LINK-BASED ANOMALY DETECTION IN SYSMON LOGS USING GRAPH NEURAL NETWORKS

Abstract

Anomaly detection is a challenge well-suited to machine learning. In the context of information security, the benefits of unsupervised solutions show significant promise when used in conjunction with traditional signature-based detection techniques. By deriving a context for normal network behaviour, anomaly-based detection systems provide an adaptive alerting engine that can keep pace with the growing volume of novel threats in the field of cybersecurity.

The development of behavioural anomaly detection systems is not new. However, recent attention to Graph Neural Networks (GNNs) has provided an innovative approach to learn from attributed graphs, leveraging both node and edge attributes alongside network structure. While the focus of graph anomaly detection research has been devoted to anomalous node identification, the edges between nodes can be similarly detected during the reconstruction phase of a GNN encoder-decoder architecture. Given that hosts on a computer network can be naturally modeled as attributed nodes on a graph, the network connections between hosts can be used to represent relational edges. This topology is a natural fit for applying link prediction techniques to predict deviating behaviours.

The aim of this research is to determine whether an unsupervised GNN model can detect anomalous network connections in a static, attributed network. In this context, a static network refers to a fixed window of analysis, while attributed denotes the presence of node and edge features. Corporate network logs were collected using endpoint monitoring tools and analyzed to discern the underlying host communication patterns. A GNN-based anomaly detection system was designed and employed to score and rank anomalous connections between hosts. The model was validated against a range of realistic experimental scenarios, incorporating real anomalous data from the large corporate networks as well as an assessment against a smaller artificial network environment. Although quantitative metrics were affected by factors such as the scale of the network, qualitative assessments indicated that anomalies from all scenarios were detected. This exploratory research serves as a promising step for advancing this methodology in detecting anomalous network connections.

La détection d'anomalies est un défi parfaitement adapté à l'apprentissage automatique. Dans le contexte de la sécurité de l'information, les avantages des solutions non supervisées présentent une promesse significative lorsqu'elles sont utilisées en conjonction avec les techniques de détection basées sur des signatures traditionnelles. En dérivant un contexte pour le comportement normal du réseau, les systèmes de détection basés sur les anomalies fournissent un moteur d'alerte adaptatif capable de suivre le volume croissant de menaces nouvelles dans le domaine de la cybersécurité.

Le développement de systèmes de détection d'anomalies comportementales n'est pas nouveau. Cependant, l'attention récente portée aux réseaux neuronaux graphiques (GNN) a permis une approche novatrice pour apprendre à partir de graphiques attribués, en tirant parti à la fois des attributs des nœuds et des arêtes ainsi que de la structure du réseau. Alors que la recherche sur la détection d'anomalies dans les graphiques s'est concentrée sur l'identification des nœuds anormaux, les arêtes entre les nœuds peuvent également être détectées lors de la phase de reconstruction d'une architecture encodeur-décodeur GNN. Étant donné que les hôtes d'un réseau informatique peuvent être naturellement modélisés comme des nœuds attribués sur un graphique, les connexions réseau entre les hôtes peuvent être utilisées pour représenter des arêtes relationnelles. Cette topologie est parfaitement adaptée à l'application de techniques de prédiction de liens pour prédire les comportements déviants.

L'objectif de cette recherche est de déterminer si un modèle GNN non supervisé peut détecter des connexions réseau anormales dans un réseau attribué statique. Dans ce contexte, un réseau statique fait référence à une fenêtre d'analyse fixe, tandis qu'attribué indique la présence de caractéristiques des nœuds et des arêtes. Les journaux de réseau d'entreprise ont été collectés à l'aide d'outils de surveillance des points de terminaison et analysés pour déterminer les modèles de communication sous-jacents des hôtes. Un système de détection d'anomalies basé sur le GNN a été conçu et utilisé pour évaluer et classer les connexions anormales entre les hôtes. Le modèle a été validé sur une gamme de scénarios expérimentaux réalistes, en utilisant des données anormales réelles provenant de grands réseaux d'entreprise ainsi qu'une évaluation contre un environnement réseau artificiel plus petit. Bien que les mesures quantitatives aient été affectées par des facteurs tels que l'échelle du réseau, les évaluations qualitatives ont indiqué que les anomalies de tous les scénarios étaient détectées. Cette recherche exploratoire constitue une étape prometteuse pour faire progresser cette méthodologie dans la détection des connexions réseau anormales.