尝试黑客攻击:聚合自动编码器以应对极不平衡数据中的持久访问威胁
该论文介绍了一种利用与操作系统无关的特征来检测真实的高级持续性威胁攻击的无监督方法,并利用可解释性的结果来揭示被检测到的异常,这有助于解释因果关系。在 DARPA 的测试数据集中,该方法的表现优于竞争方法。
May, 2021
本研究评估了无监督的批量式和流式异常检测算法的有效性,通过对记录在四个不同操作系统上的多个 GB 的溯源跟踪进行检测,以确定它们是否能够可靠和高效地检测类似 APT 攻击。这是关于通用无监督异常检测技术在此环境中有效性的首个详细研究。
Jun, 2019
TBDetector is a transformer-based APT detection method that uses provenance analysis to identify anomalous activities in long-running system executions and extracts long-term features of system states with anomaly scores, presenting better performance than current state-of-the-art methods.
Apr, 2023
RAPID 是一种基于深度学习的新型方法,利用上下文感知异常检测和警报追踪来实现强大的高级持续性威胁(APTs)检测和调查,通过利用自我监督的序列学习和迭代学习的嵌入,我们的方法能够有效应对动态系统行为,并且通过使用溯源跟踪,丰富警报信息和提高检测能力,RAPID 在真实场景中证明了其有效性和计算效率,同时相比最先进的方法具有更高的精确度和召回率,显著减少误报,RAPID 整合上下文信息,便于从检测过渡到调查,为安全团队提供详细的见解以高效应对 APTs 威胁。
Jun, 2024
该篇论文利用双自编码器 [dual-autoencoder] 和度量学习 [metric learning] 方法,通过资产级图谱特征 [asset-level graph features] 检测网络流量中的零日威胁 [zero-day threats],在已知攻击类型的情况下实现多类分类 [multiclass classification],可在潜在空间 [latent space] 中显示最近的已知攻击类别类,有望为威胁猎人节省时间。
Nov, 2022
MAGIC 是一种新颖灵活的自我监督 APT 检测方法,能够在不同级别的监督下执行多颗粒度检测,通过掩码图表示学习对良性系统实体和行为进行建模,在溯源图上进行高效深度特征提取和结构抽象,通过异常检测方法检测异常系统行为,从而实现系统实体级别和批量日志级 APT 检测,解决了概念漂移问题,并成功应用于广泛的条件和检测场景。在三个广泛使用的数据集上对 MAGIC 进行评估,包括真实世界和模拟攻击。评估结果表明,MAGIC 在所有场景中都取得了有希望的检测结果,并在性能开销上比现有的 APT 检测方法具有巨大优势。
Oct, 2023
本研究提出了一种无监督对抗自编码器(AAE)模型,用于检测不平衡电力分配网格中的虚假数据注入攻击(FDIAs),并在 IEEE 13 巴士和 123 巴士系统上展示了其在检测网络攻击方面的卓越性能。
Mar, 2024
无先验异常检测是具有挑战性的。我们提出了一种新型的分块自编码器(Patch AE)框架,旨在增强自编码器对异常图像的重构能力而不是削弱。通过对学习到的特征表示的空间分布特征向量的相应位置进行重构,即分块重构,确保了自编码器对异常的敏感性。我们的方法简单高效,在 Mvtec AD 基准方面取得了最新的研究成果,证明了我们模型的有效性。它在实际工业应用场景中显示出巨大的潜力。
Aug, 2023