクティブ(グラフ分類など)の両方のタスクに対してインスタンス化することができる。
  論文  参考訳（メタデータ） (2020-06-21T19:45:30Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。