标题: 446 Flash：一种通过起源图表示学习进行入侵检测的综合方法

主要内容概要

介绍

• 研究背景: 来自弗吉尼亚大学的研究，聚焦高级持续性威胁（APT）攻击。APT攻击近年来愈发复杂，主要针对大型组织和政府，导致高额的经济损失。2023年，APT攻击的平均全球成本为445万美元，较过去三年增长了15%。

问题描述

• 现有方法的局限性:
  • 基于规则的系统: 依赖已知攻击签名，无法检测零日攻击，且规则制定复杂。
  • 基于学习的图级系统: 检测异常子图，但生成的警报过于粗略，不利于分析师准确定位攻击实体。
  • 基于学习的节点/边级系统: 提供细粒度警报，但面临操作效率低和误报率高的问题。

Flash系统的提出

• Flash简介: Flash是一种基于异常的节点级检测系统，旨在解决高误报和低操作效率问题。它能够检测零日攻击，并实现高检测准确率和操作效率。
• 关键技术:
  • 语义属性的使用: 通过在起源图中引入语义属性来改善系统行为建模，从而减少误报。
  • 嵌入回收技术: 提高图表示学习的效率，通过存储和重复使用图神经网络（GNN）的嵌入，减少计算成本。

Flash系统架构

1. 训练阶段:
   • 起源图构建: 从系统日志中构建起源图，并通过预处理简化图结构。
   • 语义特征编码: 使用词向量模型对文本属性进行编码，并通过位置编码结合时间信息。
   • 结构嵌入: 使用GNN对图结构进行编码，存储嵌入以提高推理效率。
2. 检测阶段:
   • 嵌入数据库: 在运行时，通过比较当前节点的邻域结构与存储的嵌入，判断是否可以重用GNN嵌入。
   • 轻量级分类器: 使用存储的GNN嵌入和语义特征进行节点分类，识别异常节点并发出警报。

实验与评估

• 性能评估: Flash在检测准确率、误报率和F1分数方面优于现有系统（如ThreatRace和Unicorn）。
• 操作效率: Flash的轻量级分类器和嵌入回收技术使其比ThreatRace快三倍，并且资源消耗最小。
• 稳健性测试: Flash对抗模拟攻击具有较强的抗性。

结论

• 研究成果: Flash是一种高效的无监督异常检测系统，能够生成细粒度警报，帮助安全分析师定位攻击实体，并在实际环境中表现出色。

更多信息: 请联系提供的邮箱，研究代码和论文已在展示链接中提供。