Исследование поведения пользователей в информационных системах с применением методов поведенческого анализа для предотвращения внутренних угроз

Содержание

Введение

1⠄Глава 1. Теоретические основы исследования поведения пользователей в информационных системах для предотвращения внутренних угроз
1⠄1⠄Понятие, классификация и источники внутренних угроз информационной безопасности
1⠄2⠄Поведенческий анализ как метод выявления аномальной активности пользователей: концепции и модели
1⠄3⠄Обзор современных подходов и технологий сбора и обработки данных о поведении пользователей (UEBA)

2⠄Глава 2. Анализ методов и средств поведенческого анализа для выявления внутренних нарушителей
2⠄1⠄Сравнительный анализ существующих решений и платформ класса User and Entity Behavior Analytics (UEBA)
2⠄2⠄Критерии оценки эффективности поведенческого анализа: $$$$$$$ $$$$$$ $$$$$$$$$$$$, $$$$$$$$ и $$$$$$$ $$$$$$$$$$$
2⠄$⠄Анализ $$$$$$$$$$-$$$$$$$$ $$$$ и $$$$$$$$$$ $ $$$$$$ $$ внутренних $$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$

$⠄$$$$$ $. $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$ $ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$
$⠄$⠄$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$
$⠄$⠄$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$ ($$$$$$$ $$$$$$$, $$$-$$$$$$$, $$$$)
$⠄$⠄$$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$ $$ $$$$$$$$$$$$$ $$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$

$$$$$$$$$$

$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$

Введение

Современный этап развития информационных технологий характеризуется не только стремительным расширением цифрового ландшафта организаций, но и качественным изменением структуры угроз информационной безопасности. Если ранее основное внимание уделялось защите периметра сети от внешних атак, то сегодня, по данным многочисленных исследований, одним из наиболее опасных и трудно выявляемых вызовов становятся внутренние угрозы, исходящие от легитимных пользователей информационных систем. Действия инсайдеров, будь то умышленная кража данных, саботаж или неосторожные ошибки сотрудников, способны нанести колоссальный ущерб репутации и финансам компании, что делает проблему превентивного обнаружения аномальной активности внутри корпоративной среды чрезвычайно актуальной.

Проблематика данного исследования заключается в наличии фундаментального противоречия между необходимостью обеспечения высокого уровня информационной безопасности и сложностью идентификации злонамеренных или ошибочных действий пользователя на фоне его повседневной рутинной активности. Традиционные методы защиты, основанные на анализе сигнатур и статических правил, оказываются неэффективными в условиях, когда нарушитель обладает легитимными учетными данными и действует в рамках предоставленных ему полномочий. Таким образом, возникает потребность в применении принципиально иных подходов, способных выявлять отклонения от нормального поведенческого паттерна, что и обуславливает научную и практическую значимость выбранной темы.

Объектом настоящего исследования являются информационные системы организаций, функционирующие в условиях потенциальных внутренних угроз. Предметом исследования $$$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$$$$ $$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$$$ $$ $$$$ $$$$$$$$$$.

$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$.

$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$:
$. $$$$$$$ $ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$, $ $$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$ $$ $$$$$$$$$.
$. $$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ ($$$$).
$. $$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$.
$. $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$ $$$$$$$$ $$$$$$$$$ $ $$$$$$$ $$ $$$$$$$$$$$$$ $$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$.

$$$$$$$$$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$, $$$$$$$ $$$$$$ $ $$$$$$ $$$$$$$ $$$$$$$$$$, $$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$. $$$ $$$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$ $$$$$$$$.

$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$ $$$$$$$ $$ $$$$$$ $$$$$$$$$$, $ $$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$ $$$$ $$$.

Понятие, классификация и источники внутренних угроз информационной безопасности

В современной научной литературе, посвященной проблемам информационной безопасности, вопросы, связанные с внутренними угрозами, занимают одно из центральных мест. Это обусловлено тем, что, несмотря на постоянное совершенствование средств защиты периметра, наиболее уязвимым элементом любой информационной системы остается человек. Внутренняя угроза информационной безопасности представляет собой совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, целостности или доступности информации, источник которой находится внутри организации. К таким источникам относятся штатные сотрудники, подрядчики, партнеры, а также любые иные лица, имеющие легитимный доступ к корпоративным ресурсам [12].

Анализ современных российских исследований показывает, что классификация внутренних угроз осуществляется по нескольким ключевым основаниям. Наиболее распространенным является деление по характеру действий нарушителя: на умышленные (злонамеренные) и неумышленные (случайные). Умышленные действия, как отмечает в своей работе А.В. Лукацкий, предполагают целенаправленное нанесение ущерба организации, например, хищение баз данных клиентов, передача коммерческой тайны конкурентам или саботаж работы информационных систем. Неумышленные действия, напротив, связаны с человеческим фактором: невнимательностью, низкой квалификацией, нарушением регламентов работы или случайным уничтожением данных. По мнению ряда авторов, доля инцидентов, вызванных случайными действиями, до сих пор остается весьма значительной, что подчеркивает необходимость не только технических, но и организационных мер защиты.

Другим важным критерием классификации выступает тип инсайдера. В российской научной школе принято выделять несколько категорий внутренних нарушителей. Во-первых, это «обиженный» сотрудник, который действует из мести или чувства несправедливости, часто после увольнения или получения выговора. Во-вторых, это «коррумпированный» инсайдер, который сознательно продает доступ к данным за материальное вознаграждение. В-третьих, это «агент влияния», внедренный в организацию с целью сбора информации. Особняком стоит категория «халатных» пользователей, которые не имеют злого умысла, но своими действиями создают бреши в защите, например, используя простые пароли или подключая неавторизованные устройства. Данная классификация имеет принципиальное значение для выбора методов противодействия, так как поведенческие паттерны у перечисленных групп будут существенно различаться.

Источники внутренних угроз многообразны и могут быть как $$$$$$$$$$$$$, $$$ и $$$$$$$$$$$$. $ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$: $$$$$$$ $$$$$$$$$, $$$$$$$$$$, $$$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$$ $ $$$$$. $$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$: $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$$$, $$$$$$ $$$$$$$ $$$$$$$$$$$ и $$$$$$. $$$ $$$$$$$$$$$ $$$$$$$$$ $ $$$$$ $$$$$$$$$$$$ $.$. $$$$$$$$$$, $$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$ $$$ $$$$$$$$$$ внутренних угроз. $$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$$ ($$$$$$$$$$$$$$ $$$ $$$$$$, $$$$$$$$$ $$$$$$$$$$$$$$), $$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$ и $$$$$$$$$$$$$ $$$ $$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$$$$ [$$].

$$$$$$$ $$$$$ $$$$$$$$, $$$ $ $$$$$$$$$ $$$$ $$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$. $$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$ $ $$$$$$$$, $$ $$$$$$$ $$$ $$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$, $ $$$$$ $$$$$$$$$$$$$$$ $$$$$, $$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $ $$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$$. $$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $ $$$$$$ $ $$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$.

$$$$$$$$$ $$$$$ $$$$$ $$$$ $$$$$ $$$$$$$$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$. $$$$$$$$ $$$$$$$$$$ $$$$$$, $$$$$$$$$ $ $$$$$$$$$$ $$$$$$$ $$$$$$, $ $$$$$$$, $$$$$$$$$$$$ $$$$$$$$, $$$$$$$ $$$$$$$ $$$$$$$$$$$$$$. $$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$, $$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$ $$$$$$$. $$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$, $ $$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $ $$$, $$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$, $$$$$$$$$$$$$$ $$$$$$$. $$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$, $$$ $$$$$$$$$ $ $$$$$$$$$ $$$ $$$$$$$$$$$$. $$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$, $ $$$$$$$$$, $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$. $$$$$$$$$ $$$$, $$$$$ $$$$$$ $$$$$$$$ $ $$$ $$$$$ $$$$$$$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$$$$ $$$ $$$$$$$$$$, $$$$$$$$$ $$$$$$$ $$$$$ $$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$, $$$ $$$$$$$$ $$$$$$$$ $$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ [$$].

Продолжая анализ понятийного аппарата, необходимо более детально рассмотреть эволюцию подходов к определению внутренней угрозы в российской научной литературе последних лет. Если в начале 2000-х годов акцент делался преимущественно на технических аспектах, таких как несанкционированный доступ к ресурсам, то современные исследования значительно расширяют границы данного понятия. В работах таких авторов, как О.Б. Макаревич и С.В. Скрыль, подчеркивается, что внутренняя угроза сегодня рассматривается не просто как единичное действие, а как сложный социально-технический процесс, включающий формирование умысла, подготовку и реализацию деструктивных действий. Такой подход требует учета не только событий в информационной системе, но и психологического состояния сотрудника, его удовлетворенности работой и уровня лояльности. Это принципиально меняет методологию построения систем защиты, смещая акцент с чисто реактивных мер на проактивные, основанные на прогнозировании поведения.

Значительное внимание в современных диссертационных исследованиях уделяется вопросу взаимосвязи уровня доступа сотрудника и потенциального ущерба от его действий. Эмпирические данные, приведенные в работах Д.В. Ланцова, показывают, что существует прямая корреляция между объемом привилегий пользователя и тяжестью последствий реализации внутренней угрозы. Особую опасность представляют так называемые «суперпользователи» — системные администраторы и администраторы баз данных, которые обладают возможностями не только для доступа к критической информации, но и для сокрытия следов своих действий путем манипуляции журналами аудита. В связи с этим в научной среде активно обсуждается концепция «нулевого доверия» (Zero Trust), которая предполагает, что ни один пользователь, независимо от его должности и статуса, не должен априори считаться доверенным. Данная концепция требует постоянной верификации каждого действия и запроса на доступ, что напрямую связано с необходимостью поведенческого анализа.

Следует также остановиться на проблеме идентификации и аутентификации пользователей в контексте внутренних угроз. Как отмечают исследователи М.А. Иванов и Е.В. Борисов, современные методы биометрической аутентификации и многофакторной защиты позволяют достаточно надежно подтвердить личность пользователя в момент входа в систему. Однако они абсолютно бессильны в ситуации, когда легитимный пользователь действует под принуждением или когда его учетные данные были скомпрометированы, но сам он об этом не знает. Именно здесь на первый план выходит поведенческий анализ, который способен выявить аномалии в действиях уже аутентифицированного пользователя. Например, если сотрудник отдела кадров, который обычно работает с документами в рабочее время с 9 до 18 часов, вдруг начинает массово скачивать базы данных в три часа ночи с использованием нестандартных протоколов передачи данных, такая активность должна быть расценена как подозрительная независимо от того, насколько корректно были введены его пароль и логин [27].

В контексте классификации источников внутренних угроз нельзя обойти вниманием такую категорию, как «мобильные сотрудники» и удаленные работники. Пандемия коронавируса и последовавший за ней переход многих компаний на удаленный формат работы существенно размыли традиционный периметр корпоративной сети. Как указывается в коллективной монографии под редакцией В.П. Мельникова, использование личных устройств (BYOD) и подключение к корпоративным ресурсам через незащищенные домашние сети и публичные Wi-Fi точки создали новые каналы для реализации внутренних угроз. Сотрудник, работающий из дома, может находиться под воздействием внешних факторов (например, шантажа или социальной инженерии) без возможности контроля со стороны службы безопасности. Кроме того, снижается эффективность традиционных DLP-систем, которые ориентированы на контроль корпоративного периметра. Это требует разработки специализированных методов поведенческого анализа для удаленных пользователей, учитывающих $$$$$$$$$$$ $$ $$$$$$$$ $$$$$$$ и $$$$$$$$ $$$$$$$$$.

$$$$$$ $$$$$$$$, $$$$$$$ $$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$ $$$$$, $$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$ $$ $$$$$$$$$$ $$$$$. $ $$$$$$$ $.$. $$$$$$$$ $ $$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ $$$$$$, $$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$$$$$, $$$ $$$$$$ $$$$$$$$$$ $$$$$ ($$$$$$$$$ $$$$$$$$$$ $$$$$$, $$$$$$$ $$ $$$$$$$$$$$$$$ $$$$$$) $$$$$ $$$$$$$$$$$ $$$$ $$$$$$$$$ $$$$$$$$. $$$$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$, $$$$$ $$$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$$$. $$$$$ $$$$, $$$$$$$$$$ $$$$$$$ «$$$$$$$$ $$$$$$», $$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$, $$$$$$$$, $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$-$$ $$$$$$ $$$$$$$$$$ $$$ $$$-$$$. $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$, $$$$ $ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$, $ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$.

$$ $$$$$ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$$, $$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$, $$$$$$$ $ $$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$. $ $$$$$ $$$$$$$$$ $$$$$$$$$: $$$$$$$$$$$$$$, $$ $$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$ $$$ $$$$$$$ $$$$$$, $$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$$$$$$ $$$$$$$$$$ ($$$$$$$$ $$$$ $$$ $$$$$$$$$$ $$ $$ $$$$$$$$$$ $$$$$$$$$), $ $$$$$ $$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$$$$$$$ $ $$-$$$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$$$ $$$$$ $$$$$$$$$ $$$ «$$$$$$» $$$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$ $$ $$$$$$$$ $$$$$$. $$$$$$$$$$, $$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$ $ $$$$$$$$$$$$$$$$ $ $$$$$$ $$$$$$$$$$$$ $$$$$$, $$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$.

$$$$$$$ $$$$ $$$$$$$$$$$$ $$$$$$$, $$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$ $$$$$, $$$$$$$ $$$$$$$$$$$, $$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$$, $$$$$$$$$$$ $$ $$$$$ $$$$$$$$$$$ $$$$, $$$$$$$$$$ $ $$$$$$$$$$$. $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$ $$ $$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$ $ $$$$ $$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$$$ $$$$$$$$$$$. $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$, $$$$$$ $$$$$$$ $ $$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$ $$$$$$$ $$$$$$. $$$ $$$$ $$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$ $$$$$, $$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$ $$$$ $$$$$$$$$ $ $$$$$$ $ $$$$$$$$$$$. $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$ $$$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$ $$$$$$$ $$$$$$$$ $$ $$$$$$ $$$$$$, $$ $$$$ $$$ $$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$. $$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$, $ $$$$$ $ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ [$].

Поведенческий анализ как метод выявления аномальной активности пользователей: концепции и модели

В условиях стремительного усложнения информационных инфраструктур и роста числа инцидентов, связанных с действиями инсайдеров, поведенческий анализ пользователей становится одним из наиболее перспективных направлений в области информационной безопасности. Данный метод базируется на фундаментальном предположении о том, что действия каждого пользователя в информационной системе подчиняются определенным устойчивым паттернам, формирующим его поведенческий профиль. Любое существенное отклонение от этого профиля может свидетельствовать о потенциальной угрозе, будь то компрометация учетной записи, реализация злонамеренных действий или некомпетентные действия сотрудника. В отличие от сигнатурных методов, которые обнаруживают только известные атаки, поведенческий анализ способен выявлять ранее неизвестные сценарии, что делает его особенно ценным для защиты от внутренних нарушителей.

Концептуальной основой поведенческого анализа является построение математической модели нормального поведения пользователя. Как отмечают в своей работе исследователи А.В. Поляков и Д.С. Сидоров, процесс профилирования включает несколько последовательных этапов. На первом этапе осуществляется сбор первичных данных о действиях пользователя: логи входа и выхода из системы, запускаемые приложения, обращения к файлам и базам данных, сетевые соединения, объемы передаваемой информации. На втором этапе происходит агрегация и нормализация этих данных, приведение их к единому формату, пригодному для анализа. Третий этап предполагает выделение ключевых признаков (фич), которые наиболее информативно описывают поведение пользователя. К таким признакам могут относиться время работы, географическое местоположение, типичные маршруты перемещения по информационной системе, частота и объем операций чтения и записи. Наконец, на четвертом этапе на основе выделенных признаков строится статистическая или машинно-обучаемая модель, которая и будет использоваться для детекции аномалий.

В российской научной литературе последних лет активно обсуждаются различные подходы к моделированию поведения пользователей. Одним из наиболее распространенных является метод построения поведенческих профилей на основе скользящего временного окна. Суть данного метода заключается в том, что система постоянно обновляет модель поведения пользователя, учитывая его действия за последний определенный период (например, за последние 30 дней). Это позволяет адаптироваться к естественным изменениям в работе сотрудника, связанным, например, со сменой должностных обязанностей или переходом на новый проект. Однако данный подход имеет и недостаток: он может быть слишком инертным и не успевать реагировать на резкие, но легитимные изменения в активности. Альтернативой является использование методов машинного обучения без учителя, таких как кластеризация и методы поиска выбросов (outlier detection). Эти методы позволяют выявлять аномалии без необходимости заранее размеченных данных, что особенно важно, поскольку в реальных условиях количество инцидентов безопасности крайне мало по сравнению с общим объемом легитимных действий [6].

Значительное внимание в современных исследованиях уделяется выбору признаков для построения поведенческих профилей. Традиционно выделяют три основные категории признаков: темпоральные (временные), пространственные и функциональные. Темпоральные признаки описывают временные характеристики активности пользователя: время начала и окончания рабочего дня, продолжительность сессий, периодичность выполнения определенных операций. Пространственные признаки характеризуют местоположение пользователя: IP-адреса, географические координаты, точки доступа к сети. Функциональные признаки отражают содержание действий пользователя: какие именно файлы, базы данных или приложения используются, какие команды выполняются, какой объем данных передается. Как справедливо указывает в своем диссертационном исследовании Е.А. Тимофеева, наиболее эффективным является комплексное использование всех трех категорий признаков, так как каждая из них по отдельности может давать ложные срабатывания, но их совокупность позволяет с высокой точностью идентифицировать аномалии.

Важным аспектом, который активно исследуется российскими учеными, является проблема масштабирования поведенческих моделей. В крупных организациях количество пользователей может достигать десятков тысяч, и построение индивидуальной $$$$$$ $$$ $$$$$$$ $$ $$$ является $$$$$$$$$$$$ $$$$$$$. $$$ $$$$$$$ $$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$, $$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$ $$$$$$ пользователей $$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ ($$$$$$$$, $$$ $$$$$$$$$$$, $$$$$$$$$$$$$ $$$ $$-$$$$$$$$$$$$), $ $$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$ $$$$$ $$$$$$$$$$ $$$$$$$. $$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ и $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$, $$$ $$$ $$$$$$$$ может $$$$ $$$$$$$$ $$ $$$$$$ $$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$$, $$ и $$ $$$$$$ $$$$$ $$$$$$.

$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$. $$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$ $.$. $$$$$$$$, $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$$$ $$$$ $$$$$$, $$$$$$$$$$$ $ $$$$$$ $ $$$$-$$$$$$$$$ ($$$$$$$$ $$$$$$$$$$$ $$$ $$$$$ $$$$$$$$$$) $ $$$-$$$$$$$$$ ($$$$ $$$$ $$$$$$$$$$). $$$$-$$$$$$$ $$$$$$$$$$$$ $$$$ $ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$ $$$$$$$$$$, $ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$ $ $$$$$ $$$$$$$$, $$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$ $$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$$$$ $$$$$$. $$$-$$$$$$$, $ $$$$ $$$$$$$, $$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$. $$$$$$$$, $$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$, $$$-$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$ $$$$$$$$$ $$$$$$$$ $$ $$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$.

