Malicious Internet Entity Detection Using Local Graph Inference

要約

大規模ネットワークにおける悪意のある動作の検出は、高い表現力とスケーラブルな推論を備えたモデルが必要なため、コンピューター セキュリティにおける機械学習にとっては困難な問題です。
既存のソリューションはこの偉業を達成するのに苦労しています。現在のサイバーセクに合わせたアプローチはまだ表現力が限られており、他のドメインで成功している手法は大量のデータにうまく拡張できず、頻繁な再トレーニングが不可能になっています。
この研究は、ネットワーク エンティティの相互作用を大規模な異種グラフとしてモデル化するグラフ データから学習するための新しい視点を提案します。
このメソッドの高い表現力は、このタイプのデータを自然にモデル化し、理論的な保証を提供するニューラル ネットワーク アーキテクチャ HMILnet によって実現されます。
スケーラビリティは、ローカルなグラフ推論を追求することによって実現されます。つまり、個々の頂点とその近傍を独立したサンプルとして分類します。
私たちの実験では、最先端の確率的脅威伝播 (PTP) アルゴリズムよりも改善が見られ、追加データを使用するとさらに 3 倍の精度向上が見られますが、これは PTP アルゴリズムでは不可能であり、この手法の一般化機能を実証しています。
新しい、これまで見たことのない存在へ。

要約(オリジナル)

Detection of malicious behavior in a large network is a challenging problem for machine learning in computer security, since it requires a model with high expressive power and scalable inference. Existing solutions struggle to achieve this feat — current cybersec-tailored approaches are still limited in expressivity, and methods successful in other domains do not scale well for large volumes of data, rendering frequent retraining impossible. This work proposes a new perspective for learning from graph data that is modeling network entity interactions as a large heterogeneous graph. High expressivity of the method is achieved with neural network architecture HMILnet that naturally models this type of data and provides theoretical guarantees. The scalability is achieved by pursuing local graph inference, i.e., classifying individual vertices and their neighborhood as independent samples. Our experiments exhibit improvement over the state-of-the-art Probabilistic Threat Propagation (PTP) algorithm, show a further threefold accuracy improvement when additional data is used, which is not possible with the PTP algorithm, and demonstrate the generalization capabilities of the method to new, previously unseen entities.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google