How Far Should We Need to Go : Evaluate Provenance-based Intrusion Detection Systems in Industrial Scenarios - 专知论文

会员服务 ·

0

系统 · 检测系统 · 入侵检测 · 分析 · 攻击 ·

How Far Should We Need to Go : Evaluate Provenance-based Intrusion Detection Systems in Industrial Scenarios

翻译：我们到底需要走多远：评估工业场景中基于溯源入侵检测系统

Yue Xiao,Ling Jiang,Sen Nie,Ding Li,Shi Wu,Ke Xu,Qi Li

Provenance-based Intrusion Detection Systems (PIDSes) have been widely used to detect Advanced Persistent Threats (APTs). Although many studies achieve high performance in the evaluations of their original papers, their performance in industrial scenarios remains unclear. To fill this gap, we conduct the first systematic evaluation and analysis of PIDSes in industrial scenarios. We first analyze the differences between the data from DARPA datasets and that collected in industrial scenarios, identifying three main new characteristics in industry: heterogeneous multi-source inputs, more powerful attackers, and increasing benign activity complexity. We then build several datasets to evaluate five state-of-the-art PIDSes. The evaluation results reveal challenges for existing PIDSes, including poor portability across different hosts and platforms, low detection performance against real-world attacks, and high false positive rates with ever-changing benign activities. Based on the evaluation results and our industrial practices, we provide several insights to solve or explain the above problems. For example, we propose a method to mitigate the high false positives, which reduces manual effort by 2/3. Finally, we propose several research suggestions to improve PIDSes.

翻译：基于溯源的入侵检测系统（PIDSes）已被广泛用于检测高级持续性威胁（APTs）。尽管许多研究在其原始论文的评估中取得了高性能，但这些系统在工业场景中的表现仍不明确。为填补这一空白，我们首次对工业场景下的PIDSes进行了系统性评估与分析。我们首先分析了DARPA数据集与工业场景采集数据之间的差异，识别出工业环境中的三大新特征：异构多源输入、更强的攻击者以及日益增长的正常活动复杂性。随后，我们构建了多个数据集以评估五种最先进的PIDSes。评估结果揭示了现有PIDSes面临的挑战，包括跨不同主机与平台的可移植性差、针对真实攻击的检测性能低下以及在不断变化的正常活动中误报率高企的问题。基于评估结果与工业实践经验，我们提出了若干解决或解释上述问题的见解。例如，我们提出了一种缓解高误报率的方法，将人工工作量减少了2/3。最后，我们提出了若干改进PIDSes的研究建议。

0

相关内容

基于深度学习的入侵检测系统：综述

基于深度学习的入侵检测系统：综述

专知会员服务

15+阅读 · 2025年4月11日

《利用 LLM 进行高级持续性威胁 (APT) 检测和智能解释》

《利用 LLM 进行高级持续性威胁 (APT) 检测和智能解释》

专知会员服务

24+阅读 · 2025年2月14日

工业应用中的异常检测：挑战、解决方案与未来发展方向综述

工业应用中的异常检测：挑战、解决方案与未来发展方向综述

专知会员服务

29+阅读 · 2025年1月26日

适应性异常检测在识别网络物理系统攻击中的应用：系统性文献综述

适应性异常检测在识别网络物理系统攻击中的应用：系统性文献综述

专知会员服务

17+阅读 · 2024年11月22日

【2023新书】基于人工智能的入侵检测系统，218页pdf

【2023新书】基于人工智能的入侵检测系统，218页pdf

专知会员服务

57+阅读 · 2023年9月8日

基于博弈论的入侵检测与响应优化综述

基于博弈论的入侵检测与响应优化综述

专知会员服务

41+阅读 · 2023年7月23日

《在 ISTN 架构上使用决策树机器学习的网络入侵检测系统》美海军2022最新79页论文

《在 ISTN 架构上使用决策树机器学习的网络入侵检测系统》美海军2022最新79页论文

专知会员服务

25+阅读 · 2022年12月2日

对抗机器学习在网络入侵检测领域的应用

对抗机器学习在网络入侵检测领域的应用

专知会员服务

35+阅读 · 2022年1月4日

物联网安全研究综述：威胁、检测与防御

专知会员服务

41+阅读 · 2021年9月28日

【显著性目标检测| 2019最新综述】深度学习时代的显著目标检测（Salient Object Detection in the Deep Learning Era: An In-Depth Survey），附PDF

