Log2Sig：基于多变量行为信号分解的频率感知内部威胁检测

摘要

内部威胁检测由于恶意行为往往与合法用户操作相似而面临重大挑战。然而，现有方法通常将系统日志建模为扁平事件序列，因此无法捕捉用户行为中固有的频率动态和多尺度扰动模式。为应对这些局限性，我们提出Log2Sig——一个鲁棒的异常检测框架，可将用户日志转换为多变量行为频率信号，从而引入用户行为的新颖表示。Log2Sig采用多变量变分模式分解（MVMD）来提取本征模式函数（IMFs），这些函数揭示了多个时间尺度上的行为波动。基于此，该模型进一步对行为序列和频率分解信号进行联合建模：日常行为序列使用基于Mamba的时序编码器进行编码以捕获长期依赖关系，而相应的频率分量通过线性投影匹配编码器的输出维度。这些双视图表征随后被融合以构建全面的用户行为画像，并输入多层感知机进行精确的异常检测。在CERT r4.2和r5.2数据集上的实验结果表明，Log2Sig在准确率和F1分数上均显著优于最先进的基线方法。

评论

已提交至2025年IEEE计算与通信信任、安全与隐私国际会议（TrustCom）

学科分类

• 密码学与安全（cs.CR）
• 人工智能（cs.AI）

引用信息

arXiv:2508.05696 [cs.CR]
(或此版本的 arXiv:2508.05696v1 [cs.CR])
DOI: https://doi.org/10.48550/arXiv.2508.05696

提交历史

来自：Kaichuan Kong [查看邮箱]
[v1] 2025年8月6日星期三 18:47:26 UTC（2,191 KB）