会员服务
攻击 · 系统 · 事件 · 分析 · 攻击检测 ·
2 月 13 日
SmartGuard: Leveraging Large Language Models for Network Attack Detection through Audit Log Analysis and Summarization
翻译:SmartGuard:基于审计日志分析与摘要的大语言模型网络攻击检测方法
Hao Zhang,Shuo Shao,Song Li,Zhenyu Zhong,Yan Liu,Zhan Qin
Hao Zhang,Shuo Shao,Song Li,Zhenyu Zhong,Yan Liu,Zhan Qin

End-point monitoring solutions are widely deployed in today's enterprise environments to support advanced attack detection and investigation. These monitors continuously record system-level activities as audit logs and provide deep visibility into security events. Unfortunately, existing methods of semantic analysis based on audit logs have low granularity, only reaching the system call level, making it difficult to effectively classify highly covert behaviors. Additionally, existing works mainly match audit log streams with rule knowledge bases describing behaviors, which heavily rely on expertise and lack the ability to detect unknown attacks and provide interpretive descriptions. In this paper, we propose SmartGuard, an automated method that combines abstracted behaviors from audit event semantics with large language models. SmartGuard extracts specific behaviors (function level) from incoming system logs and constructs a knowledge graph, divides events by threads, and combines event summaries with graph embeddings to achieve information diagnosis and provide explanatory narratives through large language models. Our evaluation shows that SmartGuard achieves an average F1 score of 96\% in assessing malicious behaviors and demonstrates good scalability across multiple models and unknown attacks. It also possesses excellent fine-tuning capabilities, allowing experts to assist in timely system updates.


翻译:端点监控解决方案在当今企业环境中被广泛部署,以支持高级攻击检测与调查。这些监控器持续记录系统级活动作为审计日志,并为安全事件提供深度可见性。然而,现有基于审计日志的语义分析方法粒度较低,仅达到系统调用级别,难以有效分类高度隐蔽的行为。此外,现有工作主要将审计日志流与描述行为的规则知识库进行匹配,这种方法严重依赖专家知识,缺乏检测未知攻击及提供解释性描述的能力。本文提出SmartGuard,一种将审计事件语义中的抽象行为与大语言模型相结合的自动化方法。SmartGuard从传入的系统日志中提取特定行为(函数级别)并构建知识图谱,按线程划分事件,通过将事件摘要与图嵌入相结合来实现信息诊断,并借助大语言模型提供解释性叙述。评估结果表明,SmartGuard在评估恶意行为时平均F1分数达到96%,并在多种模型和未知攻击场景中展现出良好的可扩展性。同时,该方法具备优秀的微调能力,使专家能够协助系统及时更新。
0
下载
关闭预览

相关内容

《基于动态图神经网络的恶意软件检测》
《基于动态图神经网络的恶意软件检测》
专知会员服务
14+阅读 · 1月28日
《人工智能增强监视分析:利用跨网络、陆地、空中及海上领域的威胁向量实时建模》
《人工智能增强监视分析:利用跨网络、陆地、空中及海上领域的威胁向量实时建模》
专知会员服务
27+阅读 · 2025年12月11日
《网络安全中的机器学习算法:网络防护与攻击检测》最新报告
《网络安全中的机器学习算法:网络防护与攻击检测》最新报告
专知会员服务
19+阅读 · 2025年6月24日
【KDD2024】LogParser-LLM:利用大型语言模型推动高效日志解析
【KDD2024】LogParser-LLM:利用大型语言模型推动高效日志解析
专知会员服务
27+阅读 · 2024年9月5日
《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页
《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页
专知会员服务
23+阅读 · 2024年6月3日
《利用大型语言模型检测社交平台上的网络欺凌行为》
《利用大型语言模型检测社交平台上的网络欺凌行为》
专知会员服务
44+阅读 · 2024年1月23日
对抗机器学习在网络入侵检测领域的应用
对抗机器学习在网络入侵检测领域的应用
专知会员服务
35+阅读 · 2022年1月4日
网络攻击模型研究综述
专知会员服务
56+阅读 · 2020年12月28日
【ECML-PKDD 2019】多维时间序列和事件日志的模式挖掘和异常检测框架(A framework for pattern mining and anomalydetection in multi-dimensional time series andevent logs)
【ECML-PKDD 2019】多维时间序列和事件日志的模式挖掘和异常检测框架(A framework for pattern mining and anomalydetection in multi-dimensional time series andevent logs)
专知会员服务
38+阅读 · 2019年12月1日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
一文读懂目标检测:R-CNN、Fast R-CNN、Faster R-CNN、YOLO、SSD
一文读懂目标检测:R-CNN、Fast R-CNN、Faster R-CNN、YOLO、SSD
七月在线实验室
11+阅读 · 2018年7月18日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
吴恩达机器学习中文版笔记:异常检测(Anomaly Detection)
吴恩达机器学习中文版笔记:异常检测(Anomaly Detection)
大数据文摘
19+阅读 · 2018年4月29日
深度学习时代的目标检测算法
深度学习时代的目标检测算法
炼数成金订阅号
40+阅读 · 2018年3月19日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
干货 | 人工智能如何帮助银行反欺诈:来看看关于银行智能欺诈风险预测模型的研究
干货 | 人工智能如何帮助银行反欺诈:来看看关于银行智能欺诈风险预测模型的研究
AI100
11+阅读 · 2017年11月17日
侦测欺诈交易(异常点检测)
侦测欺诈交易(异常点检测)
GBASE数据工程部数据团队
20+阅读 · 2017年5月10日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
支持可扩展事务处理的数据库日志机制及其实现
国家自然科学基金
0+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
DEFENDCLI: {Command-Line} Driven Attack Provenance Examination
Arxiv
0+阅读 · 2月17日
Unknown Attack Detection in IoT Networks using Large Language Models: A Robust, Data-efficient Approach
Arxiv
0+阅读 · 2月12日
SecureScan: An AI-Driven Multi-Layer Framework for Malware and Phishing Detection Using Logistic Regression and Threat Intelligence Integration
Arxiv
0+阅读 · 2月11日
Hydra: Robust Hardware-Assisted Malware Detection
Arxiv
0+阅读 · 2月6日
Next-generation cyberattack detection with large language models: anomaly analysis across heterogeneous logs
Arxiv
0+阅读 · 2月6日
Defending Large Language Models Against Jailbreak Attacks via In-Decoding Safety-Awareness Probing
Arxiv
0+阅读 · 1月30日
Trackly: A Unified SaaS Platform for User Behavior Analytics and Real Time Rule Based Anomaly Detection
Arxiv
0+阅读 · 1月30日
WADBERT: Dual-channel Web Attack Detection Based on BERT Models
Arxiv
0+阅读 · 1月29日
PrivTune: Efficient and Privacy-Preserving Fine-Tuning of Large Language Models via Device-Cloud Collaboration
Arxiv
0+阅读 · 1月21日
SAGA: Synthetic Audit Log Generation for APT Campaigns
Arxiv
0+阅读 · 1月14日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
系统
事件
分析
攻击检测
相关VIP内容
《基于动态图神经网络的恶意软件检测》
《基于动态图神经网络的恶意软件检测》
专知会员服务
14+阅读 · 1月28日
《人工智能增强监视分析:利用跨网络、陆地、空中及海上领域的威胁向量实时建模》
《人工智能增强监视分析:利用跨网络、陆地、空中及海上领域的威胁向量实时建模》
专知会员服务
27+阅读 · 2025年12月11日
《网络安全中的机器学习算法:网络防护与攻击检测》最新报告
《网络安全中的机器学习算法:网络防护与攻击检测》最新报告
专知会员服务
19+阅读 · 2025年6月24日
