State Frequency Estimation for Anomaly Detection

要約

NetFlow 内の異常を検出するためのステート マシンの有効性については、多くの研究が研究されています。
これらの作業は通常、ラベルのないデータからモデルを学習し、発生の可能性やモデル内での適合度に基づいて任意のトレースの異常スコアを計算します。
ただし、これらの方法は、テスト時に確認されたトレースに基づいてスコアを動的に調整しません。
これは、攻撃者が攻撃で一見共通した痕跡を生成し、モデルが低い異常スコアを割り当てて検出を見逃した場合に問題になります。
私たちは、状態の訪問頻度を使用して異常検出のスコアリングを動的に調整する新しいアプローチである SEQUENT を提案します。
その後、SEQUENT はスコアを使用して異常の根本原因を生成します。
これらによりアラームをグループ化でき、異常の分析が簡素化されます。
3 つの NetFlow データセットに対する SEQUENT の評価では、私たちのアプローチが既存の方法よりも優れていることが示され、異常の検出におけるその有効性が実証されています。

要約(オリジナル)

Many works have studied the efficacy of state machines for detecting anomalies within NetFlows. These works typically learn a model from unlabeled data and compute anomaly scores for arbitrary traces based on their likelihood of occurrence or how well they fit within the model. However, these methods do not dynamically adapt their scores based on the traces seen at test time. This becomes a problem when an adversary produces seemingly common traces in their attack, causing the model to miss the detection by assigning low anomaly scores. We propose SEQUENT, a new approach that uses the state visit frequency to adapt its scoring for anomaly detection dynamically. SEQUENT subsequently uses the scores to generate root causes for anomalies. These allow the grouping of alarms and simplify the analysis of anomalies. Our evaluation of SEQUENT on three NetFlow datasets indicates that our approach outperforms existing methods, demonstrating its effectiveness in detecting anomalies.

arxiv情報

著者 Clinton Cao,Agathe Blaise,Annibale Panichella,Sicco Verwer
発行日 2024-12-04 16:30:35+00:00
arxivサイト arxiv_id(pdf)

提供元, 利用サービス

arxiv.jp, Google

カテゴリー: cs.CR, cs.LG パーマリンク