ANOMALY DETECTION IN ACTIVE DIRECTORY FOR APT ATTACK DETECTION: METHODS, EFFECTIVENESS, AND LIMITATIONS
DOI:
https://doi.org/10.28925/2663-4023.2025.30.915Keywords:
Advanced Persistent Threat; Active Directory; Anomaly Detection; Machine Learning ; Deep Learning; Cybersecurity; Defense-in-Depth; Graph-Based Analytics.Abstract
The article presents an overview, analysis and comparison of machine learning methods for detecting threats in the Active Directory environment. Since modern attack methods are increasingly better at bypassing traditional protection tools and better at mimicking legitimate activity, anomaly detection was chosen as the method for detecting threats. 4 types of algorithms were selected for the study: cluster, classifier, neural network and graph-based algorithms. The experiment was conducted on the example of a virtual environment that simulated Active Directory. The machine learning model was trained on the typical operation of the simulated environment. Attacks, for testing, were simulated in the same environment simultaneously with the reproduction of average statistical activity, to reflect conditions closer to real ones. The study showed that each algorithm has its advantages and disadvantages and that there is no reliable solution capable of fully detecting all threats. Thus, LSTMs were the best at detecting anomalies in user behavior, Autoencoders were the best at detecting anomalies in the command line, and the graph-based algorithm was the best at detecting anomalies in network traffic. At the same time, the results highlight the limitations of classification algorithms in scenarios with high variability of cases, as well as the limitations in the ability to detect unknown and legitimate activity-mimicking threats for classification algorithms. The results of the study confirm the need to build comprehensive information protection systems based on the principles of defense-in-depth, combining all the strengths of different methods for effective threat detection. In addition, it emphasizes that the practical value of these models is maximized when they are used to improve the capabilities of existing security platforms.
У статті представлено огляд, аналіз та порівняння методів машинного навчання для виявлення загроз в середовищі Active Directory. Оскільки сучасні методи атак все краще обходять традиційні інструменти захисту і все краще мімікрують під легітимну активність, способом виявлення загроз було обрано виявлення аномалій. Для дослідження було обрано 4 типу алгоритмів: кластерні, класифікатори, нейронні мережі та алгоритми на основі графів. Експеримент проводився на прикладі віртуального середовища яке симулювало Active Directory. Модель машинного навчання навчались на типовій роботі симульованого середовища. Атаки, для тестування, симулювались в тому ж середовищі одночасно з відтворенням середньостатистичної активності, для відображення умов ближчих до реальних.
Дослідження показало, що кожен алгоритм має свої переваги та недоліки і що не існує надійного ріщення, здатного повноцінно здатного виявляти усі загрози. Так LSTM виявились найкращими в виявлення аномалій в поведінці користувачів, Autoencoders показали себе найкраще у виявленні аномалій в командному рядку, а алгоритм на основі графів був найкращим в виявленні аномалій а мережевому трафіку. Одночасно з цим результати висвітлюють обмеження класнерних алгоритмів в сценаріях з високою варіантивністю випадків, а також обмеження в можливості виявлення невідомих та мімікруючих під легітимну активність загроз для алгоритмів класифікації.
Downloads
References
Alsanad, A., & Altuwaijri, S. (2022). Advanced Persistent Threat Attack Detection using Clustering Algorithms. International Journal of Advanced Computer Science and Applications, 13(9), 640-649. https://doi.org/10.14569/IJACSA.2022.0130976
Cho Do Xuan, Duong, T. D., & Dau, H. X. (2021). A multi-layer approach for advanced persistent threat detection using machine learning based on network traffic. Journal of Intelligent & Fuzzy Systems, 40, 11311-11329. https://doi.org/10.3233/JIFS-202465
Schindler, Timo. (2018). Anomaly Detection in Log Data using Graph Databases and Machine Learning to Defend Advanced Persistent Threats. 10.18420/in2017_241.
AL-Aamri, A. S., Abdulghafor, R., Turaev, S., Al-Shaikhli, I., Zeki, A., & Talib, S. (2023). Machine Learning for APT Detection. Sustainability, 15(18), 13820. https://doi.org/10.3390/su151813820
Mamun, M., & Shi, K. (2021, August 31). DeepTaskAPT: Insider APT detection using task-tree based deep learning. arXiv. https://doi.org/10.48550/arXiv.2108.13989
Xuan, C.D., Nguyen, T.T. A novel approach for APT attack detection based on an advanced computing. Sci Rep 14, 22223 (2024). https://doi.org/10.1038/s41598-024-72957-0
Gadal, S., Mokhtar, R., Abdelhaq, M., Alsaqour, R., Ali, E. S., & Saeed, R. (2022). Machine learning-based anomaly detection using K-mean array and sequential minimal optimization. Electronics, 11(14), Article 2158. https://doi.org/10.3390/electronics11142158
Younas, K. (2025, February 3). DBSCAN another clustering Algorithm for Machine Learning. Medium. https://medium.com/@kaleemullahyounas123/dbscan-another-clustering-algorithm-for-machine-learning-89885f555a2e
Peter, John & Rakesh, Nitin & Rekha, Puttaswamy & Sreelatha, Tammineni & Sujatha, Velusamy & Muthumarilakshmi, Surulivelu & Sujatha, Shanmugam. (2025). SVM algorithm-based anomaly detection in network logs and firewall logs. Indonesian Journal of Electrical Engineering and Computer Science. 38. http://doi.org/10.11591/ijeecs.v38.i3.pp1642-1651
Agustina, Triya & Masrizal, Masrizal & Irmayanti, Irmayanti. (2024). Performance Analysis of Random Forest Algorithm for Network Anomaly Detection using Feature Selection. sinkron. 8. https://doi.org/10.33395/sinkron.v8i2.13625
Teuwens, R. (n.d.). Anomaly Detection with Auto-Encoders. Kaggle. Retrieved September 22, 2025, from https://www.kaggle.com/code/robinteuwens/anomaly-detection-with-auto-encoders
Sengan, Sudhakar & Mehbodniya, Abolfazl & Webber, Julian & Bostani, Ali & Almusharraf, Ahlam & Alharbi, Meshal & Alqahtani, Ali & Bhatia, Surbhi. (2023). Improved LSTM-Based Anomaly Detection Model with Cybertwin Deep Learning to Detect Cutting-Edge Cybersecurity Attacks. Human-centric Computing and Information Sciences. 13. 1-24. https://doi.org/10.33395/sinkron.v8i2.13625
Vaisman, Y., Katz, G., Elovici, Y., & Shabtai, A. (2023, November 30). Detecting Anomalous Network Communication Patterns Using Graph Convolutional Networks. arXiv. https://doi.org/10.48550/arXiv.2311.18525
Published
How to Cite
Issue
Section
License
Copyright (c) 2026 Максим Опанович
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
