Chagua Lugha

APIRO: Mfumo wa Kiotomatiki wa Kupendekeza API za Vyombo vya Usalama kwa Majukwaa ya SOAR

APIRO ni mfumo unaojifunza wa kiotomatiki wa kupendekeza API za vyombo vya usalama kwenye majukwaa ya SOAR, ukishughulikia changamoto za tofauti za data na mabadiliko ya maana kwa usahihi wa 91.9%.
apismarket.org | PDF Size: 1.9 MB
Ukadiriaji: 4.5/5
Ukadiriaji Wako
Umekadiria waraka huu tayari
Kifuniko cha Waraka PDF - APIRO: Mfumo wa Kiotomatiki wa Kupendekeza API za Vyombo vya Usalama kwa Majukwaa ya SOAR
Tazama Waraka PDF Pakua PDF Tafsiri PDF
Nyumbani » Nyaraka » APIRO: Mfumo wa Kiotomatiki wa Kupendekeza API za Vyombo vya Usalama kwa Majukwaa ya SOAR

1 Utangulizi

Vituo vya Uendeshaji wa Usalama (SOCs) vinazidi kutumia majukwaa ya Usanidi, Udhibiti Otomatiki, na Majibu (SOAR) kusimamia matukio ya usalama wa mtandao. Majukwaa haya yanaunganisha vyombo mbalimbali vya usalama kupitia API, lakini uteuzi wa API kwa mikono unaweka changamoto kubwa kutokana na tofauti za data, mabadiliko ya maana, na idadi kubwa ya API zinazopatikana.

APIRO inashughulikia changamoto hizi kupitia mfumo wa kiotomatiki unaojifunza unaopendekeza API za vyombo vya usalama zinazofaa zaidi kwa kazi maalum za kukabiliana na matukio. Mfumo unaonyesha usahihi wa 91.9% wa Top-1, ukivipita kwa kiasi kikubwa mbinu zilizopo.

91.9%

Usahihi wa Top-1

26.93%

Uboreshaji Zaidi ya Msingi

3

Vyombo vya Usalama Vilivyotathminiwa

36

Mbinu za Uboreshaji

2 Muundo wa Mfumo wa APIRO

Mfumo wa APIRO una sehemu kuu tatu zilizoundwa kushughulikia changamoto za kupendekeza API za vyombo vya usalama katika mazingira ya SOAR.

2.1 Moduli ya Uboreshaji Data

Kupunguza uhaba wa data, APIRO inatumia mbinu 36 za uboreshaji data zikiwemo ubadilishaji wa visawe, tafsiri nyuma, na uingizaji wa muktadha. Moduli hii inaboresha maelezo ya API kwa kuzalisha data ya mafunzo ya sintetiki huku ikiweka maana ya asili.

2.2 Mfano wa Uingizaji API

APIRO inatumia mfano maalum wa uingizaji wa maneno uliofunzwa kwenye mkusanyiko maalum wa usalama. Mfano huu unashika uhusiano wa maana kati ya utendaji wa API kwa kutumia lengo la uingizaji lifuatalo:

$\min_{\theta} \sum_{(w,c) \in D} -\log \sigma(v_c \cdot v_w) - \sum_{(w,c') \in D'} \log \sigma(-v_{c'} \cdot v_w)$

ambapo $v_w$ na $v_c$ zinawakilisha vekta za neno na muktadha mtawalia, $D$ inaashiria jozi chanya za mafunzo, na $D'$ inawakilisha sampuli hasi.

2.3 Uainishaji wa CNN

Mtandao wa Neural wa Convolutional unachakata maelezo ya API yaliyowekwa ili kutabiri API 3 zinazofana zaidi kwa kazi fulani. Muundo wa CNN unajumuisha saizi nyingi za kichujio (2,3,4 gramu) ili kushika muundo wa n-gramu katika nyaraka za API.

3 Matokeo ya Majaribio

APIRO ilitathminiwa kwa kutumia vyombo vitatu vya usalama vilivyo na nyaraka kubwa za API: Jukwaa la Kushiriki Taarifa za Malware (MISP), Limacharlie EDR, na jukwaa la Phantom SOAR.

3.1 Vipimo vya Utendaji

Mfumo ulipata utendaji wa kushangaza katika vipimo mbalimbali vya tathmini:

  • Usahihi wa Top-1: 91.9%
  • Usahihi wa Top-2: Umeongezeka kwa 23.03% zaidi ya msingi
  • Usahihi wa Top-3: Umeongezeka kwa 20.87% zaidi ya msingi
  • Cheo cha Wastani cha Kurudishwa (MRR): Uboreshaji wa 23.7%

3.2 Ulinganisho na Misingi

APIRO ilivipita kwa kiasi kikubwa mbinu za hali ya juu za msingi katika vipimo vyote. Uboreshaji wa utendaji unaonyesha ufanisi wa uboreshaji data na mbinu maalum ya uingizaji katika kushughulikia mabadiliko ya maana katika nyaraka za API za usalama.

Chati ya Ulinganisho wa Utendaji

Matokeo ya majaribio yanaonyesha vipimo vya usahihi vya APIRO ikilinganishwa na mbinu za msingi. Uonyeshaji wa chati ya baa unaonyesha ubora thabiti katika vipimo vya usahihi wa Top-1, Top-2, na Top-3, na uboreshaji mkubwa zaidi katika usahihi wa Top-1 (uboreshaji wa 26.93%).

