Detectar amenazas internas con un gráfico de sesión asociado
Autores: Ding, Junmei; Qian, Peng; Ma, Jing; Wang, Zhiqiang; Lu, Yueming; Xie, Xiaqing
Idioma: Inglés
Editor: MDPI
Año: 2024
Acceso abierto
Artículo científico
2024
Detectar amenazas internas con un gráfico de sesión asociado
Categoría
Ingeniería y Tecnología
Subcategoría
Ingeniería Eléctrica y Electrónica
Palabras clave
Amenazas internas
Seguridad organizacional
Enfoques basados en grafos
Análisis de comportamiento
Gráficos de sesión
Actividades maliciosas
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 38
Citaciones: Sin citaciones
Las amenazas internas representan riesgos significativos para la seguridad organizacional, a menudo provocando graves violaciones de datos y alteraciones operativas. Aunque los métodos de detección tradicionales son fundamentales, sufren limitaciones como la creación de reglas intensivas en mano de obra, falta de escalabilidad y vulnerabilidad a la evasión por parte de atacantes sofisticados. Los avances recientes en enfoques basados en grafos han mostrado promesas al aprovechar el análisis de comportamiento para la detección de amenazas. Sin embargo, los métodos existentes a menudo simplifican en exceso los comportamientos de sesión y no logran extraer características detalladas, que son críticas para identificar actividades maliciosas sutiles. En este documento, proponemos un enfoque novedoso que integra grafos de sesión para capturar características de comportamiento detalladas a múltiples niveles. Primero, se definen siete reglas heurísticas para transformar las actividades de usuario en diferentes hosts y sesiones en un grafo de sesión asociado mientras se extraen características tanto en la actividad como en los niveles de sesión. Además, para resaltar nodos críticos en el grafo de sesión asociado, introducimos una técnica de eliminación de nodos de grafo para normalizar el grafo. Finalmente, se emplea una red convolucional de grafos para extraer características del grafo normalizado y generar resultados de detección de comportamiento. Experimentos extensos en el conjunto de datos de amenazas internas CERT demuestran la superioridad de nuestro enfoque, logrando una precisión del 99% y una puntuación F1 del 99%, superando significativamente a los modelos de vanguardia. El método ASG también reduce las tasas de falsos positivos y mejora la detección de comportamientos maliciosos sutiles, abordando limitaciones clave de los métodos basados en grafos existentes. Estos hallazgos resaltan el potencial de ASG para aplicaciones del mundo real como monitoreo de redes empresariales y detección de anomalías, y sugieren vías para futuras investigaciones sobre mecanismos de aprendizaje adaptativo y capacidades de detección en tiempo real.
Descripción
Las amenazas internas representan riesgos significativos para la seguridad organizacional, a menudo provocando graves violaciones de datos y alteraciones operativas. Aunque los métodos de detección tradicionales son fundamentales, sufren limitaciones como la creación de reglas intensivas en mano de obra, falta de escalabilidad y vulnerabilidad a la evasión por parte de atacantes sofisticados. Los avances recientes en enfoques basados en grafos han mostrado promesas al aprovechar el análisis de comportamiento para la detección de amenazas. Sin embargo, los métodos existentes a menudo simplifican en exceso los comportamientos de sesión y no logran extraer características detalladas, que son críticas para identificar actividades maliciosas sutiles. En este documento, proponemos un enfoque novedoso que integra grafos de sesión para capturar características de comportamiento detalladas a múltiples niveles. Primero, se definen siete reglas heurísticas para transformar las actividades de usuario en diferentes hosts y sesiones en un grafo de sesión asociado mientras se extraen características tanto en la actividad como en los niveles de sesión. Además, para resaltar nodos críticos en el grafo de sesión asociado, introducimos una técnica de eliminación de nodos de grafo para normalizar el grafo. Finalmente, se emplea una red convolucional de grafos para extraer características del grafo normalizado y generar resultados de detección de comportamiento. Experimentos extensos en el conjunto de datos de amenazas internas CERT demuestran la superioridad de nuestro enfoque, logrando una precisión del 99% y una puntuación F1 del 99%, superando significativamente a los modelos de vanguardia. El método ASG también reduce las tasas de falsos positivos y mejora la detección de comportamientos maliciosos sutiles, abordando limitaciones clave de los métodos basados en grafos existentes. Estos hallazgos resaltan el potencial de ASG para aplicaciones del mundo real como monitoreo de redes empresariales y detección de anomalías, y sugieren vías para futuras investigaciones sobre mecanismos de aprendizaje adaptativo y capacidades de detección en tiempo real.