論文の概要: Mask-Based Window-Level Insider Threat Detection for Campaign Discovery

• arxiv url: http://arxiv.org/abs/2602.11019v1
• Date: Wed, 11 Feb 2026 16:43:01 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-02-12 21:44:02.20106
• Title: Mask-Based Window-Level Insider Threat Detection for Campaign Discovery
• Title（参考訳）: マスクによるウィンドウレベルインサイダーの脅威検出によるキャンペーン発見
• Authors: Jericho Cain, Hayden Beadles,
• Abstract要約: CERT r4.2データセットを用いて、教師なしウィンドウレベルのインサイダー脅威検出について検討した。 アクティビティの存在と活動の規模を明確に分けることで、パフォーマンスが大幅に向上することを示す。 マルチデイアタックキャンペーンは1日から7日間にわたって行われ、提案手法はウィンドウレベルの精度が0.71のAUCを実現する。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: User and Entity Behavior Analytics (UEBA) systems commonly detect insider threats by scoring fixed time windows of user activity for anomalous behavior. While this window-level paradigm has proven effective for identifying sharp behavioral deviations, it remains unclear how much information about longer-running attack campaigns is already present within individual windows, and how such information can be leveraged for campaign discovery. In this work, we study unsupervised window-level insider threat detection on the CERT r4.2 dataset and show that explicitly separating activity presence from activity magnitude yields substantial performance gains. We introduce a dual-channel convolutional autoencoder that reconstructs both a binary activity mask and corresponding activity values, allowing the model to focus representational capacity on sparse behavioral structure rather than dense inactive baselines. Across multiday attack campaigns lasting between one and seven days, the proposed approach achieves a window-level precision-recall AUC of 0.71, substantially exceeding standard unsupervised autoencoder baselines and enabling high-precision operating points with zero false alarms.
• Abstract（参考訳）: ユーザ・エンティティ・ビヘイビア・アナリティクス(UEBA)システムは、異常な振る舞いに対するユーザ・アクティビティの固定時間ウィンドウを評価することで、インサイダー・脅威を一般的に検出する。 このウィンドウレベルのパラダイムは、鋭い行動偏差を特定するのに有効であることが証明されているが、長期にわたる攻撃キャンペーンに関する情報が、既に個々のウィンドウ内にどれだけ存在するか、そして、そのような情報がキャンペーン発見にどのように活用できるかは、まだ不明である。 本研究では,CERT r4.2データセット上でのウィンドウレベルのインサイダー脅威検出について検討し,アクティビティの存在を活動規模から明確に分離することで,大幅な性能向上が期待できることを示す。 本稿では,二元的活動マスクと対応する活動値の両方を再構成する二チャンネル畳み込みオートエンコーダを提案する。 1日から7日間にわたるマルチデイアタックキャンペーンにおいて、提案手法は、標準的な教師なしオートエンコーダベースラインをほぼ超過し、偽アラームをゼロとした高精度なオペレーティングポイントを実現するために、ウィンドウレベルの精度が0.71のAUCを実現する。

