Towards Characterizing Cyber Networks with Large Language Models

要約

脅威ハンティングでは、ノイズの多い大規模な高次元データを分析して、まばらな敵対的な動作を見つけます。
私たちは、敵対的な活動は、たとえそれが偽装されていたとしても、高次元空間で完全に隠すのは非常に難しいと信じています。
この論文では、サイバー データのこれらの潜在的な特徴を利用して、Cyber​​ Log Embeddings Model (CLEM) と呼ばれるプロトタイプ ツールを介して異常を発見します。
CLEM は、実世界の運用ネットワークとモノのインターネット (IoT) サイバーセキュリティ テストベッドの両方からの Zeek ネットワーク トラフィック ログでトレーニングされました。
モデルは、各ウィンドウを厳密に特徴付けるために、データのスライディング ウィンドウで意図的にオーバートレーニングされます。
調整済みランドインデックス (ARI) を使用して、CLEM 出力の K 平均法クラスタリングとエンベディングの専門家によるラベル付けを比較します。
私たちのアプローチは、自然言語モデリングを使用してサイバー データを理解することが期待できることを示しています。

要約(オリジナル)

Threat hunting analyzes large, noisy, high-dimensional data to find sparse adversarial behavior. We believe adversarial activities, however they are disguised, are extremely difficult to completely obscure in high dimensional space. In this paper, we employ these latent features of cyber data to find anomalies via a prototype tool called Cyber Log Embeddings Model (CLEM). CLEM was trained on Zeek network traffic logs from both a real-world production network and an from Internet of Things (IoT) cybersecurity testbed. The model is deliberately overtrained on a sliding window of data to characterize each window closely. We use the Adjusted Rand Index (ARI) to comparing the k-means clustering of CLEM output to expert labeling of the embeddings. Our approach demonstrates that there is promise in using natural language modeling to understand cyber data.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google