Core Concepts
CAPTAIN은 자동으로 탐지 규칙을 조정하여 다양한 환경에 적응할 수 있는 경량 추적 기반 침입 탐지 시스템이다.
Abstract
CAPTAIN은 다음과 같은 특징을 가지고 있다:
탐지 모듈과 학습 모듈로 구성되어 있다. 탐지 모듈은 감사 로그를 입력받아 탐지 결과를 생성하고, 학습 모듈은 탐지 과정에서 발생한 오탐을 바탕으로 탐지 모듈의 구성 매개변수를 자동으로 조정한다.
탐지 모듈에서는 세 가지 적응형 매개변수(초기 태그 설정, 태그 전파율, 경보 생성 임계값)를 도입하여 다양한 환경에 맞게 탐지 규칙을 조정할 수 있다.
학습 모듈에서는 차등 가능한 태그 전파 프레임워크를 구축하고 경사 하강법을 활용하여 적응형 매개변수를 최적화한다. 이를 통해 오탐을 크게 줄일 수 있다.
DARPA Engagement 데이터셋과 산업 파트너의 시뮬레이션 데이터셋에서 평가한 결과, CAPTAIN은 기존 시스템 대비 오탐 감소, 탐지 정확도 향상, 낮은 지연 시간과 오버헤드를 보여주었다. 또한 학습된 구성을 통해 설명 가능한 탐지 결과를 제공할 수 있다.
Stats
CAPTAIN은 기존 시스템 대비 오탐을 평균 90% 이상 감소시켰다.
CAPTAIN은 DARPA Engagement 데이터셋에서 모든 공격을 탐지했다.
CAPTAIN의 CPU 사용량은 10% 미만이며, 메모리 사용량과 지연 시간도 크게 낮다.
Quotes
"CAPTAIN은 자동으로 탐지 규칙을 조정하여 다양한 환경에 적응할 수 있는 경량 추적 기반 침입 탐지 시스템이다."
"CAPTAIN은 기존 시스템 대비 오탐을 평균 90% 이상 감소시켰다."
"CAPTAIN은 DARPA Engagement 데이터셋에서 모든 공격을 탐지했다."