Россия
Современные системы обнаружения инсайдерских угроз сталкиваются с проблемой анализа разнородных данных цифрового следа: последовательности действий, текстовая коммуникация и графы связей сотрудников. Существующие монолитные архитектуры не позволяют эффективно обрабатывать все типы данных в рамках единой модели. В статье предлагается оригинальная гибридная архитектура, объединяющая LSTM-модуль для анализа временных последовательностей, Transformer-модуль для обработки текстовой переписки и Graph Attention Network для моделирования графов взаимодействий. Ключевая новизна заключается в двухуровневой системе внимания: на первом уровне (feature-level attention) каждый модуль формирует собственное представление с весовыми коэффициентами значимости признаков, на втором уровне (decision-level attention) механизм кросс-внимания агрегирует выходы модулей в интегральный риск-скор. Эксперименты на датасете CMU-CERT r4.2 показали, что предложенная архитектура превосходит монолитные решения (F1 = 0,89 против 0,82 у изоляционного леса и 0,85 у градиентного бустинга), при этом двухуровневое внимание обеспечивает интерпретируемость решений за счет визуализации вклада каждого модуля. Полученные результаты могут быть использованы при построении систем класса UEBA с требованиями к объяснимости принимаемых решений.
гибридные нейросети, LSTM, Transformer, Graph Attention Network, двухуровневое внимание, UEBA, инсайдерские угрозы, интерпретируемый ИИ
1. Шашанка М., Шен М.Ю., Ванг Дж. Аналитика поведения пользователей и сущностей для обеспечения безопасности предприятия // Международная конференция IEEE 2016 по большим данным (Big Data). – IEEE, 2016. – С. 1867-1874. DOI: https://doi.org/10.1109/BigData.2016.7840805
2. Ле Д.К., Цинцир-Хейвуд Н., Хейвуд М.И. Анализ уровней детализации данных для обнаружения внутренних угроз с использованием машинного обучения // IEEE Transactions on Network and Service Management. – 2020. – Том 17, № 1. – С. 30-44. DOI: https://doi.org/10.1109/TNSM.2020.2967721
3. Хайденрайх Х.С., Влахас П.Р., Кумутсакос П. Деконструкция рекуррентности, внимания и стробирования: исследование переносимости трансформаторов и стробированных рекуррентных нейронных сетей в прогнозировании динамических систем // Препринт arXiv arXiv: 2410.02654. – 2024.
4. Энтони К., Миллидж Б., Глориозо П., Токпанов Ю. Учебная кулинарная книга Zyphra // Zyphra. – 2024. – URL: https://www.zyphra.com/post/the-zyphra-training-cookbook (дата обращения: 18.02.2026).
5. Янг З. и др. Иерархические сети внимания для классификации документов // Труды NAACL-HLT. – 2016. – С. 1480-1489.
6. Хохрайтер С., Шмидхубер Дж. Долговременная кратковременная память // Нейронные вычисления. – 1997. – Том 9, № 8. – С. 1735-1780. DOI: https://doi.org/10.1162/neco.1997.9.8.1735
7. Васвани А. и др. Внимание - это все, что вам нужно // Достижения в области нейронных систем обработки информации. – 2017. – Том 30. – С. 5998-6008.
8. Величкович П. и др. Сети графического внимания // Международная конференция по обучению репрезентациям (ICLR). – 2018.
9. Линдауэр Б. Набор данных для проверки инсайдерских угроз // Университет Карнеги-Меллона. – 2020. – URL: https://kilthub.cmu.edu/articles/dataset/Insider_Threat_Test_Dataset/12841247/1 (дата обращения: 18.02.2026).
10. Глассер Дж., Линдауэр Б. Преодоление разрыва: прагматичный подход к получению данных о внутренних угрозах // Семинары IEEE по безопасности и конфиденциальности в 2013 году. – IEEE, 2013. – С. 98-104. DOI: https://doi.org/10.1109/SPW.2013.37
11. Лю Ф.Т., Тин К.М., Чжоу З.Х. Изолированный лес // Восьмая международная конференция IEEE по интеллектуальному анализу данных 2008 года. – IEEE, 2008. – С. 413-422.
12. Лю Ф.Т., Тин К.М., Чжоу З.Х. Обнаружение аномалий на основе изоляции // ACM Transactions on Knowledge Discovery from Data. – 2012. – Том 6, № 1. – С. 1-39.
13. Чен Т., Гострин С. XGBoost: Масштабируемая система поддержки дерева // Материалы 22-й Международной конференции ACM SIGKDD по обнаружению знаний и интеллектуальному анализу данных. – 2016. – С. 785-794. DOI: https://doi.org/10.1145/2939672.2939785
14. Лундберг С.М., Ли С.И. Единый подход к интерпретации предсказаний моделей // Достижения в области нейронных систем обработки информации. – 2017. – Том 30. – С. 4765-4774.
15. Макмахан Б. и др. Эффективное изучение глубоких сетей на основе децентрализованных данных // Материалы 20-й Международной конференции по искусственному интеллекту и статистике (AISTATS). – 2017. – С. 1273-1282.



