دانلود مقاله تقویت هوش تهدید سایبری با تشخیص نفوذ مشارکتی
چکیده
1. مقدمه
2. پیشینه و مطالب مرتبط
3. پلتفرم ORISHA
4. تجزیه و تحلیل تجربی
5. نتیجه گیری
منابع
Abstract
1. Introduction
2. Background and related works
3. The ORISHA Platform
4. Experimental analysis
5. Conclusions
CRediT authorship contribution statement
Declaration of Competing Interest
Acknowledgments
References
چکیده
به اشتراک گذاری رویدادهای تهدید و شاخص های سازش (IoCs) تصمیم گیری سریع و حیاتی را نسبت به اقدامات متقابل مؤثر در برابر حملات سایبری امکان پذیر می کند. با این حال، راهحلهای اشتراکگذاری اطلاعات تهدیدات کنونی، امکان برقراری ارتباط و اشتراک دانش آسان را بین سیستمهای تشخیص تهدید (به ویژه سیستمهای تشخیص نفوذ (IDS)) که از تکنیکهای یادگیری ماشین (ML) بهرهبرداری میکنند، نمیدهد. علاوه بر این، تعامل با متخصص، که یک مؤلفه مهم برای جمعآوری دادههای ورودی تأیید شده و قابل اعتماد برای الگوریتمهای ML را نشان میدهد، ضعیف پشتیبانی میشود. برای پرداختن به همه این مسائل، ORISHA، یک پلتفرم برای به اشتراک گذاری اطلاعات سازمان یافته و آگاهی که امکان همکاری بین سیستم های تشخیص تهدید و سایر اجزای آگاهی اطلاعات را فراهم می کند، در اینجا پیشنهاد شده است. ORISHA توسط یک پلتفرم اطلاعاتی تهدید توزیع شده مبتنی بر شبکه ای از نمونه های پلت فرم به اشتراک گذاری اطلاعات بدافزار به هم پیوسته پشتیبانی می شود، که ارتباط با چندین لایه تشخیص تهدید متعلق به سازمان های مختلف را امکان پذیر می کند. در این اکوسیستم، سیستمهای تشخیص تهدید با به اشتراک گذاشتن دانشی که به آنها امکان میدهد دقت پیشبینی زیربنایی را اصلاح کنند، به طور متقابل سود میبرند. موارد نامشخص، یعنی مثالهایی با نمرات ناهنجاری پایین، به متخصص پیشنهاد میشود که با نقش اوراکل در یک طرح یادگیری فعال عمل میکند. ORISHA با ارتباط با هانینت، امکان غنیسازی پایگاه دانش را با نمونههای حمله مثبت بیشتر و سپس ارائه مدلهای تشخیص قوی فراهم میکند. آزمایشی که بر روی یک معیار تشخیص نفوذ معروف انجام شد، اعتبار معماری پیشنهادی را نشان میدهد.
توجه! این متن ترجمه ماشینی بوده و توسط مترجمین ای ترجمه، ترجمه نشده است.
Abstract
Sharing threat events and Indicators of Compromise (IoCs) enables quick and crucial decision making relative to effective countermeasures against cyberattacks. However, the current threat information sharing solutions do not allow easy communication and knowledge sharing among threat detection systems (in particular Intrusion Detection Systems (IDS)) exploiting Machine Learning (ML) techniques. Moreover, the interaction with the expert, which represents an important component to gather verified and reliable input data for the ML algorithms, is weakly supported. To address all these issues, ORISHA, a platform for ORchestrated Information SHaring and Awareness enabling the cooperation among threat detection systems and other information awareness components, is proposed here. ORISHA is backed by a distributed Threat Intelligence Platform based on a network of interconnected Malware Information Sharing Platform instances, which enables the communication with several Threat Detection layers belonging to different organizations. Within this ecosystem, Threat Detection Systems mutually benefit by sharing knowledge that allows them to refine the underlying predictive accuracy. Uncertain cases, i.e. examples with low anomaly scores, are proposed to the expert, who acts with the role of oracle in an Active Learning scheme. By interfacing with a honeynet, ORISHA allows for enriching the knowledge base with further positive attack instances and then yielding robust detection models. An experimentation conducted on a well-known Intrusion Detection benchmark demonstrates the validity of the proposed architecture.
Introduction
Nowadays, organizations and users face an enormous amount of sophisticated, targeted and widespread cyberattacks. Malicious actors were proven able to compromise government computer systems as well user devices causing various types of damages. Phishing, identity theft, information leakage, DDOS and botnet represent some examples of popular threat occurred in 2020 [1]. The outbreak of COVID-19 has further exacerbated this situation. As the virus spread during the early part of the 2020, the number of cyberattacks against organizations grew exponentially, reaching a peak in April [2], [3]. The pandemic unveiled different vulnerabilities of well-known platforms, applications and systems, and simultaneously stimulated the interest for promoting the usage of information sharing technologies to increase the degree of security for enterprises and organizations.
Conclusions
Security intelligence and data analytics techniques can be used to strengthen the capabilities of cybersecurity applications in various vertical domains and use cases. These techniques can largely benefit from mechanisms to share digital evidence and ensure interoperability. The current Threat Intelligence platforms do not provide native mechanisms to incorporate such mechanisms, especially when data-driven and AI powered threat detection systems are involved. ORISHA is a first attempt to enable a sharing and interoperability protocol among such components, based solely on a data-oriented approach. This simple, flexible strategy and data formats for collaborative threat intelligence can trigger specific advantages: Improving the alert effectiveness by reducing the amount of false positive alerts; better contextualizing threat data with the contribution of multiple actors; boosting trust among producers and consumers of threat intelligence information; and strengthening the robustness of machine learning and deep learning models adopted by security applications. An experimental evaluation, conducted on a well-known IDS benchmark, demonstrates how merging data sharing and active learning strategies can improve the detection capabilities of the MISP network allowing to discover undetected attacks.