Введение

Современные кибератаки характеризуются высокой степенью скрытности, постепенным развитием (multi-stage attacks) и использованием легитимных учетных данных. Традиционные средства защиты, основанные на сигнатурных и эвристических методах, часто не способны своевременно обнаружить подобные инциденты.

В этой связи возрастает значение анализа поведения пользователей и сущностей (User and Entity Behavior Analytics, UEBA) — класса систем, использующих алгоритмы машинного обучения для выявления аномалий в действиях пользователей, программ, устройств и сервисов.

UEBA позволяет переходить от реактивного реагирования к прогностическому выявлению угроз , анализируя тенденции и поведенческие изменения до момента реализации атаки.

1. Основные принципы UEBA

В основе UEBA лежит построение поведенческих профилей субъектов информационной системы. Каждый профиль формируется на основании метрик активности — времени входа, типов ресурсов, объемов передаваемых данных, частоты обращений, маршрутов доступа и т. п.

Математически процесс можно представить как обучение модели M(u), описывающей типичное поведение пользователя uuu.

Аномалия фиксируется, если наблюдаемый вектор активности значительно отклоняется от прогнозируемого моделью распределения:

D( ,M(u))>θ,

где D — мера отклонения (например, косинусная или евклидова метрика), а θ — адаптивный порог.

Такая схема позволяет автоматически выделять подозрительные действия даже при отсутствии заранее известных сигнатур атак.

2. Методы машинного и глубокого обучения в UEBA

Для построения и обновления поведенческих профилей применяются различные методы машинного обучения:

1. Кластеризация и выявление выбросов
2. Используются алгоритмы K-Means, DBSCAN, Isolation Forest. Позволяют группировать типичные модели поведения и выделять редкие, нетипичные сессии.
3. Обучение без учителя (Unsupervised Learning)
4. Применяется, когда отсутствует заранее размеченная выборка. Модель формирует представление о «норме» и фиксирует любые отклонения.
5. Автоэнкодеры (Autoencoder)
6. Глубокие нейросетевые модели, обучающиеся восстанавливать нормальные данные с минимальной ошибкой. При появлении аномального поведения ошибка реконструкции резко возрастает.
7. Рекуррентные и трансформерные архитектуры (LSTM, GRU, Transformer)
8. Эффективны для анализа последовательностей действий пользователя во времени: последовательных входов, команд, сетевых обращений.
9. Гибридные модели (CNN+LSTM, AE+GNN)
10. Используются в современных отечественных разработках — например, в системах Positive Technologies PT NAD , InfoTeKS ViPNet IDS , Solar Dozor . Они объединяют временной и структурный анализ активности.

3. Поведенческие признаки и источники данных

UEBA-системы анализируют как сетевой, так и прикладной уровень. Типичные признаки включают:

— частоту логинов и их временные отклонения;

— среднюю длительность сессий;

— аномальные обращения к новым ресурсам;

— скачки в объеме передаваемых данных;

— корреляцию между действиями пользователей и процессами;

— изменение топологии взаимодействий между узлами (при анализе IoT или корпоративных сетей).

Источниками данных служат журналы SIEM, сетевой трафик, события Active Directory, почтовые и файловые серверы.

Для уменьшения ложных срабатываний применяется многоуровневая фильтрация и нормализация , аналогичная методам, описанным в патентах НПО «Эшелон» и «ИнфоТеКС», где фильтрация производится по мандатным меткам и протокольным признакам.

4. Отечественные разработки и патенты

В России наблюдается рост интереса к UEBA как компоненту национальных систем кибербезопасности.

— Патент RU2735143C1 (НИИ комплексной автоматизации) описывает систему интеллектуального анализа событий ИБ на основе обучения без учителя.

— Патент RU2746431C1 (Positive Technologies) реализует поведенческое моделирование с помощью автоэнкодеров.

— Решения «ИнфоТеКС» и «Код Безопасности» используют методы статистической нормализации и фрактальных признаков для обнаружения аномалий.

Эти разработки демонстрируют переход от сигнатурных систем IDS/IPS к самообучающимся системам UEBA, способным выявлять zero-day угрозы и инсайдерскую активность.

5. Применимость и сценарии использования

UEBA применяется в широком спектре задач:

— Раннее предсказание атак. Система выявляет постепенные отклонения в активности (например, подготовку фишинговой кампании или lateral movement внутри сети).

— Обнаружение инсайдеров. Анализ частоты доступа, копирования файлов, аномальных команд PowerShell.

— Контроль IoT и промышленных систем. Анализ поведения контроллеров и сенсоров позволяет фиксировать попытки саботажа.

— Обнаружение компрометации учётных записей (Account Takeover). UEBA фиксирует входы с новых устройств, геолокаций или резкие изменения шаблонов поведения.

6. Преимущества и ограничения

Преимущества:

— способность выявлять неизвестные (zero-day) угрозы;

— адаптивность к изменяющейся среде;

— снижение зависимости от сигнатур и правил;

— интеграция с SIEM и SOAR-платформами для автоматизированного реагирования.

Ограничения:

— необходимость накопления репрезентативной базы нормального поведения;

— высокая вычислительная нагрузка при real-time анализе;

— сложность интерпретации решений нейросетей («проблема черного ящика»).

7. Перспективы развития

Ключевым направлением развития UEBA является интеграция объяснимого ИИ (Explainable AI, XAI) , что позволит формировать прозрачные причины срабатываний и повышать доверие операторов SOC.

Кроме того, активно развивается федеративное обучение , когда модели UEBA обучаются на распределенных узлах без передачи сырых данных — что соответствует требованиям отечественных стандартов по защите информации.

Особый интерес представляют гибридные модели на базе графовых нейросетей (GNN) , которые объединяют поведенческий и структурный анализ, позволяя моделировать взаимодействия пользователей и системных процессов как динамический граф.

Заключение

UEBA-системы становятся центральным элементом интеллектуальной кибербезопасности, обеспечивая переход от реактивной защиты к предсказательной.

Использование методов машинного и глубокого обучения позволяет формировать динамические профили поведения, выявлять скрытые и медленные атаки, а также предсказывать угрозы на ранних стадиях.

Развитие отечественных UEBA-решений и их интеграция в национальные SIEM-платформы создаёт предпосылки для построения устойчивой, адаптивной и автономной кибербезопасности нового поколения.