要約
横向移動(lateral movement)は、高度な持続的脅威(Advanced Persistent Threats: APT)がシステムを侵害する際に重要な段階である。この動きを検出することは簡単なタスクではない。ネットワークホストログを離散的な時系列グラフに抽象化すると、この問題は変化するネットワークにおける異常なエッジ検出という形に再定式化できる。近年の深層グラフ学習技術の研究により、この課題に対して多くの創造的かつ複雑なモデルが提案されている。しかし、機械学習分野の多くの場合と同様、モデルの汎用性は、学習および推論における精度とスケーラビリティにおいて極めて重要である。本論文では、この問題に対して形式化されたアプローチを提案し、EULERと呼ぶフレームワークを導入する。EULERは、モデル非依存のグラフニューラルネットワーク(GNN)と、例えば再帰型ニューラルネットワーク(RNN)のようなモデル非依存のシーケンス符号化層を組み合わせた構造を持つ。EULERフレームワークに従って構築されたモデルは、グラフ畳み込み層を複数のマシンに分散させることで、大幅な性能向上を容易に実現できる。さらに、EULERに基づくモデルが、異常リンク検出および予測に関する多くの最先端手法と比較して、同等あるいは優れた性能を発揮することを実証した。異常検出に基づく侵入検知システムとしての観点から見ても、EULERモデルは高精度でエントリ間の異常な接続を効率的に特定でき、他の非監視型手法に比べて、異常な横向移動検出において優れた性能を示す。