ILAB: An Interactive Labelling Strategy for Intrusion Detection

Beaugnon, Anaël; Chifflier, Pierre; Bach, Francis

doi:10.1007/978-3-319-66332-6_6

Cited by 25 publications

(33 citation statements)

References 35 publications

Supporting

Mentioning

Contrasting

Unclassified

Order By: Relevance

“…al. introduce ILAB [7] as an active learning method for intrusion detection. Our work differs in using active learning guided by a boosting classifier and a naïve bayes anomaly detector, applied to command embedding representation, with the goal of detecting LOL attacks that leverage existing Windows tools.…”

Section: Related Workmentioning

confidence: 99%

Living-Off-The-Land Command Detection Using Active Learning

Ongun

Stokes

et al. 2021

24th International Symposium on Research in Attacks, Intrusions and Defenses

View full text Add to dashboard Cite

In recent years, enterprises have been targeted by advanced adversaries who leverage creative ways to infiltrate their systems and move laterally to gain access to critical data. One increasingly common evasive method is to hide the malicious activity behind a benign program by using tools that are already installed on user computers. These programs are usually part of the operating system distribution or another user-installed binary, therefore this type of attack is called "Living-Off-The-Land". Detecting these attacks is challenging, as adversaries may not create malicious files on the victim computers and anti-virus scans fail to detect them.We propose the design of an Active Learning framework called LOLAL for detecting Living-Off-the-Land attacks that iteratively selects a set of uncertain and anomalous samples for labeling by a human analyst. LOLAL is specifically designed to work well when a limited number of labeled samples are available for training machine learning models to detect attacks. We investigate methods to represent command-line text using word-embedding techniques, and design ensemble boosting classifiers to distinguish malicious and benign samples based on the embedding representation. We leverage a large, anonymized dataset collected by an endpoint security product and demonstrate that our ensemble classifiers achieve an average F1 score of 96% at classifying different attack classes. We show that our active learning method consistently improves the classifier performance as more training data is labeled, and converges in less than 30 iterations when starting with a small number of labeled instances.

show abstract

Section: Related Workmentioning

confidence: 99%

Living-Off-The-Land Command Detection Using Active Learning

Ongun

Stokes

et al. 2021

24th International Symposium on Research in Attacks, Intrusions and Defenses

View full text Add to dashboard Cite

show abstract

“…Varios autores [97,5,37,49] estiman que el uso de humanos expertos es esencial en el análisis de tráfico y posterior etiquetado de conexiones. Debido a que los expertos en redes son un recurso caro, el proceso de etiquetado debe utilizar el tiempo de estos usuarios de manera eficiente.…”

Section: Etiquetado Manualunclassified

“…De igual manera, Görnitz utiliza un enfoque de vecinos cercanos (KNN del inglés k-nearest neighbors) para la identificación de estas familias de conexiones. Un paso más alla en el intento de acelerar el ciclo de trabajo de AL, el trabajo de Beaugnon et al [5] se basa en la detección de categorías raras para evitar el sesgo de muestreo, como en el caso de Stokes, pero con una estrategia de "divide y vencerás" para asegurar una buena interacción humano-computadora enfocado al etiquetado por pequeñas secciones del tráfico.…”

Section: Etiquetado Asistidounclassified

See 1 more Smart Citation

Recomendaciones de comportamiento malicioso aplicado al etiquetado de tráfico de red