$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $ $$$$$ $$$$$$$ $ $$$$$$$$$$$, $$$$$$$ $$$$$ $$$$$$$ $$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$. $$$$$ $$ $$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$ ($$$$$ $$$$$$$$$). $$$$$$$$$ $$$$$ $$$$$$$$$, $$$$$$$$$$$$ $$ $$$$$, $$$$$ $$$$ $$$$$$$$$$$$$$$$ $$$ $$$$$$$$, $$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$, $$$ $$$$$$$$ $ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$ $ $$$$$$$. $$$ $$$$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$ $$ $$$$$$$ $$$$$$$$$. $$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$ «$$$$$$ $$$$$$$$$» ($$$$$$$ $$$$$), $$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$, $ $$$$$$, $$$$$$$$$$$ $$ $$$$$$ $$$$$$, $$$$$$$$$ $$$$ $$$$$$$$$$. $$$$$$$ $$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$-$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $ $$$$$ $$$$$$$$ [$$].

$$$$$$ $$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$ $ $$$$$$$$$$ $$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$$$$$, $ $$$$$$$$$ $$$$$$$$$$$ $$$$$ «$ $$$$$$$$$$$$ $$$$$$» № $$$-$$, $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$ $$$$ $ $$$$$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$ $ $$$$$$$$$$$$ $$$$$$. $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$ $$$, $$$$$$$$$$$$ $$$$$ $$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$, $$$ $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$ $$ $$$$$$$$$. $$$$$ $$$$, $$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$: $$$ $$$$$$$$$$$$$ $$$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$ $ $$$$$$$ $$$$$. $$$$$$$ $$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$ $ $$$$$$$$$$$, $$$$$$$ $$$$$$ $$$$ $$$$$$$$ $$ $$$$$$$$ $$$$ $$$$$$$$$$$ $$$$$$$$$$$.

$$$$$$$ $$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$, $$$ $$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$, $$$$$$ $$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$: $$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$. $$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$, $$$$$$$$$ $$$$$$$$ $ $$$$$$ $$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$, $ $$$$$ $ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$. $$$$$$$$$$$$$ $$$$$$ $$ $$$$$$$$ $$$$$$$$, $$ $ $$$$$$$$$ $ $$$$$$$ $$$$$$ $$$$$$ $$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$$ $$$$$.

Продолжая анализ концептуальных основ поведенческого анализа, необходимо детально рассмотреть математические модели, лежащие в основе современных систем детекции аномалий. В российской научной литературе последних лет наибольшее распространение получили три группы методов: статистические, методы машинного обучения с учителем и методы машинного обучения без учителя. Статистические методы, такие как построение доверительных интервалов и анализ скользящих средних, отличаются относительной простотой реализации и интерпретируемостью результатов. Они позволяют установить границы нормального поведения на основе расчета средних значений и стандартных отклонений. Однако их существенным недостатком является чувствительность к выбросам и неспособность улавливать сложные многомерные зависимости между различными признаками поведения. Как отмечает в своей работе А.С. Кузнецов, статистические методы эффективны лишь для детекции наиболее грубых и очевидных аномалий, тогда как изощренные инсайдеры, действующие постепенно и осторожно, могут оставаться незамеченными.

Методы машинного обучения с учителем, такие как случайный лес (Random Forest), градиентный бустинг (Gradient Boosting) и нейронные сети, требуют наличия размеченного набора данных, где каждый сеанс работы пользователя заранее классифицирован как легитимный или аномальный. Преимуществом этих методов является высокая точность при условии качественной разметки данных. Однако на практике получение такой разметки является крайне сложной задачей, поскольку количество реальных инцидентов безопасности ничтожно мало по сравнению с общим объемом легитимной активности, а ручная разметка миллионов событий требует огромных трудозатрат. Кроме того, модели, обученные на исторических данных, могут быть неэффективны против новых, ранее не встречавшихся типов атак. В связи с этим в последние годы все большее внимание уделяется методам обучения без учителя, которые не требуют предварительной разметки и способны самостоятельно выявлять скрытые закономерности в данных.

Особый интерес представляют методы глубокого обучения (Deep Learning), в частности, автоэнкодеры (autoencoders) и вариационные автоэнкодеры (variational autoencoders). Архитектура автоэнкодера состоит из двух частей: кодировщика, который сжимает входные данные (вектор признаков поведения пользователя) в скрытое представление меньшей размерности, и декодировщика, который восстанавливает исходные данные из этого сжатого представления. Обучение модели происходит таким образом, чтобы ошибка восстановления (loss function) была минимальной для типичных, нормальных примеров. Если же на вход подается аномальное поведение, которое существенно отличается от тех данных, на которых обучалась модель, ошибка восстановления будет значительно выше. Это свойство позволяет использовать величину ошибки восстановления в качестве метрики аномальности. Как показывают исследования Е.В. Громова и его коллег, автоэнкодеры демонстрируют высокую эффективность при детекции сложных, многомерных аномалий, которые трудно выявить с помощью традиционных статистических методов [14].

Важным направлением развития поведенческого анализа является использование графовых нейронных сетей (Graph Neural Networks, GNN). Данный подход позволяет моделировать не только поведение отдельного пользователя, но и структуру его социальных и профессиональных связей внутри организации. Инсайдеры часто действуют не в одиночку, а в сговоре с другими сотрудниками, и графовые модели способны выявлять аномальные паттерны в коммуникациях и совместном доступе к ресурсам. Например, если два сотрудника из разных отделов, которые ранее никогда не взаимодействовали, вдруг начинают активно обмениваться данными и одновременно проявляют аномальную активность по скачиванию больших объемов информации, это может свидетельствовать о скоординированной внутренней атаке. Российские исследователи, в частности коллектив авторов под руководством П.Н. Девяткова, активно разрабатывают методы построения графов взаимодействий пользователей и применения к ним алгоритмов обнаружения сообществ и выявления структурных аномалий.

Следует также остановиться на проблеме выбора порога срабатывания системы поведенческого анализа. Любая система детекции аномалий сталкивается с дилеммой: чем ниже установлен порог чувствительности, тем больше аномалий будет выявлено, но при этом резко возрастает количество ложных срабатываний. И наоборот, слишком высокий порог позволяет избежать ложных тревог, но увеличивает риск пропуска реальной атаки. В научной литературе для решения этой проблемы предлагается использовать метрики ROC-кривой (Receiver Operating Characteristic) и площади под ней (AUC-ROC), которые позволяют оценить компромисс между полнотой (recall) и точностью (precision) детекции. Оптимальный порог выбирается исходя из конкретных потребностей организации и ее толерантности к риску. Для особо критичных систем, где цена ошибки пропуска атаки чрезвычайно высока, может быть выбран более низкий порог с последующей тщательной верификацией каждого срабатывания службой безопасности.

Отдельного рассмотрения заслуживает вопрос временной динамики поведенческих профилей. Поведение пользователя не является статичным; оно может $$$$$$$$ $$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$: $$$$$ $$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$ $$ $$$$$ $$$$$$, $$$$$$$$ $$$$$$$$$ $$$$$$$$, $$$$$$ $$$ $$$$$$$. $$$$ $$$$$$ не $$$$$ $$$$$$$$$$$$$$ $ $$$$ $$$$$$$$$$, $$$ $$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$, $$$ $$$$$$ $$$$$$$ $ $$$$$$$. $$$ $$$$$$$ $$$$ $$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$, $$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$ $ $$$$$$ $$$$$$ $$$ $$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$ ($$$$$$$ $$$$$ $$$$$$$$$). $$$$$ $$ $$$$$$$$$$ $$$$$$$$ является $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$, $$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$ $$$$$ $$$$$$, $ $$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$ $$$$$$$. $$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$$ «$$$$$$$$$$» $$$$$$ ($$$$$ $$$$$$$$$): $$$$ $$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$, $$$$$$$$$$ $$$$$$$ $$$$ $$$$$$$$$, $$$$$$$ может $$$$$$$$$$$$$$ $ $$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$$. $$$ $$$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$ $$$$$$$, $$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$, $$$$$$$$$ $$ $$$$$$ $$$$$$$$$ $$$$$$$$$$ [$$].

$$ $$$$$ $$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$. $$$$$$$$$$ $$ $$$$$$$$$$$$, $$$$$$$$$$ $$$$$$ $$ $$$$$$$$, $$$$$$ $$$$$$$$, $$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$ $$$$$$$. $$$ $$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$, $$$$$$$$ $$ $$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$ $$$$$$ $$$$$$$$$$$$$. $ $$$$$ $ $$$$ $ $$$$$$$$$ $$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ ($$$$$$$$$$$ $$, $$$) $$$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$. $$$$$$ $$$$ ($$$$$$$ $$$$$$$$ $$$$$$$$$$$$) $ $$$$ ($$$$$ $$$$$$$$$$$$$ $$$$$-$$$$$$$$ $$$$$$$$$$$$) $$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$, $$$$$ $$$$$$ $$$$$$$$ ($$$$$$$$, $$$$$ $$$$$$, $$$$$ $$$$$$$$$$ $$$$$$, $$$$$$$$$$ $$$$$$$$$ $ $$$$ $$$$$$) $$$$$$ $$$$$$$$$$ $$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$. $$$ $$ $$$$$$ $$$$$$$$ $$$$$$$ $ $$$$$$$, $$ $ $$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$.

$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$ $$$$$$$ $$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$$. $ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$, $$$$$ $$$$$$$$$ $$$$$$$$$ $ $$$$. $$$$$$$$$ $$$$$$ $$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$, $$$$$ $$$ $$$$$$ $$$$$ $$$ $$$$$$ $$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$, $ $$$$$$$$$ $$$$$$$$ «$$$$$$$$ $$$$$$$$$$$$», $$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$ $$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$. $$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$ $ $$$ $$$$$$$$, $$$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$. $ $$$$$$ $$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$ $ $$$$$$, $$$$$$$ $ $$$$$$$$$ $$$$$$$, $$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ $$ $$$$, $$$ $$$$$ $$$$$$$ $$$$$ [$].

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $ $$$, $$$ $$$$$$ $$$$$$$ $$$$$$$$ $$$$$ $$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$. $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ — $$ $$$$$$$ $$$$$$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ — $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$. $$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$ $$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$$$$$. $$$ $$$$ $$$$$$$$$$ $$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$ $$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$, $ $$$$$$ $$$$ $$$$$$$$$$$$ $ $$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$, $$$$$$$$ $ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$. $$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$ $ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$, $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$ $$ $$$$ $$$$$$ $$$$$$$$$ $$$$$$$$, $ $$$$$ $ $$$$$$$$ $$$$$$$$$ $ $$$$$$$$ $$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$.

Обзор современных подходов и технологий сбора и обработки данных о поведении пользователей (UEBA)

Современные системы информационной безопасности все чаще обращаются к концепции User and Entity Behavior Analytics (UEBA), которая представляет собой эволюционное развитие методов поведенческого анализа. В отличие от традиционных подходов, ориентированных исключительно на анализ действий пользователей, UEBA расширяет область исследования на все сущности информационной системы, включая устройства, приложения, сетевые узлы и сервисы. Как отмечают в своем исследовании А.В. Козлов и М.И. Петрова, ключевым отличием UEBA от классических SIEM-систем является способность выявлять неизвестные угрозы на основе построения базовых линий поведения, а не только корреляции событий по заранее определенным правилам. Это принципиально меняет парадигму защиты, позволяя перейти от реактивного реагирования к проактивному предупреждению инцидентов.

Технологическая архитектура современных UEBA-решений включает несколько ключевых компонентов, каждый из которых выполняет строго определенные функции. Первым и наиболее критичным компонентом является подсистема сбора данных, которая должна обеспечивать получение информации из максимально широкого спектра источников. К таким источникам относятся журналы событий операционных систем (Windows Event Log, syslog), логи веб-серверов и прокси-серверов, данные от систем контроля доступа (Active Directory, LDAP), информация от DLP-систем, сетевых экранов и систем обнаружения вторжений. Особое значение в контексте внутренних угроз имеет интеграция с HR-системами, которая позволяет получать контекстную информацию о статусе сотрудника, его должностных обязанностях, графике работы и предстоящих увольнениях. Как подчеркивает в своей диссертации Е.С. Морозова, качество и полнота собираемых данных напрямую определяют эффективность всего последующего анализа [5].

Вторым важнейшим компонентом UEBA-систем является подсистема нормализации и обогащения данных. Данные, поступающие из разнородных источников, имеют различные форматы, структуры и семантику. Задача нормализации заключается в приведении этих данных к единому, унифицированному формату, пригодному для машинной обработки. Обогащение данных предполагает добавление к каждому событию дополнительного контекста, например, информации о географическом местоположении IP-адреса, о принадлежности пользователя к определенному отделу или о критичности затронутого ресурса. В российской практике, как отмечают исследователи из МГТУ им. Н.Э. Баумана, особое внимание уделяется обогащению данных информацией из внешних источников угроз (Threat Intelligence), что позволяет сопоставлять внутреннюю активность с известными индикаторами компрометации.

Третьим компонентом является аналитическое ядро, которое непосредственно реализует алгоритмы машинного обучения и статистического анализа для построения поведенческих профилей и выявления аномалий. Современные UEBA-решения используют комбинацию различных методов: обучения без учителя для обнаружения неизвестных аномалий, обучения с учителем для классификации известных типов угроз, а также методов обработки естественного языка (NLP) для анализа текстовых коммуникаций и выявления потенциально опасных намерений. Особый интерес представляет использование рекуррентных нейронных сетей (RNN) и сетей с долгой краткосрочной памятью (LSTM) для анализа последовательностей действий пользователя. Эти модели способны улавливать временные зависимости и выявлять аномалии в логической последовательности операций, что особенно важно для детекции многошаговых атак.

Четвертым компонентом является подсистема визуализации и оповещения, которая обеспечивает представление результатов анализа в удобной для восприятия форме и генерацию оповещений для специалистов по безопасности. Эффективная визуализация должна позволять быстро оценить степень критичности аномалии, получить детальную информацию о подозрительных действиях и проследить хронологию событий. Многие современные UEBA-решения, в том числе российские разработки компании «InfoWatch», предоставляют дашборды с интерактивными графиками и диаграммами, позволяющими специалисту погружаться в детали каждого инцидента. Важным требованием является также возможность автоматического создания отчетов для руководства и регулирующих органов.

В контексте технологий сбора данных особого внимания заслуживает вопрос работы с сетевым трафиком. Современные методы анализа сетевого трафика, такие как Deep Packet Inspection (DPI) и анализ потоковых данных (NetFlow, IPFIX), позволяют получать детальную информацию о взаимодействиях между пользователями и ресурсами. Российские исследователи, в частности коллектив под руководством С.А. Петренко, активно разрабатывают методы поведенческого анализа $$ $$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$, $$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$. $$$ $$$$$$$$ $$$$$ с $$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$ о $$$$$ $$$$$$$$$ и $$$$$$ $$$$$$$$$$$$ данных. $$$$$$ $$$$$$$$$$, $$$$$ как $$$$$ $$$$$$$$$$ данных, $$$$$$$ $$$$$$$$$$, $$$$$$$$$$$$ $$$$$$$$$ и $$$$$, $$$$$ $$$$ $$$$$$ информацию о $$$$$$$$$ $$$$$$$$$$$$, $$ $$$$$$$ $$$ $$$$$$$$$$$$$$$$$$.

$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$-$$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$$$ ($$$$$$$$$$ $$$$ $$$$$$$$ $$$$$$$$$). $$$ $$$$$$$$ $$$$$$$$ $$$$$$$$ «$$$$$ $$$$$$$$», $$$$$$$$$$$$$$ $ $$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$ $$$ $$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$$$$. $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$, $$$$$$ $$$$$$$$$$$ $$$$$$, $$$$$$$$ $$ $$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$. $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$ «$$$$$$$» $$$$$$$$$$$$$$$ — $$$$$$$$$$$$$, $$$$$$$ $$ $$$$$ $$$$$$$$$$ $$$$ $$$$$$$$$$$$$$, $$ $$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$.

$$ $$$$$ $$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$-$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$ $$ $$$ ($$$$$$$$ $$$$$$$$). $$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$ $$$$$$ $$$$$$$$ $$$$$$$$, $$ $ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$, $$$$$ $$$ $$$$$$$$$$ $$$$$$$ $$$$$$, $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$, $$$$$$$$ $$$$$$$$$$$$$$$$$$$$ $$$$$$$$$$ $$ $$$$ $$$ $$$$$$$$$$$$$$ $$$$$ $$$$$$. $$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$ $$ $$ $$$$$$$$$$$$$, $$$ $$$$$$$$$$ $$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$ $$$$$$. $ $$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$ $$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$ «$$$$$-$$», $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$, $$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$ $$ $$$$$$$$$$ $$$$$ [$$].

$$$$$ $$ $$$$$$$ $$$ $$$$$$$$$ $$$$-$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$. $$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$, $$$$$$-$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$, $$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$, $$$$$$$$$$$$ «$$ $$$$$$$», $$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$. $$$$$$$ $$$$$$$$$ $$$$ $$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$. $$$ $$$$$$$$$ $ $$$$$ $$$$$$$$$$$$ $.$. $$$$$, $$$$$$$$ $$$$$$$$$ $$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$, $$-$$$$$$$$$$$$$ $ $$$$$$-$$$$$$$$$$$$$$$ $$$$$$$$$$$.

$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$-$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ ($$$$$$$$$ $$$$$$$$). $$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ $$ $$$$$$$$$$$$$$ $$$$$$, $$ $$$$$$$$$ $$$$ $$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$. $$$ $$$$$$$$ $$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$ $ $$$$$$ $$$$$$$$, $$$ $$$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$$$$. $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$ $ $$$$$$ $$$$$$. $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$ $$$$$$$$$$$$ $ $$$$$ $$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$ [$$].

$$$$$$$ $$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$ $$$$, $$$$$$$ $$$$$$$$, $$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$ $$$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$$$$$. $$$$$$$$$$$ $$$$-$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$$$$-$$$$$$$$$$ $$$$$$$$$, $$$$$$$$$$$$$ $$$$$$ $$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$, $$$$$$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$. $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$, $$$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$ $$$$$$ $$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$. $$$ $$$$ $$$$$$$$ $$$$$$$$$ $$$$ $$$$$$$ $$ $$$$$$ $$$$$$$$$$$$$$$ $$$$$$$, $$ $ $$$$$$$$$$$$$$$ $$$$$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$, $ $$$$$ $$$$$$$$ $$$$$$$$$. $ $$$$$$$$ $$$$$ $$$$$ $ $$$$$$$$$ $$$$$$$$$$ $$$$$, $$$$-$$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$ $$$$$$$$ $$$$$$$$$$$, $ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$.

Продолжая анализ технологий сбора и обработки данных, необходимо детально рассмотреть вопрос источников информации для UEBA-систем, специфичных для российских организаций. В отличие от западных компаний, где основным источником данных часто являются облачные сервисы и SaaS-приложения, в российской практике значительная часть информационных систем продолжает функционировать в локальной инфраструктуре. Это накладывает определенные особенности на архитектуру сбора данных. Как отмечают в своих работах исследователи из компании «Код Безопасности», ключевыми источниками данных для UEBA в российских организациях являются: контроллеры домена Active Directory, прокси-серверы, системы электронной почты (в частности, Microsoft Exchange Server), файловые серверы, а также специализированные учетные системы (1С:Предприятие, SAP). Интеграция с этими источниками требует разработки специализированных коннекторов и адаптеров, учитывающих особенности протоколов и форматов данных, используемых в российском корпоративном секторе.

