基于SSIMGAN和时间序列Transformer的 内部威胁检测模型

信息安全研究 ›› 2025, Vol. 11 ›› Issue (12): 1108-.

基于SSIMGAN和时间序列Transformer的内部威胁检测模型

冯克俊1黄晓芳1宋鲁华2殷明勇3

1(西南科技大学计算机科学与技术学院四川绵阳621010)
2(四川易企签科技有限公司成都610041)
3(中国工程物理研究院计算机应用研究所四川绵阳621900)

出版日期:2025-12-12 发布日期:2025-12-03
通讯作者: 黄晓芳博士，教授.主要研究方向为信息安全、深度学习. xf.swust@qq.com
作者简介:冯克俊硕士.主要研究方向为网络安全、内部威胁检测. 1191793873@qq.com 黄晓芳博士，教授.主要研究方向为信息安全、深度学习. xf.swust@qq.com 宋鲁华博士，工程师.主要研究方向为信息安全、区块链、大数据及人工智能. 30805278@qq.com. 殷明勇博士，研究员.主要研究方向为网络攻防、数据安全、态势感知. my.yin@qq.com

基金资助:

四川省科技厅重点研发项目(2022YFG0321)；四川省自然科学基金项目(2022NSFSC0916)

Insider Threat Detection Model Based on SSIMGAN and Time Series Transformer

Feng Kejun1, Huang Xiaofang1, Song Luhua2, and Yin Mingyong3

1(School of Computer Science & Technology, Southwest University of Science & Technology, Mianyang, Sichuan 621010)
2(Sichuan Easy Enterprise Sign Technology Co., Ltd., Chengdu 610041)
3(Institute of Computer Application, Chinese Academy of Engineering Physics, Mianyang, Sichuan 621900)

Online:2025-12-12 Published:2025-12-03

摘要/Abstract

摘要： 内部威胁检测是信息安全的重要环节，旨在保护企业网络和数据安全，避免因内部人员不当行为导致的破坏.基于CERT4.2数据集提出了一种新的内部威胁检测模型，首先构建了相应的多变量时间序列数据，提出了引入结构相似度指数的辅助分类器生成对抗网络(SSIM结合ACGAN，简称SSIMGAN)对威胁数据按照不同场景进行增强，针对CERT4.2数据集中样本不平衡问题，生成更贴近原始数据分布的样本.然后，采用Focal Loss作为损失函数的时间序列Transformer(time series Transformer, TST)模型进行分类任务，使得模型更能注意到那些难分类的数据和少数样本的数据.最后，以精确率、召回率和F1值作为模型性能的评价指标进行测试.实验结果表明，相较于其他模型，该方法在CERT4.2数据集上将召回率提升至96.22%，F1值达到94.22%，验证了其在应对数据不均衡和降低漏报风险方面的有效性.

关键词: 内部威胁检测, 生成对抗网络, Transformer, 结构相似度指数, 数据增强

Abstract: Insider threat detection is a critical component of information security, aiming to protect enterprise networks and data security by preventing damage caused by insider misconduct. This paper proposes a novel insider threat detection framework based on the CERT4.2 dataset. First, we construct multivariate timeseries data and design a structural similarity indexdriven auxiliary classifier generative adversarial network (SSIMACGAN) to augment threat data across different scenarios. This approach addresses the class imbalance issue in the CERT4.2 dataset by generating synthetic samples that closely match the original data distribution. Subsequently, a time series Transformer model with Focal Loss is adopted for classification tasks, enabling the model to prioritize hardtoclassify and minorityclass samples. Precision, recall, and F1score are used as evaluation metrics. Experimental results show that our method achieves a recall of 96.22% and F1score of 94.22% on the CERT4.2 dataset, outperforming baseline models. These results validate its effectiveness in mitigating data imbalance and reducing false negative rates.

Key words: insider threat detection, generative adversarial networks, Transformer, structural similarity index, data augmentation

中图分类号:

TP309

冯克俊, 黄晓芳, 宋鲁华, 殷明勇, . 基于SSIMGAN和时间序列Transformer的内部威胁检测模型[J]. 信息安全研究, 2025, 11(12): 1108-.