Luís¹

2021

RIDAA Tesis Unicen

View full text Add to dashboard Cite

Las redes de computadoras se han vuelto indispensables para el intercambio de información entre personas y organizaciones. Por ello, su seguridad representa en la actualidad un gran desafío para la comunidad informática. Hoy en día, son varias las técnicas que se emplean para proteger la información de intrusos en la red. Dentro de las técnicas más utilizadas se encuentran, los conocidos sistemas de detección de intrusos (NIDS por sus siglas en inglés). Quienes, más allá de la autenticación de usuarios, el cifrado de datos y los cortafuegos, se utilizan ampliamente como defensa activa del entorno de la red. A grandes rasgos, un NIDS representa un proceso activo que supervisa el tráfico de la red para identificar las violaciones de la seguridad e iniciar las medidas pertinentes. Producto del crecimiento de la Internet y la interacción de esta con los usuarios, los NIDS requieren constantemente de formas de adaptarse al entorno cambiante de la red o corren el riesgo de convertirse en sistemas obsoletos. Entre las estrategias más utilizadas para hacer frente a los constantes entornos cambiantes se encuentra la generación de NIDS basados en modelos estadísticos de detección y aprendizaje de máquina. Estos sistemas han tenido éxitos sobre otros, debido a su capacidad para identificar patrones de comportamiento y poder predecir patrones similares a futuro, pudiendo seguir el proceso evolutivo de la red. Sin embargo, justo antes de desplegar este tipo de NIDS en cualquier entorno del mundo real, un NIDS basado en modelos estadísticos debe ser entrenado y evaluado usando trazas de tráfico de red etiquetadas que representen la diversidad real del tráfico. Es por ello que, una de las principales limitaciones de este tipo de NIDS es la carencia de conjuntos de datos etiquetados con las características apropiadas. Carencia que se encuentra asociada, entre otros factores, a la falta de recursos y la dificultad del proceso de creación de estos conjuntos de datos etiquetados. La generación y etiquetado de conjuntos de datos útiles para la seguridad de las redes, es un área de estudio relativamente joven que abarca no más allá de los últimos 20 años. En el ámbito de la seguridad, el proceso de etiquetado de un conjunto de datos de tráfico de red es especialmente difícil y se requieren conocimientos especializados para realizar la clasificación de las trazas de tráfico en eventos de índole malicioso o eventos normales. Por ello, la mayoría de las estrategias de etiquetado de tráfico están basadas en la generación automática de trazas de tráfico artificiales con conocimientos de comportamientos conocidos de antemano. Esto se debe, en gran medida, para evitar lidiar con las dificultades del etiquetado y las limitantes de seguridad de la información que conlleva el uso de tráfico real. Esto trae como consecuencia, que en la mayoría de las ocasiones los conjuntos de datos resultantes no expresan el verdadero flujo de la información en la red. Como alternativas, se han propuesto otras técnicas que incluyen el aprendizaje automático, la visualización y una combinación de ambos (método interactivo) para acelerar el proceso de generación de datos sobre el tráfico real. Estas estrategias tienen como objetivo trabajar con tráfico en redes auténticas y acelerar el proceso de etiquetado. Lo cierto es que gran parte del etiquetado que se realiza sobre trazas de red se lleva a cabo de manera manual por usuarios expertos en el análisis de tráfico. Justamente, el uso de expertos se considera un recurso escaso que requieren años de práctica y preparación pero su uso se justifica fundamental para lograr una mayor precisión de las etiquetas. Sin embargo, en muchas ocasiones no se les brinda soporte alguno que asista a los expertos en la tarea de diferenciar dentro del tráfico el comportamiento malicioso del normal. Lo cierto es que a pesar del empleo de varias técnicas, los conjuntos de datos etiquetados sobre el tráfico de red siguen siendo un recurso altamente demandado. Es por ello que, se requieren técnicas novedosas de etiquetado, puntualmente enfocadas a la clasificación de trazas sobre tráfico real. Por todo lo antes expuesto, el presente documento presenta una Tesis de Doctorado que aporta soluciones sobre las principales limitaciones presentes en el proceso de etiquetado de trazas red. Puntualmente, se realizan aportes a través de una estrategia de etiquetado de tráfico real basado en el uso de usuarios no necesariamente expertos. La estrategia propuesta, representa un etiquetado manual asistido a través de una herramienta con componentes visuales y de aprendizaje de máquina. El usuario, durante gran parte del proceso de etiquetado queda acoplado dentro de un ciclo hombre-máquina conocido como Aprendizaje Activo. Luego, para validar la eficacia de las herramientas desarrolladas, se desarrolló un estudio con usuarios y se planteó una metodología de evaluación sobre la solución de Aprendizaje Activo en entornos reales de etiquetado.

show abstract

“…In Eventpad we aim for an alternative approach where analysts can interactively define themselves which data attributes should be represented in what way to serve their task at best. With ILAB, Beaugnon et al [5] already illustrated the value of human interaction to incrementally label data instances for supervised intrusion detection models. Systems such as KAMAS [29,36] also use rules to search for patterns in call sequences, but limit their sequential analysis to only this attribute.…”

Section: Malware Discoverymentioning

confidence: 99%

Eventpad: Rapid Malware Analysis and Reverse Engineering using Visual Analytics

Cappers

Meessen

Etalle

et al. 2018

2018 IEEE Symposium on Visualization for Cyber Security (VizSec)

View full text Add to dashboard Cite

DOI to the publisher's website. • The final author version and the galley proof are versions of the publication after peer review. • The final published version features the final layout of the paper including the volume, issue and page numbers. Link to publication General rights Copyright and moral rights for the publications made accessible in the public portal are retained by the authors and/or other copyright owners and it is a condition of accessing publications that users recognise and abide by the legal requirements associated with these rights. • Users may download and print one copy of any publication from the public portal for the purpose of private study or research. • You may not further distribute the material or use it for any profit-making activity or commercial gain • You may freely distribute the URL identifying the publication in the public portal. If the publication is distributed under the terms of Article 25fa of the Dutch Copyright Act, indicated by the "Taverne" license above, please follow below link for the End User Agreement:

show abstract

ILAB: An Interactive Labelling Strategy for Intrusion Detection

Cited by 25 publications

References 35 publications

Living-Off-The-Land Command Detection Using Active Learning

Living-Off-The-Land Command Detection Using Active Learning

Recomendaciones de comportamiento malicioso aplicado al etiquetado de tráfico de red

Eventpad: Rapid Malware Analysis and Reverse Engineering using Visual Analytics

Contact Info

Product

Resources

About