Особого внимания заслуживает вопрос сбора и анализа данных из систем класса DLP (Data Loss Prevention). DLP-системы, такие как «InfoWatch Traffic Monitor» и «Solar Dozor», уже содержат в себе механизмы анализа содержимого передаваемых данных и могут выявлять попытки несанкционированной передачи конфиденциальной информации. Интеграция UEBA с DLP позволяет существенно повысить эффективность обоих классов систем. UEBA предоставляет контекст о поведении пользователя, позволяя DLP-системе более точно оценивать критичность каждого события. Например, если DLP-система фиксирует попытку отправки документа с грифом «Коммерческая тайна» на внешний адрес, UEBA может оценить, является ли такое действие типичным для данного пользователя или же оно представляет собой аномалию. В результате снижается количество ложных срабатываний DLP-системы, а специалисты по безопасности получают более качественную информацию для принятия решений. Российские разработчики активно работают над созданием интегрированных платформ, объединяющих функциональность DLP и UEBA в едином решении.

Значительным источником данных для поведенческого анализа являются системы управления базами данных (СУБД). Как справедливо указывают авторы коллективной монографии под редакцией Л.Г. Осипова, действия пользователей с базами данных представляют собой один из наиболее информативных источников для выявления инсайдерских угроз, особенно в контексте хищения структурированной информации. Анализ SQL-запросов позволяет выявить аномалии, такие как массовое извлечение данных (data exfiltration), выполнение нехарактерных для данного пользователя запросов (например, SELECT * FROM таблица_клиентов вместо обычных точечных запросов), а также попытки эксплуатации уязвимостей (SQL-инъекции). Современные UEBA-решения для работы с СУБД используют методы синтаксического анализа SQL-запросов и построения профилей типичных запросов для каждого пользователя. Это позволяет выявлять даже те аномалии, которые не связаны с нарушением политик доступа, но указывают на изменение характера работы пользователя с данными.

Технологии сбора данных о поведении пользователей сталкиваются с серьезным вызовом, связанным с шифрованием трафика. Все большее количество корпоративных коммуникаций осуществляется по протоколам HTTPS, TLS и SSH, что делает невозможным анализ содержимого передаваемых данных традиционными методами. Для решения этой проблемы используются различные подходы. Первый подход предполагает использование технологий SSL-инспекции (SSL/TLS Interception), когда корпоративный прокси-сервер расшифровывает трафик, анализирует его и снова шифрует перед отправкой получателю. Однако данный подход вызывает серьезные этические и правовые вопросы, а также может нарушать законодательство о тайне переписки. Второй подход, который активно развивается в российской науке, основан на анализе метаданных зашифрованного трафика: размеров пакетов, временных интервалов между ними, направлений передачи, используемых протоколов и версий шифрования. Как показывают исследования М.В. Федотова, анализ метаданных зашифрованного трафика с использованием методов машинного обучения позволяет с высокой точностью идентифицировать типы приложений и характер действий пользователя, не нарушая конфиденциальности содержимого коммуникаций [1].

Важным аспектом технологий сбора данных является обеспечение отказоустойчивости и надежности. UEBA-система должна работать непрерывно, поскольку даже кратковременный простой может привести к пропуску критического инцидента. Для обеспечения высокой доступности используются кластерные конфигурации, резервирование каналов сбора данных и механизмы буферизации событий на стороне источников. В российской практике, учитывая сложную геополитическую ситуацию и риски санкционных ограничений, особое внимание уделяется использованию отечественного программного обеспечения и оборудования. Разработка российских UEBA-решений, таких как «MaxPatrol SIEM» от Positive Technologies и «Solar MSS», ведется с учетом требований импортозамещения и использования только сертифицированных ФСТЭК России средств криптографической защиты информации.

Отдельного рассмотрения заслуживает вопрос обработки данных в реальном $$$$$$$. $$$$$$$$$$$$ $$$$$$$ $$$$$ данных, $$$$$$$$$$ в $$$$$$$$ $$$$$$ ($$$$$ $$$$$$$$$$), $$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$ $$$$$$$$$$ $$$$$ $$ $$$$$$$$$$ $$$$$, $$$ $$$$$$$$$$$ $$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$ данных. $$$$$$$$$$$ $$$$-$$$$$$$ $$$ $$$$ $$$$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$$ обработки данных ($$$$$$ $$$$$$$$$$), $$$$$$$$$ $$$$$ $$$$$$$$$, $$$ $$$$$$ $$$$$ $ $$$$$$ $$$$$. $$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$ $$ $$$$ $$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ в $$$$$$, $$$$$$$ $ $$$$$$$$$ $$$$$$$. $$$$$$ $$$$$$$$$$ $$$$$$$$$ обработки $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$, $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$, обработки $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$ $$$$$$ в $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$ данных. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$ ($$$) $$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$ $$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$, $$$$$$$$$ $$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$.

$$$$$$$$$$ $$$$$$$$ $$$$$$ $$$ $$$$-$$$$$$ $$$$$ $$$$$ $$$$ $$$$$$$$$. $$$$$$ $$$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$, $$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$$$$ $$$ $$$$$$ $ $$$$$$$$$$ $$$$$$ ($$$$ $$$$$$ $$$$$$$$$). $ $$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$ $$$$$$ $$$$$$$$$$ — $$$$$$$$$$ $$$$ $ $$$$$$$$ $$$$$$$$ $$$$$, $$$$$$$$$$$$$ $$$$$$$$$ «$$$$$$». $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$ $$$$$ $$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$. $$$$$ $$$$, $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$ $$ $$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$. $$$$$$, $$$ $$$$$$$$ $$$$$$$$, $$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$ $$$$$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$ $ $$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$, $ $$$$$$$$$, $ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$. $$$$$$$ $$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$, $ $$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$.

$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$ $$ $$$$$$$$ $$$$$$ ($$$$$$$$ $$$$$$$$ $$$$$$$$). $ $$$$$$$ $$ $$$$$$$$ $$$$$$$, $$$$$$$ $$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$, $$$$$$ $$ $$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$, $$$$$$$$$$$ $$ $$$$$$$ $$$$$$$, $ $$$$$$$$$ $ $$$$$$$$ $$$$$$$$, $ $$$$$$$$$$$$ $$$$$$$$$$$ $ $$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$, $ $$$$$$$$$ $$$$$$$$ «$$.$$$», $$$$$$$$$$ $$$$$$$ $$$$$$ $$$ ($$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$), $$$$$$$ $$$$$$$$$$$$$ $ $$$$-$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$ $ $$$$$$$$. $$$$$$$$$ $$$$$$$$ $$$$$$$ $ $$$$$$$ $$ $$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$ $$$$ $$ $$$$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$ $$$$$$ $$$$$$ $$$$ $$$$$$ [$$].

$$$$$$ $$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$ $$$$ $$$$$$$$$ $$$$$$$ $$$$$ $ $$$, $$$ $$$$$$ $$$$$$$ $$$$$$$$ $$$$$ $$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$. $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$, $$$$$$$ $ $$$$$$$$$ $$$$$$$$$ $ $$$$$$$$ $$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$ $$$$$$, $$$$$$ $$$ $$$ $ $$$. $$$ $$$$ $$$$$$$$ $$$$$$$$$ $$$$ $$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$ $$$$$: $$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$ $$ $$$$$$$$$ $$$$$ $$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$. $$$$$$$$$$ $$$$$ $$$$-$$$$$$$ $$$$$$$ $$$$$$$$$$$, $$$$$$$$$ $$$$$$$$, $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$ $ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$$.

Сравнительный анализ существующих решений и платформ класса User and Entity Behavior Analytics (UEBA)

Современный рынок решений класса User and Entity Behavior Analytics (UEBA) характеризуется значительным разнообразием как по функциональным возможностям, так и по архитектурным подходам. В данном разделе проводится сравнительный анализ наиболее репрезентативных решений, представленных на российском рынке, с целью выявления их сильных и слабых сторон в контексте предотвращения внутренних угроз. Анализ охватывает как зарубежные платформы, которые продолжают использоваться в некоторых российских организациях, так и отечественные разработки, получившие наибольшее распространение в условиях политики импортозамещения.

Одним из наиболее известных зарубежных решений является платформа Splunk User Behavior Analytics, построенная на базе популярной SIEM-системы Splunk Enterprise. Ключевым преимуществом данного решения является глубокая интеграция с экосистемой Splunk, что позволяет использовать уже развернутую инфраструктуру сбора и хранения данных. Splunk UBA использует методы машинного обучения для построения поведенческих профилей пользователей и сущностей, а также предоставляет развитые средства визуализации и расследования инцидентов. Однако, как отмечают российские исследователи, в частности коллектив авторов под руководством А.Н. Голубцова, использование Splunk UBA в российских организациях сопряжено с серьезными ограничениями, связанными с санкционными рисками, сложностью локализации и высокой стоимостью лицензирования. Кроме того, данное решение требует значительных вычислительных ресурсов и квалифицированного персонала для настройки и сопровождения.

Альтернативным зарубежным решением является платформа Securonix UEBA, которая изначально разрабатывалась как самостоятельная система поведенческого анализа, а не как надстройка над SIEM. Securonix отличается использованием продвинутых алгоритмов машинного обучения, включая методы глубокого обучения и обработки естественного языка для анализа текстовых коммуникаций. Платформа поддерживает широкий спектр источников данных, включая облачные сервисы, что делает ее привлекательной для организаций с распределенной ИТ-инфраструктурой. Однако, как показывает практика внедрения, Securonix требует длительной настройки и калибровки моделей под специфику конкретной организации, а также сталкивается с теми же санкционными ограничениями, что и другие зарубежные продукты. В российских условиях данные факторы существенно ограничивают возможности применения данной платформы [16].

Среди российских разработок наибольшую известность получило решение «MaxPatrol SIEM» компании Positive Technologies, которое включает в себя модуль поведенческого анализа. Важным преимуществом данного решения является его сертификация ФСТЭК России, что позволяет использовать его в государственных учреждениях и организациях критической информационной инфраструктуры. MaxPatrol SIEM обеспечивает сбор событий из более чем 300 различных источников, включая отечественные операционные системы и прикладное программное обеспечение. Модуль поведенческого анализа использует методы статистического анализа и машинного обучения для выявления аномалий, а также предоставляет развитые средства корреляции событий. Однако, как отмечают эксперты, алгоритмы машинного обучения в MaxPatrol SIEM пока уступают по точности зарубежным аналогам, особенно в части выявления сложных, многошаговых атак. Кроме того, стоимость внедрения и сопровождения данного решения остается достаточно высокой для средних и малых предприятий.

Другим значимым российским решением является платформа «InfoWatch Traffic Monitor» с модулем поведенческого анализа. Компания InfoWatch, являясь одним из лидеров российского рынка DLP-систем, закономерно интегрировала функциональность UEBA в свои продукты. Ключевым преимуществом данного подхода является возможность анализа не только метаданных, но и содержимого передаваемой информации, что позволяет выявлять инциденты, связанные с утечкой конфиденциальных данных, с высокой точностью. Модуль поведенческого анализа InfoWatch использует методы построения профилей пользователей и выявления отклонений от нормального поведения на основе анализа действий с документами, переписки и сетевой активности. Однако, как указывают исследователи, данное решение в значительной степени ориентировано на анализ каналов передачи данных и менее эффективно в выявлении угроз, связанных с действиями внутри самой информационной системы, например, с несанкционированным доступом к базам данных или манипуляциями с правами доступа.

Отдельного рассмотрения заслуживает решение «Solar MSS» компании «Ростелеком-Солар», $$$$$$$ $$$$$$$$$$$$$$$ $ $$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$. $$$$$$ $$$$$$ $$$$$$$$$$$$, $$$ $$$$ $ $$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$ $$ $$$$$$$$$ $ $$$$$$$$$$$$$ $$$ $$$$$$$$$$$-$$$$$$$$. Solar MSS $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$$$$$ $ $$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$. $$$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$$$$$$$$ $$$$$$$$$ $$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$ $$$$$$$. $$$$$$, $$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$, $$$$$$ MSS $$$$$$$$ $$$$$$$ $ $$$$$ $$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$, $$$$$$$$ $$$ $$$$$$$$$$$, $$$$$$$$$$ $ $$$$$$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$. $$$$$ $$$$, $$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$ $$$$ $$$$$$$$$$$$$ $$$$$$$$$$$.

$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$. $$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$. $$$$$$$$$$ $$$$$$$, $$$ $$$$$$$, $$$$$$$$$$$$ $$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$$$ $$$$$$$, $$ $$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$. $$$$$$$$$$ $$$$$$$, $$$$$$$$, $$$$$$$$$$$$$$ $$$ $$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$, $$$$$$$ $$$$$$$ $$ $$$$ $$, $$$$$ $$$$$ $ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$. $$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$, $$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$ $$$$$$$ ($$$$$$) $ $$$$$$$$ ($$$$$$$$$). $$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$ «$$$$$$$$$$$$$$ $$$$$$$$$$$$» $$$$, $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$, $$$$$$$$ $ $$$$$ $$$$$$$$$ $$$$$$$ $$$$, $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$ $$$$$$ [$].

$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$. $$$$$$$ $$$$$$$$$$ $$$$$$$$$, $$$$$ $$$ $$$$$$ $$$, $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$. $$$$$$$$$$ $$$$$$$, $ $$$$$$$$$ $$$$$$$$$ $$$$, $$$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$$, $$ $$$$$ $$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$$$$. $$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$, $$$$$$$ $$$$$$$$ $$$$$$$ $$ $$$$$$$$$$$$$$, $$$$$$$$$, $$$$$$$$$$$$ $ $$$$$$$$$$$$$. $$$$$ $$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$ $ $$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$. $$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$, $$$$$$$ $$$$$ $$$$$$ $ $$$$$$$$$$$$. $$ $$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$.

$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$, $$$ $$$$$$$, $$$$$ $$$$$$$$ $$$ $ $$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$$ $$$$$$$ $ $$$$ $$$$$$$ $$$$ $$$$$$$$, $$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$. $$$$$$ $$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$ ($$$$-$$$$$$$$$$$$$$$$). $$$$$$$ $ $$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$ $$$, $$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$. $$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$ $$$$-$$$$$$$$$$$$$$$$ $$$$$ $$$$$$$$$ $$$$, $$$$$$ $$$ $$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ [$$].

$$$$$$$ $$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$ $$$$$$$ $$$$$ $ $$$, $$$ $$$$$ $$$$$$$$$$$ $$$$-$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$, $$ $$-$$$$$$$$$$$$$$, $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$. $$$$$$$$$$ $$$$$$$, $$$$$ $$$ $$$$$$ $$$ $ $$$$$$$$$, $$$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$$ $$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$, $$$$$$ $$ $$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$. $$$$$$$$$$ $$$$$$$, $ $$$$$$$$$ $$$$$$$$$ $$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$, $$$ $$$$ $$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$ $ $$$$$ $$$$$$ $$$$$$$$$, $$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$. $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$, $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$ $$$$$$$$$$ $$$$$.

Продолжая сравнительный анализ решений класса UEBA, необходимо детально рассмотреть архитектурные особенности и методологические подходы, реализованные в каждом из рассмотренных продуктов, поскольку именно эти аспекты определяют их практическую применимость в различных организационных контекстах. Архитектура Splunk UBA базируется на концепции централизованного хранилища данных, где вся информация о событиях безопасности консолидируется в едином индексе. Данный подход обеспечивает высокую скорость поиска и корреляции событий, однако создает единую точку отказа и требует значительных инвестиций в инфраструктуру хранения данных. В отличие от этого, архитектура Securonix UEBA использует распределенную модель обработки данных, где первичный анализ выполняется на уровне источников, а централизованно собираются только результаты анализа и метаданные. Это позволяет существенно снизить требования к пропускной способности каналов связи и объему централизованного хранилища, но усложняет проведение кросс-системного анализа и расследование инцидентов, затрагивающих несколько источников данных.

Российское решение MaxPatrol SIEM использует гибридную архитектуру, сочетающую элементы централизованного и распределенного подходов. Система позволяет выполнять первичную обработку и фильтрацию событий на уровне агентов, установленных на источниках данных, что снижает нагрузку на центральный сервер и каналы связи. При этом все события, признанные значимыми, передаются в централизованное хранилище для дальнейшего анализа и корреляции. Такой подход обеспечивает баланс между производительностью и полнотой анализа. Однако, как отмечают практики внедрения, настройка гибридной архитектуры требует высокой квалификации специалистов и тщательного проектирования, поскольку неправильная конфигурация фильтров на агентах может привести к потере критически важных событий.

Архитектура InfoWatch Traffic Monitor с модулем поведенческого анализа исторически сложилась как архитектура DLP-системы, ориентированная на перехват и анализ трафика. Это накладывает определенные ограничения на возможности поведенческого анализа. Система наиболее эффективна в анализе сетевых коммуникаций и действий с документами, но менее приспособлена для анализа активности внутри операционных систем и приложений. В отличие от этого, Solar MSS, предоставляемый в модели Managed Security Services, использует облачную архитектуру, где сбор данных осуществляется через легковесные агенты, устанавливаемые в инфраструктуре клиента, а анализ и хранение выполняются на стороне провайдера. Данный подход минимизирует нагрузку на ИТ-инфраструктуру клиента, но вызывает вопросы с точки зрения безопасности передаваемых данных и зависимости от провайдера услуг.

Важным аспектом сравнительного анализа является оценка методологических подходов к построению поведенческих профилей, реализованных в каждом решении. Splunk UBA использует комбинацию методов обучения без учителя для обнаружения неизвестных аномалий и обучения с учителем для классификации известных типов угроз. Особенностью подхода Splunk является использование так называемых «сценариев угроз» (threat scenarios), которые представляют собой формализованные описания типовых паттернов аномального поведения, разработанные экспертами по безопасности. Данный подход позволяет снизить количество ложных срабатываний, но требует постоянного обновления библиотеки сценариев для противодействия новым типам атак. Securonix UEBA делает акцент на использовании методов глубокого обучения, в частности, автоэнкодеров и рекуррентных нейронных сетей, что позволяет выявлять более сложные и скрытые аномалии. Однако, как отмечают исследователи, модели глубокого обучения требуют больших объемов данных для обучения и могут быть чувствительны к шумам в данных.

Российские решения в целом используют более консервативные методологические подходы. MaxPatrol SIEM в значительной степени опирается на методы статистического анализа и корреляции событий по правилам, что обеспечивает высокую интерпретируемость результатов, но может быть недостаточно эффективным для выявления сложных, нетипичных атак. Модуль поведенческого анализа InfoWatch использует методы построения профилей пользователей на основе анализа их действий с документами и коммуникаций, что хорошо зарекомендовало себя в задачах предотвращения утечек данных, но менее эффективно для выявления угроз, не связанных с передачей информации за пределы организации. Solar MSS, по доступной информации, использует комбинацию статистических методов и методов машинного обучения, однако точные $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$.

$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$-$$$$$$. $$$$$$ $$$ $$$$$$$$$$$$$ $$$$ $$ $$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$$$, $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$, $$$$$ $$$$$$ $$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$ $$$$$$$. $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$ $$$$$$$$, $$$$$$$$$$$ $ $$$$$$ $$$$$$$ $$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$, $$ $$$$$$$ $$$$$$$. $$$$$$$$$ $$$$ $$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$, $$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$ $$$$$$ $$$$$$$$ $$ $$$$$$$$$ $ $$$$$$. $$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$, $$ $$$$$$ $$$$$$$$$, $$$$$ $$$$$$$$$ $$$$, $$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$. $$$$$$$$$ $$$$$$$ $$$$$$$, $$$$$$ $$$$$$$$$$ $$$-$$$$$$$$, $$$$$ $$$$$$$$$, $$$$$$$$$$$$$$$ $ $$$$$$ $$$$$$$ $$ $$$$$$ $$$$$$$ $$$$$$$$ $$$$$$, $$$ $$$$$ $$$$ $$$$$$$$ $$$ $$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$. $$$$$ $$$, $$$ $$$$$$$$ $$$$$$, $$$$$$$$$$$$$ $$$-$$$$$$$$$, $$$$$$$$$ $$ $$$$$$ $$$$$, $$$$$$ $$$ $$$$$$$$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$.

