論文の概要: GRASP -- Graph-Based Anomaly Detection Through Self-Supervised Classification
- arxiv url: http://arxiv.org/abs/2605.07812v1
- Date: Fri, 08 May 2026 14:45:36 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-11 19:43:39.126675
- Title: GRASP -- Graph-Based Anomaly Detection Through Self-Supervised Classification
- Title(参考訳): GRASP -- 自己監督型分類によるグラフベースの異常検出
- Authors: Robin Buchta, Carsten Kleiner, Felix Heine, Gabi Dreo Rodosek,
- Abstract要約: 高度な永続的脅威(APT)攻撃は、ステルス、適応性、正統なシステムコンポーネントの使用により検出が難しいままである。
マスク付き自己教師型分類に基づくPIDSであるGRASPを紹介する。
GRASPは、既知の攻撃関連活動を含む異常な動作を常に検出し、既存のシステムより優れていることを示す。
- 参考スコア(独自算出の注目度): 0.31498833540989407
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Advanced persistent threat (APT) attacks remain difficult to detect due to their stealth, adaptability, and use of legitimate system components. Provenance-based intrusion detection systems (PIDS) offer a promising defense by capturing detailed relationships between system components and actions. However, current PIDS rely on predefined or subset-determined thresholds, which limit detection stability and the ability to detect any anomalous behavior in general. Furthermore, related work often neglects the role of process executables, which describe system activity by interacting through a process with files, network components, and other processes. We introduce GRASP, a PIDS based on masked self-supervised classification. GRASP masks the executable information of processes and learns to infer it from their two-hop provenance graph neighborhood, marking misclassified processes as anomalies. It captures behavior patterns for the learned executables without thresholding, making it robust against interference and unknown activities. Evaluations on the DARPA TC and OpTC datasets demonstrate that GRASP consistently detects anomalous behavior, including known attack-related activities, outperforming existing systems. Our PIDS identifies all documented attacks on datasets where the behavior of executables is learnable. In addition, compared to existing systems, GRASP uncovers potentially malicious anomalous behavior not labeled as an attack in the documentation.
- Abstract(参考訳): 高度な永続的脅威(APT)攻撃は、ステルス、適応性、正統なシステムコンポーネントの使用により検出が難しいままである。
Provenance-based Intrusion Detection System (PIDS) は、システムコンポーネントとアクション間の詳細な関係をキャプチャすることで、有望な防御を提供する。
しかし、現在のPIDSは事前に定義されたまたはサブセット決定された閾値に依存しており、検出の安定性と一般に異常な振る舞いを検出する能力を制限する。
さらに、関連する作業は、ファイル、ネットワークコンポーネント、その他のプロセスとプロセスを通して相互作用するシステムアクティビティを記述するプロセス実行ファイルの役割を無視することが多い。
マスク付き自己教師型分類に基づくPIDSであるGRASPを紹介する。
GRASPはプロセスの実行可能な情報を隠蔽し、それを2つのホップ前処理グラフの近傍から推測し、誤って分類されたプロセスを異常としてマークする。
学習した実行ファイルの動作パターンをしきい値なしでキャプチャし、干渉や未知の活動に対して堅牢になる。
DARPA TCとOPTCデータセットの評価は、GRASPが既知の攻撃関連活動を含む異常な振る舞いを一貫して検出し、既存のシステムより優れていることを示している。
我々のPIDSは、実行可能データの振る舞いが学習可能なデータセットに対するすべての文書化された攻撃を特定します。
さらに、既存のシステムと比較して、GRASPはドキュメントの攻撃としてラベル付けされていない潜在的に悪意のある異常な振る舞いを明らかにする。
関連論文リスト
- AJ-Bench: Benchmarking Agent-as-a-Judge for Environment-Aware Evaluation [71.49152943451328]
我々は,AJ-Benchベンチマークを導入し,ドメイン検索,データシステム,グラフィカルユーザインタフェースの3つの領域にまたがるエージェント・アズ・ア・Judgeを評価する。
実験ではLLM-as-a-Judgeベースラインよりも一貫したパフォーマンス向上を示し、エージェントベースの検証においてかなりオープンな課題を明らかにした。
論文 参考訳(メタデータ) (2026-04-20T13:23:38Z) - NeuroTrace: Inference Provenance-Based Detection of Adversarial Examples [1.096626056612224]
Inference Provenance Graphs (IPGs) を用いた推論前駆体分析フレームワークであるNeuroTraceを紹介する。
IPGは、モデルの前方通過中にアクティベーション動作とパラメータ誘起データフローの両方をキャプチャする異種グラフである。
攻撃中, マルチアタック, クロススリート転送設定下での逆例検出のためのIPGベース検出器の評価を行った。
論文 参考訳(メタデータ) (2026-04-15T22:23:40Z) - CANTXSec: A Deterministic Intrusion Detection and Prevention System for CAN Bus Monitoring ECU Activations [53.036288487863786]
物理ECUアクティベーションに基づく最初の決定論的侵入検知・防止システムであるCANTXSecを提案する。
CANバスの古典的な攻撃を検知・防止し、文献では調査されていない高度な攻撃を検知する。
物理テストベッド上での解法の有効性を実証し,攻撃の両クラスにおいて100%検出精度を達成し,100%のFIAを防止した。
論文 参考訳(メタデータ) (2025-05-14T13:37:07Z) - Defending against Indirect Prompt Injection by Instruction Detection [109.30156975159561]
InstructDetectorは、LLMの動作状態を利用して潜在的なIPI攻撃を特定する、新しい検出ベースのアプローチである。
InstructDetectorは、ドメイン内設定で99.60%、ドメイン外設定で96.90%の検出精度を達成し、攻撃成功率をBIPIAベンチマークで0.03%に下げる。
論文 参考訳(メタデータ) (2025-05-08T13:04:45Z) - OMNISEC: LLM-Driven Provenance-based Intrusion Detection via Retrieval-Augmented Behavior Prompting [4.71781133841068]
Provenance-based Intrusion Detection Systems (PIDS) はエンドポイントの脅威分析に広く利用されている。
攻撃手法の進化により、ルールは攻撃者の全ての特性を動的にモデル化することはできない。
異常検出システムは、通常の行動の変化と実際の攻撃行動とを区別できないため、重大な偽陽性問題に直面している。
論文 参考訳(メタデータ) (2025-03-05T02:08:12Z) - Kairos: Practical Intrusion Detection and Investigation using
Whole-system Provenance [4.101641763092759]
警告グラフは、システムの実行履歴を記述した構造化監査ログである。
証明に基づく侵入検知システム(PIDS)の開発を促進する4つの共通次元を同定する。
4次元のデシラタを同時に満足させる最初のPIDSであるKAIROSについて述べる。
論文 参考訳(メタデータ) (2023-08-09T16:04:55Z) - Interactive System-wise Anomaly Detection [66.3766756452743]
異常検出は様々なアプリケーションにおいて基本的な役割を果たす。
既存のメソッドでは、インスタンスがデータとして容易に観察できないシステムであるシナリオを扱うのが難しい。
システム埋め込みを学習するエンコーダデコーダモジュールを含むエンドツーエンドアプローチを開発する。
論文 参考訳(メタデータ) (2023-04-21T02:20:24Z) - A Rule Mining-Based Advanced Persistent Threats Detection System [2.75264806444313]
高度な永続的脅威(APT)は、標的組織から貴重な情報を盗もうとするステルスなサイバー攻撃である。
活動間の因果関係を見つけ出し、不審な出来事を発生させるのに役立てることができるため、希少な追跡と痕跡採掘は有望であると考えられている。
プロセスアクティビティを反映するOSに依存しない特徴を活用する教師なしの手法を導入し,プロファイランストレースから現実的なAPTライクな攻撃を検出する。
論文 参考訳(メタデータ) (2021-05-20T22:13:13Z) - No Need to Know Physics: Resilience of Process-based Model-free Anomaly
Detection for Industrial Control Systems [95.54151664013011]
本稿では,システムの物理的特性に反する逆スプーフ信号を生成するための新しい枠組みを提案する。
トップセキュリティカンファレンスで公表された4つの異常検知器を分析した。
論文 参考訳(メタデータ) (2020-12-07T11:02:44Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。