Details

Целью работы является обнаружение поведенческих аномалий в корпоративных информационных системах путем разработки подхода к интеграции рекомендательных систем в UEBA-архитектуру. Объектом исследования являются корпоративные информационные системы и поведение их сущностей. Для достижения поставленной цели необходимо решить следующие задачи: 1. Проанализировать существующие подходы к построению UEBA-систем и рекомендательных алгоритмов, выявить возможности их интеграции. 2. Определить ключевые параметры и метрики поведенческих моделей. 3. Разработать модель поведения пользователя, основанную на механизмах рекомендательных систем, и адаптировать ее для задач выявления аномалий. 4. Реализовать прототип интеграции и провести тестирование. 5. Оценить эффективность предложенного подхода по метрикам точности, ложноположительных срабатываний и интерпретируемости. В ходе данной работы были рассмотрены существующие подходы к построению UEBA-систем и рекомендательных алгоритмов, определены ключевые параметры и метрики поведенческих моделей, разработана формальная модель поведения пользователя. В результате работы был разработан прототип предложенной интеграции, оценена эффективность тестированием и сравнением с базовыми моделями. Полученные результаты могут быть использованы в составе SOC для повышения эффективности выявления угроз внутренних нарушителей. Для достижения данных результатов была разработана программа, использующая синтетический набор данных CERT r4.2, методы машинного обучения и коллаборативной фильтрации, а также Python 3.13.7 и его библиотеки.

The purpose of the study is to detect behavioral anomalies in corporate information systems by developing an approach to integrating recommendation systems into the UEBA architecture. The object of this study is corporate information systems and the behavior of their entities. The research set the following goals: 1. To analyze the existing approaches to building UEBA systems and recommendation algorithms, to identify the possibilities of their integration. 2. Identify key parameters and metrics of behavioral models. 3. To develop a model of user behavior based on the mechanisms of recommendation systems and adapt it for the tasks of identifying anomalies. 4. Implement an integration prototype and conduct testing. 5. Evaluate the effectiveness of the proposed approach based on metrics of accuracy, false positives, and interpretability. This work examined existing approaches to building UEBA systems and recommendation algorithms, identified key parameters and metrics for behavioral models, and developed a formal user behavior model. As a result, a prototype of the proposed integration was developed, and its effectiveness was assessed through testing and comparison with baseline models. The obtained results can be used in SOC systems to improve the effectiveness of insider threat detection. To achieve these results, a program was developed using the synthetic CERT r4.2 dataset, machine learning and collaborative filtering methods, as well as Python 3.13.7 and its libraries.