解釈可能な多軸信頼モデリングによるアカウント乗っ取り検知

概要: 本論文は、Hadithに着想を得た多軸信頼モデリングの枠組みを提案します。これは、古典的なHadith研究における構造的に類似した問題に動機づけられており、単一の異常スコアではなく、解釈可能で多次元的な基準を用いて情報源の信頼性を評価します。
長期的な一貫性（adalah）、行動の正確性（dabt）、文脈的継続性（isnad）、累積的な評判、および異常証拠という5つの信頼軸を、意味論的に有意義な26個の行動特徴のコンパクトな集合へと変換します。
さらに、連続するアクティビティウィンドウにまたがる、これらの信頼信号の短期的な変化を捉える軽量な時系列特徴を導入します。
本枠組みを、注入されたアカウント乗っ取りシナリオを用いたクラウド活動データセット CLUE-LDS で評価します。23,094 個のスライディングウィンドウに対して、信頼特徴で訓練したランダムフォレストはほぼ完璧な検出性能を達成し、生データのイベント数に基づくモデル、最小限の統計ベースライン、および教師なし異常検知に基づくモデルを大幅に上回ります。時系列特徴は CLUE-LDS 上で控えめながら一貫した改善を提供し、静的な信頼表現との適合性を確認しています。より困難な条件下での頑健性を評価するため、極端なクラス不均衡とまれな悪意のある挙動を示す CERT Insider Threat Test Dataset r6.2 にも適用します。500 ユーザーの CERT サブセットでは、時系列特徴により ROC-AUC が 0.776 から 0.844 に改善します。漏洩を制御した 4,000 ユーザー構成では、時系列モデリングは静的な信頼特徴のみよりも大幅で一貫した改善をもたらします（ROC-AUC 0.627→0.715、PR-AUC 0.072→0.264）。