$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$. $$$$$$$$$$ $$$$$$$, $$$ $$$$$$$, $$$$$ $$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$ $$$$$, $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$. $$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$ $$$$ $$$$$$$$$$ $$-$$ $$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$ $ $$$$$$$ $$$$$$. $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$ $$$$$, $ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$ $$$$$ $$ $$$$$$$$$$$ $$$$$$$, $$$ $$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$. $$$$$$$$ $$$$$$$$$, $$ $$$$$$$ $$$$$$$$$$$$$, $ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$, $$$$$$ $$$$$ $$$$$$$ $$ $$$$$$$ $$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$ $$$$$$$$$$, $$$$$$$$ $$$ $$$$$$$, $$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$-$$$$$$$$$$$$.

$$$$$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$ $$$$ $$$$$$$$$ $$$$$$$ $$$$$ $ $$$, $$$ $$ $$$$$$$ $$$$$$ $$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$ $$$$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$. $$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$, $$ $$-$$$$$$$$$$$$$$, $$$$$$$, $$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$. $$$$$$$$$$ $$$$$$$, $$$$$ $$$ $$$$$$ $$$ $ $$$$$$$$$, $$$$$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$, $$$$$$ $$ $$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$ $$$$$$$, $$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$. $$$$$$$$$$ $$$$$$$, $ $$$$$$$$$ $$$$$$$$$ $$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$, $$$ $$$$ $$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$ $ $$$$$ $$$$$$ $$$$$$$$$, $$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$. $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$, $$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$. $$$$$$$$$$ $$$$$$$$ $$$$$ $$$$-$$$$$$$ $ $$$$$$ $$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$, $$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$, $ $$$$$ $$$$$ $$$$$$ $$ $$$$$$$$$$$$$$$$ $ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ [$$].

Критерии оценки эффективности поведенческого анализа: метрики ложных срабатываний, точности и полноты обнаружения

Оценка эффективности систем поведенческого анализа является критически важной задачей, поскольку от правильности выбора метрик и методов их расчета зависит объективность сравнения различных решений и обоснованность инвестиций в информационную безопасность. В российской научной литературе последних лет данному вопросу уделяется значительное внимание, что обусловлено необходимостью разработки единых стандартов оценки для отечественных продуктов. Ключевой особенностью задач поведенческого анализа является существенный дисбаланс классов: количество легитимных действий пользователей на несколько порядков превышает количество аномальных событий, что накладывает серьезные ограничения на применимость традиционных метрик точности.

Основополагающей метрикой, используемой для оценки систем детекции аномалий, является матрица ошибок (confusion matrix), которая включает четыре базовых показателя: истинно положительные (True Positive, TP) — случаи, когда система правильно идентифицировала аномалию; ложно положительные (False Positive, FP) — случаи, когда система ошибочно классифицировала легитимное действие как аномалию; истинно отрицательные (True Negative, TN) — случаи, когда система правильно не обнаружила аномалию при ее отсутствии; ложно отрицательные (False Negative, FN) — случаи, когда система пропустила реальную аномалию. На основе этих четырех показателей рассчитываются производные метрики, наиболее важными из которых являются точность (precision), полнота (recall) и F-мера. Как отмечают в своем исследовании А.В. Стародубцев и П.Д. Зегжда, в контексте внутренних угроз особое значение имеет метрика полноты, поскольку пропуск реальной атаки может привести к катастрофическим последствиям, даже если система демонстрирует высокую точность.

Метрика точности (precision) определяется как отношение количества истинно положительных срабатываний к общему количеству срабатываний, классифицированных системой как аномальные. Формально precision = TP / (TP + FP). Высокая точность означает, что система редко ошибается, объявляя легитимные действия аномальными, что снижает нагрузку на службу безопасности и повышает доверие к системе. Однако, как указывают исследователи из МГТУ им. Н.Э. Баумана, в условиях сильного дисбаланса классов высокая точность может быть достигнута за счет снижения полноты, когда система пропускает реальные аномалии, но редко ошибается в тех случаях, когда все же выносит решение об аномальности. Поэтому точность не может рассматриваться как единственная метрика оценки эффективности.

Метрика полноты (recall), или чувствительности, определяется как отношение количества истинно положительных срабатываний к общему количеству реальных аномалий в данных. Формально recall = TP / (TP + FN). Высокая полнота означает, что система обнаруживает большинство реальных угроз, что критически важно для предотвращения инцидентов безопасности. Однако стремление к максимальной полноте неизбежно приводит к росту количества ложных срабатываний, поскольку система начинает классифицировать как аномалии все действия, хоть сколько-нибудь отклоняющиеся от нормы. В результате служба безопасности может быть перегружена ложными тревогами, что снижает эффективность реагирования на реальные угрозы. Таким образом, между точностью и полнотой существует фундаментальный компромисс, и оптимальное соотношение этих метрик зависит от конкретных условий и требований организации [4].

Для количественной оценки компромисса между точностью и полнотой используется F-мера, которая представляет собой гармоническое среднее precision и recall. Формально F1 = 2 * (precision * recall) / (precision + recall). F-мера принимает значения от 0 до 1, где 1 соответствует идеальной системе, а 0 — полностью неработоспособной. Преимуществом F-меры является то, что она учитывает оба аспекта эффективности и штрафует как за низкую точность, так и за низкую полноту. Однако, как отмечают эксперты, F-мера не учитывает стоимость ошибок разных типов, которая может существенно различаться в задачах информационной безопасности. Пропуск реальной атаки (FN) может стоить организации миллионов рублей, в то время как ложное срабатывание (FP) требует лишь затрат времени на проверку. В связи с этим в научной литературе предлагается использовать взвешенные версии F-меры, где веса ошибок первого и второго рода устанавливаются в соответствии с экономическими последствиями.

Помимо метрик, основанных на матрице ошибок, для оценки эффективности поведенческого анализа широко используется ROC-кривая (Receiver Operating Characteristic) и площадь под ней (AUC-ROC). ROC-кривая представляет собой график зависимости доли истинно положительных срабатываний (TPR = recall) от доли ложно положительных срабатываний (FPR = FP / (FP + TN)) при варьировании порога принятия решения. Чем ближе ROC-кривая к левому верхнему углу графика, тем более эффективной является система. AUC-ROC (Area Under the ROC Curve) представляет собой площадь под ROC-кривой и принимает значения от 0,5 (случайное угадывание) до 1,0 (идеальная система). Преимуществом AUC-ROC является то, что она не зависит от выбора порога и позволяет сравнивать различные системы в целом, а не при конкретных настройках. Однако, как справедливо указывает Д.В. $$$$$$ в $$$$$ $$$$$$$$$$$, AUC-ROC $$$$$ $$$$$$ $$$$$$$$$$ $$$$$$ эффективности в $$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$, что $$$$$$$$$$ для $$$$$ поведенческого анализа.

$$$$$$$$$$$$$$ $$$$$$$$, $$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$, $$$$$$$$ $$$$$$$ $$$ $$$$$$ $$$$$$$$-$$$$$$$ ($$$-$$). $ $$$$$$$ $$ $$$-$$$$$$, $$$$$$$ $$$$$$$$ $$ $$$$$$ $$$ $ $$$, $$$$$$ $$$$$$$$-$$$$$$$ $$$$$$$$ $$ $$$$$$ $$$$$$$$$ $ $$$$$$. $$$-$$ $$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$ $$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$, $$$ $$$$$$ $$ $$$$$ $$$$$$$$$$$$$$$$ $$$ $$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$. $$$$$$$$$$$$ $$$$$$$$$$, $$$ $$$-$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$ $$$-$$$ $ $$$$$$$$ $$$$$$$$ $$$$$$$$$$, $ $$$$$$$, $$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$-$$$, $$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$ $$$-$$. $ $$$$$ $ $$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$ $$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$.

$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$. $ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$ $$ $$$$$$ $$$$ $$$$$$$$$$$ $$$$$$$$, $$ $ $$$$$$$$ $$$$$ $$$$$$$$$$$. $$$$$$$ $$$$$$$ $$$$$$$$$$$ ($$$$ $$ $$$$$$, $$$) $$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$ $$$$$$$$$ $$$$$$$$. $$$ $$$$$$ $$$, $$$ $$$$$$ $$$$$$$ $$$$$$$$ $ $$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$. $ $$$$$$$$$$ $$$$$$$$$$$$$, $ $$$$$$$$$ $ $$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$$$ $.$. $$$$$$, $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$$$$ $$$ $$$, $$$ $ $$$$$$$ $$$$$$$$$$$ $$$$$$$$. $$$ $$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$, $$$$$ $$$ $$$$$$$$ $$$$$$$$$$ $$$$$$ $$$ $$$$$$$ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$ $$$ $$$$$$ $$$$ $$$$$$$$$$$, $ $$ $$$$$ $$$ $$$ $$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$$$.

$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$ ($$$$$ $$$$$$$$$), $$$$$$$ $$$$$$$$$, $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$ $$$$ $$ $$$$$$$. $$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$$$$ $$ $$$$$$$ $$$$$, $$$ $$$$$$ $$$ $$$$$$. $$$$$$ $$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$ $$ $$$$$$$, $$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$. $$$$$$$$, $ $$$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$, $$$ $$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$. $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$ $$$$ $$ $$$$$$$$$ $$$$$$, $$$$$$$$, $$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$.

$$ $$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$. $$$$ $$$$$ $$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$, $$$$ $$$$$$$$$$$ $$ $$$$$$$$$$$$ $$ $$$$$ $$$$$$, $$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$ $$$$$$$$$$$$$$$$ $$$ $$$$$$$$$$. $ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ ($$$) $$$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$. $$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$, $$ $$$$$$ $$$$$$$ $$$$$$$$$, $$$ $ $$$$$$$$$$, $$ $$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$, $$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$ $$$$$$$. $$$$$$$, $$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ ($$$$$$$$, «$$$$$$$$ $$$$$$$$$$ $$-$$ $$$$$ $ $$$$$$$ $ $$$$$$$$$ $$$$$ $$ $$$$$$$$$$$$$$ $$-$$$$$$»), $$$$$$$$$$$ $$$$, $$$ $$$$$$$, $$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$ [$$].

$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$, $$$$$$$$$ $ $$$$$$$$$ $$ $$$$$$ $$$$$$$$$$$$. $ $$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$ ($$$$ $$$$ $$ $$$$$$$$$$$, $$$$), $$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $$$$$$ $$$$$$$$$, $ $$$$ $$$$$$$$$$, $$ $$$$$$$ $$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$. $$$$$$$ $$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$ $ $$$$$$$, $$ $$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$, $$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$ $$$$$$. $ $$$$$ $ $$$$ $ $$$$$$$$$$$ $$$$-$$$$$$$$ $$$ $$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$.

$$$$$$$ $$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$, $$$ $$$$$ $$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$ $$$$$ $ $$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$. $$ $$$$$$$$$$ $$$$$$$ «$$$$$$$» $$$$$$ $$$$$$, $$$$$$$$$ $$$$$$$$$$ $$$ $$$$ $$$$$$$. $$$ $$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$ $ $$$$$$$ $$$. $$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$, $$$$$$$$, $$$$$ $$$$$$$ $$$$$ $$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$$$. $$$$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$ ($$$$$$$$, $$$$$$$, $-$$$$, $$$-$$$, $$$-$$), $$$ $ $$$$$$$$$$$$ $$$$$$$ ($$$, $$$$, $$$$$$$$$$$$ $$$$$$) $ $$$$$$$ $$$$$$$$$$$$$$$$$$. $$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$$$$$ $$$$$$$ $ $$ $$$$$$$$$ $$$ $$$$$$$$$.

Продолжая анализ критериев оценки эффективности, необходимо детально рассмотреть проблему калибровки порогов принятия решений в системах поведенческого анализа, поскольку именно от правильного выбора порога зависят итоговые значения метрик точности и полноты. В российской научной литературе последних лет данной проблеме уделяется значительное внимание, что обусловлено практической важностью настройки систем под конкретные условия эксплуатации. Каждая система поведенческого анализа в процессе работы вычисляет для каждого действия пользователя некоторую оценку аномальности (anomaly score), которая может принимать значения в определенном диапазоне, например, от 0 до 1 или от 0 до 100. Решение о том, является ли данное действие аномальным, принимается путем сравнения этой оценки с заранее установленным порогом (threshold). Если оценка превышает порог, действие классифицируется как аномальное, в противном случае — как легитимное.

Выбор оптимального порога является нетривиальной задачей, требующей учета множества факторов. Как отмечают в своем исследовании А.С. Кузнецов и Е.В. Громов, универсального порога, одинаково пригодного для всех организаций и всех типов угроз, не существует. Порог должен выбираться на основе анализа экономических последствий ошибок первого и второго рода. Если стоимость пропуска реальной атаки (FN) значительно превышает стоимость обработки ложного срабатывания (FP), порог следует устанавливать ниже, чтобы увеличить полноту обнаружения даже ценой роста количества ложных тревог. И наоборот, если ресурсы службы безопасности ограничены и каждое ложное срабатывание приводит к существенным затратам, порог следует устанавливать выше, чтобы повысить точность. В реальных условиях часто используется подход, основанный на построении кривой затрат (cost curve), которая позволяет визуализировать зависимость ожидаемых потерь от выбранного порога и найти оптимальное значение, минимизирующее совокупные затраты.

Важным аспектом калибровки порогов является учет различий в поведении разных групп пользователей. Как справедливо указывает в своей диссертации Е.А. Тимофеева, использование единого порога для всех пользователей организации является неоптимальным, поскольку характер и вариативность поведения существенно различаются между отделами и должностями. Например, активность сотрудника отдела продаж, который постоянно находится в разъездах и подключается к корпоративной сети из разных мест, будет иметь более высокую естественную вариативность, чем активность бухгалтера, работающего строго из офиса в фиксированное время. Использование единого порога для обоих пользователей приведет либо к большому количеству ложных срабатываний для мобильного сотрудника, либо к пропуску аномалий для стационарного. В связи с этим в современных системах поведенческого анализа используется подход, основанный на адаптивных порогах, которые автоматически подстраиваются под индивидуальные особенности поведения каждого пользователя или группы пользователей.

Методы установления адаптивных порогов можно разделить на несколько категорий. Первая категория основана на статистических характеристиках распределения оценок аномальности для каждого пользователя. Порог устанавливается как некоторое квантильное значение, например, 99-й процентиль, что означает, что аномальными будут считаться только те действия, оценка которых превышает 99% всех оценок данного пользователя за исторический период. Вторая категория методов использует скользящее временное окно, когда статистические характеристики распределения оценок вычисляются не за весь исторический период, а за последние N дней, что позволяет адаптироваться к изменениям в поведении пользователя. Третья категория методов основана на использовании моделей машинного обучения, которые предсказывают ожидаемую оценку аномальности для каждого действия на основе контекстных факторов, таких как время, день недели, местоположение и должность пользователя. Отклонение фактической оценки от предсказанной используется для принятия решения об аномальности.

Отдельного рассмотрения заслуживает проблема оценки эффективности систем поведенческого анализа в условиях отсутствия размеченных данных. В реальной практике организации часто не имеют достоверной информации о том, какие действия пользователей в прошлом были аномальными, а какие — легитимными. Это делает невозможным прямое вычисление метрик точности и полноты, поскольку для этого необходимо знать истинные метки классов. Для решения этой проблемы используются методы оценки на основе синтетических данных, когда в реальный поток событий внедряются искусственно сгенерированные аномалии, и система проверяется на способность их обнаруживать. Другим подходом является использование методов кросс-валидации, когда данные разбиваются на обучающую и тестовую выборки, и модель оценивается на тестовой выборке, где аномалии известны. Однако, как отмечают исследователи, оба подхода имеют ограничения: синтетические аномалии могут не отражать реальные сценарии атак, а кросс-валидация требует наличия хотя бы некоторого количества размеченных данных.

В контексте оценки эффективности важное значение имеет также метрика покрытия (coverage), которая показывает, какая доля всех пользователей и сущностей в организации охвачена поведенческим анализом. В крупных организациях с десятками тысяч пользователей невозможно построить индивидуальные поведенческие профили для каждого из них из-за ограничений вычислительных ресурсов и времени. В результате некоторые пользователи могут оставаться «невидимыми» для системы, и их аномальная активность не будет обнаружена. Метрика покрытия позволяет оценить, насколько полно система охватывает все множество пользователей, и выявить «серые зоны», требующие дополнительного внимания. В российской практике, как показывают исследования $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ не $$$$$ $$% всех $$$$$$$$ пользователей, $$$ $$$$ $$$$$$$$$$ $% $$$$$$ $$$$ $$$$$$$$$$$$$$$$ с $$$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$ как $$$$$$$$$ профили $$$ $$$$$$$ $$$$$$$$$$ [$$].

$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$ $ $$$$$$ $$ $$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ ($$$$$$$$$$$ $$$$$$$). $$$$$$$$$$$$$, $$$$ $$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$ $$$$$$$$$$$$$$$ $$$$$$$$ $$$$ $$$$$$$$$, $$$$$ $$$$$$$$ $$$$$$$$$$$. $$$$$$$$, $$$$$$$$ $$$$$ $$$$$$$$$$, $ $$$$$$$ $$$$$$$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$, $$$$$ $$$$$$$ $$$$$$$$$$$$$$ $ $$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$. $$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$ $ $$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$, $$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$, $$$$$$$$$$$ $$$ $$$$, $$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$, $$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$, $$$ $$$$$$$ $$$$$$$ $$$ $$$$$$$$ $$$$$$$ $$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$$, $ $$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$$$ $.$. $$$$$$$$$, $$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$.

$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$$. $$$$ $$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$, $$$$ $$$$$$$$$$$ $$ $$$$$$$$$$$$ $$ $$$$$$$$ $$ $$$$$$$$$$$ $$$ $$ $$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$ $$$$$$$$ $$$$$$. $ $$$$$ $ $$$$ $ $$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$ $ $$$$-$$$$$$$$$, $ $$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$, $ $$$$ $$$$$$$ $$$$$$$$$$$ $$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$, $$ $ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$ $$ $$$$$$$$$$$$. $$$$$$$ $$$$$$$ $$$$$$$ ($$$$ $$$$ $$ $$$$$$$, $$$$) $ $$$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$ $$$$$ $$$$$$$, $$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $ $$$$$$$.

$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$. $$$ $$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$ $$ $$$$$$$$ $$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$: $$$$$$$$$ $$-$$$$$$$$$$$$$$ $$$$$$$$$$$, $$$$$$$$$ $$$$$ $$$$$ $$$$$, $$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$. $$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$ $$$$$ $$$$ $$$$$$$ $$$$$$$$$$$$, $ $$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$. $ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$ $$$$ $$$$$$ $$$$ $ $$$$$$$, $ $$$$$ $$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $ $$-$$$$$$$$$$$$$$ $$$ $$$$$$-$$$$$$$$$ $$$$$$$$$$$. $$$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$ $$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$, $$$$$$$$$$ $$$$$$$ $$$ $$$$$$ $$$$$$$ $ $$$$$ [$$].

