Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Crowdsourcing Cybersecurity: Cyber Attack Detection using Social Media

Rupinder Paul Khandpur, Taoran Ji|arXiv (Cornell University)|Feb 24, 2017
Network Security and Intrusion Detection参考文献 39被引用数 61
ひとこと要約

非監視フレームワークがソーシャルメディアを群衆源のセンサーとして使用し、依存ツリーベースのテンプレートと語彙埋込みを通じて seed クエリを動的に拡張してサイバー攻撃(DDOS、データ流出、アカウント乗っ取り)を検出する。大規模なTwitterデータで評価。

ABSTRACT

Social media is often viewed as a sensor into various societal events such as disease outbreaks, protests, and elections. We describe the use of social media as a crowdsourced sensor to gain insight into ongoing cyber-attacks. Our approach detects a broad range of cyber-attacks (e.g., distributed denial of service (DDOS) attacks, data breaches, and account hijacking) in an unsupervised manner using just a limited fixed set of seed event triggers. A new query expansion strategy based on convolutional kernels and dependency parses helps model reporting structure and aids in identifying key event characteristics. Through a large-scale analysis over Twitter, we demonstrate that our approach consistently identifies and encodes events, outperforming existing methods.

研究の動機と目的

  • サイバー攻撃のセンサーとして公開ソーシャルメディア信号の活用を促進し、検知遅延を低減する。
  • 限られたシードトリガを拡張クエリへ写像する非監視フレームワークを開発し、イベントを検出する。
  • 依存解析と語彙埋込みを用いて、ソーシャルメディアにおけるサイバー攻撃の報告構造をモデル化する。
  • このアプローチを大規模なTwitterデータ上で、3つの攻撃カテゴリー(DDOS、データ流出、アカウント乗っ取り)に渡って評価する。

提案手法

  • 依存木上の畳み込みツリーカーネルを用いてシードクエリと統語的・意味的に類似するツイートを収集するターゲットドメイン生成を導入します。
  • グローバルなツイートコレクションからターゲットドメインを区別するためにKLダイバージェンスを用いて候補拡張を選択し、シードクエリを反復的に拡張する動的型付きクエリ拡張を提案します。
  • イベントを (Q_e, date, type) として表現します。ここで Q_e はサイバー攻撃タイプに結びついた拡張クエリの集合です。
  • 拡張クエリのエグザンプルをクラスタリングし、初期シードとの類似度に基づいてエグザンプルを攻撃タイプに注釈付けします。
  • HackmageddonとPrivacyRightsのゴールドスタンダードレポートを用いた大規模 GNIP Twitter データセット(2014年8月–2016年10月)を用いて評価します。

実験結果

リサーチクエスチョン

  • RQ1ソーシャルメディア上の広範なサイバー攻撃レポートをカバーするために、少数のシード型依存クエリを動的に拡張できるでしょうか?
  • RQ2畳み込みツリーカーネルと語彙埋込みベースの類似性は、単純なキーワード法に比べてターゲットドメイン生成を改善しますか?
  • RQ3非監督のシード駆動型クエリ拡張は、Twitterにおけるデータ流出、アカウント乗っ取り、DDoSイベントをどの程度検出・特徴づけできますか?
  • RQ4提案手法と従来のバースト検出ベースラインを比較したときの精度-再現率のトレードオフはどうなりますか?
  • RQ5検出されたイベントを確立されたグラウンドトゥルースのサイバー攻撃データセットと照合して性能を検証できますか?

主な発見

  • 本手法はデータ流出で約0.78の精度・0.74の再現率、DDoSイベントで0.80の精度・0.45の再現率、アカウント乗っ取りで0.66の精度・0.56の再現率を達成します。
  • データ流出の再現率は(約0.75)で、DDoSやアカウント乗っ取りより高いのは、これらの攻撃の信号ライフサイクルが短いためです。
  • 固定キーワードでのベースライン Kleinberg バースト検出は、型付き動的クエリ拡張アプローチと比べてグラウンドトゥルースとの整合性が低い。
  • このアプローチはグールドスタンダード源に記載されていない追加イベントを検出し、ソーシャルメディアからの新たなサイバー攻撃報告の発見を示しています。
  • ケーススタディは、解釈可能な拡張クエリを用いた高名な事件の検出を示します(例:Ashley Madisonデータ流出、Sony/Dyn DDoS、CentComのアカウント乗っ取り)。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。