4 Uchambuzi wa Kiufundi

Uelewa wa Msingi

APIRO inabadilisha kimsingi jinsi timu za SOC zinavyoshirikiana na API za vyombo vya usalama kwa kubadilisha michakato ya mikono, yenye kukosea, kwa mapendekezo ya kisasa, yanayotokana na data. Mafanikio halisi ya mfumo yako katika mbinu yake ya vitendo kuhusu ukweli mgumu wa nyaraka za usalama - haijaribu kuweka kawaida fujo hilo bali hujifunza kuendeshwa kwa ufanisi.

Mkondo wa Kimantiki

Muundo unafuata mfumo wa hatua tatu uliochangamka: kwanza, inaboresha kwa nguvu data ndogo ya mafunzo kupitia mbinu 36 (kukumbusha mikakati ya uboreshaji data ya CycleGAN); pili, inajenga uingizaji maalum wa kikoa unaoelewa nuances za istilahi za usalama; tatu, inatumia vichujio vya CNN vilivyo na saizi nyingi ili kushika muundo wa maana wa ndani na wa kimataifa. Hii sio tu matumizi mengine ya ML - ni mfumo uliojengwa kwa madhumuni maalum katika kikoa maalum, chenye hatari kubwa.

Nguvu na Mapungufu

Usahihi wa 91.9% wa Top-1 ni wa kuvutia, lakini nina shaka kuhusu utumizi wa ulimwengu halisi zaidi ya vyombo vitatu vilivyojaribiwa. Kutegemea uboreshaji mkubwa wa data unaonyesha matatizo ya msingi ya uhaba wa data ambayo yanaweza kuzuia uwezo wa kuenea. Hata hivyo, uboreshaji wa 26.93% zaidi ya misingi unaonyesha uvumbuzi halisi wa kiufundi, sio tu marekebisho madogo.

Uelewa Unaoweza Kutekelezwa

Wauzaji wa usalama wanapaswa kuchunguza mara moja kuunganisha utendaji kama wa APIRO kwenye majukwaa yao ya SOAR. Mfumo huo unatoa mwongozo wazi wa kushughulikia kikwazo cha kuunganishwa kwa API kinachowatesa SOCs za kisasa. Mashirika yanapaswa kushinikiza wauzaji wa SOAR kutumia mbinu hizi zinazoongozwa na AI badala ya kuendelea na mbinu za kuunganisha kwa mikono, dhaifu.

Mfano wa Mfumo wa Uchambuzi

Fikiria kazi ya kukabiliana na tukio: "Chunguza trafiki ya mtandao ya tuhumiwa kutoka kwa anwani ya IP 192.168.1.100"

Mchakato wa kufanya kazi wa APIRO:

  1. Usindikaji wa maelezo ya kazi na ugawaji wa ishara
  2. Utafutaji wa uingizaji kwa kutumia vekta za maneno maalum za usalama
  3. Uchimbaji wa vipengele vya CNN vilivyo na saizi nyingi
  4. Upimaji wa ufanisi dhidi ya API za vyombo vya usalama vinavyopatikana
  5. Mapendekezo ya API 3 bora na alama za uhakika

Matokeo: [MISP: search_events, Limacharlie: get_connections, Phantom: ip_reputation_check]

5 Matumizi ya Baadaye

Mbinu ya APIRO ina uwezo mkubwa zaidi ya kupendekeza vyombo vya usalama:

  • Ugunduzi wa API ya Biashara: Kupanua kwa mifumo ya jumla ya API ya biashara kwa ajili ya ugunduzi bora wa huduma na kuunganishwa
  • Udhibiti Otomatiki wa Usalama Kwenye Majukwaa Mbalimbali: Kuwezesha michakato ya kiotomatiki ya usalama kwenye watoa huduma wa wingu na wauzaji wa usalama
  • Kuweka Kawaida kwa API: Kuelimisha ukuzaji wa vipimo vya kawaida vya API za usalama
  • Muundo wa Kutokuamini Kabisa: Kuunga mkono utekelezaji wa sera za usalama zinazobadilika kupitia uteuzi wa kisasa wa API

Maelekezo ya utafiti wa baadaye ni pamoja na kujumuisha ujifunzaji wa kuhamisha kwa vyombo vipya vya usalama, kuunda uwezo wa kujifunza kwa michache, na kuunganisha AI inayoelezeka kwa uwazi wa mapendekezo.

6 Marejeo

  1. Zhu, J.Y., et al. "Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks." ICCV 2017.
  2. Mradi wa MISP. "Jukwaa la Kushiriki Taarifa za Malware." https://www.misp-project.org/
  3. Limacharlie. "Uchambuzi na Majibu wa Mwisho." https://limacharlie.io/
  4. Saxe, J., et al. "Deep Neural Network Based Malware Detection Using Two Dimensional Binary Program Features." IEEE S&P 2015.
  5. MITRE ATT&CK. "Matrix ya Biashara." https://attack.mitre.org/
  6. Phantom. "Jukwaa la Usanidi, Udhibiti Otomatiki, na Majibu ya Usalama." https://www.phantom.us/
  7. Rapid7. "Jukwaa la SOAR kwa Uwindaji wa Tishio." Nyaraka za Kiufundi, 2021.