会员服务
攻击 · 掩码 · 威胁检测 · 无监督 · 监督 ·
2 月 11 日
Mask-Based Window-Level Insider Threat Detection for Campaign Discovery
翻译:基于掩码的窗口级内部威胁检测用于攻击活动发现
Jericho Cain,Hayden Beadles
Jericho Cain,Hayden Beadles

User and Entity Behavior Analytics (UEBA) systems commonly detect insider threats by scoring fixed time windows of user activity for anomalous behavior. While this window-level paradigm has proven effective for identifying sharp behavioral deviations, it remains unclear how much information about longer-running attack campaigns is already present within individual windows, and how such information can be leveraged for campaign discovery. In this work, we study unsupervised window-level insider threat detection on the CERT r4.2 dataset and show that explicitly separating activity presence from activity magnitude yields substantial performance gains. We introduce a dual-channel convolutional autoencoder that reconstructs both a binary activity mask and corresponding activity values, allowing the model to focus representational capacity on sparse behavioral structure rather than dense inactive baselines. Across multiday attack campaigns lasting between one and seven days, the proposed approach achieves a window-level precision-recall AUC of 0.71, substantially exceeding standard unsupervised autoencoder baselines and enabling high-precision operating points with zero false alarms.


翻译:用户与实体行为分析(UEBA)系统通常通过评估固定时间窗口内的用户活动异常行为来检测内部威胁。尽管这种窗口级范式已被证明能有效识别突发性行为偏差,但关于长期攻击活动中的信息在多大程度上已存在于单个窗口内,以及如何利用此类信息进行攻击活动发现,目前仍不明确。本研究基于CERT r4.2数据集开展无监督窗口级内部威胁检测研究,结果表明:将活动存在性与活动强度进行显式分离可带来显著的性能提升。我们提出了一种双通道卷积自编码器,该模型能够同时重构二元活动掩码及对应的活动数值,使模型能将表征能力集中于稀疏的行为结构而非密集的非活跃基线。在持续1至7天的多日攻击活动中,所提方法实现了0.71的窗口级精确率-召回率曲线下面积,显著超越标准的无监督自编码器基线,并能在零误报条件下实现高精度检测。
0
下载
关闭预览

相关内容

《运用人工神经网络的防空系统威胁评估模型》
《运用人工神经网络的防空系统威胁评估模型》
专知会员服务
11+阅读 · 2月21日
《利用人工智能增强的监视分析在网络、陆地、空中和海上领域实时建模威胁向量》
《利用人工智能增强的监视分析在网络、陆地、空中和海上领域实时建模威胁向量》
专知会员服务
19+阅读 · 2025年11月2日
《运用深度学习技术检测卫星异常活动以预警军事行动迹象》
《运用深度学习技术检测卫星异常活动以预警军事行动迹象》
专知会员服务
19+阅读 · 2025年9月13日
基于深度学习的入侵检测系统:综述
基于深度学习的入侵检测系统:综述
专知会员服务
15+阅读 · 2025年4月11日
《利用 LLM 进行高级持续性威胁 (APT) 检测和智能解释》
《利用 LLM 进行高级持续性威胁 (APT) 检测和智能解释》
专知会员服务
23+阅读 · 2025年2月14日
《基于深度学习的实时武器检测系统》
《基于深度学习的实时武器检测系统》
专知会员服务
32+阅读 · 2024年1月22日
网络靶场《网络威胁可视化:在网络安全演习中提供可视化服务》2023最新59页报告
网络靶场《网络威胁可视化:在网络安全演习中提供可视化服务》2023最新59页报告
专知会员服务
41+阅读 · 2023年10月22日
《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文
《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文
专知会员服务
32+阅读 · 2023年5月14日
《基于联邦学习的全球协同威胁检测》
《基于联邦学习的全球协同威胁检测》
专知会员服务
31+阅读 · 2023年3月13日
生成式对抗网络异常检测,GANs for Anomaly Detection
专知会员服务
34+阅读 · 2021年9月16日
【蜂群无人机控制关键技术】《基于深度学习进行无线电信号和协议分类以自动发现波形漏洞》2022最新102页报告,美国空军研究实验室
【蜂群无人机控制关键技术】《基于深度学习进行无线电信号和协议分类以自动发现波形漏洞》2022最新102页报告,美国空军研究实验室
专知
69+阅读 · 2022年12月3日
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
专知
40+阅读 · 2022年7月27日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
tensorflow Object Detection API使用预训练模型mask r-cnn实现对象检测
tensorflow Object Detection API使用预训练模型mask r-cnn实现对象检测
极市平台
12+阅读 · 2018年8月24日
深度 | 级联MobileNet-V2实现人脸关键点检测(附训练源码)
深度 | 级联MobileNet-V2实现人脸关键点检测(附训练源码)
机器之心
15+阅读 · 2018年3月11日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
基于图片内容的深度学习图片检索(一)
基于图片内容的深度学习图片检索(一)
七月在线实验室
20+阅读 · 2017年10月1日
侦测欺诈交易(异常点检测)
侦测欺诈交易(异常点检测)
GBASE数据工程部数据团队
20+阅读 · 2017年5月10日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于被控物理对象监测的核电厂网络空间攻击的检测和响应
国家自然科学基金
2+阅读 · 2015年12月31日
分布式中继网络中的物理层攻击检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
场景深度关系下的视频遮挡目标检测
国家自然科学基金
1+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
SmartGuard: Leveraging Large Language Models for Network Attack Detection through Audit Log Analysis and Summarization
Arxiv
0+阅读 · 2月13日
A Cognitive Distribution and Behavior-Consistent Framework for Black-Box Attacks on Recommender Systems
Arxiv
0+阅读 · 2月12日
Dashed Line Defense: Plug-And-Play Defense Against Adaptive Score-Based Query Attacks
Arxiv
0+阅读 · 2月9日
LeakBoost: Perceptual-Loss-Based Membership Inference Attack
Arxiv
0+阅读 · 2月5日
Generative Adversarial Evasion and Out-of-Distribution Detection for UAV Cyber-Attacks
Arxiv
0+阅读 · 2月4日
A Consensus-Bayesian Framework for Detecting Malicious Activity in Enterprise Directory Access Graphs
Arxiv
0+阅读 · 2月3日
SafePred: A Predictive Guardrail for Computer-Using Agents via World Models
Arxiv
0+阅读 · 2月2日
Trackly: A Unified SaaS Platform for User Behavior Analytics and Real Time Rule Based Anomaly Detection
Arxiv
0+阅读 · 1月30日
Detecting Instruction Fine-tuning Attacks using Influence Function
Arxiv
0+阅读 · 1月30日
SAGA: Synthetic Audit Log Generation for APT Campaigns
Arxiv
0+阅读 · 1月14日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
掩码
威胁检测
无监督
监督
相关VIP内容
《运用人工神经网络的防空系统威胁评估模型》
《运用人工神经网络的防空系统威胁评估模型》
专知会员服务
11+阅读 · 2月21日
《利用人工智能增强的监视分析在网络、陆地、空中和海上领域实时建模威胁向量》
《利用人工智能增强的监视分析在网络、陆地、空中和海上领域实时建模威胁向量》
专知会员服务
19+阅读 · 2025年11月2日
《运用深度学习技术检测卫星异常活动以预警军事行动迹象》
《运用深度学习技术检测卫星异常活动以预警军事行动迹象》
专知会员服务
19+阅读 · 2025年9月13日
基于深度学习的入侵检测系统:综述
基于深度学习的入侵检测系统:综述
专知会员服务
15+阅读 · 2025年4月11日
《利用 LLM 进行高级持续性威胁 (APT) 检测和智能解释》
《利用 LLM 进行高级持续性威胁 (APT) 检测和智能解释》
专知会员服务
23+阅读 · 2025年2月14日
《基于深度学习的实时武器检测系统》
《基于深度学习的实时武器检测系统》
专知会员服务
32+阅读 · 2024年1月22日
网络靶场《网络威胁可视化:在网络安全演习中提供可视化服务》2023最新59页报告
网络靶场《网络威胁可视化:在网络安全演习中提供可视化服务》2023最新59页报告
专知会员服务
41+阅读 · 2023年10月22日
《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文
《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文
专知会员服务
32+阅读 · 2023年5月14日
《基于联邦学习的全球协同威胁检测》
《基于联邦学习的全球协同威胁检测》
专知会员服务
31+阅读 · 2023年3月13日
生成式对抗网络异常检测,GANs for Anomaly Detection
专知会员服务
34+阅读 · 2021年9月16日
热门VIP内容
相关资讯
【蜂群无人机控制关键技术】《基于深度学习进行无线电信号和协议分类以自动发现波形漏洞》2022最新102页报告,美国空军研究实验室
【蜂群无人机控制关键技术】《基于深度学习进行无线电信号和协议分类以自动发现波形漏洞》2022最新102页报告,美国空军研究实验室
专知
69+阅读 · 2022年12月3日
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
专知
40+阅读 · 2022年7月27日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
tensorflow Object Detection API使用预训练模型mask r-cnn实现对象检测
tensorflow Object Detection API使用预训练模型mask r-cnn实现对象检测
极市平台
12+阅读 · 2018年8月24日
深度 | 级联MobileNet-V2实现人脸关键点检测(附训练源码)
深度 | 级联MobileNet-V2实现人脸关键点检测(附训练源码)
机器之心
15+阅读 · 2018年3月11日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
基于图片内容的深度学习图片检索(一)
基于图片内容的深度学习图片检索(一)
七月在线实验室
20+阅读 · 2017年10月1日
侦测欺诈交易(异常点检测)
侦测欺诈交易(异常点检测)
GBASE数据工程部数据团队
20+阅读 · 2017年5月10日
相关论文
SmartGuard: Leveraging Large Language Models for Network Attack Detection through Audit Log Analysis and Summarization
Arxiv
0+阅读 · 2月13日
A Cognitive Distribution and Behavior-Consistent Framework for Black-Box Attacks on Recommender Systems
Arxiv
0+阅读 · 2月12日
Dashed Line Defense: Plug-And-Play Defense Against Adaptive Score-Based Query Attacks
Arxiv
0+阅读 · 2月9日
LeakBoost: Perceptual-Loss-Based Membership Inference Attack
Arxiv
0+阅读 · 2月5日
Generative Adversarial Evasion and Out-of-Distribution Detection for UAV Cyber-Attacks
Arxiv
0+阅读 · 2月4日
A Consensus-Bayesian Framework for Detecting Malicious Activity in Enterprise Directory Access Graphs
Arxiv
0+阅读 · 2月3日
SafePred: A Predictive Guardrail for Computer-Using Agents via World Models
Arxiv
0+阅读 · 2月2日
Trackly: A Unified SaaS Platform for User Behavior Analytics and Real Time Rule Based Anomaly Detection
Arxiv
0+阅读 · 1月30日
Detecting Instruction Fine-tuning Attacks using Influence Function
Arxiv
0+阅读 · 1月30日
SAGA: Synthetic Audit Log Generation for APT Campaigns
Arxiv
0+阅读 · 1月14日
相关基金
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于被控物理对象监测的核电厂网络空间攻击的检测和响应
国家自然科学基金
2+阅读 · 2015年12月31日
分布式中继网络中的物理层攻击检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
场景深度关系下的视频遮挡目标检测
国家自然科学基金
1+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top