参考文献

［1］Ponemon Institute. 2022 ponemon cost of insider threats global report［ROL］. 2022 ［20241203］. https:www.proofpoint.comusresourcesthreatreportscostofinsiderthreats［2］Verizon Communications Inc. 2024 data breach investigations report: Half of the breaches in EMEA are internal［ROL］. 2024 ［20241204］. https:www.verizon.comaboutnews2024databreachinvestigationsreportemea［3］Cybersecurity Insiders, Gurucul. 2024 insider threat report［ROL］. 2024 ［20241204］. https:gurucul.com2024insiderthreatreport［4］Goodfellow I, PougetAbadie J, Mirza M, et al. Generative adversarial nets［J］.  Advances in Neural Information Processing Systems, 2014, 27: 26722680［5］Odena A, Olah C, Shlens J. Conditional image synthesis with auxiliary classifier GANs［C］ Proc of the Int Conf on Machine Learning (ICML). New York: PMLR, 2017: 26422651［6］Zerveas G, Jayaraman S, Patel D, et al. A transformerbased framework for multivariate time series representation learning［C］ Proc of the 27th ACM SIGKDD Conf on Knowledge Discovery & Data Mining (KDD’21). New York: ACM, 2021: 21142124［7］黄娜, 何泾沙, 吴亚飚, 等. 基于LSTM回归模型的内部威胁检测方法［J］. 信息网络安全, 2020, 20(9): 1721［8］张光华, 闫风如, 张冬雯, 等. 基于LSTMAttention的内部威胁检测模型［J］. 信息网络安全, 2022, 22(2): 110［9］Wei Yichen, Chow K P P, Yiu Siu Ming. Insider threat prediction based on unsupervised anomaly detection scheme for proactive forensic investigation［J］.  Forensic Science International: Digital Investigation, 2021, 38: 301126［10］冯冠云, 付才, 吕建强, 等. 基于操作注意力和数据增强的内部威胁检测［J］. 网络与信息安全学报, 2023, 9(3): 102112［11］Gayathri R G, Sajjanhar A, Xiang Yong. Hybrid deep learning model using SPCAGAN augmentation for insider threat analysis［J］.  Expert Systems with Applications, 2024, 249: 123533［12］Randive K, Mohan R, Sivakrishna A M. An efficient patternbased approach for insider threat classification using the imagebased feature representation［J］.  Journal of Information Security and Applications, 2023, 73: 103434［13］Wiese M, Knobloch R, Korn R, et al. Quant GANs: Deep generation of financial time series［J］.  Quantitative Finance, 2020, 20(9): 14191440［14］Yoon J, Jarrett D, Van der Schaar M. Timeseries generative adversarial networks［C］ Advances in Neural Information Processing Systems (NeurIPS). Red Hook, NY: Curran Associates, Inc., 2019: 55055515［15］Zhang Guoling, Wang Xiaodan, Li Rui, et al. Network intrusion detection based on conditional Wasserstein generative adversarial network and costsensitive stacked autoencoder［J］.  IEEE Access, 2020, 8: 190431190447［16］王子昂, 汤艳君, 王子晨, 等. 基于去噪扩散概率模型的网络流量入侵检测方法研究［J］. 信息安全研究, 2024, 10(5): 421430［17］Pratik C, Wang Lipo, Yang Pengtan. Scenariobased insider threat detection from cyber activities［J］.  IEEE Trans on Computational Social Systems, 2018, 5(3): 660675［18］张晨路. 基于GSMOTE和BiasedSVM的内部威胁用户检测［J］. 中北大学学报: 自然科学版, 2022, 43(2): 147152

[1]	万韵伟, 程瑶, 门元昊, . 结合序列关联图与GAN的高可用时序数据生成方法[J]. 信息安全研究, 2025, 11(4): 351-.
[2]	刘宇栋, 黄千里, 王恒, 范洁, . 基于数据增强的多模态虚假信息检测框架研究[J]. 信息安全研究, 2025, 11(4): 377-.
[3]	李琛, 林维, 许力, . 基于TCNGAN的时序流量异常检测[J]. 信息安全研究, 2025, 11(10): 907-.
[4]	陈北京, 冯逸凡, 范春年, . 不可感知的人脸属性编辑伪造主动防御方法[J]. 信息安全研究, 2025, 11(10): 941-.
[5]	文津, 蒋凯元, 韩禹洋, 王志强, 罗乐琦, 田文亮, . 基于Transformer与图卷积网络的行为冲突检测模型[J]. 信息安全研究, 2024, 10(8): 729-.
[6]	靳文京, 卜哲, 秦博阳, . 基于序列生成对抗网络的智能模糊测试方法[J]. 信息安全研究, 2024, 10(6): 490-.
[7]	钟家豪, 张新有, 冯力, 邢焕来, . 基于卷积注意力机制的恶意软件样本增强方案[J]. 信息安全研究, 2024, 10(5): 431-.
[8]	池亚平, 吴冰, 徐子涵, . 大语言模型在威胁情报生成方面的研究进展[J]. 信息安全研究, 2024, 10(11): 1028-.
[9]	黄灵, 何希平, 贺丹, 杨楚天, 旷奇弦, . 融合卷积神经网络和Transformer的人脸欺骗检测模型[J]. 信息安全研究, 2024, 10(1): 25-.
[10]	屈梦楠, 靳宇浩, 邬江. 基于隐式对称生成对抗网络的图像隐写与提取方案[J]. 信息安全研究, 2023, 9(6): 566-.
[11]	陈颖, 林雨衡, 王志强, 都迎迎, 文津, . 基于Transformer的安卓恶意软件多分类模型[J]. 信息安全研究, 2023, 9(12): 1138-.
[12]	王坤庆, 刘婧, 赵语杭, 吕浩然, 李鹏, 刘炳莹, . 联邦学习安全威胁综述[J]. 信息安全研究, 2022, 8(3): 223-.
[13]	梁晨, 王利斌, 李卓群, 薛源, . 生成式对抗网络技术与研究进展[J]. 信息安全研究, 2022, 8(3): 235-.
[14]	孙毅, 王志浩, 邓佳, 李犇, 杨彬, 唐胜, . 人脸深度伪造检测综述[J]. 信息安全研究, 2022, 8(3): 241-.
[15]	邹振婉李明轩杨慧婷. 一种基于生成对抗网络的图像数据水印无载体隐写技术[J]. 信息安全研究, 2022, 8(1): 2-.