IT Intrusion Detection Using Statistical Learning and Testbed Measurements

要約

私たちは、IT インフラストラクチャにおける自動侵入検出、特にインフラストラクチャからの継続的な測定に基づいて、攻撃の開始、攻撃の種類、攻撃者が実行する一連のアクションを特定する問題を研究しています。
隠れマルコフ モデル (HMM)、長短期記憶 (LSTM)、ランダム フォレスト分類器 (RFC) などの統計学習手法を適用して、一連の観測結果を一連の予測された攻撃アクションにマッピングします。
ほとんどの関連研究とは対照的に、私たちはモデルをトレーニングし、その予測力を評価するための豊富なデータを持っています。
データは、エミュレートされた IT インフラストラクチャに対して攻撃を実行する社内のテストベッドで生成されたトレースから取得されます。
私たちの仕事の中心となるのは、高次元の観測空間から低次元の空間、または小さな観測シンボルのセットに測定値をマッピングする機械学習パイプラインです。
オンラインだけでなくオフラインのシナリオでも侵入を調査すると、HMM と LSTM の両方が攻撃の開始時間、攻撃の種類、攻撃アクションの予測に効果的であることがわかりました。
十分なトレーニング データが利用可能な場合、LSTM は HMM よりも高い予測精度を実現します。
一方、HMM では、効果的な予測に必要な計算リソースとトレーニング データが少なくなります。
また、私たちが研究している方法は、SNORT のような従来の侵入検知システムによって生成されたデータから恩恵を受けていることもわかりました。

要約(オリジナル)

We study automated intrusion detection in an IT infrastructure, specifically the problem of identifying the start of an attack, the type of attack, and the sequence of actions an attacker takes, based on continuous measurements from the infrastructure. We apply statistical learning methods, including Hidden Markov Model (HMM), Long Short-Term Memory (LSTM), and Random Forest Classifier (RFC) to map sequences of observations to sequences of predicted attack actions. In contrast to most related research, we have abundant data to train the models and evaluate their predictive power. The data comes from traces we generate on an in-house testbed where we run attacks against an emulated IT infrastructure. Central to our work is a machine-learning pipeline that maps measurements from a high-dimensional observation space to a space of low dimensionality or to a small set of observation symbols. Investigating intrusions in offline as well as online scenarios, we find that both HMM and LSTM can be effective in predicting attack start time, attack type, and attack actions. If sufficient training data is available, LSTM achieves higher prediction accuracy than HMM. HMM, on the other hand, requires less computational resources and less training data for effective prediction. Also, we find that the methods we study benefit from data produced by traditional intrusion detection systems like SNORT.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google