Открыть сервис

Пользовательская и сущностная поведенческая аналитика

Пользовательская и сущностная поведенческая аналитика — это совокупность методов сбора, обработки и интерпретации данных о действиях (поведении) субъектов (пользователей, устройств, программных агентов) в цифровой среде. Разделяется на два основных направления: пользовательскую аналитику (User Behavior Analytics, UBA), ориентированную на анализ действий людей, и сущностную аналитику (Entity Behavior Analytics, EBA), которая фокусируется на поведении неодушевлённых сущностей — сетевых устройств, серверов, приложений, учётных записей и других объектов информационной системы. В широком смысле термин охватывает как маркетинговые (UX-аналитика, веб-аналитика), так и кибербезопасные (UEBA — User and Entity Behavior Analytics) применения.

История возникновения

Корни поведенческой аналитики лежат в статистическом контроле качества и теории массового обслуживания середины XX века. Однако в современном виде она сформировалась в 2000-х годах с развитием больших данных (Big Data) и машинного обучения. Первоначально аналитика ограничивалась веб-метриками (счётчики посещений, клики), но к 2010-м годам, с ростом объёмов логов и появлением SIEM-систем (Security Information and Event Management), возникла потребность в выявлении аномалий в поведении не только людей, но и машин.

В 2015 году компания Gartner ввела термин UEBA (User and Entity Behavior Analytics), объединив пользовательскую и сущностную аналитику в единую дисциплину для кибербезопасности. К 2020-м годам эта область стала стандартом для систем обнаружения внутренних угроз, компрометации учётных записей и сложных атак.

Классификация

По объекту анализа

  1. Пользовательская аналитика (UBA) — изучает поведение людей:
  • Сотрудников организации (внутренние пользователи).
  • Клиентов веб-сайтов и приложений (внешние пользователи).
  • Злоумышленников (анализ атакующих действий).
  1. Сущностная аналитика (EBA) — изучает поведение неодушевлённых объектов:
  • Сетевых устройств (маршрутизаторы, коммутаторы, межсетевые экраны).
  • Серверов и контейнеров.
  • Приложений и микросервисов.
  • Учётных записей (даже если они не принадлежат людям, например, сервисные аккаунты).
  • Устройств Интернета вещей (IoT).

По цели применения

  1. Маркетинговая и UX-аналитика — оптимизация пользовательского опыта, повышение конверсии, персонализация.
  2. Кибербезопасность — обнаружение аномалий, инцидентов, внутренних угроз.
  3. Операционная аналитикамониторинг производительности систем, выявление сбоев.
  4. Антифрод (Fraud Detection) — выявление мошеннических действий в финансах, страховании, электронной коммерции.

Методология

Сбор данных

Поведенческая аналитика базируется на агрегации данных из различных источников:

  • Логи событий (Event Logs) — системные журналы Windows, Linux, сетевых устройств.
  • Сетевой трафик — NetFlow, IPFIX, метаданные пакетов.
  • Данные приложений — клики, переходы, время сессии, заполнение форм.
  • Биометрические данные — динамика набора текста, движения мыши, геолокация (в пользовательской аналитике).
  • Метаданные устройств — MAC-адреса, версии ПО, конфигурации.

Построение профиля поведения

Для каждого субъекта (пользователя или сущности) создаётся базовая линия (baseline) — статистический профиль «нормального» поведения. Профиль включает:

  • Частотные характеристики — среднее количество действий в час/день, типичное время работы.
  • Пространственные характеристики — типичные IP-адреса, географические локации.
  • Последовательности — типичные цепочки действий (например, «вход → чтение почты → открытие документа»).
  • Корреляции — с какими другими сущностями субъект обычно взаимодействует.

Выявление аномалий

Отклонения от базового профиля классифицируются как аномалии. Используются методы:

  • Статистические — пороговые значения, Z-оценка, метод скользящего среднего.
  • Машинное обучениекластеризация (K-means, DBSCAN), деревья решений, нейронные сети (автоэнкодеры).
  • Правила — экспертные сценарии (например, «если пользователь входит в систему в 3 часа ночи из незнакомой страны — повысить риск»).

