Wayne-on-the-road/B-CITD

# 图智能增强的双通道内部威胁检测 本仓库包含以下论文所使用的实验代码和处理后的数据： **Graph Intelligence Enhanced Bi-Channel Insider Threat Detection** Wei Hong, Jiao Yin, Mingshan You, Hua Wang, Jinli Cao, Jianxin Li, Ming Liu 载于 *International Conference on Network and System Security*, pp. 86–102 Springer Nature Switzerland, 2022 ## 概述 内部威胁检测是一项极具挑战性的网络安全任务，因为恶意行为通常非常罕见、隐蔽，并且隐藏在海量的正常用户活动中。本项目实现了一个图智能增强的双通道内部威胁检测框架的实验 pipeline。 该方法将用户级别的行为表示与基于图的关系智能相结合。其旨在同时捕获个体行为模式和用户间的关系，从而提升对企业活动日志中内部威胁的检测能力。 ## 仓库结构 ``` . ├── CERT4.2/ │ └── Processed user-day graph data and preprocessing-related files ├── GCN_mean-upload.py ├── SVM-upload.py ├── cnn-trial-cert-whole-mean-upload.py ├── data_process_new_final-upload.py ├── feature_extract_multi_final-upload.py ├── generate_train_test_data_upload.py └── README.md ``` ## 数据集 实验基于 **CERT 4.2 内部威胁数据集**。 由于原始 CERT 数据集非常大，本仓库未包含其原始文件。`CERT4.2` 文件夹包含了为实验构建的、处理后的用户-天图数据集，以及与预处理相关的部分示例文件。 在运行完整的预处理 pipeline 之前，用户需要从 CMU CERT 研究中心下载以下原始 CERT 文件： ``` device.csv logon.csv ``` 这些文件应放置在预处理脚本所需的相应目录中。 ## 主要脚本 ### `GCN_mean-upload.py` 运行图卷积网络组件，并评估基于图的特征提取器的性能。此脚本用于检验图智能和用户间关系特征的贡献。 ### `cnn-trial-cert-whole-mean-upload.py` 运行双通道检测实验。此脚本用于比较用户内行为通道与所提出的双通道框架的性能。 ### `SVM-upload.py` 运行基于 SVM 的对比实验。此脚本提供了一个传统的机器学习 baseline，用于评估所提出的表示和特征构建策略的有效性。 ### `feature_extract_multi_final-upload.py` 从 CERT 活动日志中提取行为特征。此脚本是预处理 pipeline 的一部分，在从原始文件重建数据集时，应在模型训练之前执行。 ### `data_process_new_final-upload.py` 处理提取的特征，并将其重组为所需的实验格式。 ### `generate_train_test_data_upload.py` 生成用于检测实验的训练和测试数据集。 ## 建议的执行顺序 如果您想从原始 CERT 文件重现预处理工作流程，请按顺序运行以下脚本： ``` python feature_extract_multi_final-upload.py python data_process_new_final-upload.py python generate_train_test_data_upload.py ``` 预处理完成后，运行模型和对比实验： ``` python GCN_mean-upload.py python cnn-trial-cert-whole-mean-upload.py python SVM-upload.py ``` 请在运行脚本之前，确保所有必需的 CSV 文件都已放置在正确的目录中。 ## 可重复性说明 原始的 CERT 4.2 数据集非常大，无法直接托管在本仓库中。因此，本仓库提供了实验中使用的、处理后的基于图的用户-天数据集，以及理解和重现主要预处理与建模步骤所需的脚本。 由于文件路径和本地环境可能有所不同，用户在执行之前可能需要调整脚本中的目录设置。 ## 引用 如果您在研究中使用了本仓库或参考了该方法，请引用以下论文： ``` @inproceedings{hong2022graph, title = {Graph Intelligence Enhanced Bi-Channel Insider Threat Detection}, author = {Hong, Wei and Yin, Jiao and You, Mingshan and Wang, Hua and Cao, Jinli and Li, Jianxin and Liu, Ming}, booktitle = {International Conference on Network and System Security}, pages = {86--102}, year = {2022}, publisher = {Springer Nature Switzerland} } ``` ## 关键词 内部威胁检测；图智能；图神经网络；双通道检测；行为分析；网络安全；CERT 数据集。 ## 联系方式 有关代码或实验的问题，请联系通讯作者或在本仓库中提 issue。

标签：Apex, GCN, 内部威胁检测, 图神经网络, 机器学习, 网络安全, 逆向工具, 隐私保护