CONTINUUM: Detecting APT Attacks through Spatial-Temporal Graph Neural Networks

要約

Advanced Persistent Threat (APT) は、その高度でステルス的な性質により、サイバーセキュリティにおける重大な課題となっています。
従来の侵入検知システム (IDS) では、こうした多段階の攻撃を検出できないことがよくあります。
最近、グラフ ニューラル ネットワーク (GNN) が、ネットワーク化されたデータ内の複雑な関係を分析することで IDS 機能を強化するために採用されています。
ただし、既存の GNN ベースのソリューションは、高い誤検知率と大量のリソース消費によって妨げられています。
この論文では、時空間グラフ ニューラル ネットワーク オートエンコーダーを使用して APT を検出するように設計された新しい IDS を紹介します。
私たちのアプローチでは、空間情報を活用してグラフ内のエンティティ間の相互作用を理解し、時間情報を活用して時間の経過に伴うグラフの変化を捉えます。
この二重の視点は、APT の一連の段階を特定するために重要です。
さらに、プライバシーとスケーラビリティの懸念に対処するために、フェデレーテッド ラーニング環境にアーキテクチャを展開します。
この設定により、ローカル データはオンプレミスに残り、暗号化されたモデルの重みは準同型暗号化を使用して共有および集約され、データのプライバシーとセキュリティが維持されます。
私たちの評価では、このシステムが既存の方法と比較して誤検知率が低く、リソース使用量が最適化されて APT を効果的に検出できることが示されており、サイバーセキュリティ防御の強化における時空間分析と連合学習の可能性が強調されています。

要約(オリジナル)

Advanced Persistent Threats (APTs) represent a significant challenge in cybersecurity due to their sophisticated and stealthy nature. Traditional Intrusion Detection Systems (IDS) often fall short in detecting these multi-stage attacks. Recently, Graph Neural Networks (GNNs) have been employed to enhance IDS capabilities by analyzing the complex relationships within networked data. However, existing GNN-based solutions are hampered by high false positive rates and substantial resource consumption. In this paper, we present a novel IDS designed to detect APTs using a Spatio-Temporal Graph Neural Network Autoencoder. Our approach leverages spatial information to understand the interactions between entities within a graph and temporal information to capture the evolution of the graph over time. This dual perspective is crucial for identifying the sequential stages of APTs. Furthermore, to address privacy and scalability concerns, we deploy our architecture in a federated learning environment. This setup ensures that local data remains on-premise while encrypted model-weights are shared and aggregated using homomorphic encryption, maintaining data privacy and security. Our evaluation shows that this system effectively detects APTs with lower false positive rates and optimized resource usage compared to existing methods, highlighting the potential of spatio-temporal analysis and federated learning in enhancing cybersecurity defenses.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google