論文の概要: An End-to-End Framework for Functionality-Embedded Provenance Graph Construction and Threat Interpretation

• arxiv url: http://arxiv.org/abs/2603.17100v1
• Date: Tue, 17 Mar 2026 19:40:05 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-03-19 18:32:57.373767
• Title: An End-to-End Framework for Functionality-Embedded Provenance Graph Construction and Threat Interpretation
• Title（参考訳）: 関数型確率グラフ構築と脅威解釈のためのエンドツーエンドフレームワーク
• Authors: Kushankur Ghosh, Mehar Klair, Kian Kyars, Euijin Choo, Jörg Sander,
• Abstract要約: Auto-Provは、証明グラフベースの異常検出のためのエンドツーエンドフレームワークである。 ログの型をクラスタ化し、プロファイランスエッジとエンティティレベルの情報を効率的に抽出する。 システムレベルの機能コンテキストを、既知および未確認のシステムエンティティの両方に対して推論する。 安定して解釈可能な攻撃サマリーを生成し、システムの進化の下では堅牢である。
• 参考スコア（独自算出の注目度）: 2.0740117800511215
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Provenance graphs model causal system-level interactions from logs, enabling anomaly detectors to learn normal behavior and detect deviations as attacks. However, existing approaches rely on brittle, manually engineered rules to build provenance graphs, lack functional context for system entities, and provide limited support for analyst investigation. We present Auto-Prov, an adaptive, end-to-end framework that leverages large language models (LLMs) to automatically construct provenance graphs from heterogeneous and evolving logs, embed system-level functional attributes into the graph, enable provenance graph-based anomaly detectors to learn from these enriched graphs, and summarize the detected attacks to assist an analyst's investigation. Auto-Prov clusters unseen log types and efficiently extracts provenance edges and entity-level information via automatically generated rules. It further infers system-level functional context for both known and previously unseen system entities using a combination of LLM inference and behavior-based estimation. Attacks detected by provenance-graph-based anomaly detectors trained on Auto-Prov's graphs are then summarized into natural-language text. We evaluate Auto-Prov with four state-of-the-art provenance graph-based detectors across diverse logs. Results show that Auto-Prov consistently enhances detection performance, generalizes across heterogeneous log formats, and produces stable, interpretable attack summaries that remain robust under system evolution.
• Abstract（参考訳）: プロヴァンスグラフはログからの因果系レベルの相互作用をモデル化し、異常検知器は正常な振る舞いを学習し、攻撃として偏差を検出することができる。 しかし、既存のアプローチは不安定で手動でプロファイランスグラフを構築するためのルールに依存しており、システムエンティティの機能的コンテキストが欠如しており、アナリストによる調査を限定的にサポートしている。 本稿では,大規模言語モデル(LLM)を活用した適応型エンドツーエンドフレームワークであるAuto-Provを提案する。 Auto-Provクラスタはログの型を目にせず、自動生成されたルールを通じて、プロファイランスエッジとエンティティレベルの情報を効率的に抽出する。 さらに、LLM推論と振舞いに基づく推定の組み合わせを用いて、既知のシステムエンティティと、それ以前のシステムエンティティの両方に対して、システムレベルの機能コンテキストを推論する。 Auto-Provのグラフで訓練された証明グラフに基づく異常検出器によって検出された攻撃は、自然言語テキストに要約される。 多様なログにまたがる4つの最先端グラフベース検出器を用いたAuto-Provの評価を行った。 結果から,Auto-Provは検出性能を継続的に向上し,不均一なログフォーマットをまたいで一般化し,安定かつ解釈可能なアタックサマリーを生成する。

関連論文リスト

• Learning to Explore: Policy-Guided Outlier Synthesis for Graph Out-of-Distribution Detection [51.93878677594561]
  教師なしグラフレベルのOOD検出では、モデルは通常、IDデータのみを使用して訓練される。 本稿では,スタティックスを学習した探索戦略に置き換える政策誘導型アウトリア合成フレームワークを提案する。
  論文  参考訳（メタデータ） (2026-02-28T11:40:18Z)
• ContraLog: Log File Anomaly Detection with Contrastive Learning and Masked Language Modeling [5.34230216484876]
  ContraLogは、個別のテンプレートIDではなく、連続メッセージの埋め込みを予測するログ異常検出手法である。 ContraLogが生成したメッセージ埋め込みは意味のある情報を持ち、シーケンスコンテキストなしでも異常を予測できることを示す。 結果は、他のイベントシーケンスに適用可能なログ異常検出のアプローチとして、埋め込みレベルの予測を強調している。
  論文  参考訳（メタデータ） (2026-02-03T15:59:40Z)
• RPG-AE: Neuro-Symbolic Graph Autoencoders with Rare Pattern Mining for Provenance-Based Anomaly Detection [0.8373057326694192]
  本稿では,グラフオートエンコーダと稀なパターンマイニングを組み合わせた,ニューロシンボリックな異常検出フレームワークを提案する。 異常候補は、観測されたグラフ構造と再構成されたグラフ構造の間のずれによって同定される。 DARPAトランスペアレント・コンピューティング・データセットを用いて提案手法の評価を行い, 異常なパターンの増大が異常なランク付け品質において著しく向上することを示す。
  論文  参考訳（メタデータ） (2026-02-03T00:02:37Z)
• OWLEYE: Zero-Shot Learner for Cross-Domain Graph Data Anomaly Detection [48.77471686671269]
  OWLEYEは、複数のグラフから正常な振る舞いの伝達可能なパターンを学習する新しいフレームワークである。 OWLEYEは最先端のベースラインに比べて性能と一般化性が優れていることを示す。
  論文  参考訳（メタデータ） (2026-01-27T02:08:18Z)
• ADALog: Adaptive Unsupervised Anomaly detection in Logs with Self-attention Masked Language Model [2.55347686868565]
  ADALogは適応的で教師なしの異常検出フレームワークである。 個々の非構造化ログで動作し、ログ内のコンテキスト関係を抽出し、通常のデータに対して適応しきい値を設定する。 BGL,Thunderbird,Spiritのベンチマークデータセット上でADALogを評価する。
  論文  参考訳（メタデータ） (2025-05-15T17:31:40Z)
• Out-of-Distribution Detection on Graphs: A Survey [58.47395497985277]
  グラフアウト・オブ・ディストリビューション(GOOD)検出は、トレーニング中に見られる分布から逸脱するグラフデータを特定することに焦点を当てる。 既存の手法を,拡張ベース,再構築ベース,情報伝達ベース,分類ベースという4つのタイプに分類する。 本稿では,グラフデータによるユニークな課題を浮き彫りにして,実践的応用と理論的基礎について論じる。
  論文  参考訳（メタデータ） (2025-02-12T04:07:12Z)
• GLAD: Content-aware Dynamic Graphs For Log Anomaly Detection [49.9884374409624]
  GLADは、システムログの異常を検出するように設計されたグラフベースのログ異常検出フレームワークである。 システムログの異常を検出するために設計されたグラフベースのログ異常検出フレームワークであるGLADを紹介する。
  論文  参考訳（メタデータ） (2023-09-12T04:21:30Z)
• Representing Timed Automata and Timing Anomalies of Cyber-Physical Production Systems in Knowledge Graphs [51.98400002538092]
  本稿では,学習されたタイムドオートマトンとシステムに関する公式知識グラフを組み合わせることで,CPPSのモデルベース異常検出を改善することを目的とする。 モデルと検出された異常の両方を知識グラフに記述し、モデルと検出された異常をより容易に解釈できるようにする。
  論文  参考訳（メタデータ） (2023-08-25T15:25:57Z)
• BOURNE: Bootstrapped Self-supervised Learning Framework for Unified Graph Anomaly Detection [50.26074811655596]
  自己指導型自己学習(BOURNE)に基づく新しい統合グラフ異常検出フレームワークを提案する。 ノードとエッジ間のコンテキスト埋め込みを交換することで、ノードとエッジの異常を相互に検出できる。 BOURNEは、負のサンプリングを必要としないため、大きなグラフを扱う際の効率を高めることができる。
  論文  参考訳（メタデータ） (2023-07-28T00:44:57Z)
• Topological Data Analysis for Anomaly Detection in Host-Based Logs [1.0878040851638]
  そこで本研究では,Windows ログから直接単体錯体のろ過を構築する手法を提案し,トポロジカルツールを用いた固有構造解析を可能にする。 最終的には、異常検出のための説明可能なフレームワークの一部として、メソッドが使用される可能性について議論する。
  論文  参考訳（メタデータ） (2022-04-25T20:41:02Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。