SoK: Knowledge is All You Need: Accelerating Last Mile Delivery for Automated Provenance-based Intrusion Detection with LLMs

要約

最近、出所ベースの侵入検知システム（PIDSES）は、エンドポイントの脅威分析のために広く提案されています。
ただし、体系的な統合と知識の利用の欠如により、既存のPIDSEは依然として実用的な展開のために重要な手動介入を必要とし、完全な自動化が困難になります。
この論文は、彼らが利用する知識の種類に従ってピドを分類することにより、破壊的な革新を提示します。
既存の研究における「知識サイロの問題」の一般的な問題に対応して、大規模な言語モデル（LLM）を搭載した新しい知識主導型の起源ベースの侵入検出フレームワークを紹介します。
また、このフレームワークの上に構築されたベストプラクティスシステムであるOmnisecも発表します。
攻撃表現の知識、脅威知能の知識、良性行動の知識を統合することにより、オムニセックはパブリックベンチマークデータセットで最先端のアプローチを上回ります。
Omnisecは、https：//anonymous.4open.science/r/pids-with-llm-613bでオンラインで入手できます。

要約(オリジナル)

Recently, provenance-based intrusion detection systems (PIDSes) have been widely proposed for endpoint threat analysis. However, due to the lack of systematic integration and utilization of knowledge, existing PIDSes still require significant manual intervention for practical deployment, making full automation challenging. This paper presents a disruptive innovation by categorizing PIDSes according to the types of knowledge they utilize. In response to the prevalent issue of “knowledge silos problem” in existing research, we introduce a novel knowledge-driven provenance-based intrusion detection framework, powered by large language models (LLMs). We also present OmniSec, a best practice system built upon this framework. By integrating attack representation knowledge, threat intelligence knowledge, and benign behavior knowledge, OmniSec outperforms the state-of-the-art approaches on public benchmark datasets. OmniSec is available online at https://anonymous.4open.science/r/PIDS-with-LLM-613B.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google