会员服务
攻击 · 噪声 · 网络攻击 · 鲁棒 · 分析 ·
2 月 6 日
AlertBERT: A noise-robust alert grouping framework for simultaneous cyber attacks
翻译:AlertBERT:一种面向并发网络攻击的噪声鲁棒告警分组框架
Lukas Karner,Max Landauer,Markus Wurzenberger,Florian Skopik
Lukas Karner,Max Landauer,Markus Wurzenberger,Florian Skopik

Automated detection of cyber attacks is a critical capability to counteract the growing volume and sophistication of cyber attacks. However, the high numbers of security alerts issued by intrusion detection systems lead to alert fatigue among analysts working in security operations centres (SOC), which in turn causes slow reaction time and incorrect decision making. Alert grouping, which refers to clustering of security alerts according to their underlying causes, can significantly reduce the number of distinct items analysts have to consider. Unfortunately, conventional time-based alert grouping solutions are unsuitable for large scale computer networks characterised by high levels of false positive alerts and simultaneously occurring attacks. To address these limitations, we propose AlertBERT, a self-supervised framework designed to group alerts from isolated or concurrent attacks in noisy environments. Thereby, our open-source implementation of AlertBERT leverages masked-language-models and density-based clustering to support both real-time or forensic operation. To evaluate our framework, we further introduce a novel data augmentation method that enables flexible control over noise levels and simulates concurrent attack occurrences. Based on the data sets generated through this method, we demonstrate that AlertBERT consistently outperforms conventional time-based grouping techniques, achieving superior accuracy in identifying correct alert groups.


翻译:网络攻击的自动化检测是应对日益增长的网络攻击数量和复杂性的关键能力。然而,入侵检测系统产生的大量安全告警会导致安全运营中心的分析师产生告警疲劳,进而导致响应速度慢和决策失误。告警分组,即根据安全告警的根本原因对其进行聚类,可以显著减少分析师需要处理的不同告警项的数量。遗憾的是,传统的基于时间的告警分组解决方案不适用于具有高误报告警和并发攻击特征的大规模计算机网络。为了解决这些局限性,我们提出了AlertBERT,这是一个自监督框架,旨在对噪声环境中来自孤立或并发攻击的告警进行分组。为此,我们开源的AlertBERT实现利用了掩码语言模型和基于密度的聚类,以支持实时或事后取证操作。为了评估我们的框架,我们进一步引入了一种新颖的数据增强方法,该方法能够灵活控制噪声水平并模拟并发攻击的发生。基于通过此方法生成的数据集,我们证明AlertBERT在识别正确告警组方面始终优于传统的基于时间的分组技术,实现了更高的准确率。
0
下载
关闭预览

相关内容

《网络安全中的机器学习算法:网络防护与攻击检测》最新报告
《网络安全中的机器学习算法:网络防护与攻击检测》最新报告
专知会员服务
19+阅读 · 2025年6月24日
《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页
《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页
专知会员服务
23+阅读 · 2024年6月3日
基于博弈论的入侵检测与响应优化综述
基于博弈论的入侵检测与响应优化综述
专知会员服务
40+阅读 · 2023年7月23日
《仅有包头的网络流量异常检测和分类的实证调查》美国陆军研究实验室2023最新5页报告
《仅有包头的网络流量异常检测和分类的实证调查》美国陆军研究实验室2023最新5页报告
专知会员服务
28+阅读 · 2023年5月22日
【2023新书】网络安全中的对抗性深度学习:攻击分类,防御机制和学习理论
【2023新书】网络安全中的对抗性深度学习:攻击分类,防御机制和学习理论
专知会员服务
52+阅读 · 2023年3月16日
博士论文《网络攻击组件模型的选择与组合》2022年295页PDF,阿拉巴马大学
博士论文《网络攻击组件模型的选择与组合》2022年295页PDF,阿拉巴马大学
专知会员服务
35+阅读 · 2023年1月28日
复杂系统如何检测异常?北卡UNCC等最新《复杂分布式系统中基于图的深度学习异常检测方法综述》,阐述最新图异常检测技术进展
