論文の概要: PROVEX: Enhancing SOC Analyst Trust with Explainable Provenance-Based IDS

• arxiv url: http://arxiv.org/abs/2512.18199v1
• Date: Sat, 20 Dec 2025 03:45:21 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-12-23 18:54:32.229399
• Title: PROVEX: Enhancing SOC Analyst Trust with Explainable Provenance-Based IDS
• Title（参考訳）: PROVEX: 説明可能なProvenance-based IDSによるSOCアナリスト信頼の向上
• Authors: Devang Dhanuka, Nidhi Rastogi,
• Abstract要約: 本稿では,グラフに基づく検出を透過的にすることで,セキュリティ運用センター(SOC)の信頼ギャップを埋めるための総合的なXAIフレームワークを提案する。 我々はこのフレームワークを,最先端の時間グラフベースのIDSであるKAIROS上に実装する。
• 参考スコア（独自算出の注目度）: 1.9336815376402718
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Modern intrusion detection systems (IDS) leverage graph neural networks (GNNs) to detect malicious activity in system provenance data, but their decisions often remain a black box to analysts. This paper presents a comprehensive XAI framework designed to bridge the trust gap in Security Operations Centers (SOCs) by making graph-based detection transparent. We implement this framework on top of KAIROS, a state-of-the-art temporal graph-based IDS, though our design is applicable to any temporal graph-based detector with minimal adaptation. The complete codebase is available at https://github.com/devang1304/provex.git. We augment the detection pipeline with post-hoc explanations that highlight why an alert was triggered, identifying key causal subgraphs and events. We adapt three GNN explanation methods - GraphMask, GNNExplainer, and a variational temporal GNN explainer (VA-TGExplainer) - to the temporal provenance context. These tools output human-interpretable representations of anomalous behavior, including important edges and uncertainty estimates. Our contributions focus on the practical integration of these explainers, addressing challenges in memory management and reproducibility. We demonstrate our framework on the DARPA CADETS Engagement 3 dataset and show that it produces concise window-level explanations for detected attacks. Our evaluation reveals that the explainers preserve the TGNN's decisions with high fidelity, surfacing critical edges such as malicious file interactions and anomalous netflows. The average explanation overhead is 3-5 seconds per event. By providing insight into the model's reasoning, our framework aims to improve analyst trust and triage speed.
• Abstract（参考訳）: 現代の侵入検知システム(IDS)は、グラフニューラルネットワーク(GNN)を利用してシステムの前駆者データ中の悪意のある活動を検出するが、その決定はアナリストにとってブラックボックスのままであることが多い。 本稿では,グラフに基づく検出を透過的にすることで,セキュリティ運用センター(SOC)の信頼ギャップを埋めるための総合的なXAIフレームワークを提案する。 我々はこのフレームワークを,最先端の時間グラフベースのIDSであるKAIROS上に実装する。 完全なコードベースはhttps://github.com/devang1304/provex.gitで公開されている。 検出パイプラインを、なぜアラートがトリガーされたのかを示す、ポストホックな説明で強化し、主要な因果部分グラフとイベントを特定します。 我々は3つのGNN説明手法(GraphMask、GNNExplainer、VA-TGExplainer)を時間的前処理コンテキストに適用する。 これらのツールは、重要なエッジや不確実性推定を含む異常行動の人間解釈可能な表現を出力する。 私たちのコントリビューションは、メモリ管理と再現性における課題に対処する、これらの説明器の実践的な統合に焦点を当てています。 我々はDARPA CADETS Engagement 3データセットのフレームワークを実演し、検出された攻撃に対して簡潔なウィンドウレベルの説明を生成することを示す。 評価の結果,TGNNの判断を高い忠実度で保存し,悪意のあるファイルインタラクションや異常なネットフローといった重要なエッジを克服した。 平均的な説明のオーバーヘッドは1イベントあたり3～5秒である。 我々のフレームワークは、モデルの推論に関する洞察を提供することで、アナリストの信頼とトリアージスピードを改善することを目的としています。

関連論文リスト

• Provable Robustness of (Graph) Neural Networks Against Data Poisoning and Backdoor Attacks [50.87615167799367]
  グラフニューラルネットワーク(GNN)は、特定のグラフのノード特徴をターゲットとして、バックドアを含む有毒な攻撃に対して認証する。 コンボリューションベースのGNNとPageRankベースのGNNの最悪の動作におけるグラフ構造の役割とその接続性に関する基本的な知見を提供する。
  論文  参考訳（メタデータ） (2024-07-15T16:12:51Z)
• Securing Graph Neural Networks in MLaaS: A Comprehensive Realization of Query-based Integrity Verification [68.86863899919358]
  我々は機械学習におけるGNNモデルをモデル中心の攻撃から保護するための画期的なアプローチを導入する。 提案手法は,GNNの完全性に対する包括的検証スキーマを含み,トランスダクティブとインダクティブGNNの両方を考慮している。 本稿では,革新的なノード指紋生成アルゴリズムを組み込んだクエリベースの検証手法を提案する。
  論文  参考訳（メタデータ） (2023-12-13T03:17:05Z)
• Spatial-Temporal Graph Enhanced DETR Towards Multi-Frame 3D Object Detection [54.041049052843604]
  STEMDは,多フレーム3Dオブジェクト検出のためのDETRのようなパラダイムを改良した,新しいエンドツーエンドフレームワークである。 まず、オブジェクト間の空間的相互作用と複雑な時間的依存をモデル化するために、空間的時間的グラフアテンションネットワークを導入する。 最後に、ネットワークが正のクエリと、ベストマッチしない他の非常に類似したクエリを区別することが課題となる。
  論文  参考訳（メタデータ） (2023-07-01T13:53:14Z)
• Interpreting GNN-based IDS Detections Using Provenance Graph Structural Features [15.522099372465695]
  グラフネットワーク(GNN)ベースのセキュリティソリューションは、セキュリティクリティカルなタスクのためにシステムグラフをダイジェストする。 本稿では、PROVEXPLAINERが現在の最先端(SOTA)GNN説明器と相乗してドメインとインスタンス固有の説明を提供する方法を示す。
  論文  参考訳（メタデータ） (2023-06-01T17:36:24Z)
• Information Obfuscation of Graph Neural Networks [96.8421624921384]
  本稿では,グラフ構造化データを用いた学習において,情報難読化による機密属性保護の問題について検討する。 本稿では,全変動量とワッサーシュタイン距離を交互に学習することで,事前決定された機密属性を局所的にフィルタリングするフレームワークを提案する。
  論文  参考訳（メタデータ） (2020-09-28T17:55:04Z)
• Graph Backdoor [53.70971502299977]
  GTAはグラフニューラルネットワーク(GNN)に対する最初のバックドア攻撃である。 GTAは、トポロジカル構造と記述的特徴の両方を含む特定の部分グラフとしてトリガーを定義する。 トランスダクティブ(ノード分類など)とインダクティブ(グラフ分類など)の両方のタスクに対してインスタンス化することができる。
  論文  参考訳（メタデータ） (2020-06-21T19:45:30Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。