Page Header Logo

The Journal of King Mongkut's University of Technology North Bangkok
วารสารวิชาการพระจอมเกล้าพระนครเหนือ

Home > Vol 36, No 3 (2026) > Nakharacruangsak

การเพิ่มประสิทธิภาพการตรวจจับภัยคุกคามภายในโดยใช้แบบจำลองภัยคุกคามสไตรด์ร่วมกับอัลกอริทึมเชิงวิวัฒนาการ
Enhancing Insider Threat Detection Using STRIDE Threat Modeling with Evolutionary Algorithms

Songpon Nakharacruangsak

Abstract


ภัยคุกคามภายในเป็นหนึ่งในความเสี่ยงสำคัญที่ส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ งานวิจัยนี้มุ่งพัฒนาวิธีการตรวจจับภัยคุกคามดังกล่าวโดยใช้การสร้างแบบจำลองภัยคุกคามตามกรอบแนวคิดสไตรด์ร่วมกับขั้นตอนวิธีเชิงวิวัฒนาการ ได้แก่ ขั้นตอนวิธีเชิงพันธุกรรม และการวิวัฒนาการเชิงผลต่าง เพื่อปรับแต่งกฎการตรวจจับให้เหมาะสมกับพฤติกรรมที่ปรากฏในข้อมูลจริง โดยใช้ชุดข้อมูล LANL จำนวน 50,000 แถว ซึ่งมีสัดส่วนภัยคุกคามร้อยละ 15 และทำการเปรียบเทียบกับแบบจำลองการเรียนรู้ของเครื่อง ได้แก่ ซัพพอร์ตเวกเตอร์แมชชีน แบบจำลองป่าสุ่ม และโครงข่ายประสาทเทียมหลายชั้น ผลการทดลองพบว่าสไตรด์ (STRIDE) พื้นฐานให้ค่าความถูกต้อง 0.823 และพื้นที่ใต้เส้นโค้งอาร์โอซี 0.832 แต่เมื่อผสานกับขั้นตอนวิธีเชิงพันธุกรรม และการวิวัฒนาการเชิงผลต่าง ทำให้มีประสิทธิภาพเพิ่มขึ้นเป็นค่าความถูกต้อง 0.878 พื้นที่ใต้เส้นโค้งอาร์โอซี 0.894 และค่าความถูกต้อง 0.889 พื้นที่ใต้เส้นโค้งอาร์โอซี 0.902 ตามลำดับ ซึ่งสูงกว่าซัพพอร์ตเวกเตอร์แมชชีนที่มีพื้นที่ใต้เส้นโค้งอาร์โอซี 0.875 และแบบจำลองป่าสุ่มที่มีพื้นที่ใต้เส้นโค้งอาร์โอซี 0.891 รวมทั้งยังใกล้เคียงกับโครงข่ายประสาทเทียมหลายชั้นที่มีพื้นที่ใต้เส้นโค้งอาร์โอซี 0.895 โดยยังคงความสามารถในการตีความเชิงกฎได้ดีกว่า สะท้อนศักยภาพของการบูรณาการสไตรด์เข้ากับขั้นตอนวิธีเชิงวิวัฒนาการในการตรวจจับภัยคุกคามภายในอย่างมีประสิทธิภาพ ยืดหยุ่น และมีความเป็นไปได้ต่อการใช้งานจริงในองค์กร

Insider threats are among the most critical risks affecting the security of information systems, as insiders often possess legitimate access that makes detection by traditional methods challenging. This study aims to develop an effective detection approach by integrating the STRIDE threat modeling framework with evolutionary optimization techniques, namely the Genetic Algorithm (GA) and Differential Evolution (DE), to refine detection rules based on real behavioral data. Using the LANL dataset comprising 50,000 records with 15% insider threat instances, the proposed models were evaluated against widely used machine learning classifiers, including the Support Vector Machine (SVM), Random Forest (RF), and Multi-Layer Perceptron (MLP). Experimental results show that the baseline STRIDE model achieved an accuracy of 0.823 and an AUC of 0.832, while STRIDE combined with GA and DE significantly improved performance, reaching an accuracy of 0.878 with an AUC of 0.894, and an accuracy of 0.889 with an AUC of 0.902, respectively. These results outperform SVM (AUC = 0.875) and RF (AUC = 0.891), and are comparable to MLP (AUC = 0.895), while maintaining superior interpretability through rule-based modeling. The findings highlight the potential of integrating STRIDE with evolutionary optimization techniques to achieve accurate, flexible, and interpretable insider threat detection that is practical for real-world organizational environments.


Keywords



[1] L. P. da Silva, B. S. Nascimento, R. A. M. P. Dias, and D. S. Mendonça, “A comprehensive approach for applying threat modeling to internet of things systems,” IEEE 8th World Forum on Internet of Things (WF-IoT), Yokohama, Japan, 2022, pp. 1–6, doi: 10.1109/WF-IoT 54382.2022.10152291.

[2] L. Nikolov and A. Aleksieva-Petrova, “Framework for integrating threat modeling into a devOps pipeline for enhanced software development,” in Proceedings the International Conference on Software, Telecommunications and Computer Networks (SoftCOM), Split, Croatia, 2024, pp. 1–5, doi: 10.23919/SoftCOM6-2040.2024.10721871.

[3] S. Preetam, M. Compastié, V. Daza, and S. Siddiqui, “An approach for intelligent behaviour-based threat modelling with explanations,” in Proceedings the IEEE Conference on NFVSDN, Dresden, Germany, 2023, pp. 197–200, doi: 10.1109/NFV-SDN59219.2023.10329587.

[4] D. C. Le and N. Zincir-Heywood, “Anomaly detection for insider threats using unsupervised ensembles,” IEEE Transactions on Network and Service Management, vol. 18, no. 2, pp. 1152–1164, 2021, doi: 10.1109/TNSM.2021.3071928.

[5] F. R. Alzaabi and A. Mehmood, “A review of recent advances, challenges, and opportunities in malicious insider threat detection using machine learning methods,” IEEE Access, vol. 12, pp. 30907–30927, 2024, doi: 10.1109/ACCESS. 2024.3369906.

[6] R. Zhu, X. Wu, J. Sun, and Z. Li, “Research on smart home security threat modeling based on STRIDE-IAHP-BN,” in Proceedings DCABES, Nanning, China, 2021, pp. 207–213, doi: 10.1109/DCABES52998.2021.00059.

[7] A. D. Kent, “Cyber security data sources for dynamic network research,” in Dynamic Networks and Cyber-Security, Singapore: World Scientific, 2016, pp. 37–65, doi: 10.1142/ 9781786340757_0002.

[8] A. Tuor, S. Kaplan, B. Hutchinson, N. Nichols, and S. Robinson, “Deep learning for unsupervised insider threat detection in structured cybersecurity data streams,” arXiv preprint arXiv:1710.00811, 2017, doi: 10.48550/arXiv. 1710.00811.

[9] Microsoft, “The STRIDE threat model,” Microsoft Security Development Lifecycle (SDL). [Online]. Available: https://www.microsoft. com/en-us/securityengineering/sdl/threat modeling.

[10] M. Shin, S. Dorbala, and D. Jang, “Threat modeling for security failure-tolerant requirements,” in Proceedings the International Conference on Social Computing, pp. 594–599, doi: 10.1109/ SocialCom.2013.89.

[11] E. R. Agustina, A. R. Hakim, and K. Ramli, “Modeling data security and privacy threats for VANET using STRIDE and LINDDUN,” in Proceedings ICoSEIT, Bandung, Indonesia, 2024, pp. 114–119, doi: 10.1109/ICoSEIT60086. 2024.10497513.

[12] S. Manzoor, H. Zhang, and N. Suri, “Threat modeling and analysis for the cloud ecosystem,” in Proceedings IEEE IC2E, Orlando, FL, USA, 2018, pp. 278–281, doi: 10.1109/IC2E.2018.00056.

