Hack Me If You Can: Aggregating AutoEncoders for Countering Persistent Access Threats Within Highly Imbalanced Data

要約

Advanced Persistent Threat (APT) は、システムへの不正アクセスを取得し、長期間検出されないように設計された高度な標的型サイバー攻撃です。
APT サイバー攻撃は検出を回避するために、侵害やエクスプロイトによって防御層を欺き、それによって従来の異常検出ベースのセキュリティ手法による暴露を複雑にします。
機械学習を使用して APT を検出するという課題は、関連するデータセットの希少性とデータ内の大幅な不均衡によってさらに複雑になり、検出プロセスが非常に負担になります。
AE-APT は、基本的なものから Transformer ベースのものまで、一連の AutoEncoder メソッドを備えた APT 検出用の深層学習ベースのツールです。
私たちは、DARPA トランスペアレント コンピューティング プログラムによって作成された一連の出所追跡データベースでツールを評価しました。このデータベースでは、APT のような攻撃がデータのわずか 0.004% しか占めていません。
データセットは Android、Linux、BSD、Windows などの複数のオペレーティング システムにまたがっており、2 つの攻撃シナリオをカバーしています。
その結果、AE-APT は競合他社と比較して検出率が大幅に高く、異常の検出とランク付けにおいて優れたパフォーマンスを示していることがわかりました。

要約(オリジナル)

Advanced Persistent Threats (APTs) are sophisticated, targeted cyberattacks designed to gain unauthorized access to systems and remain undetected for extended periods. To evade detection, APT cyberattacks deceive defense layers with breaches and exploits, thereby complicating exposure by traditional anomaly detection-based security methods. The challenge of detecting APTs with machine learning is compounded by the rarity of relevant datasets and the significant imbalance in the data, which makes the detection process highly burdensome. We present AE-APT, a deep learning-based tool for APT detection that features a family of AutoEncoder methods ranging from a basic one to a Transformer-based one. We evaluated our tool on a suite of provenance trace databases produced by the DARPA Transparent Computing program, where APT-like attacks constitute as little as 0.004% of the data. The datasets span multiple operating systems, including Android, Linux, BSD, and Windows, and cover two attack scenarios. The outcomes showed that AE-APT has significantly higher detection rates compared to its competitors, indicating superior performance in detecting and ranking anomalies.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google