ITT Информационные технологии и телекоммуникации Telecom IT 2307-1303 СПбГУТ 10.31854/2307-1303-2026-14-1-22-34 DIUDHK Научная статья Research Article Агентная система мониторинга процессов для поведенческого анализа и выявления аномальной активности на рабочих станциях Agent-Based System for Process Monitoring, Behavioral Analysis, and Anomalous Activity Detection on Workstations Новикова Дарья Дмитриевна Novikova Darya https://orcid.org/0009-0009-7736-9352 d.dy0nth@gmail.com Подвигин Василий Александрович Podvigin Vasiliy https://orcid.org/0009-0002-6188-8915 podvigin.v@gubkin.ru Российский государственный университет нефти и газа (НИУ) имени И. М. Губкина Москва, 119991 Российская Федерация Gubkin Russian State University of Oil and Gas (National Research University) Moscow, 119991 Russian Federation 2026 28 05 2026 14 1 22 34 © Новикова Д. Д., Подвигин В. А., 2026 Лицензия CC BY 4.0 CC BY 4.0 License

Постановка задачи. Значительная часть инцидентов информационной безопасности на рабочих станциях связана с запуском процессов, отклоняющихся от типичного поведения пользователей. Традиционные средства защиты, ориентированные на сигнатуры и сетевые события, не формируют поведенческий контекст выполнения приложений на конечных узлах, что затрудняет обнаружение редких процессов и нетипичных цепочек их порождения. Целью работы является повышение эффективности выявления отклонений в активности пользовательских процессов за счет разработки агентной системы мониторинга, обеспечивающей накопление истории выполнения процессов и анализ их типичности на уровне рабочих станций. Используемые методы. Решение задачи основано на агентно-серверной архитектуре, включающей сбор временны́х срезов состояния процессов, формирование сессий процессов, накопительное хранение данных и детерминированный анализ. Для выявления отклонений используются оценка редкости процессов на основе статистики их появления, анализ цепочек порождения «родитель ‒ дочерний процесс» и правила выявления комбинированных отклонений без применения машинного обучения. Элементом новизны является детерминированный подход к поведенческому анализу процессов на рабочих станциях, основанный на сочетании накопительного хранилища сессий, справочников допустимых процессов и цепочек их порождения, а также централизованной серверной логики выявления отклонений. В отличие от существующих решений, анализ ориентирован на оценку типичности активности, а не на классификацию вредоносности. Результат. Разработан прототип для Windows, включающий клиентский агент и серверное приложение на базе FastAPI и SQLite. Система собирает и хранит историю выполнения процессов, выявляет редкие и нетипичные запуски, формирует оповещения. Функциональная валидация показала корректность реализованных правил аналитики и возможность формирования информативных сигналов о нетипичной активности. Теоретическая / Практическая значимость: предложенный подход позволяет формировать поведенческий контекст активности процессов на рабочих станциях и использовать его в качестве дополнительного источника данных для систем мониторинга и анализа безопасности, включая SIEM и SOC, повышая эффективность выявления новых и нетипичных сценариев работы пользователей.

Problem statement. A significant share of information security incidents on workstations is associated with process execution that deviates from typical user behavior. Traditional protection tools focused on signatures and network events do not provide behavioral context at the endpoint level, which limits the detection of rare processes and atypical parent – child process chains. The aim of the study is to improve the effectiveness of detecting deviations in user process activity by developing an agent-based monitoring system that accumulates process execution history and evaluates its typicality on workstations. Methods. The solution is based on an agent – server architecture including periodic collection of process state snapshots, process session construction, accumulative storage, and rule-based server-side analysis. Detection relies on process rarity assessment based on occurrence frequency, analysis of parent–child process chains, and rule-based identification of combined deviations without using machine learning methods. The novelty lies in a rule-based approach to behavioral analysis of processes on workstations based on the combination of a cumulative session storage, catalogs of allowed processes and process chains, and centralized server-side deviation detection logic. In contrast to existing approaches, the analysis focuses on assessing activity typicality rather than classifying maliciousness. Results. A prototype system for the Windows operating system has been developed, including a lightweight client agent and a server application based on FastAPI and SQLite. The system collects and stores process execution history, detects rare and atypical process launches, and generates alerts. Functional validation confirmed the correctness of the implemented analytical rules and the ability to generate informative signals of atypical activity. Practical significance. The proposed approach enables the formation of behavioral context of process activity on workstations and can be used as an additional data source for security monitoring and analysis systems, including SIEM and SOC, improving the detection of new and atypical user activity scenarios.

 мониторинг процессов информационная безопасность поведенческий анализ агентная система классификация приложений пользовательская активность аномальные процессы process monitoring information security behavioral analysis agent-based system application classification user activity anomalous processes Исследование выполнено без привлечения внешних источников финансирования. The study was carried out without external funding. Литература Николаенко В. Г., Васенева В. А., Зубарева Е. В., Рудикова М. Н. Система мониторинга событий операционной системы // Национальная ассоциация ученых. 2015. № 5-2 (10). С. 63-65. EDN: YFTQFP Аль-Тамими М., Хассан М. Б., Пазников А. А., Аль-Хайкани М. Н., Альбадрави Е. Б. Обзор систем обнаружения вторжений // Известия СПбГЭТУ «ЛЭТИ». 2024. Т. 17. № 4. С. 30-41. DOI: 10.32603/2071-8985-2024-17-4-30-41 Denysiuk D., Sochor T., Kapustian M., Kashtalian A., Savenko O. Methods for Detecting Software Implants in Corporate Networks // Proceedings of the 5th International Workshop on Intelligent Information Technologies and Systems of Information Security (IntelITSIS'2024, March 28, 2024, Khmelnytskyi, Ukraine). CEUR Workshop Proceedings. 2024. Vol. 3675. PP. 270-284. Костиков Е. В. Методы анализа логов Sysmon для обнаружения киберугроз // International Journal of Open Information Technologies. 2024. Т. 12. №. 11. С. 25-34. EDN: BPEPSL Portase R. M., Muntea A. M., Mermeze A., Colesa A., Sebestyen G. Detection Strategies for COM, WMI, and ALPC-Based Multi-Process Malware // Sensors. 2024. Vol. 24. Iss. 16. P. 5118. DOI: 10.3390/s24165118 Nikolaenko V., Vasenyova V., Zubareva E., Rudikova M. Monitoring System of the OS's Events // National Association of Scientists. PP. 63-65. EDN: YFTQFP Al-Tameemi M., Hassan M. B., Paznikov A. A., Al-Khaykanee M. N., Albadrawi E. B. Review of Intrusion Detection Systems // LETI Transactions on Electrical Engineering & Computer Science. 2024. Vol. 17. Iss. 4. PP. 30-41. DOI: 10.32603/2071-8985-2024-17-4-30-41 Denysiuk D., Sochor T., Kapustian M., Kashtalian A., Savenko O. Methods for Detecting Software Implants in Corporate Networks // Proceedings of the 5th International Workshop on Intelligent Information Technologies and Systems of Information Security (IntelITSIS'2024, March 28, 2024, Khmelnytskyi, Ukraine). CEUR Workshop Proceedings. 2024. Vol. 3675. PP. 270-284. Kostikov E. V. Sysmon Log Analysis Methods for Cyber Threat Detection // International Journal of Open Information Technologies. 2024. Vol. 12. Iss. 11. PP. 25-34. EDN: BPEPSL Portase R. M., Muntea A. M., Mermeze A., Colesa A., Sebestyen G. Detection Strategies for COM, WMI, and ALPC-Based Multi-Process Malware // Sensors. 2024. Vol. 24. Iss. 16. P. 5118. DOI: 10.3390/s24165118 Благодарности

Информация о финансировании не указана.

Funding information is not provided.