[13] M. Kravchik and A. Shabtai, “Detecting cyber attacks in industrial control systems using convolutional neural networks,” in Proceedings CPS-SPC, 2018, pp. 72–83, doi: 10.1145/3264888.3264896.

[14] A. Magklaras and S. Furnell, “Insider threat prediction tool: Evaluating the probabilities of IT misuse,” Computers & Security, vol. 21, no. 1, pp. 62–73, 2002, doi: 10.1016/S0167- 4048(02)00109-8.

[15] A. Tosun, M. A. Andresen, and C. D. Jensen, “Threat modeling made simple: Method aimed at non-experts,” in Proceedings IST-Africa, Dublin, Ireland, 2024, pp. 1–9, doi: 10.23919/ IST-Africa63983.2024.10569804.

[16] Y. Wang and G. Tuerhong, “A Survey of interpretable machine learning methods,” in Proceedings VRHCIAI, Changsha, China, 2022, pp. 232–237, doi: 10.1109/VRHCIAI 57205.2022.00047.

[17] D. Sridevi, L. Kannagi, V. G, and S. Revathi, “Detecting insider threats in cybersecurity using machine learning and deep learning techniques,” in Proceedings ICCSAI, Greater Noida, India, 2023, pp. 871–875, doi: 10.1109/ ICCSAI59793.2023.10421133.

[18] N. Capuano, G. Fenza, V. Loia, and C. Stanzione,“Explainable artificial intelligence in cybersecurity: A survey,” IEEE Access, vol. 10, pp. 93575– 93600, Sep. 2022, doi: 10.1109/ACCESS.2022. 3204171.

[19] A. Jawad, J. Jaskolka, A. Matrawy, and M. Ibnkahla, “StrideSEA: A STRIDE-centric security evaluation approach,” arXiv:2503.19030, 2025, doi: 10.48550/ arXiv.2503.19030.

[20] N. Hu, P. G. Bradford, and J. Liu, “Applying role-based access control and genetic algorithms to insider threat detection,” in Proceedings ACMSE, 2006, pp. 790–791, doi: 10.1145/ 1185448.1185638.

[21] D. C. Le, S. Khanchi, A. N. Zincir-Heywood, and M. I. Heywood, “Benchmarking evolutionary computation approaches to insider threat detection,” in Proceedings GECCO, 2018, pp. 1286–1293, doi: 10.1145/3205455.3205612.

[22] A. Masood and A. Masood, “A taxonomy of insider threat in isolated (air-gapped) computer networks,” in Proceedings IBCAST, Islamabad, Pakistan, 2021, pp. 678–685, doi: 10.1109/ IBCAST51254.2021.9393281.

[23] V. Maheshwari and M. Prasanna, “Integrating risk assessment and threat modeling within SDLC process,” in Proceedings ICICT, Coimbatore, India, 2016, pp. 1–5, doi: 10.1109/INVENTIVE. 2016.7823275.

[24] Y. Gong, S. Cui, S. Liu, B. Jiang, C. Dong, and Z. Lu, “Graph-based insider threat detection: A survey,” Computer Networks, vol. 254, 2024, Art. no. 110757. doi: 10.1016/j.comnet. 2024.110757.

[25] B. B. Sarhan and N. Altwaijry, “Insider threat detection using machine learning approach,” Applied Sciences, vol. 13, no. 1, 2023, Art. no. 259, doi: 10.3390/app13010259.

[26] G. Rjoub, J. Bentahar, O. A. Wahab, R. Mizouni, A. Song, R. Cohen, H. Otrok, and A. Mourad, “A survey on explainable artificial intelligence for cybersecurity,” IEEE Transactions on Network and Service Management, vol. 20, no. 4, pp. 5115–5140, Dec. 2023, doi: 10.1109/ TNSM.2023.3282740.

Full Text: PDF

DOI: 10.14416/j.kmutnb.2026.06.003

ISSN: 2985-2145