基于图神经网络的内部威胁行为检测模型

信息安全研究 ›› 2025, Vol. 11 ›› Issue (7): 586-.

• 学术论文 • 下一篇

基于图神经网络的内部威胁行为检测模型

陆兴烨1黄晓芳1殷明勇2

1(西南科技大学计算机科学与技术学院四川绵阳621010)
2(中国工程物理研究院计算机应用研究所四川绵阳621900)

出版日期:2025-07-29 发布日期:2025-07-29
通讯作者: 陆兴烨硕士.主要研究方向为深度学习、网络安全. 2206941467@qq.com
作者简介:陆兴烨硕士.主要研究方向为深度学习、网络安全. 2206941467@qq.com 黄晓芳博士，教授.主要研究方向为信息安全、深度学习. xf.swust@qq.com 殷明勇博士，研究员.主要研究方向为网络攻防、数据安全. my.yin@qq.com

Model of Insider Threat Behavior Detection Based on Graph Neural Network

Lu Xingye1, Huang Xiaofang1, and Yin Mingyong2

1(School of Computer Science and Technology, Southwest University of Science and Technology, Mianyang, Sichuan 621010)
2(Institute of Computer Application, China Academy of Engineering Physics, Mianyang, Sichuan 621900)

Online:2025-07-29 Published:2025-07-29

摘要/Abstract

摘要： 基于现有针对用户行为序列进行内部威胁行为检测的模型存在无法很好处理长序列的缺陷，设计了一种新的基于图神经网络的内部威胁行为检测模型，将用户行为序列转换为图结构，把对长序列的处理转换为对子图结构的处理.实验设计了描述用户行为的图结构，用于以图数据形式保存用户行为，并针对该图结构具有异构、边上存有数据的特点，优化了基线图神经网络模型.实验结果证明，提出的模型在区分正常和威胁行为的二分类任务中，ROC AUC值比基线模型提高7%，MacroF1值提高7%，在区分具体威胁类型的六分类任务中，该模型的MacroF1值比基线模型提高10%.

关键词: 图神经网络, 内部威胁, 异构图, 行为检测, 注意力机制

Abstract: This paper designs a new detection model based on graph neural networks to address the shortcomings of existing models for insider threat behavior detection based on user behavior sequences, which cannot handle long sequences well. The model converts user behavior sequences into a graph structure and transforms the processing of long sequences into the processing of subgraph structures. The experiment designs a graph structure to describe user behavior, which is used to store user behavior in the form of graph data. The baseline GNN model is optimized for this graph structure, which is heterogeneous and has data stored on its edges. The experimental results show that, for the binary classification task of distinguishing normal and threatening behavior, the ROC AUC value of the proposed model is improved by 7% and the MacroF1 value is improved by 7% compared to the baseline model. In the sixclass classification task of distinguishing specific threat types, the MacroF1 value of the proposed model improves by 10% compared to the baseline model.

Key words: graph neural network, insider threat, heterogeneous graph, behavior detection, attention mechanism

中图分类号:

TP393.08

陆兴烨, 黄晓芳, 殷明勇, . 基于图神经网络的内部威胁行为检测模型[J]. 信息安全研究, 2025, 11(7): 586-.

参考文献

［1］Office of the Director of National Intelligence. 2019 national intelligence strategy［ROL］. 2019 ［20250610］. https:irp.fas.orgoffdocsnis2019.pdf［2］Ponemon Institute. 2022 ponemon cost of insider threats global report［ROL］. 2022 ［20240503］. https:www.proofpoint.comusresourcesthreatreportscostofinsiderthreats［3］Gurucul. 2023 insider threat report［ROL］. 2023 ［20240505］. https:go1.gurucul.com2023InsiderThreatReport［4］Kroll. Q1 2024 cyber threat landscape report: Insider threat & phishing evolve under AI auspices［ROL］. 2024 ［20240505］. https:www.kroll.comeninsightspublicationscyberthreatintelligencereportsq12024threatlandscapereportinsiderthreatphishingevolveunderai［5］Lv Q, Ding M, Liu Q, et al. Are we really making much progress? Revisiting, benchmarking and refining heterogeneous graph neural networks［C］ Proc of the 27th ACM SIGKDD Conf on Knowledge Discovery & Data Mining. New York: ACM, 2021: 11501160［6］Mavroeidis V, Vishi K, Jsang A. A framework for datadriven physical security and insider threat detection［C］ Proc of the 2018 IEEEACM Int Conf on Advances in Social Networks Analysis and Mining (ASONAM). Piscataway, NJ: IEEE, 2018: 11081115［7］Soh C, Yu S, Narayanan A, et al. Employee profiling via aspectbased sentiment and network for insider threats detection［J］. Expert Systems with Applications, 2019, 135(11): 351361［8］Zhang D, Zheng Y, Wen Y, et al. Rolebased log analysis applying deep learning for insider threat detection［C］ Proc of the 1st Workshop on Securityoriented Designs of Computer Architectures and Processors. New York: ACM, 2018: 1820［9］Yuan F, Cao Y, Shang Y, et al. Insider threat detection with deep neural network［C］ Proc of the 18th Int Conf on Computational Science. Berlin: Springer, 2018: 4354［10］张光华, 闫风如, 张冬雯, 等. 基于LSTMAttention的内部威胁检测模型［J］. 信息网络安全, 2022, 22(2): 110［11］Fei K, Zhou J, Su L, et al. A graph convolution neural network based method for insider threat detection［C］ Proc of the 2022 IEEE Int Conf on Parallel & Distributed Processing with Applications, Big Data & Cloud Computing, Sustainable Computing & Communications, Social Computing & Networking. Piscataway, NJ: IEEE, 2022: 6673［12］Yang X, Yan M, Pan S, et al. Simple and efficient heterogeneous graph neural network［C］ Proc of the AAAI Conf on Artificial Intelligence. Menlo Park, CA: AAAI, 2023: 1081610824［13］Zhu S, Zhou C, Pan S, et al. Relation structureaware heterogeneous graph neural network［C］ Proc of the 2019 IEEE Int Conf on Data Mining (ICDM). Piscataway, NJ: IEEE, 2019: 15341539［14］Velikovi P, Cucurull G, Casanova A, et al. Graph attention networks［J］. arXiv preprint, arXiv:1710.10903, 2017

[1]	刘凤春, 张志枫, 薛涛, 杨光辉, 魏群, . 基于特征融合的双分支恶意代码同源性分析模型[J]. 信息安全研究, 2025, 11(7): 594-.
[2]	邱雨蝶, 汤艳君, 戴熙来, 王子晨, . 基于ResGCN的比特币混币交易地址识别研究[J]. 信息安全研究, 2025, 11(7): 603-.
[3]	胡原平, 阎红灿, 刘盈, . 基于多方向混合滤波器的轻量化图像隐写分析模型[J]. 信息安全研究, 2025, 11(4): 318-.
[4]	付安棋, 李剑, . 基于行为聚类的LSTMNN模型恶意行为检测方法[J]. 信息安全研究, 2025, 11(4): 343-.
[5]	屈梦楠, 靳宇浩, 张光华, . 基于位图表征与UAtt分类网络的恶意软件识别技术[J]. 信息安全研究, 2025, 11(1): 28-.
[6]	李为, 袁泽坤, 吴克河, 程瑞, . 基于注意力机制和多尺度卷积神经网络的容器异常检测[J]. 信息安全研究, 2025, 11(1): 35-.
[7]	刘新鹏, 傅强, 张红宝, 陈晓光, 杨满智, . 一种基于图社区检测的二进制模块化方法[J]. 信息安全研究, 2025, 11(1): 43-.
[8]	刘文龙, 文斌, 马梦帅, 杜宛蓉, 魏晓寻, . 多种深度学习融合的网络流量异常检测模型[J]. 信息安全研究, 2024, 10(E2): 54-.
[9]	陈先意, 周浩, 刘腾骏, 闫雷鸣, . 基于注意力机制和护照层嵌入的图像处理模型水印方法[J]. 信息安全研究, 2024, 10(9): 849-.
[10]	钟家豪, 张新有, 冯力, 邢焕来, . 基于卷积注意力机制的恶意软件样本增强方案[J]. 信息安全研究, 2024, 10(5): 431-.
[11]	杨晓文, 张健, 况立群, 庞敏, . 融合CNN-BiGRU和注意力机制的网络入侵检测模型[J]. 信息安全研究, 2024, 10(3): 202-.
[12]	沈学利, 李明峰, . 基于混合模型和注意力机制的智能合约重入漏洞检测方法[J]. 信息安全研究, 2024, 10(11): 1056-.
[13]	黄灵, 何希平, 贺丹, 杨楚天, 旷奇弦, . 融合卷积神经网络和Transformer的人脸欺骗检测模型[J]. 信息安全研究, 2024, 10(1): 25-.
[14]	王耀辉, 王可, 宫良一, 付豫豪, 王跃达, 李婧, . 基于异构图的恶意域名检测方法研究[J]. 信息安全研究, 2023, 9(E1): 38-.
[15]	闫一非, 文斌, 张逢, . 基于图神经网络的智能合约源码漏洞检测[J]. 信息安全研究, 2023, 9(E1): 55-.

基于图神经网络的内部威胁行为检测模型

Model of Insider Threat Behavior Detection Based on Graph Neural Network

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics