論文の概要: Context-Aware Web Attack Detection in Open-Source SIEM Systems via MITRE ATT&CK-Enriched Behavioral Profiling
- arxiv url: http://arxiv.org/abs/2605.13337v1
- Date: Wed, 13 May 2026 10:54:36 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-14 23:30:27.994581
- Title: Context-Aware Web Attack Detection in Open-Source SIEM Systems via MITRE ATT&CK-Enriched Behavioral Profiling
- Title(参考訳): MITRE ATT&CK-Enriched Behavioral ProfilingによるオープンソースSIEMシステムにおけるコンテキスト対応Web攻撃検出
- Authors: Badr Alboushy, Assef Jafar, Mohamad Aljnidi, Mohamad Bashar Disoki, Aref Shaheed,
- Abstract要約: 本稿では,オープンソースのWazuh SIEMプラットフォーム用のAIモジュールであるSmart-SIEMを紹介する。
HTTP応答統計分布を符号化した振る舞いコンテキストベクトルを用いる。
2段階のハイブリッドカスケードは、LightGBMをバイナリアタック検出に、XGBoostを6クラスのアタック分類に組み合わせている。
- 参考スコア(独自算出の注目度): 0.0
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Security Information and Event Management (SIEM) systems aggregate log data from heterogeneous sources to detect coordinated attacks. Traditional rule-based correlation engines struggle to classify multi-step web application attacks because they examine each event without reference to the behavioural history of the originating host. We present Smart-SIEM, an AI module for the open-source Wazuh SIEM platform with two contributions: (1) a per-source-IP behavioural context vector encoding HTTP response-status distributions, peak rule activation counts, and MITRE ATT&CK technique frequencies from the N most recent prior events; (2) a two-stage hybrid cascade combining LightGBM for binary attack detection and XGBoost for six-class attack categorisation. Evaluated on 46,454 purpose-built Wazuh security events, context features improve all tested gradient boosting algorithms from ~0.705 macro F1 to 0.947-0.967 (Stage 1) and 0.876-0.914 (Stage 2), an average gain of +0.254 and +0.324 respectively. The hybrid cascade achieves F1 of 0.967 (binary) and 0.914 (six-class). Wazuh's native rule engine detects 0% of Brute Force and Broken Authentication events; the AI module detects 100% and 98.3% respectively. A self-adaptive retraining mechanism recovers from concept drift: F1 drops from 0.905 to 0.465 when unseen attack types emerge, recovering to 0.814 after retraining on the combined corpus.
- Abstract(参考訳): SIEM(Security Information and Event Management)システムは、異種ソースからのログデータを集約して、協調攻撃を検出する。
従来のルールベースの相関エンジンは、発生したホストの振る舞い履歴に言及せずに各イベントを調べるため、マルチステップのWebアプリケーションアタックを分類するのに苦労する。
我々は,オープンソースの Wazuh SIEM プラットフォーム用のAIモジュールである Smart-SIEM について,(1) HTTP 応答統計分布を符号化するオープンソースIP 行動コンテキストベクトル,ピークルールアクティベーション数,およびMITRE ATT&CK テクニックをN の最近のイベントから取得した頻度,(2) バイナリアタック検出に LightGBM と XGBoost を併用した2段階ハイブリッドカスケードを提案する。
46,454件のセキュリティイベントを評価すると、コンテキスト機能はテスト済みのグラデーション強化アルゴリズムを ~0.705 マクロ F1 から 0.947-0.967 (Stage) まで改善する。
