A Graph-Based Approach to Alert Contextualisation in Security Operations Centres
2509.12923v2
cs.CR, cs.AI
2025-09-19
Авторы:
Magnus Wiik Eckhoff, Peter Marius Flydal, Siem Peters, Martin Eian, Jonas Halvorsen, Vasileios Mavroeidis, Gudmund Grov
Резюме на русском
## Контекст
В Security Operations Centres (SOCs) существует огромное количество сигналов о потенциальных угрозах, которые необходимо анализировать и контекстуализировать. Однако существуют проблемы с определением серьезности и приоритета действий, так как не все сигналы являются опасными. Это ведет к увеличению нагрузки на аналитиков и ухудшению качества их работы. Наличие эффективных способов контекстуализации сигналов может существенно улучшить способность аналитиков быстро распознать реальные угрозы и отсеять бесполезные сигналы. Наша мотивация заключается в создании метода, который позволяет эффективно агрегировать сигналы и отображать их в виде графов для более точного анализа.
## Метод
Мы предлагаем графовую модель для контекстуализации сигналов в SOC. В этой модели каждый сигнал представляется в виде узла, а временные окна используются для связывания узлов в графы. Это позволяет группировать сигналы, которые могут быть связаны с одной атакой. Данные графы позволяют выделить более широкий контекст атаки, чем мог бы выделиться в случае работы с отдельными сигналами. Мы также используем Graph Matching Networks (GMNs) для сравнения новых сигналов с историческими данными об атаках, чтобы помочь аналитикам быстрее выявить шаги в атаке и риски. Эта архитектура позволяет использовать статистические методы для улучшения эффективности работы SOC.
## Результаты
Мы проводили эксперимент с использованием данных из реальных SOC, где реализована наша модель. Мы использовали определенные временные окна для группировки сигналов и сравнили нашу модель с существующими методами. Результаты показали, что наша графовая модель позволяет более эффективно идентифицировать связанные сигналы и выделить шаги в атаке. Также мы провели эксперименты с GMNs, которые показали, что наш метод улучшает точность и скорость определения предыдущих атак.
## Значимость
Наш метод может быть применен в различных SOC для повышения эффективности и принятия быстрых решений. Он предлагает способ эффективной обработки больших объемов данных, что может существенно уменьшить нагрузку на аналитиков. Благодаря методу GMNs, мы можем быстро выявить риски и уменьшить время отклика на новые угрозы. Это может привести к повышению безопасности систем и уменьшению времени отклика на риски в будущем.
## Выводы
Мы предложили новую графовую модель для контекстуализации сигналов в SOC, которая улучшает распознавание шагов в атаке и обеспечивает быстрое определение рисков. Наши результаты показывают, что данный подход эффективен и может быть применен в сценариях реального времени. В
Abstract
Interpreting the massive volume of security alerts is a significant challenge
in Security Operations Centres (SOCs). Effective contextualisation is
important, enabling quick distinction between genuine threats and benign
activity to prioritise what needs further analysis. This paper proposes a
graph-based approach to enhance alert contextualisation in a SOC by aggregating
alerts into graph-based alert groups, where nodes represent alerts and edges
denote relationships within defined time-windows. By grouping related alerts,
we enable analysis at a higher abstraction level, capturing attack steps more
effectively than individual alerts. Furthermore, to show that our format is
well suited for downstream machine learning methods, we employ Graph Matching
Networks (GMNs) to correlate incoming alert groups with historical incidents,
providing analysts with additional insights.
Ссылки и действия
Дополнительные ресурсы: