Пользовательская и сущностная поведенческая аналитика
Пользовательская и сущностная поведенческая аналитика — это совокупность методов сбора, обработки и интерпретации данных о действиях (поведении) субъектов (пользователей, устройств, программных агентов) в цифровой среде. Разделяется на два основных направления: пользовательскую аналитику (User Behavior Analytics, UBA), ориентированную на анализ действий людей, и сущностную аналитику (Entity Behavior Analytics, EBA), которая фокусируется на поведении неодушевлённых сущностей — сетевых устройств, серверов, приложений, учётных записей и других объектов информационной системы. В широком смысле термин охватывает как маркетинговые (UX-аналитика, веб-аналитика), так и кибербезопасные (UEBA — User and Entity Behavior Analytics) применения.
История возникновения
Корни поведенческой аналитики лежат в статистическом контроле качества и теории массового обслуживания середины XX века. Однако в современном виде она сформировалась в 2000-х годах с развитием больших данных (Big Data) и машинного обучения. Первоначально аналитика ограничивалась веб-метриками (счётчики посещений, клики), но к 2010-м годам, с ростом объёмов логов и появлением SIEM-систем (Security Information and Event Management), возникла потребность в выявлении аномалий в поведении не только людей, но и машин.
В 2015 году компания Gartner ввела термин UEBA (User and Entity Behavior Analytics), объединив пользовательскую и сущностную аналитику в единую дисциплину для кибербезопасности. К 2020-м годам эта область стала стандартом для систем обнаружения внутренних угроз, компрометации учётных записей и сложных атак.
Классификация
По объекту анализа
- Пользовательская аналитика (UBA) — изучает поведение людей:
- Сотрудников организации (внутренние пользователи).
- Клиентов веб-сайтов и приложений (внешние пользователи).
- Злоумышленников (анализ атакующих действий).
- Сущностная аналитика (EBA) — изучает поведение неодушевлённых объектов:
- Сетевых устройств (маршрутизаторы, коммутаторы, межсетевые экраны).
- Серверов и контейнеров.
- Приложений и микросервисов.
- Учётных записей (даже если они не принадлежат людям, например, сервисные аккаунты).
- Устройств Интернета вещей (IoT).
По цели применения
- Маркетинговая и UX-аналитика — оптимизация пользовательского опыта, повышение конверсии, персонализация.
- Кибербезопасность — обнаружение аномалий, инцидентов, внутренних угроз.
- Операционная аналитика — мониторинг производительности систем, выявление сбоев.
- Антифрод (Fraud Detection) — выявление мошеннических действий в финансах, страховании, электронной коммерции.
Методология
Сбор данных
Поведенческая аналитика базируется на агрегации данных из различных источников:
- Логи событий (Event Logs) — системные журналы Windows, Linux, сетевых устройств.
- Сетевой трафик — NetFlow, IPFIX, метаданные пакетов.
- Данные приложений — клики, переходы, время сессии, заполнение форм.
- Биометрические данные — динамика набора текста, движения мыши, геолокация (в пользовательской аналитике).
- Метаданные устройств — MAC-адреса, версии ПО, конфигурации.
Построение профиля поведения
Для каждого субъекта (пользователя или сущности) создаётся базовая линия (baseline) — статистический профиль «нормального» поведения. Профиль включает:
- Частотные характеристики — среднее количество действий в час/день, типичное время работы.
- Пространственные характеристики — типичные IP-адреса, географические локации.
- Последовательности — типичные цепочки действий (например, «вход → чтение почты → открытие документа»).
- Корреляции — с какими другими сущностями субъект обычно взаимодействует.
Выявление аномалий
Отклонения от базового профиля классифицируются как аномалии. Используются методы:
- Статистические — пороговые значения, Z-оценка, метод скользящего среднего.
- Машинное обучение — кластеризация (K-means, DBSCAN), деревья решений, нейронные сети (автоэнкодеры).
- Правила — экспертные сценарии (например, «если пользователь входит в систему в 3 часа ночи из незнакомой страны — повысить риск»).
Применение
В кибербезопасности
UEBA-системы (например, Splunk UBA, Microsoft Defender for Identity, отечественные решения — «Киберпротект», «Solar Dozor») используются для:
- Обнаружения компрометации учётных записей (кража паролей, использование необычных устройств).
- Выявления инсайдерских угроз (сотрудник, скачивающий аномально много данных).
- Распознавания атак типа «движение в сторону» (lateral movement) — когда злоумышленник перемещается по сети.
- Идентификации вредоносного ПО, маскирующегося под легитимные процессы (аномалии в поведении процесса).
В маркетинге и UX
Пользовательская аналитика (Google Analytics, Яндекс.Метрика, Amplitude, Mixpanel) позволяет:
- Сегментировать аудиторию по поведенческим паттернам.
- Оптимизировать воронки продаж (выявлять шаги, на которых пользователи «отваливаются»).
- Персонализировать контент и рекомендации.
- Проводить A/B-тестирование на основе поведенческих данных.
В антифрод-системах
Поведенческая аналитика используется банками и платёжными системами для:
- Оценки риска транзакций (необычная сумма, частота, геолокация).
- Выявления ботов и скриптов (анализ скорости набора, движений мыши).
- Обнаружения мошеннических регистраций (создание множества аккаунтов с одного устройства).
Технологические аспекты
Архитектура UEBA-систем
Типичная система включает:
- Сборщики данных (коллекторы логов, агенты).
- Хранилище (базы данных временных рядов, например, Elasticsearch, ClickHouse).
- Модуль профилирования (построение и обновление baseline).
- Модуль обнаружения (алгоритмы аномалий).
- Интерфейс (дашборды, оповещения, расследования).
Проблемы и ограничения
- Ложные срабатывания — слишком чувствительные модели могут генерировать много ложных тревог.
- Конфиденциальность — сбор поведенческих данных пользователей подпадает под регулирование (ФЗ-152 «О персональных данных» в РФ, GDPR в ЕС).
- Адаптация к изменениям — профиль поведения должен пересчитываться при изменении должностных обязанностей, смене оборудования.
- Вычислительная сложность — обработка больших объёмов логов в реальном времени требует значительных ресурсов.
Примеры использования
Пример 1: Обнаружение компрометации
Сотрудник обычно работает с 9 до 18 часов с корпоративного ноутбука в офисе. Система UEBA фиксирует вход в 2 часа ночи с IP-адреса из другой страны, при этом учётная запись сразу начинает массово скачивать файлы из базы клиентов. Система генерирует событие высокого риска, блокирует сессию и уведомляет SOC.
Пример 2: Маркетинговая сегментация
Интернет-магазин анализирует поведение посетителей: одни пользователи просматривают товары по категориям, другие — сразу переходят к поиску, третьи — добавляют в корзину, но не оформляют заказ. На основе этих паттернов формируются сегменты для ретаргетинга и персонализированных предложений.
Критика
Основные претензии к поведенческой аналитике связаны с:
- Этикой — профилирование поведения может использоваться для тотального контроля над сотрудниками (например, мониторинг каждого клика, времени отсутствия за компьютером).
- Дискриминацией — алгоритмы могут непреднамеренно маркировать как аномалии действия представителей определённых групп (например, ночных сменщиков или удалённых сотрудников).
- Прозрачностью — многие коммерческие UEBA-решения работают как «чёрный ящик», не объясняя причин вынесения вердикта.
Источники
- Gartner, «Market Guide for User and Entity Behavior Analytics», 2021.
- Федеральный закон «О персональных данных» № 152-ФЗ (РФ).
- Документация Splunk UBA, Microsoft Defender for Identity.
- Книга: «Behavioral Analytics for Cybersecurity» by A. K. Sood, 2020.
- Статья: «User and Entity Behavior Analytics: A Survey» в журнале IEEE Access, 2022.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →