arXiv:2409.13083v1 公告类型: 交叉 摘要: 内部威胁通常发生在工作场所内部，攻击者是与组织密切相关的实体。实体对具有访问权限的资源采取的一系列行动使我们能够识别内部人员。近年来，基于机器学习（ML）的内部威胁检测（ITD）方法引起了广泛关注。然而，大多数技术采用集中式ML方法来执行此类ITD。从多个地点运营的组织无法为集中式模型做出贡献，因为数据来自不同地点。特别是，用户行为数据，作为ITD的主要来源，由于隐私问题无法在各地点之间共享。此外，分布在不同地点的数据由于攻击的稀有性导致极端的类别不平衡。联邦学习（FL）作为一种分布式数据建模范式，最近引起了极大的兴趣。然而，FL支持的ITD尚未得到充分探索，其实际实施中的重要问题仍需研究。因此，我们的工作研究了一种FL支持的多类ITD范式，该范式考虑了非独立同分布（non-IID）数据分布，以检测来自组织不同地点（客户端）的内部威胁。具体而言，我们提出了一种基于生成模型的联邦对抗训练（FedAT）方法，以缓解客户端之间non-IID数据分布引起的极端数据偏斜。此外，我们提出利用基于自归一化神经网络的多层感知器（SNN-MLP）模型来改进ITD。我们进行了全面的实验，并将结果与基准进行比较，以展示所提出的FedAT驱动的ITD方案的增强性能。