复杂系统如何检测异常?北卡UNCC等最新《复杂分布式系统中基于图的深度学习异常检测方法综述》,阐述最新图异常检测技术进展
专知会员服务
58+阅读 · 2022年6月12日
对抗机器学习在网络入侵检测领域的应用
对抗机器学习在网络入侵检测领域的应用
专知会员服务
35+阅读 · 2022年1月4日
生成式对抗网络异常检测,GANs for Anomaly Detection
专知会员服务
34+阅读 · 2021年9月16日
网络攻击模型研究综述
专知会员服务
56+阅读 · 2020年12月28日
《网络化传感器集成架构: 未来多传感器多平台运行的赋能器》
《网络化传感器集成架构: 未来多传感器多平台运行的赋能器》
专知
36+阅读 · 2023年4月11日
【蜂群无人机控制关键技术】《基于深度学习进行无线电信号和协议分类以自动发现波形漏洞》2022最新102页报告,美国空军研究实验室
【蜂群无人机控制关键技术】《基于深度学习进行无线电信号和协议分类以自动发现波形漏洞》2022最新102页报告,美国空军研究实验室
专知
69+阅读 · 2022年12月3日
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
专知
47+阅读 · 2022年11月16日
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
专知
11+阅读 · 2022年10月28日
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
专知
40+阅读 · 2022年7月27日
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
专知
17+阅读 · 2022年4月16日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
ICASSP最佳学生论文:深度对抗声学模型训练框架
ICASSP最佳学生论文:深度对抗声学模型训练框架
专知
14+阅读 · 2018年4月28日
侦测欺诈交易(异常点检测)
侦测欺诈交易(异常点检测)
GBASE数据工程部数据团队
20+阅读 · 2017年5月10日
面向动态演化的网构软件失效机理与测评方法
国家自然科学基金
1+阅读 · 2015年12月31日
基于抽象语义切片和后向求精分析的静态分析警报自动确认研究
国家自然科学基金
1+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于免疫机制的无线传感器网络攻击协同检测研究与设计
国家自然科学基金
0+阅读 · 2015年12月31日
群体性突发事件预警的超网络方法研究
国家自然科学基金
2+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
面向网络中心战的动态火力分配问题研究
国家自然科学基金
49+阅读 · 2013年12月31日
Unknown Attack Detection in IoT Networks using Large Language Models: A Robust, Data-efficient Approach
Arxiv
0+阅读 · 2月12日
SecureScan: An AI-Driven Multi-Layer Framework for Malware and Phishing Detection Using Logistic Regression and Threat Intelligence Integration
Arxiv
0+阅读 · 2月11日
Empirical Analysis of Adversarial Robustness and Explainability Drift in Cybersecurity Classifiers
Arxiv
0+阅读 · 2月6日
Group-Adaptive Adversarial Learning for Robust Fake News Detection Against Malicious Comments
Arxiv
0+阅读 · 2月5日
Provable Defense Framework for LLM Jailbreaks via Noise-Augumented Alignment
Arxiv
0+阅读 · 2月2日
WADBERT: Dual-channel Web Attack Detection Based on BERT Models
Arxiv
0+阅读 · 1月29日
Bridging Expert Reasoning and LLM Detection: A Knowledge-Driven Framework for Malicious Packages
Arxiv
0+阅读 · 1月23日
PatchEAD: Unifying Industrial Visual Prompting Frameworks for Patch-Exclusive Anomaly Detection
Arxiv
0+阅读 · 1月22日
AlertGuardian: Intelligent Alert Life-Cycle Management for Large-scale Cloud Systems
Arxiv
0+阅读 · 1月21日
AttackMate: Realistic Emulation and Automation of Cyber Attack Scenarios Across the Kill Chain
Arxiv
0+阅读 · 1月20日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
噪声
网络攻击
鲁棒
分析
相关VIP内容
《网络安全中的机器学习算法:网络防护与攻击检测》最新报告
《网络安全中的机器学习算法:网络防护与攻击检测》最新报告
专知会员服务
19+阅读 · 2025年6月24日
《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页
《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页
专知会员服务
23+阅读 · 2024年6月3日
基于博弈论的入侵检测与响应优化综述
基于博弈论的入侵检测与响应优化综述
专知会员服务
40+阅读 · 2023年7月23日
《仅有包头的网络流量异常检测和分类的实证调查》美国陆军研究实验室2023最新5页报告
《仅有包头的网络流量异常检测和分类的实证调查》美国陆军研究实验室2023最新5页报告
专知会员服务
28+阅读 · 2023年5月22日
【2023新书】网络安全中的对抗性深度学习:攻击分类,防御机制和学习理论
【2023新书】网络安全中的对抗性深度学习:攻击分类,防御机制和学习理论
专知会员服务
52+阅读 · 2023年3月16日
博士论文《网络攻击组件模型的选择与组合》2022年295页PDF,阿拉巴马大学
博士论文《网络攻击组件模型的选择与组合》2022年295页PDF,阿拉巴马大学
专知会员服务
35+阅读 · 2023年1月28日
复杂系统如何检测异常?北卡UNCC等最新《复杂分布式系统中基于图的深度学习异常检测方法综述》,阐述最新图异常检测技术进展
复杂系统如何检测异常?北卡UNCC等最新《复杂分布式系统中基于图的深度学习异常检测方法综述》,阐述最新图异常检测技术进展
专知会员服务
58+阅读 · 2022年6月12日
对抗机器学习在网络入侵检测领域的应用
对抗机器学习在网络入侵检测领域的应用
专知会员服务
35+阅读 · 2022年1月4日
生成式对抗网络异常检测,GANs for Anomaly Detection
专知会员服务
34+阅读 · 2021年9月16日
网络攻击模型研究综述
专知会员服务
56+阅读 · 2020年12月28日
热门VIP内容
相关资讯
《网络化传感器集成架构: 未来多传感器多平台运行的赋能器》
《网络化传感器集成架构: 未来多传感器多平台运行的赋能器》
专知
36+阅读 · 2023年4月11日
【蜂群无人机控制关键技术】《基于深度学习进行无线电信号和协议分类以自动发现波形漏洞》2022最新102页报告,美国空军研究实验室
【蜂群无人机控制关键技术】《基于深度学习进行无线电信号和协议分类以自动发现波形漏洞》2022最新102页报告,美国空军研究实验室
专知
69+阅读 · 2022年12月3日
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
专知
47+阅读 · 2022年11月16日
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
专知
11+阅读 · 2022年10月28日
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
专知
40+阅读 · 2022年7月27日
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
专知
17+阅读 · 2022年4月16日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
ICASSP最佳学生论文:深度对抗声学模型训练框架
ICASSP最佳学生论文:深度对抗声学模型训练框架
专知
14+阅读 · 2018年4月28日
侦测欺诈交易(异常点检测)
侦测欺诈交易(异常点检测)
GBASE数据工程部数据团队
20+阅读 · 2017年5月10日
相关论文
Unknown Attack Detection in IoT Networks using Large Language Models: A Robust, Data-efficient Approach
Arxiv
0+阅读 · 2月12日
SecureScan: An AI-Driven Multi-Layer Framework for Malware and Phishing Detection Using Logistic Regression and Threat Intelligence Integration
Arxiv
0+阅读 · 2月11日
Empirical Analysis of Adversarial Robustness and Explainability Drift in Cybersecurity Classifiers
Arxiv
0+阅读 · 2月6日
Group-Adaptive Adversarial Learning for Robust Fake News Detection Against Malicious Comments
Arxiv
0+阅读 · 2月5日
Provable Defense Framework for LLM Jailbreaks via Noise-Augumented Alignment
Arxiv
0+阅读 · 2月2日
WADBERT: Dual-channel Web Attack Detection Based on BERT Models
Arxiv
0+阅读 · 1月29日
Bridging Expert Reasoning and LLM Detection: A Knowledge-Driven Framework for Malicious Packages
Arxiv
0+阅读 · 1月23日
PatchEAD: Unifying Industrial Visual Prompting Frameworks for Patch-Exclusive Anomaly Detection
Arxiv
0+阅读 · 1月22日
AlertGuardian: Intelligent Alert Life-Cycle Management for Large-scale Cloud Systems
Arxiv
0+阅读 · 1月21日
AttackMate: Realistic Emulation and Automation of Cyber Attack Scenarios Across the Kill Chain
Arxiv
0+阅读 · 1月20日
相关基金
面向动态演化的网构软件失效机理与测评方法
国家自然科学基金
1+阅读 · 2015年12月31日
基于抽象语义切片和后向求精分析的静态分析警报自动确认研究
国家自然科学基金
1+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于免疫机制的无线传感器网络攻击协同检测研究与设计
国家自然科学基金
0+阅读 · 2015年12月31日
群体性突发事件预警的超网络方法研究
国家自然科学基金
2+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
面向网络中心战的动态火力分配问题研究
国家自然科学基金
49+阅读 · 2013年12月31日
Top
微信扫码咨询专知VIP会员
Top