Новости из будущего: прогнозируем поведение пользователя

[Shaman_RSHU]

Если эти все выкладки реализовать в средстве защиты, то всё равно будут ложные срабатывания. Как Вы думаете, будут ли лояльны работнике к такому работодателю? Наверное нет. Ещё учитывая то, что вендоры иногда тестируют новую функциональность на живых работниках своих клиентов, а руководство принимает за правду отчетность таких систем, не взирая на ошибки в них.

[SolarDozor]

Вы правы, что проблема ложных срабатываний крайне актуальна для ИБ. Однако, если мы говорим о поведении, то не используем термин срабатывание или инцидент. Вместо них говорят об аномалиях поведения, которые не стоит воспринимать как прямое нарушение правил ИБ. Это скорее дополнительные маркеры, более ясно подсвечивающие картину происходящего для сотрудника безопасности. Маркеры, которые часто позволяют выявить, то что скрыто от фиксированных правил безопасности. ПС: мы на себе все тестируем)

[Shaman_RSHU]

То, что тестируете на себе замечательно :) Но всё же к сотруднику безопасности, который будет анализировать маркеры доверия нет.

[Krasnoarmeec]

Стоит отметить, что первая гармоника на графике (она же - нулевая гармоника) - не должна учитываться в последующих исследованиях, поскольку это период самого сигнала, то есть отражает цикл всего сигнала в 85 дней

Вроде как нулевая гармоника ФФТ всегда была постоянной составляющей и периодом никогда не была.

[SolarDozor]

Да, конечно. Поправили, спасибо :-) Хотя это не совсем константа, а среднее значение (интеграл от исходной функции).

[Ananiev_Genrih]

Можно увидеть код раз уж помечено тэгом R?

[SolarDozor]

К сожалению, нет. Это - коммерческая тайна.

[Ad_fesha]

Возможно имеет смысл приложить упрощенный вариант кода на R хотя бы?

В довесок, показатель в 64% конечно немного грустно, но если использовать Фурье как метод декомпозиции, отобрав сильнейшие гармоники и добавить в Sариму или тот же бустинг как фичи... звучит по крайней мере интересно. Возможно у Вас как у автора уже был подобный опыт - было бы интересно услышать еще идеи=)

Статья топ!

[Ananiev_Genrih]

даже и не подозревал что функции R в той или иной комбинации могут стать коммерческой тайной

[labyrinth]

Правильно ли понимаю, что в итоге, если это и будет работать, то будет показывать постфактум отклонение поведения пользователя от ожидаемого? То есть, человек уже всё сделал\не сделал, и только потом система уведомила безопасника.

Если так, то вижу полезность для решения управленческих задач (выгорание, раздолбайство и т.п.), но не вижу перспектив для ИБ-задач (для задач предотвращения утечек).

[SolarDozor]

И да и нет. Аномалии, как я отметил выше в комментарии - это не прямые нарушения и, как раз, они обычно проявляются до наступления инцидента, что позволяет инцидент предотвратить. Например, сотрудник стал необычно часто просить в курилке коллег прислать ему те или иные файлы документов и у него вдруг появится ранее неизвестный в коммуникации компании внешний контакт, которому он пока ничего не отправлял ценного. А еще у него появится внезапно негатив в коммуникациях. Соответственно будут зафиксированы аномалии всплеска накопления информации, новый неизвестный контакт и негатив, несвойственные обычно для этого сотрудника. Такие ситуации и подлежат профилактике и мониторингу с точки зрения User Behaviour Analysis.