FACADE：基于对比学习的高精度内部威胁检测 | Black Hat USA 2025演讲

作者

Alex Kantchelian, Elie Bursztein, Casper Neo, Ryan Stevens, Sadegh Momeni, Birkett Huber, Yanis Pavlidis

内容摘要

虽然内部威胁对组织构成重大风险，但如何有效检测这些攻击的公开信息很少。为了帮助解决这一差距，我们推出FACADE：快速准确的情境异常检测系统，这是Google用于检测恶意内部人员的内部AI系统。在过去的7年中，FACADE通过每日扫描数十亿事件，成功保护了Alphabet。

FACADE的核心是一个新颖的自监督机器学习系统，通过考虑每个动作的上下文环境来检测可疑行为。它使用基于企业日志（包括文档访问、SQL查询和HTTP/RPC请求）训练的自定义多动作类型模型。关键的是，FACADE采用了一种新颖的对比学习策略，仅依赖良性数据来克服事件数据稀缺的问题。

除了核心算法外，FACADE还利用创新的聚类方法进一步提高检测鲁棒性。这些创新技术的结合实现了无与伦比的准确性，误报率低于0.01%。对于单个恶意行为（如非法访问敏感文档），误报率低至0.0003%。

除了在本次演讲中介绍支持FACADE的基础技术外，我们还将展示如何使用刚刚发布的FACADE开源版本，以便您可以使用它来保护自己的组织。

技术特性

• 自监督学习：无需标注恶意样本
• 多动作类型模型：支持文档访问、SQL查询和HTTP/RPC请求
• 对比学习策略：仅使用良性数据进行训练
• 创新聚类方法：增强检测鲁棒性
• 极低误报率：整体低于0.01%，单动作检测达0.0003%

可用资源

• Github代码库
• PDF演示文稿
• 在线幻灯片
• Black Hat USA 2025会议资料