Основные понятия
プロベナンスベースの侵入検知システムは、細粒度の因果関係分析を通じて、正常な行動と悪意のある行動を区別する優れた能力を示しており、産業界と学界の両方から広く注目されている。ルールベースのプロベナンスベース侵入検知システムは、軽量な負荷、リアルタイム性、説明可能性などの利点を持つが、細粒度のルールと環境固有の設定の欠如により、検知精度が低く、特に高い誤検知率に悩まされている。
Аннотация
本論文では、CAPTAIN と呼ばれる、自動的に環境に適応できるルールベースの侵入検知システムを提案する。具体的には、ノード、エッジ、アラーム生成しきい値に関する3つの適応パラメータを導入し、微分可能なタグ伝播フレームワークを構築し、勾配降下アルゴリズムを利用して、これらの適応パラメータを訓練データに基づいて最適化する。DARPA Engagement データセットとシミュレーション環境から収集したデータを用いて評価した結果、CAPTAINは従来のルールベースシステムに比べて誤検知率を90%以上(11.49倍)削減し、最先端の埋め込みベースシステムに比べても検知精度が高く、検知遅延が短く、実行時オーバーヘッドが低いことが示された。また、学習された設定の説明可能性についても検討した。
Статистика
従来のルールベースシステムと比較して、CAPTAINは誤検知イベントを93%以上(15.66倍)削減した。
CAPTAINは、SHADEWATCHERと比較して誤検知イベントを95%以上(20.45倍)削減した。
CAPTAINは、MORSEと比較して、すべてのアラームカテゴリーで誤検知を90%以上(11.49倍)削減した。
Цитаты
"プロベナンスベースの侵入検知システムは、因果関係分析の能力により、正常な行動と悪意のある行動を区別する優れた能力を示しており、産業界と学界の両方から広く注目されている。"
"ルールベースのプロベナンスベース侵入検知システムは、軽量な負荷、リアルタイム性、説明可能性などの利点を持つが、細粒度のルールと環境固有の設定の欠如により、検知精度が低く、特に高い誤検知率に悩まされている。"
"CAPTAINは従来のルールベースシステムに比べて誤検知率を90%以上(11.49倍)削減し、最先端の埋め込みベースシステムに比べても検知精度が高く、検知遅延が短く、実行時オーバーヘッドが低い。"