Kairos: : Practical Intrusion Detection and Investigation using Whole-system Provenance

要約

来歴グラフは、システムの実行履歴を記述する構造化された監査ログです。
最近の研究では、特に高度な持続的脅威に焦点を当てて、自動ホスト侵入検出のための出所グラフを分析するためのさまざまな手法が検討されています。
設計ドキュメントを精査し、来歴ベースの侵入検知システム (PIDS) の開発を促進する 4 つの共通の側面を特定します。それは、範囲 (PIDS はアプリケーションの境界を越えて侵入する最新の攻撃を検出できるか?)、攻撃の不可知性 (PIDS は、アプリケーションの境界を越えて侵入する新しい攻撃を検出できるか) です。
攻撃の特性に関する先験的な知識?)、適時性 (PIDS は実行中のホスト システムを効率的に監視できるか?)、攻撃の再構築 (システム管理者がシステム侵入を簡単に理解し、迅速に対応できるように、PIDS は大規模な来歴グラフから攻撃アクティビティを抽出できるか?)
。
既存のアプローチでは少なくとも 1 つが犠牲になり、同等の検出性能を達成するのが困難であるのに対し、我々は、4 つの次元すべての要求を同時に満たす最初の PIDS である KAIROS を紹介します。
Kairos は、来歴グラフの構造変化の時間的進化を学習する新しいグラフ ニューラル ネットワーク ベースのエンコーダ/デコーダ アーキテクチャを活用して、各システム イベントの異常性の程度を定量化します。
次に、この詳細な情報に基づいて、Kairos は攻撃の足跡を再構築し、システム監査ログのストリームにわたる悪意のあるアクティビティを正確に記述するコンパクトな概要グラフを生成します。
最先端のベンチマーク データセットを使用して、Kairos が以前のアプローチよりも優れたパフォーマンスを発揮することを実証します。

要約(オリジナル)

Provenance graphs are structured audit logs that describe the history of a system’s execution. Recent studies have explored a variety of techniques to analyze provenance graphs for automated host intrusion detection, focusing particularly on advanced persistent threats. Sifting through their design documents, we identify four common dimensions that drive the development of provenance-based intrusion detection systems (PIDSes): scope (can PIDSes detect modern attacks that infiltrate across application boundaries?), attack agnosticity (can PIDSes detect novel attacks without a priori knowledge of attack characteristics?), timeliness (can PIDSes efficiently monitor host systems as they run?), and attack reconstruction (can PIDSes distill attack activity from large provenance graphs so that sysadmins can easily understand and quickly respond to system intrusion?). We present KAIROS, the first PIDS that simultaneously satisfies the desiderata in all four dimensions, whereas existing approaches sacrifice at least one and struggle to achieve comparable detection performance. Kairos leverages a novel graph neural network-based encoder-decoder architecture that learns the temporal evolution of a provenance graph’s structural changes to quantify the degree of anomalousness for each system event. Then, based on this fine-grained information, Kairos reconstructs attack footprints, generating compact summary graphs that accurately describe malicious activity over a stream of system audit logs. Using state-of-the-art benchmark datasets, we demonstrate that Kairos outperforms previous approaches.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google