A Modular and Adaptive System for Business Email Compromise Detection

要約

ビジネス電子メール侵害 (BEC) およびスピア フィッシング攻撃の巧妙化は、世界中の組織に重大な課題をもたらしています。
従来のスパムやフィッシングの検出で特徴付けられている技術は、最新の BEC 攻撃が通常の無害なトラフィックに混入していることが多いため、カスタマイズされた性質を備えているため不十分です。
機械学習、特に自然言語理解 (NLU) における最近の進歩は、このような攻撃に対抗するための有望な手段を提供しますが、実際のシステムでは、データの可用性、運用コスト、評決の説明可能性の要件、またはアルゴリズムを堅牢に進化させる必要性などの制限があるため、
システムを構築するには、複数のアプローチを組み合わせることが不可欠です。
CAPE は、実稼働環境で 2 年以上にわたって実証されている、BEC 検出のための包括的かつ効率的なシステムです。
CAPE は、単一のモデルではなく、独立した ML モデルとアルゴリズムを組み合わせたシステムであり、テキスト、画像、メタデータ、電子メールの通信コンテキストなど、さまざまな電子メール モダリティにわたる BEC 関連の動作を検出します。
この分解により、CAPE の判決は自然に説明可能になります。
この論文では、そのアーキテクチャの背後にある設計原則と制約に加え、限られたデータとドメイン知識を組み合わせるベイジアン アプローチを通じてモデル設計、評価、システムを継続的に適応させるという課題について説明します。
さらに、Transformer ニューラル アーキテクチャに基づくものなど、いくつかの特定の動作検出器について詳しく説明します。

要約(オリジナル)

The growing sophistication of Business Email Compromise (BEC) and spear phishing attacks poses significant challenges to organizations worldwide. The techniques featured in traditional spam and phishing detection are insufficient due to the tailored nature of modern BEC attacks as they often blend in with the regular benign traffic. Recent advances in machine learning, particularly in Natural Language Understanding (NLU), offer a promising avenue for combating such attacks but in a practical system, due to limitations such as data availability, operational costs, verdict explainability requirements or a need to robustly evolve the system, it is essential to combine multiple approaches together. We present CAPE, a comprehensive and efficient system for BEC detection that has been proven in a production environment for a period of over two years. Rather than being a single model, CAPE is a system that combines independent ML models and algorithms detecting BEC-related behaviors across various email modalities such as text, images, metadata and the email’s communication context. This decomposition makes CAPE’s verdicts naturally explainable. In the paper, we describe the design principles and constraints behind its architecture, as well as the challenges of model design, evaluation and adapting the system continuously through a Bayesian approach that combines limited data with domain knowledge. Furthermore, we elaborate on several specific behavioral detectors, such as those based on Transformer neural architectures.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google