関連論文リスト

• BLADE: Behavior-Level Anomaly Detection Using Network Traffic in Web Services [7.024862094862467]
  BLADEは、Webサービスのための新しい教師なしトラフィック異常検知システムである。 BLADEはフローオートエンコーダを利用して潜在特徴表現を学習し、フロー毎の再構成損失を算出する。 BLADEはカスタムデータセットとCIC-IDS 2017データセットの両方で広く評価されている。
  論文  参考訳（メタデータ） (2025-11-07T12:25:39Z)
• Visual Backdoor Attacks on MLLM Embodied Decision Making via Contrastive Trigger Learning [89.1856483797116]
  MLLMをベースとした組込みエージェントに視覚的バックドアを注入する最初のフレームワークであるBEATを紹介する。 テキストトリガーとは異なり、オブジェクトトリガーは視点や照明の幅が広いため、確実に移植することは困難である。 BEATは攻撃の成功率を最大80%まで達成し、強い良識のあるタスクパフォーマンスを維持します。
  論文  参考訳（メタデータ） (2025-10-31T16:50:49Z)
• RMSL: Weakly-Supervised Insider Threat Detection with Robust Multi-sphere Learning [23.547623771406187]
  インサイダー脅威検出は、ユーザインタラクションを記録するログを分析することによって、悪意のあるユーザの振る舞いを特定することを目的としている。 教師なしの手法は、正常な行動と異常な行動のあいまいさにより、高い偽陽性率とミス率に直面している。 本稿では,行動レベルの異常の検出能力を高めるために,ロバスト多球学習(RMSL)と呼ばれる新しいフレームワークを提案する。
  論文  参考訳（メタデータ） (2025-08-15T13:36:03Z)
• Anomalous Decision Discovery using Inverse Reinforcement Learning [3.3675535571071746]
  異常検出は、知覚システムを通じて異常な行動を特定することによって、自律走行車(AV)において重要な役割を果たす。 現在のアプローチは、しばしば定義済みのしきい値や教師付き学習パラダイムに依存するが、目に見えないシナリオに直面すると効果が低下する。 異常検出のための新しいIRLフレームワークである Trajectory-Reward Guided Adaptive Pre-training (TRAP) を提案する。
  論文  参考訳（メタデータ） (2025-07-06T17:01:02Z)
• Backdoor Cleaning without External Guidance in MLLM Fine-tuning [76.82121084745785]
  Believe Your Eyes (BYE)は、アテンションエントロピーパターンを自己教師信号として活用して、バックドアサンプルを特定してフィルタリングするデータフィルタリングフレームワークである。 クリーンタスクのパフォーマンスを維持しながら、ほぼゼロの攻撃成功率を達成する。
  論文  参考訳（メタデータ） (2025-05-22T17:11:58Z)
• Defending against Indirect Prompt Injection by Instruction Detection [109.30156975159561]
  InstructDetectorは、LLMの動作状態を利用して潜在的なIPI攻撃を特定する、新しい検出ベースのアプローチである。 InstructDetectorは、ドメイン内設定で99.60%、ドメイン外設定で96.90%の検出精度を達成し、攻撃成功率をBIPIAベンチマークで0.03%に下げる。
  論文  参考訳（メタデータ） (2025-05-08T13:04:45Z)
• Object-Centric Latent Action Learning [70.3173534658611]
  本稿では,画素ではなくオブジェクトを対象とする,オブジェクト中心の潜在動作学習フレームワークを提案する。 我々は、自己教師対象中心の事前学習を利用して、行動関連や注意をそらすダイナミクスを歪めている。 その結果, 物体中心の事前学習は, トラクタの負の効果を50%軽減することがわかった。
  論文  参考訳（メタデータ） (2025-02-13T11:27:05Z)
• Twin Trigger Generative Networks for Backdoor Attacks against Object Detection [14.578800906364414]
  オブジェクト検出器は、現実世界のアプリケーションで広く使われているが、バックドア攻撃に弱い。 バックドア攻撃に関するほとんどの研究は画像分類に焦点を合わせており、物体検出について限定的な研究がなされている。 本研究では,トレーニング中のモデルにバックドアを埋め込むための目に見えないトリガと,推論中の安定したアクティベーションのための目に見えるトリガを生成する新しいツイントリガ生成ネットワークを提案する。
  論文  参考訳（メタデータ） (2024-11-23T03:46:45Z)
• PARIS: A Practical, Adaptive Trace-Fetching and Real-Time Malicious Behavior Detection System [6.068607290592521]
  本稿では,適応的トレースフェッチ,軽量かつリアルタイムな悪意ある行動検出システムを提案する。 具体的には、Event Tracing for Windows (ETW)で悪意ある振る舞いを監視し、悪意のあるAPIやコールスタックを選択的に収集することを学ぶ。 その結果、より広い範囲のAPIを監視し、より複雑な攻撃行動を検出することができる。
  論文  参考訳（メタデータ） (2024-11-02T14:52:04Z)
• DOAD: Decoupled One Stage Action Detection Network [77.14883592642782]
  人々をローカライズし、ビデオからアクションを認識することは、ハイレベルなビデオ理解にとって難しい課題だ。 既存の手法は主に2段階ベースで、1段階は人物境界ボックス生成、もう1段階は行動認識を行う。 本稿では、時間的行動検出の効率を向上させるために、DOADと呼ばれる分離したワンステージネットワークを提案する。
  論文  参考訳（メタデータ） (2023-04-01T08:06:43Z)
• Self-supervised Pretraining with Classification Labels for Temporal Activity Detection [54.366236719520565]
  時間的アクティビティ検出は、1フレーム当たりのアクティビティクラスを予測することを目的としている。 検出に必要なフレームレベルのアノテーションが高価なため、検出データセットの規模は限られている。 本研究では,分類ラベルを利用した自己教師付き事前学習手法を提案する。
  論文  参考訳（メタデータ） (2021-11-26T18:59:28Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。