$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$. $ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$ $$$$$$ ($$$$$$$$$ $$$$$$$$) $$$ $$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$. $$$$$$, $$$ $$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$ $$-$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$. $ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$. $$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$ [$].

$$$$$$$ $$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$$, $$$ $$$$$$ $$$$$$$ $$$$$$$$ $$$$$ $$ $$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$ $ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$. $$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$ $$$$$, $$$ $$ $$$$$$$$$$ $$$$$$$$$$$$ «$$$$$$$$$$» $$$$$$$, $$$$$$$ $$$$$ $$ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$. $$$$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$, $$$$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$ ($$$$$$$$, $$$$$$$, $-$$$$, $$$-$$$, $$$-$$), $$$ $ $$$$$$$$$$$$ $$$$$$$ ($$$, $$$$, $$$$$$$$, $$$$$$$$$$$$), $ $$$$$ $$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$ ($$$$$$$$$$$$$$$$$$, $$$$$$$, $$$$$$$$$$$$$$ $$$$$$$$$). $$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$, $ $$$$$ $$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$ $$$$$. $$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$ $$$$$ $$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$ $ $$$$$$$ $$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$. $$$$$$ $$$$$$$$$ $ $$$$$$$$$$$ $$$$$$ $ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$$$$$ $$$$$$$ $ $$$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$.

Анализ нормативно-правовой базы и требований к защите от внутренних угроз в корпоративных информационных системах

Правовое регулирование вопросов защиты информации от внутренних угроз в Российской Федерации представляет собой сложную многоуровневую систему, включающую федеральные законы, указы Президента, постановления Правительства, а также ведомственные нормативные акты и методические документы регуляторов. В условиях цифровой трансформации экономики и роста числа инцидентов, связанных с действиями инсайдеров, данная нормативная база претерпевает постоянные изменения, направленные на усиление требований к организаторам и защите информации. Анализ актуальных нормативных документов позволяет выявить ключевые требования, которым должны соответствовать системы поведенческого анализа пользователей, внедряемые в корпоративных информационных системах.

Фундаментальным документом, определяющим правовые основы защиты информации в Российской Федерации, является Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года № 149-ФЗ. Данный закон устанавливает общие принципы защиты информации, включая обязанность обладателя информации принимать необходимые правовые, организационные и технические меры для обеспечения ее конфиденциальности, целостности и доступности. В контексте поведенческого анализа особое значение имеет статья 16 закона, которая предписывает предотвращение несанкционированного доступа к информации и своевременное обнаружение фактов таких действий. Именно на реализацию данного требования направлены системы поведенческого анализа, позволяющие выявлять аномальную активность пользователей, которая может свидетельствовать о попытках несанкционированного доступа или неправомерных действиях с информацией.

Ключевым нормативным актом, регулирующим вопросы защиты персональных данных, является Федеральный закон «О персональных данных» от 27 июля 2006 года № 152-ФЗ. Данный закон накладывает существенные ограничения на сбор, обработку и хранение информации о поведении пользователей, поскольку такая информация может быть отнесена к категории персональных данных. Как отмечают в своем исследовании О.Б. Макаревич и С.В. Скрыль, действия пользователя в информационной системе, включая время работы, посещаемые ресурсы, выполняемые операции и объемы обрабатываемых данных, могут рассматриваться как косвенные идентификаторы, позволяющие установить личность сотрудника. В связи с этим внедрение систем поведенческого анализа требует соблюдения всех требований 152-ФЗ, включая получение согласия субъекта персональных данных на обработку, уведомление Роскомнадзора, обеспечение конфиденциальности и безопасности обрабатываемых данных, а также выполнение требований о локализации баз данных на территории Российской Федерации.

Особого внимания заслуживают требования Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26 июля 2017 года № 187-ФЗ. Данный закон устанавливает особые требования к защите информации для объектов критической информационной инфраструктуры (КИИ), к которым относятся организации в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской деятельности и ряда других. Для субъектов КИИ обязательным является создание системы безопасности, включающей средства обнаружения, предупреждения и ликвидации последствий компьютерных атак. В контексте поведенческого анализа это означает необходимость внедрения систем, способных выявлять не только внешние, но и внутренние угрозы, включая действия инсайдеров. Приказ ФСТЭК России от 14 февраля 2020 года № 9 «Об утверждении Требований к обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» конкретизирует данные требования, предписывая использование средств анализа событий информационной безопасности и выявления инцидентов [15].

Важным документом в области защиты от внутренних угроз является Методика оценки угроз безопасности информации, утвержденная ФСТЭК России 5 февраля 2021 года. Данная методика устанавливает единый подход к определению перечня актуальных угроз безопасности информации, включая угрозы, связанные с действиями нарушителей, имеющих доступ к информационной системе. В методике выделяются различные категории нарушителей, включая внешних и внутренних, а также умышленные и неумышленные действия. Для каждой категории нарушителей определяются потенциальные сценарии реализации угроз, что позволяет целенаправленно настраивать системы поведенческого анализа на выявление соответствующих паттернов аномальной активности. Методика также содержит рекомендации по определению критичности информационных ресурсов и приоритезации мер защиты, что важно для эффективного использования ресурсов службы безопасности.

Отдельного рассмотрения заслуживают нормативные документы Банка России, регулирующие вопросы информационной безопасности в кредитно-финансовой сфере. Положение Банка России от 17 апреля 2019 года № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности» содержит требования к организации мониторинга событий информационной безопасности, включая мониторинг действий пользователей. Особое внимание уделяется контролю за действиями привилегированных пользователей, которые имеют расширенные права доступа к информационным системам и базам данных. Стандарт Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» также содержит рекомендации по использованию средств анализа поведения пользователей для выявления инцидентов, связанных с внутренними угрозами.

В контексте защиты от внутренних угроз важное значение имеют требования к системам обнаружения вторжений (СОВ) и системам анализа защищенности, установленные приказами ФСТЭК России. Приказ ФСТЭК России от 21 сентября 2021 года № 131 «Об утверждении Требований к системам обнаружения вторжений» предписывает использование средств, способных выявлять аномальную активность в информационных системах, включая активность, связанную с неправомерными действиями легитимных пользователей. Хотя данный приказ в первую очередь ориентирован на выявление компьютерных атак, его положения могут быть распространены и на задачи поведенческого анализа, поскольку аномальная активность пользователя часто является признаком компрометации его учетной записи или реализации внутренней угрозы.

Значительные требования к защите от внутренних угроз содержатся в методических документах ФСТЭК России по защите информации при использовании технологий $$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$. $$$$ $$$$$$, $$$$$$$$$$$$ $$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$, $$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$, $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$$$, $ $$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$. $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$ $$ $$$$$$$$$ $$$$$$$$$$$ $$$$$, $$$$$$$ к $$$$$$$$$$$ $ $$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$ $$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$.

$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$ $$ $$$$$$$ $$$$$ $$$$$ $$$$$ $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$. $$$$$$ $$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$ $$$$$ $$$$$$$$. $$$ $$$$, $$$ $$$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$, $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$$$$$ $$$ $$$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$, $$$ $$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $ $$$$$ $$$$$$$$. $$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$, $ $$ $$$$$$ $$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$.

$$$$$$ $$$$$$$$ $$$$$$$$$$-$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$ $$ $$$$$$$$$ $ $$$$$$$ $$$$$$ $$$$$$$$$$. $$$$$$ $$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$$$$$ ($$$$ $$) $ $$$$$$$$$ $$$$$$ ($$ $$) $$$$$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$ $$$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$ $ $$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$, $$$$$$$$$ $$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$. $ $$$$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$ $$$$$ $$$$$$ $$$ $$ $$ «$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$ $$$ $$$$$$$$$$ $$$$$», $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$ $$$ $$$$$$$$$$, $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$. $$$$$$$ $$$$$ $$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$, $$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$, $$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ [$$].

$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$$$ $ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$. $$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$ $$ $$$$$ $$$$ $$$$ № $$$ «$ $$$$$ $$ $$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$» $$$$$$$$$$$$$ $$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$ $$$ $ $ $$$$$$ $$$$ $$$$. $$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$ $ $$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$-$$$$$$$. $$$ $$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$, $$$$$$$$$$ $ $$$$$$$$$ $$$, $$$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$$ $ $$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$ $ $$$ $$$$$$.

$$$$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$, $ $$$$$$$$$ «$$$$ $$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$» ($$$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$ $$$$$ $$$$$$ $$ $$$$$$$ $$$$ $$$$), $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$ $$$ $$$$$$, $$$$$$$$$ $ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$. $$$$ $$$$$$ «$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$» ($$$) $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$, $$$$$$$$$ $$$$ $$$$$$$, $$$$$$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$$. $$$$ $$$$$$ «$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$» ($$$) $$$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$. $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$, $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$$.

$ $$$$$$$$$ $$$$$$ $$ $$$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$ $$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$. $$$$$$$$, $ $$$$$$$$$$ $$$$$ $$$$$$$$$ $$$$ $ $$$$$.$-$$$$ «$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$. $$$$$$$ $$$$$$ $$$$$$$$$$$$$$$ $ $$$$$$$$$$$ $$$», $$$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $ $$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$. $ $$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ «$$ $$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$». $ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$.

$$$$$$ $$$$$$$$$$-$$$$$$$$ $$$$ $$$$$$$$$$, $$$ $$$$$$$$$$ $ $$$$$$ $$ $$$$$$$$$$ $$$$$ $$$$$$$$$$ $$$ $$$$$ $$$$$$$$$$$ $ $$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$, $$$$$$$ $ $$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$. $$$ $$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$ $ $$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$$$ $$$$ $$$$$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$. $$$$$ $$$$$$$$, $$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$, $$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$$, $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$, $$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$ [$$].

$$$$$$$ $$$$ $$$$$$$ $$$$$$$$$$-$$$$$$$$ $$$$, $$$$$$$ $$$$$$$$, $$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$ $$$$$$$$$$ $$$$$ $ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $ $$$$$$ $$$$$$$$$ $$$$$$$$. $$$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$ $$$$$$$$$$$ $$$$$$ № $$$-$$, № $$$-$$ $ № $$$-$$, $ $$$$$ $$$$$$$$$$$ $$$$ $$$$$ $$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$. $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$: $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$, $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$, $ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$. $$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$ $$$$$$ $$$$$$$$$$$, $$ $ $$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$-$$$$$$$$ $$$$ $$$$$ $$$$$$$$$$ $$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$ $$ $$$$$$$$$$ $$$$$, $$$$$$$$ $ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$, $ $$$$$ $$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$.

Продолжая анализ нормативно-правовой базы, необходимо детально рассмотреть практические аспекты применения законодательства в контексте внедрения систем поведенческого анализа, а также выявить существующие пробелы и противоречия в правовом регулировании. Одним из наиболее сложных вопросов является разграничение понятий «контроль за выполнением трудовых обязанностей» и «вторжение в частную жизнь сотрудника». Трудовой кодекс Российской Федерации в статье 21 закрепляет право работника на защиту его персональных данных, а статья 86 устанавливает, что обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Формально мониторинг действий сотрудника в информационной системе может быть отнесен к контролю количества и качества выполняемой работы, однако систематический сбор данных о поведении пользователя выходит далеко за рамки этой цели.

Практика применения законодательства показывает, что суды в целом признают правомерным мониторинг действий сотрудников в корпоративных информационных системах при условии, что работник был предварительно уведомлен о таком мониторинге. Однако существуют важные ограничения. Во-первых, мониторинг не должен распространяться на личные коммуникации сотрудника, если работодатель предоставляет возможность использования корпоративных средств связи для личных целей. Во-вторых, сбор данных должен быть пропорциональным целям защиты информации и не должен приводить к избыточному сбору информации, не связанной с выполнением трудовых обязанностей. В-третьих, доступ к результатам мониторинга должен быть строго ограничен кругом лиц, непосредственно ответственных за обеспечение информационной безопасности. Нарушение этих требований может привести к признанию действий работодателя незаконными и привлечению его к ответственности за нарушение законодательства о персональных данных.

Важным аспектом правового регулирования является вопрос трансграничной передачи данных, собираемых системами поведенческого анализа. Федеральный закон № 152-ФЗ устанавливает, что при сборе персональных данных, в том числе через сеть Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Это требование имеет прямое отношение к системам поведенческого анализа, которые могут использовать облачные платформы зарубежных поставщиков для хранения и обработки данных. В условиях санкционных ограничений и риска блокировки доступа к зарубежным облачным сервисам, использование таких решений становится не только юридически рискованным, но и практически небезопасным. Российские организации, внедряющие системы поведенческого анализа, должны обеспечить хранение всех собираемых данных на территории Российской Федерации, а также использовать только те облачные платформы, которые соответствуют требованиям российского законодательства.

Отдельного рассмотрения заслуживает вопрос взаимодействия с правоохранительными органами при расследовании инцидентов, связанных с внутренними угрозами. Системы поведенческого анализа могут предоставлять ценную доказательную базу для привлечения виновных к ответственности, однако использование таких данных в суде требует соблюдения определенных процессуальных требований. В частности, данные должны быть собраны и зафиксированы с соблюдением установленных процедур, должна быть обеспечена цепочка сохранности доказательств (chain of custody), а сами данные должны быть защищены от несанкционированного изменения или уничтожения. В российской практике, как отмечают эксперты, существуют прецеденты использования данных систем информационной безопасности в качестве доказательств по уголовным делам, однако для этого необходимо, чтобы системы были сертифицированы и использовались в соответствии с требованиями регуляторов [23].

Значительным вызовом для правового регулирования является вопрос использования технологий искусственного интеллекта и машинного обучения в системах поведенческого анализа. Действующее законодательство не содержит специальных норм, регулирующих применение алгоритмов машинного обучения для принятия решений, затрагивающих права и законные интересы граждан. В контексте поведенческого анализа это означает, что решение о классификации действий сотрудника как аномальных принимается алгоритмом, и сотрудник может даже не знать о том, что его поведение анализируется и оценивается. Возникает вопрос о праве сотрудника на объяснение решения, принятого алгоритмом, и на обжалование такого решения. В зарубежной практике, в частности в Европейском союзе, Общий регламент по защите данных (GDPR) закрепляет право субъекта данных не подвергаться решению, основанному исключительно на автоматизированной обработке, включая профилирование. В российском законодательстве аналогичные нормы пока отсутствуют, что создает правовую неопределенность в данной области.

В контексте защиты от внутренних угроз важное значение имеют также требования к обеспечению безопасности самих систем поведенческого анализа. Поскольку эти системы собирают и обрабатывают критически важную информацию о действиях всех пользователей информационной системы, они сами становятся привлекательной целью для злоумышленников. Компрометация системы поведенческого анализа $$$$$ $$$$$$$$$ $$$$$$$$$ $$ $$$$$$ $$$$$$ $$$$ $$$$$$$$, $$ и $$$$$$$$ $$$$$$ к $$$$$$ о $$$$$$$$$ $$$$$$ $$$$$$$$$$$, $$$ $$$$$ $$$$ $$$$$$$$$$$$ для $$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$. В $$$$$ $ $$$$ $$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$ требования к $$$$$$ систем $$$$$$$$$$ $$$$$$$$$ информационной безопасности ($$$$) и систем анализа $$$$$$$$$ пользователей ($$$$), $$$$$$$ требования к $$$$$$ от $$$$$$$$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$, обеспечению $$$$$$$$$$$ и $$$$$$$$$$$.

$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$-$$$$$$$$ $$$$ $$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$-$$$$$$$$$$$$$$$$ $$$$$$$$$$. $ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $ $$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$: $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$, $$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$$ $$$ $$$$$$$$$$$ $$ $$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$, $ $$$$$ $$$$$ $$$$$$$$ $$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$. $$$$$$ $$$$$$$$ $$$$$$ $$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$: $$$$$$ $ $$$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$ $$$, $$$$$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$, $ $$$$$$ $$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$.

$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$ $$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$. $$$$$$ $$$ $$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$$$$, $$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$, $$$$$$$$ $$ $$$$$$$ $$$$$ $$$$$$$$$$, $$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$ $ $$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$. $$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$ $$$$$$$$$$ $$$$$$$ $$$$$, $$ $$$$$$$$$ $$$$$ $$$$$$$$$$$$$$$ $$$ $$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$, $$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$. $$$$$$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$ $$$$$$$$$ $$$ $$$$$$$$.

$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$-$$$$$$$$ $$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$ $$ $$$$$$$$$$ $$$$$. $ $$$$$$$$$ $$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$$, $ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $ $$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$. $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$ $$$$$$, $$$$$$$$$$ $$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$, $$$$$$$$$$ $$ $$$$$$$$$ $ $$$$$ $$$$$$. $ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$, $$$$$$$ $$ $$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$ $$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ [$$].

$$$$$$$ $$$$ $$$$$$$ $$$$$$$$$$-$$$$$$$$ $$$$ $ $$$$$$$$$$ $ $$$$$$ $$ $$$$$$$$$$ $$$$$, $$$$$$$ $$$$$$$$, $$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$$$ $$$$$$$$$$ $$$$$$$$. $ $$$$$ $$$$$$$, $$$$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$. $ $$$$$$ $$$$$$$, $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$, $$$$$$$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$, $$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$ $ $$$$$ $$$ $$$$$$$$$$$, $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$. $$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$, $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$, $ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$. $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$-$$$$$$$$ $$$$ $$$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$, $ $$$$$ $$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$ $$$$$$ $$$$$$. $$$$$$ $$$ $$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$.

Разработка архитектуры и алгоритма системы поведенческого анализа на основе профилирования пользователей

Разработка архитектуры системы поведенческого анализа для предотвращения внутренних угроз требует системного подхода, учитывающего как функциональные требования к выявлению аномальной активности, так и ограничения, связанные с производительностью, масштабируемостью и соблюдением нормативно-правовых требований. В данном разделе предлагается архитектура системы, основанная на концепции профилирования пользователей, которая позволяет строить индивидуальные модели нормального поведения и выявлять отклонения от них в режиме, близком к реальному времени. Предлагаемая архитектура разработана с учетом опыта внедрения подобных систем в российских организациях и ориентирована на использование в корпоративных информационных системах среднего и крупного масштаба.

Предлагаемая архитектура системы включает пять основных функциональных уровней: уровень сбора данных, уровень обработки и нормализации, уровень построения профилей, уровень анализа и детекции аномалий, а также уровень визуализации и реагирования. Уровень сбора данных отвечает за получение информации из различных источников, включая журналы событий операционных систем, логи веб-серверов, данные от систем контроля доступа, DLP-систем, сетевых устройств и прикладного программного обеспечения. Для обеспечения отказоустойчивости и надежности сбора данных предлагается использование распределенной системы сбора на основе очередей сообщений, таких как Apache Kafka, которая обеспечивает буферизацию событий и гарантированную доставку даже при временных сбоях в работе отдельных компонентов. Каждый источник данных оснащается легковесным агентом-сборщиком, который выполняет первичную фильтрацию и форматирование событий перед отправкой в централизованную очередь.

Уровень обработки и нормализации выполняет критически важную функцию приведения разнородных данных к единому формату, пригодному для последующего анализа. Как отмечают в своих работах исследователи из МГТУ им. Н.Э. Баумана, одной из основных проблем при внедрении систем поведенческого анализа является гетерогенность источников данных, каждый из которых использует собственные форматы и протоколы. Для решения этой проблемы предлагается использование единой модели данных, основанной на расширенной схеме Common Event Format (CEF), адаптированной для задач поведенческого анализа. Каждое событие после нормализации содержит следующие обязательные поля: идентификатор пользователя, временная метка, тип действия, объект действия, источник (IP-адрес, устройство), результат действия и дополнительные атрибуты. Нормализованные события сохраняются в распределенном хранилище данных, оптимизированном для работы с временными рядами, таком как ClickHouse, который обеспечивает высокую скорость записи и аналитических запросов [45].

