Статья

Статья посвящена актуальной проблеме обнаружения инсайдерских угроз в распределенных информационных системах. Особое внимание уделено сложностям выявления злонамеренной активности, маскирующейся под легитимные рабочие процессы с использованием легальных учетных записей. Проанализирована неэффективность традиционных сигнатурных методов и статических правил против целевых и медленно развивающихся атак изнутри. В работе проведен сравнительный анализ современных алгоритмов машинного обучения для решения данной задачи. Подробно рассмотрены три ключевых класса методов: кластеризация (K-means, DBSCAN) для проактивного выявления аномалий без размеченных данных, деревья решений и их ансамбли (Random Forest, XGBoost) для интерпретируемой классификации инцидентов, а также нейронные сети (LSTM, автоэнкодеры) для обнаружения сложных многоэтапных атак. Представлена сравнительная таблица, систематизирующая преимущества, ограничения и рекомендуемые сценарии применения каждого подхода. Сформулированы п