論文の概要: A Source Domain is All You Need: Source-Only Cross-OS Transfer Learning for APT Anomaly Detection via Semantic Alignment and Optimal Transport
- arxiv url: http://arxiv.org/abs/2606.10216v1
- Date: Mon, 08 Jun 2026 22:13:42 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-10 15:40:58.211854
- Title: A Source Domain is All You Need: Source-Only Cross-OS Transfer Learning for APT Anomaly Detection via Semantic Alignment and Optimal Transport
- Title(参考訳): ソースドメインは必要なすべて: セマンティックアライメントと最適トランスポートによるAPT異常検出のためのソース専用クロスOSトランスファー学習
- Authors: Sidahmed Benabderrahmanea, Petko Valtchev, James Cheney, Talal Rahwan,
- Abstract要約: 本稿では,ソースのみのクロスOSAPT検出問題について,システムレベルのプロファイランストレースを用いて検討する。
本稿では,ゼロ目標監督下での異常対象プロセスのランク付けのためのトランスポートベースフレームワークを提案する。
提案フレームワークはソースのみの異常検出ベースラインよりもROC-AUCとnDCGを改善する。
- 参考スコア(独自算出の注目度): 3.005222044503286
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: Advanced Persistent Threats (APTs) are stealthy, multi-stage cyberattacks whose detection is difficult due to scarce labeled traces, severe class imbalance, and the challenge of generating realistic malicious behavior. These challenges are amplified in cross-operating-system (cross-OS) settings, where a detector trained on one source platform must be deployed on an unlabeled target platform without access to target-domain labels. We study this source-only cross-OS APT detection problem using system-level provenance traces and propose a transport-based framework for ranking anomalous target processes under zero target supervision. The framework abstracts process behavior into structured natural-language descriptions, embeds them using pretrained language models, and constructs a source-normal reference for target scoring. It combines three evidence channels: semantic deviation from source-normal prototypes, structural deviation captured by graph autoencoding, and geometric deviation measured through Optimal Transport (OT). The main contribution is an OT-based barycentric anomaly score that projects target embeddings onto the source-normal manifold and quantifies residual transport mismatch. We further introduce entropy-weighted, angle-aware, and density-aware OT variants to capture uncertainty, directional drift, and sparse-support behavior. Evaluation on DARPA Transparent Computing data spanning Linux, Windows, BSD, and Android, across two APT scenarios and twelve cross-OS transfer pairs, shows that the proposed framework improves ROC-AUC and nDCG over source-only anomaly-detection baselines. The results demonstrate that source-only provenance modeling, combined with semantic abstraction and OT-based anomaly scoring, can support practical cross-platform APT detection without target-domain supervision.
- Abstract(参考訳): Advanced Persistent Threats (APTs) はステルスで多段階のサイバー攻撃であり、ラベル付きトレースの不足、厳格な階級不均衡、現実的な悪意のある行動を生み出すことによる検出が困難である。
これらの課題は、クロスオペレーティングシステム(クロスOS)の設定で増幅され、あるソースプラットフォームでトレーニングされた検出器を、ターゲットドメインラベルにアクセスせずに、ラベルのないターゲットプラットフォームにデプロイする必要がある。
本稿では,システムレベルのプロファイランストレースを用いたソースオンリーのクロスOSAPT検出問題について検討し,異常対象プロセスのランク付けのためのトランスポートベースフレームワークを提案する。
このフレームワークは、プロセスの振る舞いを構造化された自然言語記述に抽象化し、事前訓練された言語モデルを用いてそれらを埋め込み、ターゲットスコアのためのソース正規参照を構築する。
3つのエビデンスチャネルは、ソース正規化のプロトタイプからのセマンティックな偏差、グラフの自動符号化による構造的偏差、最適輸送(OT)による幾何的偏差である。
主な寄与は、OTをベースとした偏心異常スコアであり、ソース正規多様体へのターゲット埋め込みを投影し、残留輸送ミスマッチを定量化する。
さらに、エントロピー重み付き、角度対応、密度対応OT変異体を導入し、不確実性、方向のドリフト、スパース支持挙動を捉える。
Linux、Windows、BSD、AndroidにまたがるDARPAトランスペアレントコンピューティングデータの評価は、2つのAPTシナリオと12のクロスOS転送ペアで行われ、提案フレームワークはソースのみの異常検出ベースラインよりもROC-AUCとnDCGを改善していることを示している。