【KDD2024】LogParser-LLM:利用大型语言模型推动高效日志解析
【KDD2024】LogParser-LLM:利用大型语言模型推动高效日志解析
专知会员服务
27+阅读 · 2024年9月5日
《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页
《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页
专知会员服务
23+阅读 · 2024年6月3日
《利用大型语言模型检测社交平台上的网络欺凌行为》
《利用大型语言模型检测社交平台上的网络欺凌行为》
专知会员服务
44+阅读 · 2024年1月23日
对抗机器学习在网络入侵检测领域的应用
对抗机器学习在网络入侵检测领域的应用
专知会员服务
35+阅读 · 2022年1月4日
网络攻击模型研究综述
专知会员服务
56+阅读 · 2020年12月28日
【ECML-PKDD 2019】多维时间序列和事件日志的模式挖掘和异常检测框架(A framework for pattern mining and anomalydetection in multi-dimensional time series andevent logs)
【ECML-PKDD 2019】多维时间序列和事件日志的模式挖掘和异常检测框架(A framework for pattern mining and anomalydetection in multi-dimensional time series andevent logs)
专知会员服务
38+阅读 · 2019年12月1日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
热门VIP内容
相关资讯
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
一文读懂目标检测:R-CNN、Fast R-CNN、Faster R-CNN、YOLO、SSD
一文读懂目标检测:R-CNN、Fast R-CNN、Faster R-CNN、YOLO、SSD
七月在线实验室
11+阅读 · 2018年7月18日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
吴恩达机器学习中文版笔记:异常检测(Anomaly Detection)
吴恩达机器学习中文版笔记:异常检测(Anomaly Detection)
大数据文摘
19+阅读 · 2018年4月29日
深度学习时代的目标检测算法
深度学习时代的目标检测算法
炼数成金订阅号
40+阅读 · 2018年3月19日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
干货 | 人工智能如何帮助银行反欺诈:来看看关于银行智能欺诈风险预测模型的研究
干货 | 人工智能如何帮助银行反欺诈:来看看关于银行智能欺诈风险预测模型的研究
AI100
11+阅读 · 2017年11月17日
侦测欺诈交易(异常点检测)
侦测欺诈交易(异常点检测)
GBASE数据工程部数据团队
20+阅读 · 2017年5月10日
相关论文
DEFENDCLI: {Command-Line} Driven Attack Provenance Examination
Arxiv
0+阅读 · 2月17日
Unknown Attack Detection in IoT Networks using Large Language Models: A Robust, Data-efficient Approach
Arxiv
0+阅读 · 2月12日
SecureScan: An AI-Driven Multi-Layer Framework for Malware and Phishing Detection Using Logistic Regression and Threat Intelligence Integration
Arxiv
0+阅读 · 2月11日
Hydra: Robust Hardware-Assisted Malware Detection
Arxiv
0+阅读 · 2月6日
Next-generation cyberattack detection with large language models: anomaly analysis across heterogeneous logs
Arxiv
0+阅读 · 2月6日
Defending Large Language Models Against Jailbreak Attacks via In-Decoding Safety-Awareness Probing
Arxiv
0+阅读 · 1月30日
Trackly: A Unified SaaS Platform for User Behavior Analytics and Real Time Rule Based Anomaly Detection
Arxiv
0+阅读 · 1月30日
WADBERT: Dual-channel Web Attack Detection Based on BERT Models
Arxiv
0+阅读 · 1月29日
PrivTune: Efficient and Privacy-Preserving Fine-Tuning of Large Language Models via Device-Cloud Collaboration
Arxiv
0+阅读 · 1月21日
SAGA: Synthetic Audit Log Generation for APT Campaigns
Arxiv
0+阅读 · 1月14日
相关基金
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
支持可扩展事务处理的数据库日志机制及其实现
国家自然科学基金
0+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top