Lateral Movement Detection via Time-aware Subgraph Classification on Authentication Logs

要約

横方向の動きは、ネットワークにおける高度持続的脅威 (APT) 攻撃の重要な要素です。
攻撃者は内部ネットワークや IoT デバイスのセキュリティの脆弱性を悪用し、最初の侵入後に制御を拡大して機密データを盗んだり、その他の悪意のある活動を実行したりして、システム セキュリティに重大な脅威をもたらします。
既存の研究によると、攻撃者は通常、悪意を隠すために一見無関係に見える操作を使用し、それによって既存の横方向の動きの検出方法を回避し、侵入の痕跡を隠します。
そこで、ホストの認証ログデータをグラフの観点から分析し、LMDetectと呼ばれるマルチスケール横移動検出フレームワークを提案します。
このフレームワークの主なワークフローは次のように進行します。 1) ホスト認証ログ データから異種マルチグラフを構築し、内部システム エンティティ間の相関を強化します。
２）異種認証マルチグラフから認証イベントを中心とするサブグラフを抽出するための時間認識サブグラフジェネレータを設計する。
3) ローカルおよびグローバルの両方のアテンションを活用して、認証サブグラフ内の隠れた異常な動作パターンを捕捉し、それによって横方向の動きの検出を実現するマルチスケール アテンション エンコーダーを設計します。
2 つの現実世界の認証ログ データセットに対する広範な実験により、横方向の移動動作の検出におけるフレームワークの有効性と優位性が実証されました。

要約(オリジナル)

Lateral movement is a crucial component of advanced persistent threat (APT) attacks in networks. Attackers exploit security vulnerabilities in internal networks or IoT devices, expanding their control after initial infiltration to steal sensitive data or carry out other malicious activities, posing a serious threat to system security. Existing research suggests that attackers generally employ seemingly unrelated operations to mask their malicious intentions, thereby evading existing lateral movement detection methods and hiding their intrusion traces. In this regard, we analyze host authentication log data from a graph perspective and propose a multi-scale lateral movement detection framework called LMDetect. The main workflow of this framework proceeds as follows: 1) Construct a heterogeneous multigraph from host authentication log data to strengthen the correlations among internal system entities; 2) Design a time-aware subgraph generator to extract subgraphs centered on authentication events from the heterogeneous authentication multigraph; 3) Design a multi-scale attention encoder that leverages both local and global attention to capture hidden anomalous behavior patterns in the authentication subgraphs, thereby achieving lateral movement detection. Extensive experiments on two real-world authentication log datasets demonstrate the effectiveness and superiority of our framework in detecting lateral movement behaviors.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google