Research

Behavioral Analytics for Continuous Insider Threat Detection in Zero-Trust Architectures

2 min. czytania

Pobierz PDF

Behavioral Analytics for Continuous Insider Threat Detection in Zero-Trust Architectures

Metadane

  • Autorzy: Gaurav Sarraf
  • Rok: 2026
  • Źródło: arXiv:2601.06708
  • DOI: arxiv:2601.06708
  • Status: #read
  • Kategoria: Security
  • Tagi: #insider-threat #zero-trust #behavioral-analytics #adaboost #ueba

Streszczenie

Paper ocenia klasyfikatory ML (AdaBoost, SVM, ANN) dla ciągłej detekcji anomalii behawioralnych w architekturach zero-trust. Kontekst zero-trust jest kluczowy: zakłada że żaden użytkownik ani urządzenie nie jest domyślnie zaufane, nawet wewnątrz sieci korporacyjnej — co sprawia że behawioralna detekcja insiderów staje się koniecznością.

Paper stosuje SMOTE (Synthetic Minority Oversampling Technique) do radzenia sobie z imbalanced class problem (insider events są rzadkie w stosunku do normalnej aktywności). PCA używane do redukcji wymiarowości przed klasyfikacją.

Kluczowe Wnioski

  • AdaBoost osiąga najlepsze wyniki: ACC=98.0%, PRE=98.3%, REC=98.0%, AUC=0.98
  • Zero-trust architecture wymaga ciągłej behawioralnej re-weryfikacji użytkowników
  • SMOTE skutecznie radzi sobie z class imbalance w insider threat detection
  • PCA + ensemble (AdaBoost) > single classifiers

Metodologia

  • Klasyfikatory: AdaBoost, SVM (RBF kernel), ANN (multilayer perceptron)
  • Preprocessing: SMOTE dla class imbalance, PCA dla dimensionality reduction
  • Dataset: CERT Insider Threat Dataset
  • Metrics: Accuracy, Precision, Recall, AUC

Główne Koncepcje

  • Zero-trust: architektura “never trust, always verify” — behawioralna weryfikacja jako ciągły proces
  • SMOTE: technika oversampling dla klasy mniejszościowej (insider events)
  • Continuous detection: ciągłe monitorowanie vs. periodyczne snapshoty

Wyniki

  • AdaBoost: ACC=98.0%, PRE=98.3%, REC=98.0%, AUC=0.98
  • SVM, ANN: niższe wyniki (szczegóły w papierze)

Przydatne Cytaty

  • “Zero-trust architecture requires continuous behavioral re-verification rather than one-time authentication”

Datasety

Powiązane Tematy

  • BPP w kontekście zero-trust (#BSU-1)
  • Class imbalance w detekcji ATO
  • Continuous vs. periodic behavioral monitoring (#BSU-5)

Notatki

CERT dataset — te same ograniczenia co dla innych paperów używających CERT. Wyniki na poziomie Elbasheer 2025.

Elementów w folderze: 0.