МЕТОД ПІДВИЩЕННЯ ЕФЕКТИВНОСТІ ДЕТЕКТУВАННЯ ІНСАЙДЕРСЬКИХ ЗАГРОЗ ІЗ ЗАСТОСУВАННЯМ GAN-АУГМЕНТАЦІЇ

Віталій Вербиненко; Сергій Зибін

doi:10.28925/2663-4023.2025.31.1087

Автор(и)

Віталій Вербиненко Державний університет інформаційно-комунікаційних технологій https://orcid.org/0009-0004-2134-1987
Сергій Зибін Державний університет інформаційно-комунікаційних технологій, Київський національний університет імені Тараса Шевченка https://orcid.org/0000-0002-2670-2823

DOI:

https://doi.org/10.28925/2663-4023.2025.31.1087

Ключові слова:

інсайдерські загрози, генеративно-змагальні мережі, аугментація даних, виявлення аномалій, інформаційна безпека

Анотація

У сучасних корпоративних інформаційних системах значну частку інцидентів інформаційної безпеки становлять інсайдерські загрози, що породжує нові вимоги до систем моніторингу та аналізу подій безпеки. На відміну від зовнішніх атак, інсайдерська активність маскується під звичайну роботу легітимних користувачів, а тому важко описується за допомогою класичних сигнатурних або периметрових механізмів захисту. Додатковою складністю є крайній дисбаланс класів у журналах подій. Кількість записів про типову щоденну активність у тисячі разів перевищує число зафіксованих інцидентів, що призводить до деградації якості роботи стандартних алгоритмів машинного навчання. У статті розроблений підхід до підвищення ефективності детектування інсайдерських загроз шляхом аугментації даних із використанням генеративно-змагальних мереж, зокрема архітектури Conditional Tabular GAN (CTGAN).

Запропоновано процес підготовки поведінкових логів, який передбачає агрегацію багатоканальних подій до рівня "користувач–день", побудову вектору динамічних поведінкових ознак та статичного контексту, логарифмічну нормалізацію ознак із "важкими хвостами" та масштабування до діапазону [–1; 1], що забезпечує стабільне навчання генеративної моделі. CTGAN налаштовується на моделювання умовного розподілу табличних даних міноритарного класу (інсайдерських атак) з урахуванням контексту ролі користувача та підрозділу. Для кожної неперервної ознаки застосовується спеціалізована нормалізація, яка дозволяє коректно відтворювати мультимодальні розподіли, а для дискретних змінних – техніка Gumbel-Softmax, що робить можливим навчання за методом зворотного поширення похибки. Запропонований метод є перспективним для інтеграції до систем класу SIEM/UEBA та подальшого поєднання з методами пояснюваного штучного інтелекту.

Завантаження

Дані завантаження ще не доступні.

Посилання

Greitzer, F. L., & Hohimer, R. E. (2011). Modeling Human Behavior to Anticipate Insider Attacks. Journal of Strategic Security, 4(2), 25–48. http://dx.doi.org/10.5038/1944-0472.4.2.2.

2018 Cost of Insider Threats: Global. Research Report / Ponemon Institute LLC. // Traverse City, MI, 2018. Режим доступу: https://www.insiderthreatdefense.us/pdf/Ponemon%20Institute%202018%20Report%20-%20The%20True%20Cost%20Of%20Insider%20Threats%20Revealed.pdf.

Homoliak, I., Toffalini, F., Guarnizo, J., Elovici, Y., & Ochoa, M. (2019). Insight Into Insiders and IT. ACM Computing Surveys, 52(2), 1–40. https://doi.org/10.1145/3303771.

ВАЙС, Т., ОНИЩАК, Н., ПОЛОВКО, І., & ШАРКАДІ, М. (2024). ВИКОРИСТАННЯ ГЕНЕРАТИВНОГО ШТУЧНОГО ІНТЕЛЕКТУ ДЛЯ АНАЛІЗУ ДАНИХ. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (2), 389–394. https://doi.org/10.31891/2219-9365-2024-78-45.

Yuan, S., & Wu, X. (2021). Deep learning for insider threat detection: Review, challenges and opportunities. Computers & Security, 104, 102221. https://doi.org/10.1016/j.cose.2021.102221.

Dunmore, A., Jang-Jaccard, J., Sabrina, F., & Kwak, J. (2023). A Comprehensive Survey of Generative Adversarial Networks (GANs) in Cybersecurity Intrusion Detection. IEEE Access, 1. https://doi.org/10.1109/access.2023.3296707.

Preston M. (2022). Insider Threat Detection Data Augmentation Using WCGAN-GP: Master’s Thesis // Preston Mack. Halifax, Nova Scotia, Canada: Dalhousie University. http://hdl.handle.net/10222/81531.

Gayathri R. G., Sajjanhar, A., & Xiang, Y. (2024). Hybrid deep learning model using SPCAGAN augmentation for insider threat analysis. Expert Systems with Applications, 123533. https://doi.org/10.1016/j.eswa.2024.123533.

Donahue J., Krähenbühl P. & Darrell T. (2017). Adversarial Feature Learning. Proceedings of the International Conference on Learning Representations (ICLR). https://doi.org/10.48550/arXiv.1605.09782.

Chen, Y., Chen, W., Chandra Pal, S., Saha, A., Chowdhuri, I., Adeli, B., Janizadeh, S., Dineva, A. A., Wang, X., & Mosavi, A. (2021). Evaluation efficiency of hybrid deep learning algorithms with neural network decision tree and boosting methods for predicting groundwater potential. Geocarto International, 1–21. https://doi.org/10.1080/10106049.2021.1920635.

Korchenko, O., Korchenko, A., Zybin, S., & Davydenko, K. (2025). An approach for classifying sociotechnical attacks. Radioelectronic and Computer Systems, 2025(2), 230-252. https://doi.org/10.32620/reks.2025.2.15.

Chawla, N. V., Bowyer, K. W., Hall, L. O., & Kegelmeyer, W. P. (2002). SMOTE: Synthetic Minority Over-sampling Technique. Journal of Artificial Intelligence Research, 16, 321–357. https://doi.org/10.1613/jair.953.

Xu L., Skoularidou M., Cuesta-Infante A., Veeramachaneni K. (2019). Modeling Tabular Data Using Conditional GAN. Advances in Neural Information Processing Systems, 7, 7335–7345. https://doi.org/10.48550/arXiv.1907.00503.

Liberti, G. (2009). Improved Strategies for Branching on General Disjunctions. Zootaxa, 2318, 339–385. https://doi.org/10.1184/R1/12841247.v1.