UEBA в кибербезе: как профилирование поведения пользователей на основе Autoencoder помогает выявлять угрозы и аномалии / Комментарии / Хабр

Когда в 2015 году Exabeam вывел на рынок продукт класса UEBA, то они столкнулись с рядос проблем, которые не удается решить до сих пор (впрочем и Caspida, которую потом купил Splunk столкнулись с теми же проблемами).
Описанный в статье метод предполагает обучение исключительно на легитимных данных, что может быть проблематичным в реальных условиях, где аномалии могут быть редкими, но разнообразными. Если обучающая выборка не охватывает все возможные нормальные сценарии поведения, модель может выдавать фолзы. Непонятно, как обрабатываются новые легитимные действия, которые не встречались в обучающей выборке (например, обновления ПО, новые системные вызовы). Где получить достаточный объём данных для обучения? У будуших клиентов, на данных которых можно обучить модель. Но будут ли готовы клиенты пользоваться не зрелым продуктом и одновременно сливать свои данные для обучения, да и бизнес-процессы у клиентов разные, а следовательно и поведение разное?
Можно конечно использовать синтетику: аугментацию данных (например, добавление шума в обучающие последовательности) для повышения устойчивости модели, а также активное обучение, где модель периодически дообучается на новых данных с участием эксперта. Есть ещё гибридные подходы, сочетающие unsupervised (AE-LSTM) и supervised методы (например, дообучение на размеченных аномалиях), но это экзотика. Но почему же тогда крупные иностранные производители продуктов класса UEBA всё еще не добились достаточно положительных результатов обучения моделей и все равно используются человеческий ресурс для анализа инцидентов?
Пока отсутствуют в открытом доступе не коммерческие отчеты, прозрачно показывающие на конкретных метриках пользу UEBA решений.