その結果、ソースのみのプロファイランスモデリングとセマンティック抽象化とOTベースの異常スコアリングが組み合わさって、ターゲットドメインの監視なしに実用的なクロスプラットフォームAPT検出をサポートできることが示されている。
関連論文リスト
- Beyond Input Guardrails: Reconstructing Cross-Agent Semantic Flows for Execution-Aware Attack Detection [32.301679396929536]
静的な入力フィルタリングから実行対応分析へ、防御パラダイムをシフトするフレームワークであるSysNameを提案する。
SysNameは断片化された操作プリミティブを連続した行動軌跡に合成し、システムアクティビティの全体像を可能にする。
実証的な評価により、SysNameは10以上の異なる複合攻撃ベクトルを効果的に検出し、それぞれノードレベルとパスレベルのエンドツーエンド攻撃検出に対して85.3%と66.7%のF1スコアを達成した。
論文 参考訳(メタデータ) (2026-03-04T01:59:16Z) - Semantic-Aware Advanced Persistent Threat Detection Using Autoencoders on LLM-Encoded System Logs [0.7611870296994722]
Advanced Persistent Threats(APT)は、最も困難なサイバー攻撃のひとつだ。
従来の統計手法と浅い機械学習技術は、しばしばそれらを検出するのに失敗する。
本稿では,セマンティック埋め込みを利用した新しい異常検出手法を提案する。
論文 参考訳(メタデータ) (2026-01-30T12:38:12Z) - Log anomaly detection via Meta Learning and Prototypical Networks for Cross domain generalization [0.0]
本稿では,ログ異常を検出するメタラーニング手法に基づくエンドツーエンドフレームワークを提案する。
提案手法は,Drain3ログ解析機構と動的ドリフトベースラベリング手法を組み合わせることで,まずデータを準備する。
Model Agnostic Meta-Learning (MAML)とPrototypeal Networksモデルは、迅速かつ効果的に適応するように訓練されている。
論文 参考訳(メタデータ) (2026-01-20T12:09:33Z) - VFM-Guided Semi-Supervised Detection Transformer under Source-Free Constraints for Remote Sensing Object Detection [9.029534000674388]
VG-DETRは、Vision Foundation Model(VFM)を「フリーランチ」方法でトレーニングパイプラインに統合する。
擬似ラベルの信頼性を評価するために,VFMのセマンティックな事前情報を利用した擬似ラベルマイニング手法を提案する。
さらに,デュアルレベルのVFM誘導アライメント手法を提案し,インスタンスレベルと画像レベルでのVFM埋め込みと検出器特性を一致させる。
論文 参考訳(メタデータ) (2025-08-15T02:35:56Z) - APT-LLM: Embedding-Based Anomaly Detection of Cyber Advanced Persistent Threats Using Large Language Models [4.956245032674048]
APTは、ステルスと通常のシステム動作を模倣する能力のために、大きなサイバーセキュリティ上の課題を提起する。
本稿では,新しい埋め込み型異常検出フレームワークであるAPT-LLMを紹介する。
大規模な言語モデル(LLM)とオートエンコーダアーキテクチャを統合してAPTを検出する。
論文 参考訳(メタデータ) (2025-02-13T15:01:18Z) - Semi-DETR: Semi-Supervised Object Detection with Detection Transformers [105.45018934087076]
半教師付き物体検出(SSOD)におけるDETRに基づくフレームワークの解析
本報告では,第1次変圧器を用いたエンド・ツー・エンド半教師対象検出器であるSemi-DETRについて述べる。
我々の手法は、最先端の手法をクリアマージンで上回る。
論文 参考訳(メタデータ) (2023-07-16T16:32:14Z) - Divide and Contrast: Source-free Domain Adaptation via Adaptive
Contrastive Learning [122.62311703151215]
Divide and Contrast (DaC) は、それぞれの制限を回避しつつ、両方の世界の善良な端を接続することを目的としている。
DaCは、ターゲットデータをソースライクなサンプルとターゲット固有なサンプルに分割する。
さらに、ソースライクなドメインと、メモリバンクベースの最大平均離散性(MMD)損失を用いて、ターゲット固有のサンプルとを整合させて、分散ミスマッチを低減する。
論文 参考訳(メタデータ) (2022-11-12T09:21:49Z) - Instance Relation Graph Guided Source-Free Domain Adaptive Object
Detection [79.89082006155135]
教師なしドメイン適応(Unsupervised Domain Adaptation, UDA)は、ドメインシフトの問題に取り組むための効果的なアプローチである。
UDAメソッドは、ターゲットドメインの一般化を改善するために、ソースとターゲット表現を整列させようとする。
Source-Free Adaptation Domain (SFDA)設定は、ソースデータへのアクセスを必要とせずに、ターゲットドメインに対してソーストレーニングされたモデルを適用することで、これらの懸念を軽減することを目的としている。
論文 参考訳(メタデータ) (2022-03-29T17:50:43Z) - Attentive Prototypes for Source-free Unsupervised Domain Adaptive 3D
Object Detection [85.11649974840758]
3Dオブジェクト検出ネットワークは、トレーニングされたデータに対してバイアスを受ける傾向がある。
そこで本研究では,ライダーを用いた3次元物体検出器のソースレス・教師なし領域適応のための単一フレーム手法を提案する。
論文 参考訳(メタデータ) (2021-11-30T18:42:42Z) - DAAIN: Detection of Anomalous and Adversarial Input using Normalizing
Flows [52.31831255787147]
我々は、アウト・オブ・ディストリビューション(OOD)インプットと敵攻撃(AA)を検出する新しい手法であるDAINを導入する。
本手法は,ニューラルネットワークの内部動作を監視し,活性化分布の密度推定器を学習する。
当社のモデルは,特別なアクセラレータを必要とせずに,効率的な計算とデプロイが可能な単一のGPUでトレーニングすることが可能です。
論文 参考訳(メタデータ) (2021-05-30T22:07:13Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。