論文の概要: ProHunter: A Comprehensive APT Hunting System Based on Whole-System Provenance
- arxiv url: http://arxiv.org/abs/2603.19658v1
- Date: Fri, 20 Mar 2026 05:47:58 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-03-23 19:48:39.009815
- Title: ProHunter: A Comprehensive APT Hunting System Based on Whole-System Provenance
- Title(参考訳): ProHunter: 全システム確率に基づく総合的なAPTハンティングシステム
- Authors: Xuebo Qiu, Mingqi Lv, Yimei Zhang, Tiantian Zhu, Tieming Chen,
- Abstract要約: 本稿では,プラットフォームに依存しない設計で効率的かつ高精度なAPTハンティングシステムであるProHunterを提案する。
システムのオーバーヘッドを最小限に抑えるため、ProHunterは長期前処理グラフを効率的に保存するコンパクトなデータ構造を作成する。
APTの動作をセグメント化するために、プロファイランスグラフから正確な攻撃パターンを抽出できる脅威グラフサンプリングアルゴリズムが設計されている。
- 参考スコア(独自算出の注目度): 8.941695106738054
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Advanced Persistent Threats (APTs) remain difficult to detect due to their stealthy nature and long-term persistence. To tackle this challenge, provenance-based threat hunting has gained traction as a proactive defense mechanism. This technique models audit logs as a whole-system provenance graph and searches for subgraphs that match APT patterns recorded in Cyber Threat Intelligence (CTI) reports. However, several limitations persist: 1) significant memory and time overhead due to the extremely large provenance graphs; 2) imprecise segmentation of APT activities from provenance graphs due to their intricate entanglement with benign operations; and 3) poor alignment of attack representations between CTI-derived query graphs and provenance graphs due to their substantial semantic gaps. To address these limitations, this paper presents ProHunter, an efficient and accurate provenance-based APT hunting system with a platform-independent design. To minimize system overhead, ProHunter creates a compact data structure that efficiently stores long-term provenance graphs using semantic abstraction and bit-level hierarchical encoding strategies. To segment APT behaviors, a heuristic-driven threat graph sampling algorithm is designed, which can extract precise attack patterns from provenance graphs. Furthermore, to bridge the semantic gaps between CTI-derived graphs and provenance graphs, ProHunter proposes adaptive graph representation and feature enhancement methods, enabling the extraction of consistent attack semantics at both localized and globalized levels.Extensive evaluations on real-world APT campaigns from DARPA TC E3, E5 and OpTC datasets demonstrate that ProHunter outperforms state-of-the-art threat hunting systems in terms of efficiency and accuracy. Our code is available at https://github.com/xueboQiu/ProHunter.
- Abstract(参考訳): Advanced Persistent Threats (APTs) はステルス性や長期持続性のために検出が困難である。
この課題に対処するために、プロビデンスベースの脅威狩りは、積極的な防御メカニズムとして勢いを増している。
このテクニックは、ログをシステム全体の前処理グラフとしてモデル化し、サイバー脅威インテリジェンス(CTI)レポートに記録されたAPTパターンにマッチするサブグラフを検索する。
しかし、いくつかの制限が続く。
1) 極めて大きな前兆グラフによるメモリと時間のオーバーヘッド
2) 良性操作による複雑な絡み合いによる前兆グラフからのAPT活動の不正確なセグメンテーション
3)CTI由来のクエリグラフとプロファイランスグラフとのアタック表現の整合性は,その意味的ギャップが大きいため不十分であった。
これらの制約に対処するために,プラットフォームに依存しない設計で効率的かつ高精度なAPTハンティングシステムであるProHunterを提案する。
システムのオーバーヘッドを最小限に抑えるため、ProHunterは、セマンティック抽象化とビットレベルの階層的エンコーディング戦略を使用して、長期の証明グラフを効率的に保存する、コンパクトなデータ構造を作成する。
APTの動作をセグメント化するために、経験グラフから正確な攻撃パターンを抽出できるヒューリスティックな脅威グラフサンプリングアルゴリズムが設計されている。
