LogPrécis: Unleashing Language Models for Automated Shell Log Analysis

要約

セキュリティ関連のログの収集は、攻撃動作の理解と脆弱性の診断の鍵を保持します。
それでも、彼らの分析は依然として困難な課題です。
最近、言語モデル (LM) は、自然言語およびプログラミング言語を理解する上で比類のない可能性を示しています。
LM のログには本質的に混乱し難読化された情報が含まれているため、LM はセキュリティ専門家にとっても役立つのかどうか、またどのように役立つのかという疑問が生じます。
このペーパーでは、テキスト形式の Unix シェル攻撃ログを自動的に分析するために LM の最先端技術を活用する方法を体系的に研究します。
LogPr\’ecis につながる徹底した設計手法を紹介します。
生のシェル セッションを入力として受け取り、自動的に攻撃者の戦術を識別してセッションの各部分に割り当てます。つまり、攻撃者の目標の順序を明らかにします。
約 400,000 件の一意の Unix シェル攻撃を含む 2 つの大規模なデータセットの分析をサポートする LogPr\’ecis 機能を実証します。
LogPr\’ecis はそれらを約 3,000 個のフィンガープリントに削減し、それぞれが同じ一連の戦術でセッションをグループ化します。
これが提供する抽象化により、分析者は攻撃をより深く理解し、指紋を識別し、新規性を検出し、類似した攻撃を関連付け、ファミリーと変異を追跡することができます。
全体として、オープン ソースとしてリリースされた LogPr\’ecis は、サイバー攻撃に対するより優れた、より応答性の高い防御への道を開きます。

要約(オリジナル)

The collection of security-related logs holds the key to understanding attack behaviors and diagnosing vulnerabilities. Still, their analysis remains a daunting challenge. Recently, Language Models (LMs) have demonstrated unmatched potential in understanding natural and programming languages. The question arises whether and how LMs could be also useful for security experts since their logs contain intrinsically confused and obfuscated information. In this paper, we systematically study how to benefit from the state-of-the-art in LM to automatically analyze text-like Unix shell attack logs. We present a thorough design methodology that leads to LogPr\’ecis. It receives as input raw shell sessions and automatically identifies and assigns the attacker tactic to each portion of the session, i.e., unveiling the sequence of the attacker’s goals. We demonstrate LogPr\’ecis capability to support the analysis of two large datasets containing about 400,000 unique Unix shell attacks. LogPr\’ecis reduces them into about 3,000 fingerprints, each grouping sessions with the same sequence of tactics. The abstraction it provides lets the analyst better understand attacks, identify fingerprints, detect novelty, link similar attacks, and track families and mutations. Overall, LogPr\’ecis, released as open source, paves the way for better and more responsive defense against cyberattacks.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google