Core Concepts
プロベナンスグラフの長期的な関係を活用することで、長期にわたる潜在的なAPT攻撃を効果的に検出する
Abstract
本論文は、APT攻撃の検出に関する新しい手法LTRDetectorを提案している。
まず、プロベナンスグラフのデータを圧縮し、グラフ埋め込み手法を用いて各ノードの特徴を抽出する。
次に、マルチヘッド注意機構を用いて、プロベナンスグラフの長期的な特徴を抽出する。
最後に、クラスタリングアルゴリズムを用いて正常な挙動を学習し、異常な挙動を検出する。
5つの公開データセットで評価を行い、従来手法と比較して高い検出精度を示している。
長期にわたる潜在的なAPT攻撃の特徴を捉えることで、ゼロデイ攻撃などの未知の攻撃にも対応可能である。
Stats
APT攻撃は平均365日の潜伏期間を持つ
攻撃者はゼロデイ脆弱性を利用して長期にわたりシステムを監視する
Quotes
"APT攻撃は、長期にわたる持続性、高度な隠蔽性、低頻度の特徴を持つ"
"従来の検出手法は、APT攻撃の長期的な特徴を捉えることができず、ゼロデイ攻撃などの未知の攻撃に対応できない"