УДК 004.056.5:004.8:004.75
DOI: 10.36871/ek.up.p.r.2026.04.13.011

Авторы

Элизат Исраиловна Хамзатова,
Иман Исраиловна Хамзатова,
Грозненский государственный нефтяной технический университет имени академика М.Д. Миллионщикова

Аннотация

В статье рассматривается метод повышения эффективности защиты распределённых информационных систем за счёт анализа поведенческих признаков пользователей и применения алгоритмов выявления аномалий. Актуальность исследования связана с тем, что в распределённой инфраструктуре действия пользователя фиксируются в разных узлах: сервисах аутентификации, VPN-шлюзах, базах данных, файловых хранилищах, прикладных системах и средствах мониторинга. При изолированном анализе такие события часто не выглядят опасными, однако их сочетание может указывать на компрометацию учётной записи, инсайдерскую активность или подготовку к несанкционированному доступу. Предложен метод построения динамического поведенческого профиля пользователя, включающего временные, сетевые, ресурсные и контекстные признаки. Для выявления отклонений используются Isolation Forest, Local Outlier Factor и автоэнкодер, а итоговый риск рассчитывается с учётом критичности ресурса и повторяемости аномального поведения. Имитационная проверка выполнена на выборке из 120 000 событий, включающей входы в систему, VPN-сессии, обращения к базам данных, операции с файлами и административные действия. Сравнение показало, что применение поведенческого профиля и адаптивного расчёта риска позволяет повысить F1-меру выявления аномальной активности с 0,74 до 0,88 и сократить среднее время обнаружения подозрительного сценария с 14,2 до 6,1 минуты. Полученные результаты не являются статистикой конкретной организации, но подтверждают целесообразность использования поведенческой аналитики как дополнительного уровня защиты распределённых информационных систем.

Ключевые слова

распределённые информационные системы, защита информации, поведенческий анализ, аномальное поведение, машинное обучение, Isolation Forest, UEBA, инсайдерские угрозы, компрометация учётной записи, информационная безопасность

Список литературы

  1. ГОСТ Р ИСО/МЭК 27001–2021. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. — М. : Стандартинформ, 2021.
  2. ГОСТ Р 59711–2022. Защита информации. Управление компьютерными ГОСТ Р ИСО/ МЭК 27002–2021. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности. — М. : Стандартинформ, 2021.
  3. ГОСТ Р 59711–2022. Защита информации. Управление компьютерными инцидентами. Руководство по обработке компьютерных инцидентов. — М. : Российский институт стандартизации, 2022.
  4. ГОСТ Р 57580.1–2017. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. — М. : Стандартинформ, 2017.
  5. Дубинин А. Ю. Исследование набора признаков для построения цифрового профиля пользователя удалённых подключений (на основе данных межсетевого экрана) / А. Ю. Дубинин // Безопасность информационных технологий. — 2024. — Т. 31, № 1. — С. 120–134. — DOI: 10.26583/bit.2024.1.07.
  6. Трунов Е. Е. Алгоритм обнаружения аномального поведения пользователей автоматизированных систем на основе методов машинного обучения / Е. Е. Трунов // Вестник Астраханского государственного технического университета. Серия: Управление, вычислительная техника и информатика. — 2025. — № 4. — С. 33–42. — DOI: 10.24143/2072-9502-2025-4-33-42.
  7. Сажина А. В. Подход к применению методов машинного обучения для обнаружения аномального поведения пользователей в автоматизированных системах военного назначения / А. В. Сажина, М. О. Габтуллина, И. Б. Саенко // Вопросы оборонной техники. — 2026. — № 1–2. — С. 82–93. — DOI: 10.53816/23061456_2026_1-2_82.
  8. Гетьман А. И. Применение глубокого обучения для обнаружения компьютерных атак в сетевом трафике / А. И. Гетьман, М. Н. Горюнов, А. Г. Мацкевич, Д. А. Рыболовлев, А. Г. Никольская // Труды ИСП РАН. — 2023. — Т. 35, вып. 4. — С. 65–92. — DOI: 10.15514/ ISPRAS-2023-35(4)-3.
  9. Башмаков Н. М. Обнаружение сетевых атак ботнетов на основе технологий машинного обучения и переноса знаний / Н. М. Башмаков, В. И. Васильев, А. М. Вульфин, В. М. Картак, А. Д. Кириллова // Информационно-управляющие системы. — 2024. — № 5. — С. 41–56. — DOI: 10.31799/1684-8853-2024-5-41-56.
  10. Куценко С. М. Обнаружение вторжений в компьютерные сети на основе аномалий с помощью методов машинного обучения / С. М. Куценко, Е. А. Салтанаева, А. М. Ахметов // Экономика. Информатика. — 2025. — Т. 52, № 2. — С. 465–475. — DOI: 10.52575/2687-0932-2025-52-2-465-475.