Применение

В кибербезопасности

UEBA-системы (например, Splunk UBA, Microsoft Defender for Identity, отечественные решения — «Киберпротект», «Solar Dozor») используются для:

  • Обнаружения компрометации учётных записей (кража паролей, использование необычных устройств).
  • Выявления инсайдерских угроз (сотрудник, скачивающий аномально много данных).
  • Распознавания атак типа «движение в сторону» (lateral movement) — когда злоумышленник перемещается по сети.
  • Идентификации вредоносного ПО, маскирующегося под легитимные процессы (аномалии в поведении процесса).

В маркетинге и UX

Пользовательская аналитика (Google Analytics, Яндекс.Метрика, Amplitude, Mixpanel) позволяет:

  • Сегментировать аудиторию по поведенческим паттернам.
  • Оптимизировать воронки продаж (выявлять шаги, на которых пользователи «отваливаются»).
  • Персонализировать контент и рекомендации.
  • Проводить A/B-тестирование на основе поведенческих данных.

В антифрод-системах

Поведенческая аналитика используется банками и платёжными системами для:

  • Оценки риска транзакций (необычная сумма, частота, геолокация).
  • Выявления ботов и скриптов (анализ скорости набора, движений мыши).
  • Обнаружения мошеннических регистраций (создание множества аккаунтов с одного устройства).

Технологические аспекты

Архитектура UEBA-систем

Типичная система включает:

  • Сборщики данных (коллекторы логов, агенты).
  • Хранилище (базы данных временных рядов, например, Elasticsearch, ClickHouse).
  • Модуль профилирования (построение и обновление baseline).
  • Модуль обнаружения (алгоритмы аномалий).
  • Интерфейс (дашборды, оповещения, расследования).

Проблемы и ограничения

  • Ложные срабатывания — слишком чувствительные модели могут генерировать много ложных тревог.
  • Конфиденциальность — сбор поведенческих данных пользователей подпадает под регулирование (ФЗ-152 «О персональных данных» в РФ, GDPR в ЕС).
  • Адаптация к изменениям — профиль поведения должен пересчитываться при изменении должностных обязанностей, смене оборудования.
  • Вычислительная сложность — обработка больших объёмов логов в реальном времени требует значительных ресурсов.

Примеры использования

Пример 1: Обнаружение компрометации

Сотрудник обычно работает с 9 до 18 часов с корпоративного ноутбука в офисе. Система UEBA фиксирует вход в 2 часа ночи с IP-адреса из другой страны, при этом учётная запись сразу начинает массово скачивать файлы из базы клиентов. Система генерирует событие высокого риска, блокирует сессию и уведомляет SOC.

Пример 2: Маркетинговая сегментация

Интернет-магазин анализирует поведение посетителей: одни пользователи просматривают товары по категориям, другие — сразу переходят к поиску, третьи — добавляют в корзину, но не оформляют заказ. На основе этих паттернов формируются сегменты для ретаргетинга и персонализированных предложений.

Критика

Основные претензии к поведенческой аналитике связаны с:

  • Этикой — профилирование поведения может использоваться для тотального контроля над сотрудниками (например, мониторинг каждого клика, времени отсутствия за компьютером).
  • Дискриминацией — алгоритмы могут непреднамеренно маркировать как аномалии действия представителей определённых групп (например, ночных сменщиков или удалённых сотрудников).
  • Прозрачностью — многие коммерческие UEBA-решения работают как «чёрный ящик», не объясняя причин вынесения вердикта.

Источники

  • Gartner, «Market Guide for User and Entity Behavior Analytics», 2021.
  • Федеральный закон «О персональных данных» № 152-ФЗ (РФ).
  • Документация Splunk UBA, Microsoft Defender for Identity.
  • Книга: «Behavioral Analytics for Cybersecurity» by A. K. Sood, 2020.
  • Статья: «User and Entity Behavior Analytics: A Survey» в журнале IEEE Access, 2022.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →