内部威胁检测论文速读1（日后查阅用2022.11.07）

qq_46942933

已于 2022-11-12 17:05:54 修改

阅读量714

点赞数

文章标签：深度学习

于 2022-11-07 16:48:54 首次发布

本文链接：https://blog.csdn.net/qq_46942933/article/details/127715093

版权

方法：通过用户的历史数据（CERT）例如：http、email，登录注销数据，device，建立预测模型，预测用户行为异常或群体行为异常或角色行为异常。

创新点：用多领域的日志信息进行建模，采用新的深度学习的方法（如GCN，LSTM- attention，深度自编码器，深度置信网络）

一.Anomaly Detection with Graph Convolutional Networks for Insider Threat and Fraud Detection

1.论文来源：

作者：Jianguo Jiang，Jiuming Chen，Tianbo Gu

时间： 2019 IEEE

论文链接：图卷积方法

2.problem

基于GCN的异常检测模型来检测用户和恶意威胁群体的恶意行为

3.novelty

创新点：

1.基于GCN方法进行内部威胁检测，第一个将GCN模型用于异常检测应用程序的工作。

2.设计了一个加权函数来量化用户之间的结构信息，能够克服由于网络中节点的孤立而带来的挑战。

3.提供了一个基于GCN算法的异常检测系统的总体框架，该框架易于实现，并可扩展到其他异常检测问题。

解决了两个难题：

1.缺乏足够的标记样品;在一个给定的组织内，恶意的内部人员和活动的数量通常是最小的。此外，大部分采集到的数据都是未标记的，这使得训练高精度的鲁棒标准差检测模型具有很大的挑战性。

2.忽略实体之间的结构信息;用户的关系可以提供用于检测用户或组的基本信息。然而，现有的机器学习或深度学习方法通常使用用户的个体属性，而不包括用户之间的关系信息。换句话说，对检测有用的重要信息可能会丢失。针对一些非欧氏数据(节点分类、边缘预测等)的学习任务，提出了GCN模型。

4.intuition

针对忽略实体之间结构信息的问题：将用户的行为及其连接关系描述为一个图，然后利用GCN算法训练用于内部威胁和欺诈检测的鲁棒标准差检测模型；因为多数用户孤立，设计了一个加权函数，利用用户的连接关系和用户行为的相似性来量化网络的结构信息。

针对缺乏足够标记样本的问题：GCN模型不需要对图中的所有节点进行标记进行训练，可以克服只采集部分标记样本的局限性。

5.experiment

实验数据集：CMU CERT

CMU CERT提供的数据集包括一个模拟网络中的1000名用户及其在2010年1月2日至2011年5月16日期间的活动。这些活动主要是浏览网页、收发邮件、操作文件、使用设备和登录的日志。CMU团队收集了这1000个用户的活动作为正常活动，他们还开发了三个内部威胁场景，其中包括被标记的恶意内部人员和他们的异常活动。使用标记的用户和标记的异常活动作为输入数据来训练异常检测模型。

实验：构建训练GCN模型的输入矩阵，将1000用户网络转换为一个图，其中节点代表用户，边代表量化的用户之间的关系；利用被标记用户及其异常活动的数据集提供的基础事实，构建输出矩阵。将所设计的GCN模型与四种广泛应用的机器学习和深度学习算法(随机森林、逻辑回归、支持向量机和CNN)进行了比较，使用SK-learn工具来实现这四种算法，比较GCN模型和四种基线算法对异常活动的检测精度。为了评估使用加权函数量化网络结构信息的有效性，还测试了使用用户之间的直接连接和使用加权函数的结果对比。

二.Anomaly-based Insider Threat Detection using Deep Autoencoders

1.论文来源：

作者：Liu Liu，Olivier De Vel，Chao Chen

时间：2018 IEEE International Conference on Data Mining Workshops

论文链接：深度自编码器方法

2.problem

开发一个基于深度学习的方案来检测更多类型的内部威胁，同时减少对背景领域知识的依赖，通过同时处理多个审计数据源来提高检测的可靠性。

3.novelty

创新点：

1.提出了一种来自不同类别审计数据的四种深度自编码集成方法，以实现更高的内部检测率。假阳性率降低到6%以下，从而减少了分析师的认知工作量。

2.实现深度学习在计算机网络内部检测问题上的一种全新的应用。与传统方法相比，深层层次模型学习了大量数据集中复杂的非线性关系，减少了对领域知识的依赖。

解决的问题：

许多已经提出的方案和系统的有效性依赖于专家调查员的领域知识，当没有领域专家或恶意行为演变成其他未知形式时，这种依赖就无法应用。大多数解决方案倾向于在任何时候分析单个或减少数量的审计数据源，但这种检测往往有很高的假阳性率，需要进一步的进行其他领域的调查验证。

4.intuition

1）深度学习可以从广泛的审计数据源中学习非线性相关性；

2）使用无监督深度学习算法，可以利用其强大的学习能力，而不需要太多的先验知识;

3）通过将深度学习融入典型异常检测框架中，所提出的检测系统有望有效对抗任何类型的异常内部威胁。

5.experiment

实验数据集：CMU CERT（2010年8月11日至2010年8月25日的数据）

实验：先通过对比实验的方式选出了最佳的神经网络层数、损失函数和激活函数，作为自编码器检测器的最优参数。检测不同类型数据（4种，登录审计数据、http数据、USB设备数据、文件操作数据）的检测器报告前10%的异常特征向量及其重构误差。尽管恶意内部用户输入(原始)记录与正常用户记录不同，但构造错误记录非常相似。这表明，在这种特殊情况下，异常指标仍然非常弱，或者在最坏的情况下，没有异常指标。通过结合这些弱异常自编码器探测器，现在可以证明可以实现改进的检测。通过调查0.1%的原始数据集，能够达到66.7%的真阳性率，通过调查5.6%的原始数据集，可以检测到所有的攻击。

三.Insider threat detection based on deep belief network feature representationInsider threat detection based on deep belief network feature representation

1.论文来源：

作者：Lingli Lin，Shangping Zhong，Cunmin Jia

时间：2017 IEEE

论文链接：深度置信网络方法

2.problem

提出了一种基于深度置信网络(Deep Belief Network)的混合模型来检测内部威胁。首先，使用无监督DBN从审计日志提取的多域特征中提取隐藏特征;其次，根据DBN学习到的特征训练单类支持向量机。

3.novelty

解决的问题：现有的研究工作主要集中在用户单域行为的单模式分析上，多域无关特征的融合可能会隐藏异常的存在。以往的特征学习方法在特征提取中存在较大的信息损失比例。

创新点：第一次将DBN（Deep Belief Network）用于内部威胁检测，利用DBN提取多域特征的隐含特征，进而检测内部威胁。依靠神经网络的自学习特性来获取不同类型数据的隐藏特征，利用DBN对审计日志事件提取的特征进行重构，然后利用OCSVM（one- class SVM）进行内部威胁检测。

4.intuition