さらに,CTI由来のグラフと前駆グラフのセマンティックギャップを埋めるため,適応グラフ表現と特徴拡張手法を提案し,局所化レベルとグローバル化レベルの両方で一貫した攻撃セマンティクスの抽出を可能にした。DARPA TC E3, E5, OpTCデータセットによる実世界のAPTキャンペーンに対する大規模な評価は,ProHunterが最先端の脅威追跡システムより効率と精度で優れていることを示した。
私たちのコードはhttps://github.com/xueboQiu/ProHunter.comから入手可能です。
関連論文リスト
- Learning to Explore: Policy-Guided Outlier Synthesis for Graph Out-of-Distribution Detection [51.93878677594561]
教師なしグラフレベルのOOD検出では、モデルは通常、IDデータのみを使用して訓練される。
本稿では,スタティックスを学習した探索戦略に置き換える政策誘導型アウトリア合成フレームワークを提案する。
論文 参考訳(メタデータ) (2026-02-28T11:40:18Z) - HELP: HyperNode Expansion and Logical Path-Guided Evidence Localization for Accurate and Efficient GraphRAG [53.30561659838455]
大きな言語モデル(LLM)は、しばしば固有の知識境界と幻覚に苦しむ。
Retrieval-Augmented Generation (RAG) は、マルチホップ推論に不可欠な構造的相互依存性をしばしば見落としている。
ヘルプは、複数の単純でマルチホップなQAベンチマークで競合性能を達成し、グラフベースのRAGベースラインよりも28.8$times$のスピードアップを実現している。
論文 参考訳(メタデータ) (2026-02-24T14:05:29Z) - Semantic-Aware Advanced Persistent Threat Detection Using Autoencoders on LLM-Encoded System Logs [0.7611870296994722]
Advanced Persistent Threats(APT)は、最も困難なサイバー攻撃のひとつだ。
従来の統計手法と浅い機械学習技術は、しばしばそれらを検出するのに失敗する。
本稿では,セマンティック埋め込みを利用した新しい異常検出手法を提案する。
論文 参考訳(メタデータ) (2026-01-30T12:38:12Z) - APT-CGLP: Advanced Persistent Threat Hunting via Contrastive Graph-Language Pre-Training [33.84587345029278]
Provenance-based threat Huntは、CTI(Cyber Threat Intelligence)に記述されている攻撃パターンと、システム監査ログから派生した証明グラフを関連付けて、エンドポイント上のAdvanced Persistent Threats(APT)を特定する。
このパラダイムの根本的な課題は、前駆グラフとCTIレポートの間の構造的および意味的な切り離しであるモダリティギャップにある。
APT-CGLPは,コントラストグラフ・ランゲージ事前学習による新しいAPT狩猟システムである。
論文 参考訳(メタデータ) (2025-11-25T13:20:12Z) - ActMiner: Applying Causality Tracking and Increment Aligning for Graph-based Cyber Threat Hunting [10.984552353074006]
証明グラフに基づく既存の脅威狩りシステムは、高い偽陰性、高い偽陽性、低い効率の課題に直面している。
本稿では,記述グラフ上のサイバー脅威インテリジェンスレポートの正確な関係からクエリグラフを構築するActorminerを提案する。
アクティナーは偽陽性を39.1%減らし、偽陰性をすべて排除し、敵の攻撃を効果的に阻止することを示した。
論文 参考訳(メタデータ) (2025-01-10T08:53:54Z) - GraphDART: Graph Distillation for Efficient Advanced Persistent Threat Detection [11.730485948507523]
サイバー物理社会システム(CPSS)は、近年、多くのアプリケーションで登場しており、セキュリティ上の懸念に注意を向ける必要がある。
Advanced Persistent Threats (APT)のような高度な脅威の台頭は、CPSSのセキュリティを特に困難にしている。
提案するGraphDARTは,前駆体グラフをコンパクトかつ有意義な表現に変換するために設計されたモジュラーフレームワークである。
論文 参考訳(メタデータ) (2025-01-06T06:29:57Z) - Graph Transductive Defense: a Two-Stage Defense for Graph Membership Inference Attacks [50.19590901147213]
グラフニューラルネットワーク(GNN)は、さまざまな現実世界のアプリケーションにおいて、強力なグラフ学習機能を提供する。
GNNは、メンバーシップ推論攻撃(MIA)を含む敵攻撃に対して脆弱である
本稿では,グラフトランスダクティブ学習特性に合わせて,グラフトランスダクティブ・ディフェンス(GTD)を提案する。
論文 参考訳(メタデータ) (2024-06-12T06:36:37Z) - Everything Perturbed All at Once: Enabling Differentiable Graph Attacks [61.61327182050706]
グラフニューラルネットワーク(GNN)は敵の攻撃に弱いことが示されている。
本稿では,DGA(Dariable Graph Attack)と呼ばれる新しい攻撃手法を提案し,効果的な攻撃を効率的に生成する。
最先端と比較して、DGAは6倍のトレーニング時間と11倍のGPUメモリフットプリントでほぼ同等の攻撃性能を達成する。
論文 参考訳(メタデータ) (2023-08-29T20:14:42Z) - Reinforcement Learning-based Black-Box Evasion Attacks to Link
Prediction in Dynamic Graphs [87.5882042724041]
動的グラフ(LPDG)におけるリンク予測は、多様な応用を持つ重要な研究課題である。
我々は,LPDG法の脆弱性を調査し,最初の実用的なブラックボックス回避攻撃を提案する。
論文 参考訳(メタデータ) (2020-09-01T01:04:49Z) - Graph Backdoor [53.70971502299977]
GTAはグラフニューラルネットワーク(GNN)に対する最初のバックドア攻撃である。
GTAは、トポロジカル構造と記述的特徴の両方を含む特定の部分グラフとしてトリガーを定義する。
トランスダクティブ(ノード分類など)とインダクティブ(グラフ分類など)の両方のタスクに対してインスタンス化することができる。
論文 参考訳(メタデータ) (2020-06-21T19:45:30Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。