Euler : Détection du déplacement latéral au sein des réseaux par prédiction temporelle des liens évolutives

Le déplacement latéral constitue une étape clé de la compromission système utilisée par les menaces persistantes avancées. Sa détection n’est pas une tâche aisée. Lorsque les journaux d’hôtes réseau sont abstraits en graphes temporels discrets, ce problème peut être reformulé comme une détection d’arêtes anormales dans un réseau évolutif. Les recherches menées dans le domaine des techniques modernes d’apprentissage profond sur graphes ont abouti à de nombreux modèles créatifs et complexes pour cette tâche. Toutefois, comme cela est souvent le cas dans de nombreux domaines de l’apprentissage automatique, la généralité des modèles revêt une importance primordiale pour garantir à la fois une précision élevée et une scalabilité optimale durant l’entraînement et l’inférence. Dans cet article, nous proposons une approche formalisée de ce problème, au travers d’un cadre que nous appelons EULER. Ce cadre repose sur un réseau neuronal de graphe indépendant du modèle, superposé à une couche d’encodage de séquence indépendante du modèle, telle qu’un réseau neuronal récurrent. Les modèles construits selon le cadre EULER peuvent facilement répartir leurs couches de convolution de graphe sur plusieurs machines, permettant ainsi des améliorations significatives des performances. En outre, nous démontrons que les modèles basés sur EULER sont compétitifs, voire supérieurs à de nombreuses approches de pointe en détection et prédiction d’arêtes anormales. En tant que systèmes de détection d’intrusions basés sur les anomalies, les modèles EULER parviennent à identifier efficacement les connexions anormales entre entités avec une haute précision, tout en surpassant d’autres techniques non supervisées pour la détection du déplacement latéral anormal.