[論文レビュー] Cybersecurity Information Exchange with Privacy (CYBEX-P) and TAHOE -- A Cyberthreat Language
本論文は、TAHOE(グラフベースのサイバーセキュリティ脅威言語)を用いて、安全で自動化された脅威データの相関を可能にする、プライバシー保護型サイバーセキュリティ情報共有フレームワークCYBEX-Pを提案する。オンライン分類器を用いることで、86%の正確性を達成するリアルタイムのフィッシングURL検出を可能にするとともに、ThreatRankおよびTDQLを用いて属性レベルのアクセス制御と実行可能なルール生成を支援する。
Cybersecurity information sharing (CIS) is envisioned to protect organizations more effectively from advanced cyber attacks. However, a completely automated CIS platform is not widely adopted. The major challenges are: (1) the absence of a robust cyber threat language (CTL) and (2) the concerns over data privacy. This work introduces Cybersecurity Information Exchangewith Privacy (CYBEX-P), as a CIS framework, to tackle these challenges. CYBEX-P allows organizations to share heterogeneous data with granular, attribute based privacy control. It correlates the data to automatically generate intuitive reports and defensive rules. To achieve such versatility, we have developed TAHOE - a graph based CTL. TAHOE is a structure for storing,sharing and analyzing threat data. It also intrinsically correlates the data. We have further developed a universal Threat Data Query Language (TDQL). In this paper, we propose the system architecture for CYBEX-P. We then discuss its scalability and privacy features along with a use case of CYBEX-P providing Infrastructure as a Service (IaaS). We further introduce TAHOE& TDQL as better alternatives to existing CTLs and formulate ThreatRank - an algorithm to detect new malicious even
研究の動機と目的
- 標準化され、プライバシーに配慮した、かつ自動化されたサイバーセキュリティ情報共有プラットフォームの不足を解消すること。
- 既存のサイバーセキュリティ脅威言語(CTL)に内在する相関機能の欠如と柔軟なデータモデリングの制限を克服すること。
- 脅威データの自動的かつリアルタイムの分析を可能にし、ファイアウォールルールやアラートといった実行可能な出力を得ること。
- 機密属性を露呈せずにデータ共有が可能な、細かく制御された属性ベースのプライバシー制御を提供すること。
- IaaSおよびユニバーサルクエリ機能を活用したスケーラブルで拡張可能な脅威インテリジェンス共有インfra構築
提案手法
- CYBEX-Pは、エンドツーエンドの脅威共有を実現するため、データインジェスト、アナリティクス、レポート、プライバシー保護モジュールを備えたモジュラーアーキテクチャを採用する。
- TAHOEは、脅威データをノードと関係としてモデル化するグラフベースのサイバーセキュリティ脅威言語であり、イベント間の内在的相関を可能にする。
- TDQLは、標準化された構文を用いて、任意のデータベースから脅威データを取得することを目的としたユニバーサルクエリ言語である。
- ThreatRankは、TAHOE内の歴史的パターンと新しいイベントを相関させることで、以前に観測されていなかった悪意あるイベントを検出する新規アルゴリズムである。
- 増加するURLデータセットに対するインクリメンタル学習を可能にするオンラインの2次順序パーセプトロン(SOP)分類器が採用され、完全再トレーニングを回避する。
- 属性ベースのアクセス制御および安全な計算により、暗号化されたデータを復号せずに相関処理できるプライバシー保護が実装される。
実験結果
リサーチクエスチョン
- RQ1サイバーセキュリティ情報共有プラットフォームは、自動化された脅威相関と強力なプライバシー保護を同時に達成できるか?
- RQ2ストレージ、共有、分析、相関を可能にする、ユニバーサルで拡張可能なサイバーセキュリティ脅威言語に必要な要件は何か?
- RQ3TAHOEのようなグラフベースのCTLは、複雑で進化するサイバーセキュリティ脅威を高い忠実度でモデル化する点で、既存のCTLを上回る性能を示せるか?
- RQ4オンライン学習分類器は、無制限に拡大するフィッシングURLデータセットにおいて、高い正確性を維持できるか?
- RQ5プライバシー保護型で自動化されたシステムは、相関された脅威データからリアルタイムで実行可能な防御ルール(例:ファイアウォールルール)を生成できるか?
主な発見
- オンラインの2次順序パーセプトロン(SOP)分類器は、約96,000件のURLからなるデータセットで86%の正確性を達成し、無制限のデータ増加に対してもスケーラビリティを示した。
- SOP分類器のROC AUCは、サンプルサイズの増加に伴い向上し、継続的なデータインジェストによってより高い正確性が得られる可能性を示した。
- バッチランダムフォレスト分類器は、57,000件の小さなデータセットで91%の正確性を達成したが、無制限のデータ増加に対応できないため不適切であった。
- CYBEX-Pは、ライブIaaS環境での実装により、リアルタイムのフィッシングURL検出を成功裏に実証した。同時に、自動レポートおよびアラート生成も実現した。
- システムのプライバシー保護アーキテクチャは、属性レベルのアクセス制御をサポートし、復号せずに暗号化された脅威データの相関処理を可能にした。
- ThreatRankは、TAHOEグラフモデル内の歴史的パターンと新しいイベントを相関させることで、新規の悪意あるイベントを効果的に検出できた。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。