内部威胁检测数据集可以分为五类:Traitor-Based、Masquerader-Based、Miscellaneous Malicious、Substituted Masqueraders以及Identification/Authentication-Based。从图中可以看出,这些类别可以通过应用以下决策步骤得到:a)通过识别非用户数据(即不属于用户的数据)中的用户意图,从而产生恶意分支和良性分支;b1)对于恶意分支,通过执行违规策略的方式-通过使用合法用户的访问(基于叛逆者),通过获得未经授权的访问(基于伪装者),或当这两种情况分别包含在数据集中(混合恶意);b2)对于善意的分支,通过识别恶意类是否由数据集的作者制定,substituted masqueraders类包括包含这种显式构建的“恶意类”标签的样本的数据集,identification/authentication-based类不是-样本只包含用户标识的标签。
[1] Homoliak I , Toffalini F , Guarnizo J , et al. Insight into Insiders and IT: A Survey of Insider Threat Taxonomies, Analysis, Modeling, and Countermeasures[J]. 2018.