横向移动是指威胁参与者最初访问网络的方法,然后逐步通过上述网络收集有关资产的关键数据,直到达到其攻击的最终目标。随着企业网络的复杂性和相互联系的性质的增加,横向移动侵入变得更加复杂,并且需要同样复杂的检测机制,以便在企业量表下实时实时地进行此类威胁。在本文中,作者提出了一种使用用户行为分析和机器学习的新颖,轻巧的方法,用于横向运动检测。具体而言,本文介绍了一种用于网络域特异性特征工程的新方法,该方法可以以每个用户为基础识别横向运动行为。此外,工程功能还被用于开发两个监督的机器学习模型,用于横向运动识别,这些模型在文献中显然超过了先前在文献中看到的模型,同时在具有高级失衡的数据集上保持了稳健的性能。本文介绍的模型和方法也已与安全操作员合作设计,以相关和可解释,以最大程度地发挥影响力并最大程度地减少作为网络威胁检测工具包的价值。本文的基本目标是为近实时的横向运动检测提供一种计算高效的,特定于域的方法,该检测对企业规模的数据量和类别不平衡是可解释且健壮的。
translated by 谷歌翻译