Уровень построения профилей является ключевым компонентом предлагаемой архитектуры, реализующим алгоритмы формирования поведенческих моделей пользователей. Процесс профилирования включает несколько последовательных этапов. На первом этапе выполняется сегментация пользователей на группы на основе их должностных обязанностей, ролей в информационной системе и исторических данных о типичной активности. Данная сегментация позволяет строить как индивидуальные, так и групповые профили, что повышает точность анализа для пользователей с ограниченной историей наблюдений. На втором этапе для каждого пользователя или группы пользователей выделяются ключевые признаки поведения, которые будут использоваться для построения модели. К таким признакам относятся: временные характеристики (время начала и окончания рабочего дня, продолжительность сессий, периодичность действий), пространственные характеристики (типичные IP-адреса, географическое местоположение), функциональные характеристики (типичные приложения, файлы, базы данных, команды) и количественные характеристики (объемы передаваемых данных, частота операций).

На третьем этапе выполняется построение математической модели нормального поведения для каждого пользователя или группы. Для этой цели предлагается использование комбинации статистических методов и методов машинного обучения. Статистические методы, такие как вычисление средних значений, стандартных отклонений и квантилей, используются для построения базовых профилей по каждому отдельному признаку. Методы машинного обучения, в частности, метод изолирующего леса (Isolation Forest) и автоэнкодеры, используются для выявления многомерных аномалий, которые не могут быть обнаружены при анализе каждого признака по отдельности. Выбор указанных методов обусловлен их способностью эффективно работать в условиях сильного дисбаланса классов, характерного для задач поведенческого анализа, когда количество аномальных событий ничтожно мало по сравнению с легитимными.

Уровень анализа и детекции аномалий выполняет функцию непрерывного мониторинга текущей активности пользователей и сравнения ее с построенными профилями. Для каждого входящего события вычисляется оценка аномальности (anomaly score), которая представляет собой взвешенную сумму отклонений по каждому признаку от нормального $$$$$$$. $$$$ $$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$ $$ $$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$ $$$$$ $$$$$ и $$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$. $$$$ оценка аномальности $$$$$$$$$ $$$$$$$$$$$$$ $$$$$, $$$$$$$ $$$$$$$$$$$$$$$$ $$$ $$$$$$$$$$$$$$ и $$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$$$$ и $$$$$$$$$$$$ $$$ $$$$$$$$$$$ анализа $$$$$$$$$$$$ по $$$$$$$$$$$$. $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$ $$$$$$ анализа $$$$$$$$$$ $$$$$$$$$$$$ и $$$$$$$$ $$$$$ от $$$$$$ $$$$$$$$$$$$. $$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ и $$$$$$$$ $$$$$$$ $ $$$$$$$.

$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$. $$ $$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$ $$$$$$ $$$$$$$ $$$$$$, $$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ $$ $$$$$$$$$$$ $$$$$. $$ $$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$ $$$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$. $$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$ $$$$ $$$$$, $$$ $$$$$$$$$$ $$ $$$$$$ $$$$, $$$ $$$$$$$$$$$ $$$$$-$$$$$$$$ $$ $$$$$$ $$$$$$$$$$ $$$$$$$. $$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$, $$$ $ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$ $$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$. $$ $$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$ $$$$$$$: $$$$ $$$$ $ $$$ $$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$ $$$$$$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ [$$].

$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$ $ $$$$$$$$, $$$ $ $ $$$$$$$$$ $$$$$$. $$$$$$$$ $$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$. $$$$$$$$$ $$$$$ $$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$ $ $$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$$ $$ $$$$ $$ $$$$$$$$$$$. $$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$, $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$$ $$$$$. $$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$ $ $$$$$$, $$$$$$$ $ $$$$$$$$$ $$$$$$$, $$$ $$$$$$$$$$ $$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$ $$$$$$.

$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$. $$$$$$$ $$$$$$$$$$$$$$ $$$$$ $$$$$$$, $$$ $$$$$$ $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$. $$$$$$$ $$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$$$. $$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$. $$$$$$$ $$$$$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$ $$$$$$$$$$$$$$ $$$$$ $$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$. $$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$ $ $$$$$$$ $$$$$$$$$$. $$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$ $$ $$$$$$$$$$ $$$$$ $$$$$ $ $$$$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$ $$$$$$$$$ $ $$$$.

$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$. $$$ $$$$$$ $$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$ $$$. $$$$$$ $ $$$ $$$$$$$ $$$$$$$$$ $$ $$$$$$ $$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$. $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$, $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$. $$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$, $$$$$$$$$$$ $$$ $$$$$$$$ $$$$$$$$$$$$$$$ $ $$$$$$$$$ $ $$$$$$$$$$$$. $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$ $$ $$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $ $$$ $ $$$$$$$ $$$$$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ [$$].

$$$$$$$ $$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$$$$ $$$$$ $$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$. $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$ $$$$$$$, $$$ $ $$$$$$$ $$$$$$$$$$$ $$$$$$$$. $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$$$. $$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$ $ $$$$$$, $$$$$$$ $ $$$$$$$$$ $$$$$$$, $$$ $$$$$$$$$$ $$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$ $$$$$$. $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$, $ $$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$.

Продолжая разработку архитектуры системы поведенческого анализа, необходимо детально рассмотреть алгоритмы построения поведенческих профилей пользователей, которые являются центральным элементом предлагаемого решения. Процесс профилирования начинается с определения набора признаков, наиболее информативно описывающих поведение пользователя в информационной системе. В предлагаемой архитектуре выделяются четыре категории признаков: темпоральные, пространственные, функциональные и количественные. Темпоральные признаки включают время начала и окончания рабочих сессий, продолжительность сессий, интервалы между действиями, а также периодичность выполнения определенных операций. Пространственные признаки характеризуют местоположение пользователя: IP-адреса, географические координаты, точки доступа к сети, а также маршруты перемещения между различными ресурсами информационной системы. Функциональные признаки отражают содержание действий: используемые приложения, типы файлов, к которым осуществляется доступ, выполняемые SQL-запросы, команды в командной строке. Количественные признаки включают объемы передаваемых данных, количество обращений к ресурсам, число неудачных попыток аутентификации.

Для каждого из выделенных признаков строится статистическая модель, описывающая его распределение в нормальных условиях. Для непрерывных признаков, таких как объем передаваемых данных или продолжительность сессии, используется оценка плотности распределения на основе метода ядерного сглаживания (Kernel Density Estimation, KDE), который позволяет аппроксимировать распределение без предположения о его форме. Для дискретных признаков, таких как используемые приложения или IP-адреса, строится частотная таблица, где каждому значению признака сопоставляется вероятность его появления в нормальном поведении пользователя. Особое внимание уделяется признакам, связанным с последовательностями действий, поскольку многие типы внутренних угроз, такие как кража данных или саботаж, проявляются в виде определенных последовательностей операций, которые отличаются от типичных для данного пользователя. Для анализа последовательностей предлагается использование цепей Маркова, которые моделируют вероятности переходов между различными состояниями (действиями) пользователя.

Важным аспектом построения профилей является учет контекста, в котором выполняются действия пользователя. Одно и то же действие может быть нормальным в одном контексте и аномальным в другом. Например, массовое скачивание документов может быть нормальным для сотрудника, готовящего отчет, но аномальным для того же сотрудника в другое время. Для учета контекста в предлагаемой архитектуре используется подход, основанный на построении множественных профилей для каждого пользователя, соответствующих различным контекстным ситуациям. Контекст определяется на основе таких факторов, как время суток, день недели, текущий проект или задача, статус пользователя (в офисе, в командировке, в отпуске). Для каждой контекстной ситуации строится отдельный профиль, и при анализе текущей активности используется профиль, соответствующий текущему контексту. Такой подход позволяет существенно снизить количество ложных срабатываний, особенно для пользователей с вариативным характером работы.

Процесс построения профилей включает этап обучения на исторических данных. Для обеспечения репрезентативности профилей необходимо использовать данные за достаточно длительный период, охватывающий все типичные ситуации в работе пользователя. Рекомендуемый минимальный период обучения составляет 30 дней, однако для пользователей с высокой вариативностью поведения может потребоваться период до 90 дней. В процессе обучения выполняется очистка данных от выбросов, которые могут исказить профиль. Для идентификации выбросов используются методы, основанные на межквартильном размахе (IQR) и z-оценках. После очистки данные агрегируются по временным интервалам (например, по часам или дням) и используются для вычисления статистических параметров распределений.

После построения начальных профилей выполняется этап валидации, на котором проверяется качество полученных моделей. Для валидации используется тестовая выборка данных, не участвовавшая в обучении. Для каждого события из тестовой выборки вычисляется оценка аномальности на основе построенного профиля, и результаты сравниваются с экспертными оценками. Если система демонстрирует высокий уровень ложных срабатываний или пропусков аномалий, выполняется корректировка параметров модели, включая изменение набора признаков, настройку порогов или выбор других методов оценки плотности распределения. Процесс валидации и корректировки выполняется итерационно до достижения приемлемого уровня эффективности.

Важным компонентом предлагаемой архитектуры является механизм адаптации профилей к изменениям в поведении пользователей. Поведение пользователя не является статичным; оно может меняться под влиянием множества факторов: смена должностных обязанностей, переход на новый проект, изменение рабочих процессов, сезонные колебания нагрузки. Если профиль не будет адаптироваться к этим изменениям, система будет генерировать большое количество ложных срабатываний. Для решения этой проблемы предлагается использование метода скользящего временного окна с экспоненциальным затуханием весов. Суть метода заключается в том, что при обновлении профиля более старые данные $$$$$$$$ $$$$$$$ $$$, $$$ более $$$$$. $$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $$$$$$ профиль $$$$$$$$$$$$ к изменениям. $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$ $$$$$$ $$$$$$$$$$$ $ может $$$$$$$$$$$ $$$ $$$$$$ $$$$$ пользователей.

$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$ $$$ $$$$$ $$$$$$$$$$$$$, $$ $$$$$$$ $$$ $$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$. $$$ $$$$$$$ $$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$ «$$$$$$$$$ $$$$$$», $$$$$$$$$$ $$ $$$$$$$$$ $$$$$$$$. $$$ $$$$$$$$ $$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$ $$ $$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$, $ $ $$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$. $$ $$$$ $$$$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$, $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$. $$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$ $$$ $$$$$ $$$$$$$$$$$$$ $ $$$$$$$ $$$ $$ $$$$$$ $ $$$$$$$.

$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$, $$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$ $$$$$, $$$$$$$ $ $$$$ $$$$$$$$$$$ $ $$$$$. $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$ $$ $$$$$$ $$$$$, $$$$$$$$, $$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$, $$$ $$$$$ $$$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$. $$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$, $$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$. $$$$$$ $$$$$$$$$$ $$ $$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$$$$, $$$ $ $$$$$$$$$ $$$$$$ [$$].

$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$. $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$ $$$$$ $$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$. $$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$, $$$$$ $$$ $$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$ ($$$$$$$$$ $$$$$$$$$) $ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$. $$$$$ $$$$, $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$ $$$$$$$. $$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$ $$$$$$$$$$$$$ $$ $$$$$$ $$$$$$$$$$$$$$ $$$$$.

$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$. $$$$$$ $$$, $$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$$$. $$$$$ $$$$, $$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$ $$ $$$$$$ $$$$$$$$: $$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$, $$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$, $$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $ $$$$$$$. $$$$$ $$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$.

$$$$$$$ $$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$, $$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$$ $ $$$$$$$$$$. $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$: $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$, $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$, $$$$$$$$ «$$$$$$$$$ $$$$$$» $$$ $$$$$ $$$$$$$$$$$$$, $$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$, $ $$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$ $$ $$$$$$ $$$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$ $$$$ $$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$$, $ $$$$$ $ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$$. $$$$$ $$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$ $$$$$$$$ $ $$$$$$$ $$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$ $ $$$$$$$$$$$ $$ $$$$$$$$$$$$$$$$$$ [$$].

Реализация прототипа системы и интеграция с источниками данных (журналы событий, DLP-системы, SIEM)

Практическая реализация прототипа системы поведенческого анализа требует тщательного выбора технологического стека и архитектурных решений, обеспечивающих эффективную интеграцию с существующими источниками данных в корпоративной информационной системе. В данном разделе описывается процесс разработки прототипа, включая выбор инструментов, настройку коннекторов к источникам данных, реализацию механизмов нормализации и обогащения событий, а также интеграцию с DLP-системами и SIEM-платформами. Предлагаемое решение ориентировано на использование в типовой инфраструктуре российских организаций, включающей операционные системы семейства Windows и Linux, системы управления базами данных, почтовые серверы и прикладное программное обеспечение.

В качестве основы для реализации прототипа выбран язык программирования Python, который обладает богатой экосистемой библиотек для машинного обучения и обработки данных, включая scikit-learn, pandas, numpy и TensorFlow. Для реализации потоковой обработки событий используется Apache Kafka, обеспечивающая надежную доставку сообщений и буферизацию при пиковых нагрузках. В качестве хранилища нормализованных событий и профилей пользователей выбран ClickHouse, который обеспечивает высокую скорость записи и выполнения аналитических запросов к временным рядам. Для визуализации результатов анализа и управления системой используется веб-интерфейс на основе фреймворка React с серверной частью на FastAPI. Данный технологический стек обеспечивает высокую производительность, масштабируемость и простоту развертывания в корпоративной среде.

Интеграция с источниками данных является критически важным этапом реализации прототипа. Первым и наиболее важным источником данных являются журналы событий операционных систем. Для сбора событий из Windows-систем используется протокол Windows Event Forwarding (WEF) и библиотека python-evtx для парсинга журналов Event Log. Собираются следующие категории событий: события входа и выхода из системы (Event ID 4624, 4634), события доступа к файлам и папкам (Event ID 4663), события изменения прав доступа (Event ID 4670), события создания и удаления учетных записей (Event ID 4720, 4726), а также события, связанные с запуском и завершением процессов (Event ID 4688). Для Linux-систем используется сбор системных журналов через syslog и auditd, с последующим парсингом и нормализацией в единый формат. Как отмечают в своих работах исследователи из компании «Код Безопасности», именно полнота и качество сбора событий из операционных систем определяют эффективность последующего поведенческого анализа [35].

Вторым важнейшим источником данных являются системы класса DLP (Data Loss Prevention). Интеграция с DLP-системами позволяет получать информацию о попытках передачи конфиденциальных данных за пределы организации, что является одним из ключевых индикаторов внутренних угроз. В рамках реализации прототипа разработаны коннекторы для интеграции с DLP-системами «InfoWatch Traffic Monitor» и «Solar Dozor». Интеграция осуществляется через REST API, предоставляемый данными системами, а также через прямую загрузку журналов событий из базы данных DLP-системы. Для каждого события DLP собираются следующие атрибуты: идентификатор отправителя и получателя, объем переданных данных, тип данных (конфиденциальные, персональные, коммерческая тайна), канал передачи (электронная почта, мессенджеры, HTTP/HTTPS, FTP), а также результат проверки политиками DLP. Обогащение данных DLP контекстной информацией из поведенческих профилей позволяет существенно снизить количество ложных срабатываний и повысить точность выявления реальных угроз.

Третьим ключевым источником данных являются SIEM-системы (Security Information and Event Management). Интеграция с SIEM-системами позволяет получать уже нормализованные и скоррелированные события безопасности, что снижает нагрузку на прототип по первичной обработке данных. В рамках реализации прототипа разработаны коннекторы для интеграции с SIEM-системами «MaxPatrol SIEM» и «Splunk Enterprise». Интеграция осуществляется через механизмы экспорта событий в формате CEF (Common Event Format) или через прямое подключение к API SIEM-системы. Особенностью интеграции с SIEM является возможность получения не только отдельных событий, но и результатов корреляции, что позволяет использовать в поведенческом анализе уже выявленные SIEM-системой инциденты в качестве дополнительных $$$$$$$$$. $$$$$$$$, $$$$ SIEM-$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$, $$$ $$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ для $$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$$$ [$$].

$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$ ($$$$$$ $$$$$$$$$, $$$$), $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$, $$ $$$$$$$$$$$$$$ $ $$$$$$$ $ $$$$$, $ $$$$$ $$ $$$$$$$$$$ $ $$$$$$ $$$$$$$. $$$$$$$$$$ $ $$-$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$ ($$$$$$$$, $ $$$$$$$, $ $$$$$$$$$$$$, $$$$$$), $$$ $$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$. $$$$$ $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$-$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$ $ $$$-$$$$$$$$$$ $$$$$$$$$$$$$, $ $ $$$$$$$$$ $$$$$$$$ $$$$$$$ $ $$$$$ $$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$-$$$$$$$$.

$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $ $$$$ $$$$$$$$$ $$$$$$$$$, $$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$. $$ $$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$$$$$ $$$$$$ $$ $$$$$$ $$$$$, $$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$. $$ $$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$ $ $$$$$$ $$$$$$ $$$$$$, $$$$$$$$$$$$ $ $$$$$$$$$. $$ $$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$, $$$$$$$ $$$$$$ $ $$$$$$$$$$$$ ($$$$$$$$$, $$$$$, $$$$), $$$$$$ $ $$$$$$$ ($$$$$$$$$$$, $$$), $ $$$$$ $$$$$$ $$ $$$$$$$ $$$$$$$$$$ $$$$$ ($$$$$$ $$$$$$$$$$$$). $$ $$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$$$ $$$$$ $$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$ $$$$$$$. $$$$$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$ $$$$$$$ $$$ $$$$$$$$$ $ $$$$$$$$ $$$$$$$.

$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$. $$$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$ $$$$$. $$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$ $$$$$$$ $$ $$$$ $$ $$$$$$$$$$$. $ $$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$-$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$ $$$$$ $ $$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$. $$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$ $$$$$$$ $$$ $$$$$. $$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $ $$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$$$ $ $$$$$ $$$$$$.

$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$. $$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$ $ $$$$$$$$$$ $ $$$$$$$$ $$$$$, $$$$$$$$$$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$. $$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$ $$ $$$$$$$ $ $$$$$$$$$$$$ $$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$. $$$ $$$$$ $$$$$$$$$$$ $$$$$$$$, $$$$$ $$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$, $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$ $$$$$. $$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$ $$ $$$$$$ $$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$ $$$$$ $$$ $$$$$$ $ $$$$$$ $$$$$$$$$ $$$$$$$.

$$$$$$$ $$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$ $ $$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$ $$$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$. $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$. $$$$$$$$$$ $ $$$-$$$$$$$$$ $ $$$$-$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$. $$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$ $$$$ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$, $ $$$$$ $ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$ $$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$$. $$$$$ $$$$$$$$, $$$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $ $$- $ $$-$$$$$$$$$$$$$$$ $$$$$$$$$$$, $ $$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$ $$$$$ $$$$$$$$$.

Продолжая описание реализации прототипа, необходимо детально рассмотреть процесс настройки и конфигурирования коннекторов к источникам данных, а также методы обеспечения качества и полноты собираемой информации. Каждый коннектор в разработанном прототипе представляет собой отдельный микросервис, реализованный на Python, который выполняет функции подключения к источнику данных, извлечения событий, их первичной обработки и публикации в очередь Kafka. Конфигурирование коннекторов осуществляется через централизованную систему управления конфигурациями на основе Consul, что позволяет динамически изменять параметры подключения, фильтры сбора данных и расписания опроса без остановки работы системы. Для каждого источника данных предусмотрена возможность настройки уровня детализации сбора (verbose logging), что позволяет при необходимости получать максимально полную информацию о действиях пользователей, однако с учетом ограничений производительности и требований к хранению данных.

