Few-shot Multi-domain Knowledge Rearming for Context-aware Defence against Advanced Persistent Threats

要約

高度な持続的脅威 (APT) には、多段階の侵入、高度に調整された意図、回避戦術などの新しい特徴があります。
APT の防御には、多次元のサイバー脅威インテリジェンス データを融合して攻撃の意図を特定し、データ駆動型の機械学習によってエンティティの関係を認識する効率的な知識発見戦略を実行する必要があります。
ただし、データ駆動型の機械学習には、新鮮なサンプルや未知のサンプルに対する一般化機能が欠けており、防御モデルの精度と実用性が低下します。
さらに、これらの APT 防御モデルを異種環境やさまざまなネットワーク デバイスにプライベートに展開するには、コンテキスト認識 (既知の攻撃エンティティ、継続的なネットワーク状態、現在のセキュリティ戦略など) への多大な投資が必要です。
この論文では、APT に対するコンテキスト認識型の防御のための、少数ショットのマルチドメイン知識再武装 (FMKR) スキームを提案します。
FMKR は、メタ学習を使用してさまざまなネットワーク ドメインから生成された複数の小さなタスクを完了することにより、まず新しい未知の APT 攻撃に対する優れた識別能力と汎化能力を備えたモデルをトレーニングします。
各 FMKR タスクでは、脅威インテリジェンスとローカル エンティティの両方がメタ学習のサポート/クエリ セットに融合され、考えられる攻撃段階を特定します。
次に、現在のセキュリティ戦略を再武装するために、防御コストを最小限に抑えながら学習した知識を学生モデルに移すための微調整ベースの導入メカニズムが提案されています。
複数のモデル置換戦略と比較して、FMKR は、スケジューリング コストを削減しながら、攻撃動作に対する迅速な対応を提供します。
2 か月にわたる産業用モノのインターネット (IIoT) の複数の実際のユーザーからのフィードバックに基づいて、提案されたスキームが防衛満足率を向上できることを実証します。

要約(オリジナル)

Advanced persistent threats (APTs) have novel features such as multi-stage penetration, highly-tailored intention, and evasive tactics. APTs defense requires fusing multi-dimensional Cyber threat intelligence data to identify attack intentions and conducts efficient knowledge discovery strategies by data-driven machine learning to recognize entity relationships. However, data-driven machine learning lacks generalization ability on fresh or unknown samples, reducing the accuracy and practicality of the defense model. Besides, the private deployment of these APT defense models on heterogeneous environments and various network devices requires significant investment in context awareness (such as known attack entities, continuous network states, and current security strategies). In this paper, we propose a few-shot multi-domain knowledge rearming (FMKR) scheme for context-aware defense against APTs. By completing multiple small tasks that are generated from different network domains with meta-learning, the FMKR firstly trains a model with good discrimination and generalization ability for fresh and unknown APT attacks. In each FMKR task, both threat intelligence and local entities are fused into the support/query sets in meta-learning to identify possible attack stages. Secondly, to rearm current security strategies, an finetuning-based deployment mechanism is proposed to transfer learned knowledge into the student model, while minimizing the defense cost. Compared to multiple model replacement strategies, the FMKR provides a faster response to attack behaviors while consuming less scheduling cost. Based on the feedback from multiple real users of the Industrial Internet of Things (IIoT) over 2 months, we demonstrate that the proposed scheme can improve the defense satisfaction rate.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google