[Paper] 零信任架构中的行为分析用于持续内部威胁检测

Source: arXiv - 2601.06708v1

Overview

本文提出了一种机器学习框架，能够持续监控用户行为，以在 Zero‑Trust Architectures (ZTA) 中发现内部威胁。通过将数据预处理技巧（SMOTE、PCA）与 AdaBoost 集成相结合，作者在广泛使用的 CERT Insider Threat Dataset 上实现了几乎完美的检测，展示了在真实网络中实现 “never trust, always verify” 的实用路径。

关键贡献

• 端到端流水线用于内部威胁检测：数据清洗 → 类别平衡（SMOTE） → 降维（PCA） → 分类。
• 基于 AdaBoost 的集成模型，在 98 % 准确率和 0.98 AUC 上优于经典基线（SVM、ANN、贝叶斯网络）。
• 综合评估使用精确率、召回率、F1‑分数和 ROC 曲线验证鲁棒性。
• 开源可复现性：工作流基于公开的 CERT Insider Threat 数据集，便于其他团队复制或扩展研究。

方法论

1. 数据集准备 – CERT 数据集（合成内部威胁日志）首先进行清洗和标准化。由于内部威胁事件稀少，作者使用 SMOTE 合成生成少数类样本，实现平衡的训练集。
2. 特征降维 – 通过数十个原始属性（文件访问、邮件计数、登录时间等），主成分分析（PCA） 将数据压缩到最具信息量的成分，去除噪声并加快训练速度。
3. 模型训练 – 训练多个基线分类器（支持向量机、人工神经网络、贝叶斯网络）进行对比。核心模型是 AdaBoost 集成，它迭代地组合弱学习器（决策树桩）形成强预测器。
4. 评估 – 在保留的测试集上计算标准分类指标（准确率、精确率、召回率、F1）和 ROC‑AUC 曲线，以评估检测质量和误报率。

结果与发现

• AdaBoost 在所有指标上始终优于基线，表明其在区分合法用户活动与恶意内部行为方面具有更强的能力。
• 高 AUC（0.98）表明即使在调整决策阈值时，模型仍保持强大的判别能力，这对于在生产环境中调节误报率至关重要。

实际意义

• 实时监控：AdaBoost 中决策树桩学习器的轻量特性，使得将模型嵌入安全信息与事件管理（SIEM）流水线进行用户行为的持续评分成为可能。
• 零信任执行：组织可以在零信任架构（ZTA）策略中加入基于行为的“信任分数”，当异常急剧上升时自动撤销或限制访问，从而降低对静态凭证检查的依赖。
• 可扩展到其他领域：相同的预处理（SMOTE + PCA）和集成策略可用于检测欺诈、异常 API 使用或云环境中被妥协的服务账户。
• 降低警报疲劳：通过实现 >98 % 的精确率，系统能够显著减少误报，让 SOC 分析师专注于真正可疑的事件。

限制与未来工作

• 合成数据集: CERT 数据虽然是标准基准，但未能捕捉实时企业日志的全部复杂性（例如，异构云服务、加密流量）。需要进行真实世界的验证。
• 特征工程范围: 本研究依赖预先选择的特征；加入更丰富的上下文信号（例如，设备姿态、地理位置、工作负载模式）可能进一步提升检测效果。
• 模型可解释性: AdaBoost 集成模型的透明度低于基于规则的系统；未来工作可以结合可解释 AI 技术，以展示为何标记某用户。
• 自适应对手: 内部攻击者可能故意模仿正常行为以规避检测。持续研究对抗鲁棒训练和在线学习将有助于使模型领先于不断演变的攻击策略。

作者

• Gaurav Sarraf

论文信息

• arXiv ID: 2601.06708v1
• 分类: cs.CR, cs.DC
• 出版时间: 2026年1月10日
• PDF: 下载 PDF