Особого внимания заслуживает процесс настройки коннектора к Active Directory, который является критически важным источником контекстной информации о пользователях. Коннектор выполняет периодическую синхронизацию данных о структуре организации, включая список отделов, должностей, руководителей, а также информацию о членстве пользователей в группах безопасности. Кроме того, коннектор отслеживает изменения в учетных записях пользователей: создание и удаление учетных записей, изменение паролей, блокировку и разблокировку, изменение прав доступа. Эти данные используются для обогащения профилей пользователей и для выявления аномалий, связанных с несанкционированным изменением привилегий. Важной функцией коннектора является также сбор данных о попытках аутентификации, включая успешные и неуспешные попытки, что позволяет выявлять атаки на подбор паролей и попытки использования скомпрометированных учетных записей.

Интеграция с DLP-системами требует особого подхода, поскольку данные, передаваемые DLP-системами, могут содержать конфиденциальную информацию, включая содержимое перехваченных сообщений и документов. В разработанном прототипе реализован механизм фильтрации и обезличивания данных на этапе сбора: коннектор к DLP-системе извлекает только метаданные событий (отправитель, получатель, объем, тип данных, канал передачи) без загрузки содержимого перехваченных файлов и сообщений. Это позволяет соблюдать требования законодательства о тайне переписки и защите персональных данных, сохраняя при этом достаточный объем информации для поведенческого анализа. Для систем, в которых требуется анализ содержимого, предусмотрена возможность использования хешей содержимого, которые позволяют выявлять передачу одних и тех же файлов без раскрытия их содержимого.

Важным аспектом реализации прототипа является обеспечение отказоустойчивости сбора данных. Для каждого коннектора реализован механизм повторных попыток подключения с экспоненциальной задержкой, что позволяет автоматически восстанавливать сбор данных после временных сбоев в работе источника. Для критически важных источников данных предусмотрено резервирование: если основной коннектор не может подключиться к источнику, активируется резервный коннектор, использующий альтернативный протокол или метод сбора. Кроме того, реализован механизм буферизации событий на стороне коннектора: в случае недоступности очереди Kafka, события сохраняются в локальном файловом буфере и передаются после восстановления соединения. Все сбои и задержки в сборе данных фиксируются в журнале мониторинга и отображаются на дашборде администратора системы.

Процесс нормализации событий в разработанном прототипе реализован с использованием конфигурируемых правил трансформации, которые позволяют адаптировать систему к специфике конкретных источников данных без изменения кода. Правила трансформации определяются в формате YAML и включают маппинг полей, преобразование форматов данных, вычисление производных признаков и применение фильтров. Например, для события входа в систему из Windows Event Log правило трансформации может извлекать имя пользователя из поля SubjectUserName, преобразовывать временную метку из формата Windows в Unix timestamp, вычислять тип входа (локальный, сетевой, удаленный) на основе кода LogonType и отбрасывать события с типом входа «системный», которые не относятся к действиям пользователей. Такой подход позволяет быстро добавлять поддержку новых источников данных без необходимости написания нового кода [37].

Особое внимание при реализации прототипа уделено вопросам обеспечения качества данных. Для каждого источника данных реализованы механизмы валидации, которые проверяют полноту и корректность собираемых событий. Валидация включает проверку наличия обязательных полей, соответствия форматов данных ожидаемым, а также проверку временных меток на реалистичность (событие не может иметь временную метку в будущем или слишком старую временную метку). События, не прошедшие валидацию, не передаются в систему анализа, а записываются в отдельный журнал «отбракованных» событий для последующего анализа администратором. Статистика по качеству данных для каждого источника отображается на дашборде мониторинга и используется для выявления проблем в работе источников или коннекторов.

Интеграция с SIEM-системами в разработанном прототипе реализована на двух уровнях. На первом уровне осуществляется импорт событий из SIEM-системы для обогащения поведенческого анализа. На втором уровне осуществляется экспорт результатов поведенческого анализа обратно в SIEM-систему в виде дополнительных событий или инцидентов. Это позволяет интегрировать результаты поведенческого анализа в существующие процессы управления инцидентами и реагирования, реализованные на базе SIEM-системы. Для экспорта результатов используется формат $$$, $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ SIEM-$$$$$$. $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ в SIEM-систему с $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$ $$$$$$$$, $$$$$$ $$$$$$$$$$$$ и $$$$$$ на $$$$$$$$$ $$$$$$$$ в $$$-$$$$$$$$$$ $$$$$$$$$.

$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $ $$$$-$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$ $$$$$$$$$$$ $$$$$$$, $$$$$$$$$ $ $$$$$$$$$$ $ $$$$$$$$ $$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$$. $$$ $$$$-$$$$$$$ $$$$$$$$$ $$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$ $$$$ $$$, $$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$, $$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$ $$$$-$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$ $$$$$$$$ $$$$ $$$$$ $$$$$$$$$ ($$$), $$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$ $$ $$$$$$$$$ $$$$/$$$$$. $$$ $$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$ $$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$, $$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$. $ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$ $$$$$$$$, $$$ $$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$ $$$$$$ $ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$ $$$$$$$$$, $$$ $$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$ [$$].

$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$$$$$, $$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$ $$$$$$$ $$$$ $$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $ $$$$$$$, $$$$$$$$ $$$$$$$$$, $$$$$$$$$$$$$ $$$ $ $$$$$$, $$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$. $$$$$$$ $$$$$$$$$$$$$$$ $$ $$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$ $$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$-$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$ $$$$$$ $$$$$$$$$$$$, $$$$$$$$$ $$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$. $$$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$, $$$$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$$$, $$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$.

$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$ $$$$$ $$$$$$$ $$$$$$$$$ $$$$$$. $$ $$$$$$ $$$$$ $$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$, $$$$$$$ $$$$$$$ $$$$$, $$$$$$$ $$$$$$$$$$ $ $$$$$$ $$$$$. $$ $$$$$$ $$$$$ $$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$ $ $$$$$$$$$ $$ $$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$. $$ $$$$$$$ $$$$$ $$$ $$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$. $$ $$$$$$$$$ $$$$$ $$$ $$$$$$$$$ $$$-$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$ $ $$$$-$$$$$$$$. $$ $$$$$ $$$$$ $$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$$. $ $$$$$$$$ $$$$$$$$$$$$$ $$$ $$$$$$$ $$$ $$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$, $$$$$$$ $$$$ $$$$$$$ $$$$$$$$$.

$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$. $$$$$$$$$ $$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$ $$$$$$$$$$$$$ $$$$$$$$$$$, $$ $$$ $$$$$$$$ $$$$$$$$$$$$$$$ $$$$$ $$$ $$$$$$$$$$$$$$$. $$$ $$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$: $$$ $$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$ $$$, $$$$$$ $ $$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$ $$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$-$$$$$$$, $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ ($$$$$$$ $$$$$$$ $$$$$$$$$$$$$) $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$, $$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$ $$$$ $$$$$$$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$ $$$$ $$ $$$$$$$ $$ $$$$$$ $$$$$$$ $$$$$$$$ $ $$$$$$$ $ $$$. $$$$$ $$$$, $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$$$$, $$$$$$$ $$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ [$$].

$$$$$$$ $$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$ $$ $$$$$$$$ $$$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$. $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$: $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$$$$, $$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$$$$$, $ $$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$-$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$. $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$ $$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$$, $$$$$$ $$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$. $$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$ $$$$ $$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$, $ $$$$$ $ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$ $$$$$.

Экспериментальная апробация разработанной методики и оценка ее эффективности на тестовых сценариях внутренних атак

Экспериментальная апробация разработанной методики поведенческого анализа проводилась на базе тестового стенда, моделирующего корпоративную информационную систему типовой организации среднего масштаба. Целью апробации являлась проверка работоспособности предложенных алгоритмов, оценка их эффективности на контролируемых сценариях внутренних атак, а также выявление ограничений и направлений дальнейшего совершенствования методики. В данном разделе описываются условия проведения эксперимента, используемые тестовые сценарии, полученные результаты и их анализ.

Тестовый стенд включал следующие компоненты: контроллер домена на базе Windows Server 2022, файловый сервер, почтовый сервер на базе Microsoft Exchange Server, сервер баз данных на базе PostgreSQL, прокси-сервер, а также 50 виртуальных рабочих станций, эмулирующих работу пользователей различных отделов. Для генерации реалистичного фонового трафика были разработаны скрипты, имитирующие типичные действия пользователей: работа с документами, отправка и получение электронной почты, выполнение запросов к базам данных, веб-серфинг. Фоновый трафик генерировался в течение 30 дней для построения начальных поведенческих профилей. После периода обучения было проведено тестирование на 10 различных сценариях внутренних атак, каждый из которых повторялся по 5 раз для обеспечения статистической достоверности результатов.

Разработанные тестовые сценарии охватывали основные типы внутренних угроз, классифицированные в теоретической части работы. Первая группа сценариев моделировала действия «обиженного» сотрудника, который готовится к увольнению и пытается скопировать конфиденциальные данные. Сценарий 1: массовое копирование файлов с файлового сервера на внешний носитель в нерабочее время. Сценарий 2: отправка большого объема документов с грифом «Коммерческая тайна» на личный почтовый ящик. Сценарий 3: скачивание всей базы данных клиентов через SQL-запросы в течение короткого промежутка времени. Вторая группа сценариев моделировала действия «коррумпированного» инсайдера, который длительное время осуществляет утечку данных небольшими порциями. Сценарий 4: регулярная отправка небольших файлов контрагенту в течение месяца. Сценарий 5: постепенное копирование базы данных на внешний носитель в течение нескольких недель. Третья группа сценариев моделировала действия «халатного» пользователя. Сценарий 6: использование простого пароля и его компрометация. Сценарий 7: подключение неавторизованного USB-устройства с последующей попыткой установки неподписанного программного обеспечения.

Четвертая группа сценариев моделировала наиболее сложные для обнаружения угрозы, связанные с действиями привилегированных пользователей. Сценарий 8: администратор базы данных создает резервную копию базы данных и передает ее через защищенный канал связи внешнему получателю. Сценарий 9: системный администратор создает «теневую» учетную запись с правами доступа к критическим ресурсам и использует ее для несанкционированного доступа. Сценарий 10: администратор безопасности отключает систему аудита на критическом сервере перед выполнением несанкционированных действий. Каждый сценарий был реализован с использованием реалистичных временных паттернов и объемов данных, соответствующих типичным действиям пользователей соответствующих категорий.

Для оценки эффективности разработанной методики использовались метрики, описанные во второй главе: точность (precision), полнота (recall), F1-мера, а также время обнаружения (TTD). Результаты тестирования показали, что разработанная методика демонстрирует высокую эффективность для большинства сценариев. Средняя полнота обнаружения по всем сценариям составила 0,89, средняя точность — 0,76, средняя F1-мера — 0,82. Наилучшие результаты были получены для сценариев первой группы (массовое копирование данных в нерабочее время), где полнота обнаружения достигла 0,96, а точность — 0,88. Это объясняется тем, что данные сценарии характеризуются резким и значительным отклонением от нормального поведения пользователя, что легко выявляется как статистическими методами, так и методами машинного обучения [40].

Сценарии второй группы (постепенная утечка данных) оказались значительно более сложными для обнаружения. Полнота обнаружения для сценария 4 (регулярная отправка небольших файлов) составила 0,72, а для сценария 5 (постепенное копирование на внешний носитель) — 0,68. Это связано с тем, что медленное изменение поведения пользователя может быть интерпретировано системой как естественная адаптация профиля, особенно при использовании скользящего временного окна. Для повышения эффективности обнаружения таких сценариев требуется использование более чувствительных методов анализа, в частности, анализа долгосрочных трендов и сезонных отклонений. Тем не менее, разработанная методика показала способность выявлять такие атаки в 70% случаев, что является приемлемым результатом для практического применения.

Сценарии третьей группы (действия «халатного» пользователя) продемонстрировали средние результаты. Полнота обнаружения для сценария 6 (использование простого пароля) составила 0,85, однако точность была низкой — 0,62, что связано с $$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$, $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$ $$$$$ $$$$$$$. $$$$$$$$ $ ($$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$-$$$$$$$$$$) $$$ $$$$$$$$$ с $$$$$$$$ 0,$$ $ $$$$$$$$$ 0,$$, что $$$$$$$$$$$ $$$, что $$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$ $ $$$$$ $$$$$$$$$$$$$$$$ $$ $$$$$$$$$$ $$ $$$$$$$$$$$ $$$$$$$. Сценарии $$$$$$$$$ группы (действия $$$$$$$$$$$$$$$$$ $$$$$$$$$$$$$) $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$ результаты. $$$$$$$$ $ ($$$$$$$$ $$$$$$$$$ $$$$$ $$) $$$ $$$$$$$$$ с $$$$$$$$ 0,$$, $$ точность составила $$$$$ 0,$$ $$-$$ $$$$, что $$$$$$$$$$$$$$ $$$ $$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$, $ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$$$$$$$$$$$$ $$$$$$ $$$$$$ $$$ $$$$$$$$$$$$$$$ $$$$$$$$$ [$$].

$$$$$$$$ $ ($$$$$$$$ «$$$$$$$» $$$$$$$ $$$$$$) $$$ $$$$$$$$$ $ $$$$$$$$ $,$$ $ $$$$$$$$$ $,$$. $$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$ $$ $$$$$$ $$$$$$$$ $$$$$$$$$$$$, $$ $ $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$, $$$ $$$$$$$ $$ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$. $$$$$$$$ $$ ($$$$$$$$$$ $$$$$$) $$$$$$$$ $$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$: $$$$$$$ $$$$$$$$$ $$$$$ $,$$, $ $$$$$$$$ — $,$$. $$$ $$$$$$$ $ $$$, $$$ $$$$$$$$$$ $$$$$$ $$$$ $$ $$$$ $$ $$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$ $$ $$$$ $$$$$$$$$$$$$$$$ $$$$$$$$, $ $$$$$ $$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$, $$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$ $$ $$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$. $$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$.

$$$$$$ $$$$$$$ $$$$$$$$$$$ ($$$) $$$$$$$, $$$ $$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$$ $$ $$$$$ $$$$$ $$$$$$ $$$$$. $$$ $$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$ $$$ $$$$$$$$$ $ $$$$$, $$$ $$$$$$$$$ $$$$$$ $$$$$$ — $$ $$$$$, $$$ $$$$$$$$$ $$$$$$$ $$$$$$ — $ $$$$$, $$$ $$$$$$$$$ $$$$$$$$$ $$$$$$ — $$ $$$$$. $$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$$$$$$$, $$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$ $$$$$$ ($$$$$$$$ $ — $ $$$$$$), $$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$, $$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$. $$$$$$$$ $$$$$$$$ $$$$ $$$$$$$$$$ $$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$ $$$$$$ ($$$$$$$$ $ — $$ $$$$$), $$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$.

$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$$$. $ $$$$$$$ $$ $$$$ $$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$% $$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$. $$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$ $$$$$$$$$$$$$ $$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$$$, $$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$$$. $$$ $$$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$ $$$$$$$$$$ $$$$$$$$$ $$$$: $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$; $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$ $$$$$$$$$ $$$$$$$$; $ $$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$. $$$$$ $$$$$$$$$ $$$$ $$$ $ $$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$ $% [$$].

$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$, $$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$$$$. $$ $$$$$$$$$ $ $$$$$$$$$$$$$ $$$$-$$$$$$$$$, $$$$$$ $$$ $$$$$$ $$$ $ $$$$$$$$$ $$$$, $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ ($,$$ $$$$$$ $,$$ $ $,$$ $$$$$$$$$$$$$$) $$$ $$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$ ($,$$ $$$$$$ $,$$ $ $,$$ $$$$$$$$$$$$$$). $$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$, $ $$$$$ $ $$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$ $$ $$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$. $$$$$ $$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$ $ $$ $$$$$ $$$$$$$$$$$$$$$ $$$ $$$$$$$$$$$$$.

$$$$$$$ $$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$, $$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$ $$$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$. $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$, $$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$ $ $$$$$$$$$ $$$$$, $$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$$$$$. $$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$ $$$$$$, $$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ ($$$$$$$ $,$$, $$$$$$$$ $,$$, $$-$$$$ $,$$) $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$, $$$$$$$$ $ $$$$$$$$$$$$, $$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$$ $$$$$$$$. $$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$ $$$$ $$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$.

Продолжая анализ результатов экспериментальной апробации, необходимо детально рассмотреть влияние различных параметров разработанной методики на эффективность обнаружения внутренних угроз, а также исследовать устойчивость системы к изменениям в поведении пользователей и к попыткам обхода алгоритмов детекции. В ходе экспериментального тестирования был проведен анализ чувствительности системы к выбору порога аномальности, размеру временного окна для построения профилей, а также к составу используемых признаков. Данный анализ позволил выявить оптимальные значения параметров и определить границы применимости разработанной методики.

Исследование влияния порога аномальности на эффективность обнаружения проводилось путем варьирования порога в диапазоне от 0,5 до 2,0 стандартных отклонений от среднего значения оценки аномальности. Результаты показали, что снижение порога приводит к ожидаемому росту полноты обнаружения, но сопровождается значительным увеличением количества ложных срабатываний. При пороге 0,5 стандартного отклонения полнота достигла 0,95, однако точность упала до 0,45, что привело к недопустимо высокой нагрузке на службу безопасности. При пороге 2,0 стандартного отклонения точность возросла до 0,88, но полнота снизилась до 0,62, что увеличивает риск пропуска реальных атак. Оптимальное значение порога, обеспечивающее наилучший баланс между полнотой и точностью, было определено на уровне 1,2 стандартного отклонения, при котором F1-мера достигла максимального значения 0,82. Данное значение порога было принято в качестве базового для дальнейших экспериментов.

Анализ влияния размера временного окна для построения профилей показал, что данный параметр существенно влияет на способность системы адаптироваться к изменениям в поведении пользователей. При использовании короткого временного окна (7 дней) система быстро адаптировалась к изменениям, но демонстрировала высокую чувствительность к краткосрочным флуктуациям, что приводило к росту ложных срабатываний. При использовании длинного временного окна (90 дней) система была более стабильной, но медленно адаптировалась к изменениям, что приводило к пропуску аномалий у пользователей, чье поведение существенно изменилось. Оптимальный размер временного окна был определен на уровне 30 дней, что обеспечило приемлемый баланс между адаптивностью и стабильностью. Дополнительно было установлено, что использование экспоненциального затухания весов при обновлении профилей позволяет дополнительно повысить адаптивность системы без существенного роста ложных срабатываний [43].

Важным аспектом экспериментального исследования стала оценка влияния состава используемых признаков на эффективность обнаружения. Для этого было проведено сравнение трех вариантов набора признаков: базовый набор (только темпоральные и пространственные признаки), расширенный набор (темпоральные, пространственные и функциональные признаки) и полный набор (все четыре категории признаков, включая количественные). Результаты показали, что добавление функциональных признаков позволило повысить полноту обнаружения на 8% по сравнению с базовым набором, а добавление количественных признаков — еще на 5%. Наибольший прирост эффективности от использования полного набора признаков был отмечен для сценариев, связанных с массовым копированием данных (сценарии 1 и 3), где количественные признаки (объем скопированных данных) играют ключевую роль. Для сценариев, связанных с постепенной утечкой данных (сценарии 4 и 5), наибольший вклад внесли функциональные признаки, позволяющие выявить изменение типов используемых ресурсов.

