Unsupervised Threat Hunting using Continuous Bag-of-Terms-and-Time (CBoTT)

要約

脅威ハンティングでは、システム ログを精査して、既存のセキュリティ対策を回避した可能性のある悪意のあるアクティビティを検出します。
これはいくつかの方法で実行できますが、そのうちの 1 つは異常の検出に基づいています。
私たちは、Continuous Bag-of-Terms-and-Time (CBoTT) と呼ばれる教師なしフレームワークを提案し、そのアプリケーション プログラミング インターフェイス (API) を公開して、研究者やサイバーセキュリティ アナリストがプロセス監査を目的とした SIEM ログ間で異常ベースの脅威ハンティングを実行できるようにします。
エンドポイントデバイス。
分析の結果、私たちのフレームワークは常にベンチマーク アプローチよりも優れたパフォーマンスを示しています。
ログが異常である可能性の順に (可能性が最も高いものから最も低いものへ) 並べ替えられると、私たちのアプローチはより高いパーセンタイル (1.82 ～ 6.46 の間) で異常を特定しますが、ベンチマーク アプローチはより低いパーセンタイル (3.25 ～ 80.92 の間) で同じ異常を特定します。
このフレームワークは、他の研究者がベンチマーク分析を実施するために使用したり、サイバーセキュリティ アナリストが SIEM ログの異常を発見したりするために使用できます。

要約(オリジナル)

Threat hunting is sifting through system logs to detect malicious activities that might have bypassed existing security measures. It can be performed in several ways, one of which is based on detecting anomalies. We propose an unsupervised framework, called continuous bag-of-terms-and-time (CBoTT), and publish its application programming interface (API) to help researchers and cybersecurity analysts perform anomaly-based threat hunting among SIEM logs geared toward process auditing on endpoint devices. Analyses show that our framework consistently outperforms benchmark approaches. When logs are sorted by likelihood of being an anomaly (from most likely to least), our approach identifies anomalies at higher percentiles (between 1.82-6.46) while benchmark approaches identify the same anomalies at lower percentiles (between 3.25-80.92). This framework can be used by other researchers to conduct benchmark analyses and cybersecurity analysts to find anomalies in SIEM logs.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google