AIBR プレミアム
拓海先生、最近部下から「攻撃検知のデータが足りない」と言われて困っています。そもそもどうして本物のログが集めにくいのですか?
素晴らしい着眼点ですね!実運用の監査ログにはプライバシーや機密、保管コストの問題があるんです。だから攻撃(APT: Advanced Persistent Threat)を含む大規模なラベル付きデータが不足しがちなんですよ。
要するに、攻撃が混じった本物のログをたくさん集められないから、検出モデルの学習が進まないということですね?
まさにその通りですよ。今回注目するSAGAは、そうした問題を解決するために『ラベル付きの合成監査ログ(synthetic audit logs)』を作る仕組みです。ポイントを三つにまとめると、現実風のログを生成する、攻撃手順を埋め込める、期間や規模を自由に設定できる、です。
それは便利そうですが、実際の検知に役立つんですか?うちの投資対効果に見合うか心配でして。
大丈夫、一緒に考えましょう。研究では合成ログを使って既存の手法や機械学習モデルを評価し、学習データとしても有効であることを示しています。投資対効果で見れば、実機で攻撃を発生させるリスクや教育コストを避けられるというメリットが出ますよ。
具体的には、どうやって「攻撃」を合成しているのですか?MITRE ATT&CKって用語を聞きましたが、それは何でしょうか。
素晴らしい着眼点ですね!MITRE ATT&CK(MITRE ATT&CK framework)とは、攻撃者の手口を体系化した辞書のようなもので、研究や検知ルールの共通言語になります。SAGAはこのフレームワークをテンプレートにして、攻撃のステージと技術(technique)をログイベントに写し込むんです。
これって要するに、攻撃の設計図を使って『見本の悪い動き』をログに書き込む、ということですか?
その通りですよ。例えるなら、工場の不良品検知ならば『不良の型紙』を用意するのと同じです。SAGAはまず赤チーム(red team)によるエミュレーションで攻撃シナリオを取得し、それを細かいラベル付きイベントに翻訳して合成する流れです。要点は三つ、現実味、ラベルの細かさ、生成の自由度です。
最後に一つ確認したいのですが、合成ログで訓練したモデルは本物の見えない手口にも効きますか?投資する価値があるかはここが肝心でして。
良い質問ですね!論文の実験では、合成ログで訓練した深層学習モデルが未観測の技術(previously unseen techniques)をある程度検出できたと報告しています。万能ではありませんが、検出能力の底上げや評価基準の整備には十分に有用です。大丈夫、一緒に手順を作れば導入できますよ。
分かりました。では私の言葉でまとめます。SAGAは攻撃の設計図を使って現実っぽいラベル付きのログを自在に作り、検知モデルの訓練と評価を安全に進められる仕組み、という理解で合っていますね。