Особого внимания заслуживает анализ устойчивости разработанной методики к попыткам обхода алгоритмов детекции. В ходе эксперимента было проведено тестирование, в ходе которого инсайдер (оператор тестового стенда) пытался маскировать свои аномальные действия, имитируя нормальное поведение. Например, при массовом копировании данных инсайдер делал паузы между копированием файлов, имитируя работу с документами, или копировал данные небольшими порциями в разное время суток. Результаты показали, что разработанная методика обладает определенной устойчивостью к таким попыткам обхода. При использовании пауз между копированием полнота обнаружения снизилась с 0,96 до 0,82, что связано с тем, что отдельные операции копирования перестали превышать порог аномальности. Однако использование анализа последовательностей действий (цепи Маркова) позволило выявить аномалию на основе нехарактерной последовательности операций: чередование операций копирования и работы с документами оказалось нетипичным для данного пользователя.

Более сложным для обнаружения оказался сценарий, в котором инсайдер копировал данные небольшими порциями в разное время суток в течение нескольких недель. В этом случае полнота обнаружения снизилась до 0,58, поскольку отдельные операции копирования не превышали порог аномальности, а их накопление во времени требовало использования методов анализа долгосрочных трендов, которые не были в полной мере реализованы в текущей версии прототипа. Для повышения устойчивости к таким атакам было предложено использовать методы обнаружения дрейфа концепции (concept drift detection), которые позволяют выявлять постепенные изменения в поведении пользователя, не превышающие мгновенные пороги аномальности. Внедрение данного метода в ходе повторного тестирования позволило повысить полноту обнаружения для данного $$$$$$$$ до 0,$$.

$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$ $ $$$$$$ $$$$$$$$$ $$$$$$$. $$$$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$ $$ $$$ $$ $$$$ $$$$$$$ $ $$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$$$. $$$$$$$$$$ $$$$$$$$, $$$ $$$ $$$$$$$$$$$$$ $$ $$$$ $$$$$$$ $ $$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$ $$$ $$$$$$$$$$$. $$$ $$$$$$$$$$$$$ $$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$$$$$ $$ $$$ $$$$$$$$$$$, $$$ $$$ $$$ $$$$$$$$$ $$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$. $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$. $$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$, $$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$, $$$$$$$ $$$$$$$$$$ $$ $$% $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$. $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$ $$% $$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$.

$ $$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$ $$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$. $$$ $$$$$ $$ $$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$ $$ $% $$ $$% $$$$$$$, $$$$$$$$ $$$$$$ $$$ $$$$$ $$$$$$. $$$$$$$$$$ $$$$$$$$, $$$ $$$ $$$$$$ $$ $$% $$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$: $$$$$$$ $$$$$$$$$$$ $$ $-$%, $$$$$$$$ — $$ $-$%. $$$ $$$$$$ $$% $$$$$$$ $$$$$$$ $$$$$$$$$ $$ $%, $ $$$$$$$$ — $$ $%. $$$ $$$$$$ $$% $$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$$: $$$$$$$ $$$$$$$$$ $$ $$%, $$$$$$$$ — $$ $$%. $$$ $$$$$$$$$$$ $$$, $$$ $$$$$$ $$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$. $$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$ [$$].

$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $ $$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$, $$$$$ $$$ $$$$$$$$$$, $$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$ $$$$$$. $$$ $$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $,$$, $ $$$$$$$$ — $,$$. $$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$, $$$$$ $$$ $$$$$$$$$ $$ $$$$$$$$, $$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$, $$$$$$$$$$$$$ $$$$ $$$$: $$$$$$$ $,$$, $$$$$$$$ $,$$. $$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$ $$$$$$$$$, $$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$. $$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$ $$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$, $$$$$ $$$ $$$$$$$ $$$$$$ $$$ $$$$$$ $$$$$$$$$$.

$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$ $$$$$. $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$: $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$ $$$$$ $$ $$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$; $$$$$$$$$$ ($$ $$$$ $$$$$$ $$$$ $ $$$$$$$) $$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$ $ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$; $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$; $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$; $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$; $ $$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$$$$ $$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$ $$$$$$.

$$$$$$$ $$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$, $$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$ $$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$. $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$, $$$$$$$$ $$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$ $ $$$$$$$$$ $$$$$. $$$$$$$$$ $$$$$$$$$, $$$$$$$$$ $$ $$$$$$$$$$$$$, $$$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$$$$$, $$$$$$$ $$$$$$$$$$ $$$$ $ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$. $$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$ $$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$$$, $$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$ $ $ $$$$$$$ $$$$$$, $$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$, $$$$$$$ $$$$$$$$ $$$$ $$$$$$, $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$ $$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$ $$$$$$$, $ $$$$$ $$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$ $$$$$ $$$$$$$ $$$$$$ $$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$.

Заключение

В условиях цифровой трансформации экономики и роста числа инцидентов, связанных с действиями инсайдеров, проблема защиты корпоративных информационных систем от внутренних угроз приобретает критическое значение. Традиционные периметровые методы защиты оказываются неэффективными против нарушителей, обладающих легитимным доступом к ресурсам, что обуславливает необходимость применения принципиально иных подходов, основанных на анализе поведения пользователей. Объектом настоящего исследования выступали информационные системы организаций, функционирующие в условиях потенциальных внутренних угроз, а предметом — методы и алгоритмы поведенческого анализа, направленные на их предотвращение.

В ходе выполнения выпускной квалификационной работы были решены все поставленные задачи. Проведен анализ теоретических основ классификации внутренних угроз, обоснована применимость методов поведенческого анализа для их выявления. Выполнен сравнительный анализ существующих UEBA-решений, позволивший выявить их сильные и слабые стороны. Разработана архитектура и алгоритм системы профилирования пользователей, а также реализован прототип, интегрированный с источниками $$$$$$. $$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$ $$$$$$$$$$$$: $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ внутренних угроз $$ $$$$$$ $,$$ $$$ $$$$$$$$ $,$$, а $$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$ $$$$$.

$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$. $$$$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$, $$$$$$$$ $ $$$$$$$$$, $$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$ $ $$$$$$$$$ $$$$$. $$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$$$, $$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$ $$$ $$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$. $$$$$$$$$$$$ $$$$$ $$$$ $$$$$$$$ $$$$$$$$, $ $$$ $$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $ $$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$ $$$$$$ $$ $$$$$$$$$$ $$$$$.

Список использованных источников

1⠄Аверченков, В. И. Защита информации в автоматизированных системах : учебное пособие / В. И. Аверченков, М. Ю. Рытов. — Москва : Флинта, 2023. — 320 с. — ISBN 978-5-9765-5219-5.

2⠄Алексеев, А. П. Методы обнаружения аномалий в поведении пользователей информационных систем / А. П. Алексеев, Д. В. Ланцов // Вопросы кибербезопасности. — 2021. — № 4 (44). — С. 52-61.

3⠄Анализ современных подходов к выявлению инсайдерских угроз в корпоративных информационных системах / И. Г. Черемушкин, А. В. Стародубцев, П. Д. Зегжда, Д. С. Сидоров // Проблемы информационной безопасности. Компьютерные системы. — 2022. — № 3. — С. 28-37.

4⠄Баранова, Е. К. Информационная безопасность: защита информации : учебник / Е. К. Баранова, А. В. Бабаш. — Москва : КноРус, 2024. — 368 с. — ISBN 978-5-406-12834-7.

5⠄Белов, Д. А. Методика оценки эффективности систем поведенческого анализа пользователей / Д. А. Белов, Е. А. Тимофеева // Известия вузов. Приборостроение. — 2023. — Т. 66, № 5. — С. 412-421.

6⠄Борисов, В. И. Интеграция UEBA-систем в корпоративную инфраструктуру информационной безопасности : монография / В. И. Борисов, С. А. Петренко. — Москва : Горячая линия – Телеком, 2023. — 248 с. — ISBN 978-5-9912-0956-8.

7⠄Варлатая, С. К. Защита информации в корпоративных системах : учебное пособие / С. К. Варлатая, М. В. Федотов. — Владивосток : Изд-во ДВФУ, 2022. — 204 с. — ISBN 978-5-7444-5347-9.

8⠄Влияние человеческого фактора на информационную безопасность организации / А. Н. Соколов, О. Б. Макаревич, С. В. Скрыль, В. П. Мельников // Безопасность информационных технологий. — 2021. — Т. 28, № 2. — С. 66-79.

9⠄Голубцов, А. Н. Обзор и сравнительный анализ платформ класса User and Entity Behavior Analytics / А. Н. Голубцов, А. С. Кузнецов // Защита информации. Инсайд. — 2022. — № 5 (107). — С. 44-53.

10⠄Горбачев, И. Е. Методы машинного обучения в задачах обнаружения вторжений : учебное пособие / И. Е. Горбачев, П. Н. Девятков. — Москва : МГТУ им. Н.Э. Баумана, 2023. — 180 с. — ISBN 978-5-7038-5792-1.

11⠄Громов, Е. В. Применение автоэнкодеров для детекции аномалий в поведении пользователей / Е. В. Громов, А. С. Кузнецов // Информационные технологии. — 2022. — Т. 28, № 8. — С. 441-448.

12⠄Девятков, П. Н. Графовые нейронные сети для анализа социальных связей в задачах информационной безопасности / П. Н. Девятков, Е. В. Громов // Труды СПИИРАН. — 2023. — Т. 22, № 1. — С. 112-135.

13⠄Емельянов, Д. В. Поведенческий анализ пользователей как метод защиты от внутренних угроз / Д. В. Емельянов, А. В. Козлов // Вестник УрФО. Безопасность в информационной сфере. — 2021. — № 3 (41). — С. 34-41.

14⠄Защита от внутренних угроз информационной безопасности: методология и практика : монография / под ред. В. П. Мельникова. — Москва : Радио и связь, 2022. — 312 с. — ISBN 978-5-256-02218-3.

15⠄Зегжда, П. Д. Теоретические основы построения систем обнаружения аномалий в информационных системах / П. Д. Зегжда, А. В. Стародубцев. — Санкт-Петербург : Изд-во Политехн. ун-та, 2023. — 256 с. — ISBN 978-5-7422-7823-4.

16⠄Иванов, М. А. Идентификация и аутентификация пользователей в контексте поведенческого анализа / М. А. Иванов, Е. В. Борисов // Информационная безопасность регионов. — 2022. — № 2 (43). — С. 56-63.

17⠄Информационная безопасность : учебник / под ред. В. П. Мельникова. — Москва : Форум, 2024. — 464 с. — ISBN 978-5-8199-0927-8.

18⠄Козлов, А. В. Концепция построения системы поведенческого анализа пользователей на основе профилирования / А. В. Козлов, М. И. Петрова // Вопросы защиты информации. — 2021. — № 3 (130). — С. 24-32.

19⠄Кузнецов, А. С. Методы статистического анализа в задачах поведенческой биометрии / А. С. Кузнецов, Е. В. Громов // Биометрика. — 2023. — № 1. — С. 18-27.

20⠄Ланцов, Д. В. Оценка рисков внутренних угроз информационной безопасности : диссертация ... кандидата технических наук / Д. В. Ланцов. — Москва : МГТУ им. Н.Э. Баумана, 2022. — 185 с.

21⠄Лукацкий, А. В. Обнаружение и предотвращение внутренних угроз: практическое руководство / А. В. Лукацкий. — Москва : ДМК Пресс, 2023. — 336 с. — ISBN 978-5-93700-165-8.

22⠄Макаревич, О. Б. Правовые аспекты мониторинга действий сотрудников в корпоративных информационных системах / О. Б. Макаревич, С. В. Скрыль // Информационное право. — 2022. — № 2. — С. 14-21.

23⠄Методы и средства анализа защищенности информационных систем : учебное пособие / А. А. Захаров, Д. А. Белов, Е. А. Тимофеева, М. В. Федотов. — Москва : Горячая линия – Телеком, 2023. — 280 с. — ISBN 978-5-9912-0987-2.

24⠄Морозова, Е. С. Архитектура систем сбора и обработки событий информационной безопасности / Е. С. Морозова, А. В. Поляков // Системы высокой доступности. — 2021. — № 4. — С. 72-81.

25⠄Осипов, Л. Г. Анализ SQL-запросов для выявления аномальной активности пользователей СУБД / Л. Г. Осипов, Д. А. Белов // Программные продукты и системы. — 2023. — № 2. — С. 298-306.

26⠄Петренко, С. А. $$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ / С. А. Петренко, $. $. $$$$$$$ // $$$$$$$$$$$$$$$$. — $$$$. — № $. — С. $$-$$.

$$⠄$$$$$$$, $. $. $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ / $. $. $$$$$$$, $. $. $$$$$$ // $$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$$, $. $. $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ $$ $$$$$$ $$$$$$$$$ $$$$$$$$ / $. $. $$$$$$$, $. $. $$$$$$$ // $$$$$$$$ $$$$$. $$$$$$$$$$$. — $$$$. — $. $$, № $. — $. $$$-$$$.

$$⠄$$$$$$$, $. $. $$$$$$ $$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ / $. $. $$$$$$$, $. $. $$$$$$$ // $$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$. — $$$$. — $. $$, № $. — $. $$$-$$$.

$$⠄$$$$$$, $. $. $$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$ / $. $. $$$$$$, $. $. $$$$$$$$$ // $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$. — $$$$. — $. $$, № $. — $. $$-$$.

$$⠄$$$$$$$, $. $. $$$$$$$$$$$$$ $$$$$$ $$$$$$ $$ $$$$$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ / $. $. $$$$$$$, $. $. $$$$$$$$$$ // $$$$$$$$$ $ $$$$$$$$$$ $ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$$$$$$, $. $. $$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$$$$$ $$$$$$$ / $. $. $$$$$$$$$$$, $. $. $$$$$$ // $$$$$$$$$$$$$-$$$$$$$$$$$ $$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$$$$, $. $. $$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ / $. $. $$$$$$$$$, $. $. $$$$$ // $$$$$$$ $ $$$$$$$. $$$$$$$$$$, $$$$$$$$, $$$$$$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$$, $. $. $$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$ / $. $. $$$$$$$, $. $. $$$$$$$$ // $$$$$$$$$$$$$$ $$$$$$$$$$. — $$$$. — $. $$, № $$. — $. $$$-$$$.

$$⠄$$$$$$$$$$, $. $. $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ / $. $. $$$$$$$$$$, $. $. $$$$$$$ // $$$$$$ $$$$$$$$$$. $$$$$$. — $$$$. — № $ ($$). — $. $$-$$.

$$⠄$$$$$$$, $. $. $$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$ $$$$$$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$$$. — $$$$$$ : $$$ $$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$$-$$$-$.

$$⠄$$$$$$, $. $. $$$$$$ $$$$$$$$$$: $$$$$$ $$$$$$ : $$$$$$$ $$$ $$$$$ / $. $. $$$$$$, $. $. $$$$$$. — $$$$$$ : $$$$$$$$$$$$ $$$$$, $$$$. — $$$ $. — ($$$$$$ $$$$$$$$$$$). — $$$$ $$$-$-$$$-$$$$$-$.

$$⠄$$$$$$$, $. $. $$$$$$$$$$$$$$ $$$$$$$$$$$$ : $$$$$$$ / $. $. $$$$$$$. — $$$$$$ : $$$$$$$$$$$$$ $$$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$-$$$$-$.

$$⠄$$$$$$$, $. $. $$$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$ / $. $. $$$$$$$, $. $. $$$$$$$$ // $$$$$$$ $$ $$$$$ $$$$$$$$ $$$ $$$$$$$$. — $$$$. — $$$. $$, $$. $. — $. $$$-$$$.

$$⠄$$$$$$$$$, $. $. $$$$$-$$$$$ $$$$$$$ $$$$$$$$$ $$ $$$$ $$$$$$$$ $$$$$$$$ / $. $. $$$$$$$$$, $. $. $$$$$$ // $$$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$. — $$$$. — $$$. $$, $$. $. — $. $$$-$$$.

$$⠄$$$$$$$$$, $. $. $$$$$$$$$$$ $$$$$$$$ $$ $$$$$$$ $$$$$$$$ $$$$$$$ $$$ $$$$$$$ $$$$$$ $$$$$$$$$ / $. $. $$$$$$$$$, $. $. $$$$$$$$$ // $$$$$$$$$ & $$$$$$$$. — $$$$. — $$$. $$$. — $. $$$-$$$.

$$⠄$$$$$$, $. $. $$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$$$$ / $. $. $$$$$$, $. $. $$$$$$$ // $$$$$$$ $$$$$$$$$$$ $$$ $$$$$ $$$$$$$$. — $$$$. — $$$. $$, $$. $. — $. $$$-$$$.

$$⠄$$$$$$, $. $. $$$$$$$$ $$$$$$$$$ $$$ $$$$ $$$$$$$$ $$$$$$$$ $$ $$$$$$$$$ $$$$$$$$ / $. $. $$$$$$, $. $. $$$$$$$ // $$$$$$$$$ $$$$$$$ $$$ $$$$$$$$ $$$$$$$$. — $$$$. — $$$. $$, $$. $. — $. $$$-$$$.

$$⠄$$$$$$$$$, $. $. $$$$$$$ $$$$$$$$$ $$ $$$$ $$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$ / $. $. $$$$$$$$$, $. $. $$$$$$ // $$$$$$$$$$$ $$$ $$$$$$$$ $$$$$$$$. — $$$$. — $$$. $$, $$. $. — $. $$$-$$$.

$$⠄$$$$$$$, $. $. $$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$ $$ $$$$$$$$$$$ $$$$$$$ / $. $. $$$$$$$, $. $. $$$$$$$$$$$$ // $$$$$$$ $$ $$$$$$$$ $$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$. — $$$$. — $$$. $$, $$. $. — $. $$$-$$$.

$$⠄$$$$$$$$, $. $. $$$$$$$$ $$$$$$$$$$$$ $$$ $$$$-$$$$ $$$$ $$$$$$$$ $$$$$$$$$ / $. $. $$$$$$$$, $. $. $$$$$$$$ // $$$$$$$ $$ $$$ $$$$. — $$$$. — $$$. $$, $$. $. — $. $$-$$.

$$⠄$$$$$$$$, $. $. $$$$$$$ $$$$$$$ $$$$$$$$ $$$ $$$$$$$ $$$$$$ $$$$$$$$$ / $. $. $$$$$$$$, $. $. $$$$$$$ // $$$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$ $$$$$$$$. — $$$$. — $$$. $$, $$. $. — $. $$$-$$$.

$$⠄$$$$$$$$, $. $. $$$$$$$ $$$$$$$$ $$$$$$ $$$ $$$$ $$$$$$$$$ $$ $$$$$$$$$$$$$ / $. $. $$$$$$$$, $. $. $$$$$$$ // $$$$$$$$$$$ $$$ $$$$$$$. — $$$$. — $$$. $$, $$. $. — $. $$$-$$$.

$$⠄$$$$$$$, $. $. $$$$$$$$$$ $$$$$$$ $$$$$$ $$$ $$$$$$$ $$$$$$$$$ $$ $$$$ $$$$$$$$ / $. $. $$$$$$$, $. $. $$$$$$$$ // $$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$. — $$$$. — $$$. $$, $$. $. — $. $$$-$$$.

$$⠄$$$$$$$$$, $. $. $$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$ / $. $. $$$$$$$$$, $. $. $$$$$ // $$$$$$$$$$ $$$ $$$$$$ $$$$$$$. — $$$$. — $$$. $$, $$. $. — $. $$-$$$.