A Graph-Based Approach to Alert Contextualisation in Security Operations Centres
2509.12923v1
cs.CR, cs.AI
2025-09-18
Авторы:
Magnus Wiik Eckhoff, Peter Marius Flydal, Siem Peters, Martin Eian, Jonas Halvorsen, Vasileios Mavroeidis, Gudmund Grov
Резюме на русском
## Контекст
Современные Security Operations Centres (SOC) сталкиваются с вызовом обработки огромного объема безопасностных оповещений. Эти оповещения содержат критическую информацию о потенциальных угрозах, однако их значимость часто неясна. Это приводит к проблеме «шума от оповещений», что ограничивает эффективность работы операторов и приводит к задержкам в реагировании на настоящие угрозы. Без эффективной контекстуализации безопасностные операторы тратят большое количество времени на анализ бесполезных сигналов, что снижает их производительность.
## Метод
Предлагаемая методология основывается на графовой модели, где каждое оповещение представляется в виде узла, а временные связи между оповещениями — в виде ребер. Для образования групп оповещений используется окно времени, позволяющее агрегировать связанные оповещения в единую структуру. Этот подход позволяет проводить анализ на более высоком абстрактном уровне, чтобы интерпретировать атаки как последовательности шагов. Для классификации и анализа сгруппированных оповещений используются Graph Matching Networks (GMNs), метод машинного обучения, который позволяет сравнивать новые оповещения с историческими данными об атаках.
## Результаты
Для проверки эффективности предложенного подхода проведены эксперименты на наборе данных, содержащих реальные безопасностные оповещения. Оповещения агрегировались в группы с использованием временных окне, а затем проводился сравнительный анализ с использованием GMNs. Результаты показали, что применение графового подхода улучшает точность идентификации атак высокого уровня, снижает время, необходимое для анализа, и усиливает возможности аналитиков для быстрого реагирования на критические угрозы.
## Значимость
Предлагаемый подход может быть применен в различных сферах, включая мониторинг безопасности, анализ рисков и анализ данных в SOC. Он обеспечивает более эффективный анализ оповещений, повышает производительность операторов, и позволяет более точно отделить реальные угрозы от ложных сигналов. Кроме того, использование машинного обучения в сочетании с графовым подходом дает возможность анализаторам быстрее определять и реагировать на новые типы атак, без необходимости предварительного ручного анализа.
## Выводы
Результаты экспериментов показали, что графовый подход значительно повышает эффективность контекстуализации оповещений в SOC. На основе этого подхода могут быть разработаны более сложные методы анализа, которые помогут обеспечить более быстрое реагирование на новые типы атак. В будущем планируется расширить эксперименты на более крупные наборы данных и сравнить полученные результаты с дру
Abstract
Interpreting the massive volume of security alerts is a significant challenge
in Security Operations Centres (SOCs). Effective contextualisation is
important, enabling quick distinction between genuine threats and benign
activity to prioritise what needs further analysis.This paper proposes a
graph-based approach to enhance alert contextualisation in a SOC by aggregating
alerts into graph-based alert groups, where nodes represent alerts and edges
denote relationships within defined time-windows. By grouping related alerts,
we enable analysis at a higher abstraction level, capturing attack steps more
effectively than individual alerts. Furthermore, to show that our format is
well suited for downstream machine learning methods, we employ Graph Matching
Networks (GMNs) to correlate incoming alert groups with historical incidents,
providing analysts with additional insights.
Ссылки и действия
Дополнительные ресурсы: