内部威胁检测数据集分类办法

本文探讨内部威胁检测数据集分类办法。春恋慕 月梦的技术博客

内部威胁检测数据集可以分为五类：Traitor-Based、Masquerader-Based、Miscellaneous Malicious、Substituted Masqueraders以及Identification/Authentication-Based。从图中可以看出，这些类别可以通过应用以下决策步骤得到:a)通过识别非用户数据(即不属于用户的数据)中的用户意图，从而产生恶意分支和良性分支;b1)对于恶意分支，通过执行违规策略的方式-通过使用合法用户的访问(基于叛逆者)，通过获得未经授权的访问(基于伪装者)，或当这两种情况分别包含在数据集中(混合恶意);b2)对于善意的分支，通过识别恶意类是否由数据集的作者制定，substituted masqueraders类包括包含这种显式构建的“恶意类”标签的样本的数据集，identification/authentication-based类不是-样本只包含用户标识的标签。

参考文献

[1] Homoliak I , Toffalini F , Guarnizo J , et al. Insight into Insiders and IT: A Survey of Insider Threat Taxonomies, Analysis, Modeling, and Countermeasures[J]. 2018.