[論文レビュー] Multi-Axis Trust Modeling for Interpretable Account Hijacking Detection
本論文はHadithに触発された多軸信頼モデルをUEBAへ適用し、5つの信頼軸を26の解釈可能な特徴にマッピング、時間的ダイナミクスを付加してCLUE-LDSでほぼ完璧な検出、CERT r6.2で堅牢な向上を達成。
This paper proposes a Hadith-inspired multi-axis trust modeling framework, motivated by a structurally analogous problem in classical Hadith scholarship: assessing the trustworthiness of information sources using interpretable, multidimensional criteria rather than a single anomaly score. We translate five trust axes - long-term integrity (adalah), behavioral precision (dabt), contextual continuity (isnad), cumulative reputation, and anomaly evidence - into a compact set of 26 semantically meaningful behavioral features for user accounts. In addition, we introduce lightweight temporal features that capture short-horizon changes in these trust signals across consecutive activity windows. We evaluate the framework on the CLUE-LDS cloud activity dataset with injected account hijacking scenarios. On 23,094 sliding windows, a Random Forest trained on the trust features achieves near-perfect detection performance, substantially outperforming models based on raw event counts, minimal statistical baselines, and unsupervised anomaly detection. Temporal features provide modest but consistent gains on CLUE-LDS, confirming their compatibility with the static trust representation. To assess robustness under more challenging conditions, we further evaluate the approach on the CERT Insider Threat Test Dataset r6.2, which exhibits extreme class imbalance and sparse malicious behavior. On a 500-user CERT subset, temporal features improve ROC-AUC from 0.776 to 0.844. On a leakage-controlled 4,000-user configuration, temporal modeling yields a substantial and consistent improvement over static trust features alone (ROC-AUC 0.627 to 0.715; PR-AUC 0.072 to 0.264).
研究の動機と目的
- Hadith学の多軸信頼概念を借用して解釈可能なUEBAを動機づける。
- 5つの信頼軸を、ユーザアカウントの意味論的に意味のある26特徴表現へ要約して翻訳する。
- 静的信頼特徴に時間的ダイナミクスを拡張して、データセット間のロバスト性を改善する。
- CLUE-LDSとCERT r6.2で、生のカウントベースや非教師ありベースラインよりも優れた検出性能を示す。
- 解釈性分析を提供し、コードと特徴を公開する。
提案手法
- アカウント乗っ取りを時系列ログに基づく窓ベースの二値分類タスクとして定式化する。
- 8つの時間的特徴を付加して、連続窓間の短期的挙動変化を捉えるHadith風の26特徴信頼セットを構築する。
- CLUE-LDSで hijack を注入して教師あり(ランダムフォレスト)と教師なしのベースラインを訓練・評価する。
- CERT r6.2データセットでも評価を行う。
- 特徴重要度分析を実施して軸の寄与と解釈性を評価する。
- コードと抽出特徴を公開する。
実験結果
リサーチクエスチョン
- RQ1多軸の解釈可能な信頼表現は、従来のカウントベース特徴よりもUEBAのアカウント乗っ取り検知を改善できるか。
- RQ2Hadith風の信頼軸は、信号強度が異なるCLUE-LDSとCERT r6.2の異なるデータセットで一般化するか。
- RQ3信頼ダイナミクスの時間的特徴は、クラス不均衡下での検出性能とロバスト性にどの程度寄与するか。
- RQ4制御された乗っ取りシナリオと現実的な内部脅威設定で、どの軸が最も有用か。
- RQ5セキュリティ分析者にとってモデル決定の解釈性はどの程度高いか。
主な発見
| Model | ROC-AUC | PR-AUC | F1 | Prec./Rec. |
|---|---|---|---|---|
| Original Hadith + RF | 0.99997 | 0.99975 | 0.9948 | 0.993 / 0.996 |
| Combined (Hadith+Temporal) + RF | 0.99996 | 0.99963 | 0.9935 | 0.991 / 0.996 |
| Temporal Only + RF | 0.99989 | 0.99912 | 0.9869 | 0.986 / 0.988 |
| Raw Counts + RF | 0.98570 | 0.91691 | 0.8580 | 0.789 / 0.940 |
| Isolation Forest | 0.49358 | 0.10753 | 0.1996 | 0.111 / 0.990 |
- Hadith風信頼特徴はCLUE-LDSでベースラインを大幅に上回り、静的特徴のみでROC-AUC≈1.0、PR-AUC≈1.0を達成。
- 時間的特徴は補完的な信号を提供し、低信号・不均衡条件下のCERT r6.2で顕著な向上をもたらす。
- CLUE-LDSではIsnād(IP連続性)特徴が静的軸重要度の約70%を占め、時間的特徴は総重要度の約31%に寄与。
- CERT r6.2では時間的特徴が重要度の大部分を占め(CERT-500で38.1%、CERT-4000で43.6%、temp_kl_transitionが上位に来ることが多い)。
- Hadith+Temporalモデルは、データセットを問わずHadithのみおよび生カウントベースを一般的に上回る。
- 難易度の高い条件下で堅牢な性能向上を示し、アナリストに優しい解釈性を提供。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。