1) および0.876-0.914 (Stage 2) の平均利得は+0.254および+0.324であった。
ハイブリッドカスケードは0.967(バイナリ)と0.914(6クラス)のF1を達成する。
Wazuhのネイティブルールエンジンは、Brute ForceとBroken Authenticationイベントの0%を検出し、AIモジュールはそれぞれ100%と98.3%を検出する。
F1は未確認の攻撃種が出現すると0.905から0.465に低下し、組み合わせたコーパスで再訓練した後0.814に回復する。
関連論文リスト
- Beyond Pattern Matching: Seven Cross-Domain Techniques for Prompt Injection Detection [0.0]
本研究は,大言語以外の分野から特定のメカニズムを移植する7つの検出手法を提案する。
7つのテクニックのうち3つは、プロンプトシールドv0.4.1リリース(Apache 2.0)で実装され、6つのデータセットにわたる4つの設定アブレーションで評価されている。
論文 参考訳(メタデータ) (2026-04-20T13:27:05Z) - AnomalyGen: Enhancing Log-Based Anomaly Detection with Code-Guided Data Augmentation [42.87177529900358]
AnomalyGenは、ラベル付きログシーケンスをソースコードから合成することによってトレーニングデータを増強する新しいフレームワークである。
12のさまざまな異常検出モデルに対するHDFSとZookeeperの評価は、AnomalyGenが一貫してパフォーマンスを改善していることを示している。
論文 参考訳(メタデータ) (2026-04-13T07:24:43Z) - CLASP: Defending Hybrid Large Language Models Against Hidden State Poisoning Attacks [48.54598003197356]
Mambaのような状態空間モデル(SSM)はトランスフォーマーの効率的な代替品として大きな注目を集めている。
HiSPAsは、最近発見された脆弱性で、敵対する文字列を通じてSSMメモリを破損させる。
この脅威に対して防御するためのCLASPモデルを紹介します。
論文 参考訳(メタデータ) (2026-03-12T17:29:55Z) - MI$^2$DAS: A Multi-Layer Intrusion Detection Framework with Incremental Learning for Securing Industrial IoT Networks [47.386868423451595]
MI$2$DASは、異常に基づく階層的なトラフィックプーリングとオープンセット認識を統合する多層侵入検知フレームワークである。
Edge-IIoTsetデータセットで実施された実験は、すべてのレイヤで強力なパフォーマンスを示している。
これらの結果は、IIoTセキュリティを強化するための効果的でスケーラブルで適応的なフレームワークとして、MI$2$DASを示している。
論文 参考訳(メタデータ) (2026-02-27T09:37:05Z) - Enhancing Continual Learning for Software Vulnerability Prediction: Addressing Catastrophic Forgetting via Hybrid-Confidence-Aware Selective Replay for Temporal LLM Fine-Tuning [43.24339861841546]
本稿では,CVE-linked データセット上でのデコーダ型言語モデル (phi/phi-2 with LoRA) の微調整について検討する。
本研究では,ウィンドウオンリーおよび累積学習,リプレイベースライン,正規化ベースバリアントを含む8つの連続学習戦略を評価する。
ハイブリッドCASRはベースラインと比較してウィンドウ当たりのトレーニング時間を約17%削減する一方、累積トレーニングは15.9倍の計算コストでF1をわずかに増加させる(0.661)。
論文 参考訳(メタデータ) (2026-02-27T09:13:23Z) - Generative Active Adaptation for Drifting and Imbalanced Network Intrusion Detection [14.728689487990836]
生成能動適応フレームワークは、モデルロバスト性を高めながらラベリング作業を最小化する。
我々は、シミュレーションIDSデータと実世界のISPデータセットの両方に基づいて、エンドツーエンドフレームワークNetGuardを評価した。
論文 参考訳(メタデータ) (2025-03-04T21:49:42Z) - Deep Autoencoders for Unsupervised Anomaly Detection in Wildfire Prediction [42.447827727628734]
森林火災は気候危機により地球生態系に深刻な危険をもたらす。
複雑な性質のため、機械学習のような野火の予測に対する革新的なアプローチが緊急に必要である。
この研究は、古典的な教師あり学習とは異なるユニークなアプローチを採り、教師なしの山火事予測のギャップに対処した。
論文 参考訳(メタデータ) (2024-11-14T23:19:55Z) - Sample Efficient Detection and Classification of Adversarial Attacks via
Self-Supervised Embeddings [40.332149464256496]
ディープモデルのアドリヤロバスト性は、現実世界の環境において安全な配置を確保する上で重要な要素である。
本稿では、敵攻撃を検知し、それらの脅威モデルに分類する自己教師型手法を提案する。
我々は,SimCLRエンコーダを実験で使用しています。
論文 参考訳(メタデータ) (2021-08-30T16:39:52Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。