Euler: Erkennung von Netzwerk-Lateral Movement mittels skalierbarer zeitlicher Link-Vorhersage

Lateral Movement ist eine entscheidende Phase bei der Systemkompromittierung durch fortgeschrittene, persistente Bedrohungen. Die Erkennung hierbei stellt keine einfache Aufgabe dar. Wenn Netzwerkknoten-Logs in diskrete zeitliche Graphen abstrahiert werden, lässt sich das Problem als anomale Kanten-Erkennung in einem sich entwickelnden Netzwerk neu formulieren. Forschung in modernen tiefen Graphen-Lernverfahren hat zahlreiche kreative und komplizierte Modelle für diese Aufgabe hervorgebracht. Dennoch ist, wie in vielen Gebieten des maschinellen Lernens, die Allgemeingültigkeit von Modellen von entscheidender Bedeutung für Genauigkeit und Skalierbarkeit während des Trainings und der Inferenz. In diesem Paper stellen wir einen formalisierten Ansatz für dieses Problem vor, der auf einem Framework namens EULER basiert. Dieses besteht aus einem modellunabhängigen Graphen-Neural-Network, das auf einer modellunabhängigen Sequenz-Codierungsschicht wie einer rekurrenten neuronalen Netzwerk-Schicht aufgebaut ist. Modelle, die gemäß dem EULER-Framework konstruiert werden, können ihre Graphen-Convolutional-Layer leicht auf mehrere Maschinen verteilen, um erhebliche Leistungssteigerungen zu erzielen. Darüber hinaus zeigen wir, dass EULER-basierte Modelle mit vielen state-of-the-art-Ansätzen zur Erkennung und Vorhersage anomaler Verbindungen konkurrieren oder diese sogar übertreffen. Als auf Anomalien basierende Intrusion-Detection-Systeme können EULER-Modelle anomale Verbindungen zwischen Entitäten mit hoher Genauigkeit effizient identifizieren und andere unüberwachte Techniken zur Erkennung anomaler Lateral Movement überlegen sein.