【显著性目标检测| 2019最新综述】深度学习时代的显著目标检测（Salient Object Detection in the Deep Learning Era: An In-Depth Survey），附PDF

专知会员服务

42+阅读 · 2019年11月23日

推荐！【中文版】《指挥、控制、通信和情报（C3I）系统安全性综述：漏洞、攻击和对策》35页最新论文

推荐！【中文版】《指挥、控制、通信和情报（C3I）系统安全性综述：漏洞、攻击和对策》35页最新论文

专知

43+阅读 · 2022年7月27日

「工业物联网异常检测技术」最新2022研究综述

「工业物联网异常检测技术」最新2022研究综述

专知

12+阅读 · 2022年5月3日

【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告，附中文版pdf

【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告，附中文版pdf

专知

93+阅读 · 2022年4月17日

西北工业大学发布最新遥感图像目标检测综述论文和Benchmark，带你全面了解遥感图像检测方法

西北工业大学发布最新遥感图像目标检测综述论文和Benchmark，带你全面了解遥感图像检测方法

专知

23+阅读 · 2019年9月5日

【预测性维护】预测性维护是边缘计算与人工智能，在工业落地的最短路径？

【预测性维护】预测性维护是边缘计算与人工智能，在工业落地的最短路径？

产业智能官

14+阅读 · 2019年5月5日

最新最权威《深度学习显著目标检测综述》论文代码数据发布，带你全面了解显著目标检测方法

最新最权威《深度学习显著目标检测综述》论文代码数据发布，带你全面了解显著目标检测方法

专知

79+阅读 · 2019年4月24日

干货 | 基于深度学习的目标检测算法综述：常见问题及解决方案

干货 | 基于深度学习的目标检测算法综述：常见问题及解决方案

AI前线

10+阅读 · 2018年11月2日

基础目标检测算法介绍（一）：CNN、RCNN、Fast RCNN和Faster RCNN

基础目标检测算法介绍（一）：CNN、RCNN、Fast RCNN和Faster RCNN

论智

16+阅读 · 2018年10月16日

【论文推荐】最新5篇目标检测相关论文——显著目标检测、弱监督One-Shot检测、多框检测器、携带物体检测、假彩色图像检测

【论文推荐】最新5篇目标检测相关论文——显著目标检测、弱监督One-Shot检测、多框检测器、携带物体检测、假彩色图像检测

专知

74+阅读 · 2018年1月16日

对抗样本再下一城，攻陷目标检测！自动驾驶或受攻击？UIUC学者构建欺骗检测器的对抗样本！

对抗样本再下一城，攻陷目标检测！自动驾驶或受攻击？UIUC学者构建欺骗检测器的对抗样本！

专知

29+阅读 · 2017年12月12日

面向应用商店的移动智能终端恶意软件检测关键技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

基于数据特征选择与匹配的工业过程监测方法研究

国家自然科学基金

1+阅读 · 2015年12月31日

网络安全威胁踪源分析方法研究

国家自然科学基金

19+阅读 · 2015年12月31日

基于软件定义无线网络的虚拟多径攻击检测与防御技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

场景深度关系下的视频遮挡目标检测

国家自然科学基金

1+阅读 · 2015年12月31日

基于免疫机制的无线传感器网络攻击协同检测研究与设计

国家自然科学基金

0+阅读 · 2015年12月31日

基于图像属性和深度学习的大规模物体检测研究与应用

国家自然科学基金

1+阅读 · 2015年12月31日

基于概率本体的CPS入侵检测方法研究

国家自然科学基金

1+阅读 · 2014年12月31日

复杂需求场景驱动的软件安全防护模型检测技术研究

国家自然科学基金

0+阅读 · 2014年12月31日

物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践

国家自然科学基金

2+阅读 · 2014年12月31日

On the Challenges of Holistic Intrusion Detection in ICS

Arxiv

0+阅读 · 4月23日

Enhancing Anomaly-Based Intrusion Detection Systems with Process Mining

Arxiv

0+阅读 · 4月20日

Beyond Nodes vs. Edges: A Multi-View Fusion Framework for Provenance-Based Intrusion Detection

Arxiv

0+阅读 · 4月16日

ProHunter: A Comprehensive APT Hunting System Based on Whole-System Provenance

Arxiv

0+阅读 · 3月20日

METANOIA: A Lifelong Intrusion Detection and Investigation System for Mitigating Concept Drift

Arxiv

0+阅读 · 3月17日

ProvAgent: Threat Detection Based on Identity-Behavior Binding and Multi-Agent Collaborative Attack Investigation

Arxiv

0+阅读 · 3月10日

SoK: Harmonizing Attack Graphs and Intrusion Detection Systems

Arxiv

0+阅读 · 3月9日

A Comparative Study of Recent Advances in Internet of Intrusion Detection Things

Arxiv

0+阅读 · 3月9日

Enabling End-to-End APT Emulation in Industrial Environments: Design and Implementation of the SIMPLE-ICS Testbed

Arxiv

0+阅读 · 2月25日

No Data? No Problem: Synthesizing Security Graphs for Better Intrusion Detection

Arxiv

0+阅读 · 2月25日

VIP会员

文章信息

相关主题

最新内容

ICML 2026 | 自回归Boltzmann生成器重塑分子采样

ICML 2026 | 自回归Boltzmann生成器重塑分子采样

专知会员服务

0+阅读 · 今天15:55

GNN跨域综述：从消息传递到图基础模型

GNN跨域综述：从消息传递到图基础模型

专知会员服务

0+阅读 · 今天15:53

无人机自主控制与人工智能：系统性综述

无人机自主控制与人工智能：系统性综述

专知会员服务

11+阅读 · 今天7:25

巡飞弹与反无人机系统——现代战场的两大支柱

巡飞弹与反无人机系统——现代战场的两大支柱

专知会员服务

3+阅读 · 今天6:54

《打造“黄金舰队”》57页报告

《打造“黄金舰队”》57页报告

专知会员服务

3+阅读 · 今天6:52

《北约数字教官网络发展路径》128页报告

《北约数字教官网络发展路径》128页报告

专知会员服务

2+阅读 · 今天6:33

ECCV 2026 | MIMFlow：MIM与归一化流统一图像生成

ECCV 2026 | MIMFlow：MIM与归一化流统一图像生成

专知会员服务

7+阅读 · 6月25日

超越自回归边界：扩散模型、世界模型与SSM如何重塑代码智能

超越自回归边界：扩散模型、世界模型与SSM如何重塑代码智能

专知会员服务

6+阅读 · 6月25日

重塑决策优势：美军作战艺术与多域作战中联盟联合全域指挥控制（CJADC2）体系的融合

重塑决策优势：美军作战艺术与多域作战中联盟联合全域指挥控制（CJADC2）体系的融合

专知会员服务

10+阅读 · 6月25日

网状网络及其在军事领域的运用

网状网络及其在军事领域的运用

专知会员服务

8+阅读 · 6月25日

《意识即战场——全球安全体系中认知战的演进：乌克兰构建认知作战体系的展望》

《意识即战场——全球安全体系中认知战的演进：乌克兰构建认知作战体系的展望》

专知会员服务

8+阅读 · 6月25日

无美国参与的欧洲战争方式（万字长文）

无美国参与的欧洲战争方式（万字长文）

专知会员服务

8+阅读 · 6月25日

重构“下一场战争”的制胜理论：超越兰彻斯特方程与现代系统

重构“下一场战争”的制胜理论：超越兰彻斯特方程与现代系统

专知会员服务

10+阅读 · 6月25日

《国防工业中基于模型定义的实施：产品定义数字化转型的战略路径》90页

《国防工业中基于模型定义的实施：产品定义数字化转型的战略路径》90页

专知会员服务

9+阅读 · 6月25日

《国防领域敏感性分析白皮书》

《国防领域敏感性分析白皮书》

专知会员服务

9+阅读 · 6月25日

相关VIP内容

基于深度学习的入侵检测系统：综述

基于深度学习的入侵检测系统：综述

专知会员服务

15+阅读 · 2025年4月11日

《利用 LLM 进行高级持续性威胁 (APT) 检测和智能解释》

《利用 LLM 进行高级持续性威胁 (APT) 检测和智能解释》

专知会员服务

24+阅读 · 2025年2月14日

工业应用中的异常检测：挑战、解决方案与未来发展方向综述

工业应用中的异常检测：挑战、解决方案与未来发展方向综述

专知会员服务

29+阅读 · 2025年1月26日

适应性异常检测在识别网络物理系统攻击中的应用：系统性文献综述

适应性异常检测在识别网络物理系统攻击中的应用：系统性文献综述

专知会员服务

17+阅读 · 2024年11月22日

【2023新书】基于人工智能的入侵检测系统，218页pdf

【2023新书】基于人工智能的入侵检测系统，218页pdf

专知会员服务

57+阅读 · 2023年9月8日

基于博弈论的入侵检测与响应优化综述

基于博弈论的入侵检测与响应优化综述

专知会员服务

41+阅读 · 2023年7月23日

《在 ISTN 架构上使用决策树机器学习的网络入侵检测系统》美海军2022最新79页论文

《在 ISTN 架构上使用决策树机器学习的网络入侵检测系统》美海军2022最新79页论文

专知会员服务

25+阅读 · 2022年12月2日

对抗机器学习在网络入侵检测领域的应用

对抗机器学习在网络入侵检测领域的应用

专知会员服务

35+阅读 · 2022年1月4日

物联网安全研究综述：威胁、检测与防御

专知会员服务

41+阅读 · 2021年9月28日

【显著性目标检测| 2019最新综述】深度学习时代的显著目标检测（Salient Object Detection in the Deep Learning Era: An In-Depth Survey），附PDF

【显著性目标检测| 2019最新综述】深度学习时代的显著目标检测（Salient Object Detection in the Deep Learning Era: An In-Depth Survey），附PDF

专知会员服务

42+阅读 · 2019年11月23日

热门VIP内容

开通专知VIP会员享更多权益服务

GNN跨域综述：从消息传递到图基础模型

巡飞弹与反无人机系统——现代战场的两大支柱

ICML 2026 | 自回归Boltzmann生成器重塑分子采样

无人机自主控制与人工智能：系统性综述

相关资讯

推荐！【中文版】《指挥、控制、通信和情报（C3I）系统安全性综述：漏洞、攻击和对策》35页最新论文

推荐！【中文版】《指挥、控制、通信和情报（C3I）系统安全性综述：漏洞、攻击和对策》35页最新论文

专知

43+阅读 · 2022年7月27日

「工业物联网异常检测技术」最新2022研究综述

「工业物联网异常检测技术」最新2022研究综述

专知

12+阅读 · 2022年5月3日

【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告，附中文版pdf

【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告，附中文版pdf

专知

93+阅读 · 2022年4月17日

西北工业大学发布最新遥感图像目标检测综述论文和Benchmark，带你全面了解遥感图像检测方法

西北工业大学发布最新遥感图像目标检测综述论文和Benchmark，带你全面了解遥感图像检测方法

专知

23+阅读 · 2019年9月5日

【预测性维护】预测性维护是边缘计算与人工智能，在工业落地的最短路径？

【预测性维护】预测性维护是边缘计算与人工智能，在工业落地的最短路径？

产业智能官

14+阅读 · 2019年5月5日

最新最权威《深度学习显著目标检测综述》论文代码数据发布，带你全面了解显著目标检测方法

最新最权威《深度学习显著目标检测综述》论文代码数据发布，带你全面了解显著目标检测方法

专知

79+阅读 · 2019年4月24日

干货 | 基于深度学习的目标检测算法综述：常见问题及解决方案

干货 | 基于深度学习的目标检测算法综述：常见问题及解决方案

AI前线

10+阅读 · 2018年11月2日

基础目标检测算法介绍（一）：CNN、RCNN、Fast RCNN和Faster RCNN

基础目标检测算法介绍（一）：CNN、RCNN、Fast RCNN和Faster RCNN

论智

16+阅读 · 2018年10月16日

【论文推荐】最新5篇目标检测相关论文——显著目标检测、弱监督One-Shot检测、多框检测器、携带物体检测、假彩色图像检测

【论文推荐】最新5篇目标检测相关论文——显著目标检测、弱监督One-Shot检测、多框检测器、携带物体检测、假彩色图像检测

专知

74+阅读 · 2018年1月16日

对抗样本再下一城，攻陷目标检测！自动驾驶或受攻击？UIUC学者构建欺骗检测器的对抗样本！

对抗样本再下一城，攻陷目标检测！自动驾驶或受攻击？UIUC学者构建欺骗检测器的对抗样本！

专知

29+阅读 · 2017年12月12日

相关论文

On the Challenges of Holistic Intrusion Detection in ICS

Arxiv

0+阅读 · 4月23日

Enhancing Anomaly-Based Intrusion Detection Systems with Process Mining

Arxiv

0+阅读 · 4月20日

Beyond Nodes vs. Edges: A Multi-View Fusion Framework for Provenance-Based Intrusion Detection

Arxiv

0+阅读 · 4月16日

ProHunter: A Comprehensive APT Hunting System Based on Whole-System Provenance

Arxiv

0+阅读 · 3月20日

METANOIA: A Lifelong Intrusion Detection and Investigation System for Mitigating Concept Drift

Arxiv

0+阅读 · 3月17日

ProvAgent: Threat Detection Based on Identity-Behavior Binding and Multi-Agent Collaborative Attack Investigation

Arxiv

0+阅读 · 3月10日

SoK: Harmonizing Attack Graphs and Intrusion Detection Systems

Arxiv

0+阅读 · 3月9日

A Comparative Study of Recent Advances in Internet of Intrusion Detection Things

Arxiv

0+阅读 · 3月9日

Enabling End-to-End APT Emulation in Industrial Environments: Design and Implementation of the SIMPLE-ICS Testbed

Arxiv

0+阅读 · 2月25日

No Data? No Problem: Synthesizing Security Graphs for Better Intrusion Detection

Arxiv

0+阅读 · 2月25日

相关基金

面向应用商店的移动智能终端恶意软件检测关键技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

基于数据特征选择与匹配的工业过程监测方法研究

国家自然科学基金

1+阅读 · 2015年12月31日

网络安全威胁踪源分析方法研究

国家自然科学基金

19+阅读 · 2015年12月31日

基于软件定义无线网络的虚拟多径攻击检测与防御技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

场景深度关系下的视频遮挡目标检测

国家自然科学基金

1+阅读 · 2015年12月31日

基于免疫机制的无线传感器网络攻击协同检测研究与设计

国家自然科学基金

0+阅读 · 2015年12月31日

基于图像属性和深度学习的大规模物体检测研究与应用

国家自然科学基金

1+阅读 · 2015年12月31日

基于概率本体的CPS入侵检测方法研究

国家自然科学基金

1+阅读 · 2014年12月31日

复杂需求场景驱动的软件安全防护模型检测技术研究

国家自然科学基金

0+阅读 · 2014年12月31日

物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践

国家自然科学基金

2+阅读 · 2014年12月31日

微信扫码咨询专知VIP会员