Главная

Постановка задачи. Значительная часть инцидентов информационной безопасности на рабочих станциях связана с запуском процессов, отклоняющихся от типичного поведения пользователей. Традиционные средства защиты, ориентированные на сигнатуры и сетевые события, не формируют поведенческий контекст выполнения приложений на конечных узлах, что затрудняет обнаружение редких процессов и нетипичных цепочек их порождения. Целью работы является повышение эффективности выявления отклонений в активности пользовательских процессов за счет разработки агентной системы мониторинга, обеспечивающей накопление истории выполнения процессов и анализ их типичности на уровне рабочих станций. Используемые методы. Решение задачи основано на агентно-серверной архитектуре, включающей сбор временны́х срезов состояния процессов, формирование сессий процессов, накопительное хранение данных и детерминированный анализ. Для выявления отклонений используются оценка редкости процессов на основе статистики их появления, анализ цепочек порождения «родитель ‒ дочерний процесс» и правила выявления комбинированных отклонений без применения машинного обучения. Элементом новизны является детерминированный подход к поведенческому анализу процессов на рабочих станциях, основанный на сочетании накопительного хранилища сессий, справочников допустимых процессов и цепочек их порождения, а также централизованной серверной логики выявления отклонений. В отличие от существующих решений, анализ ориентирован на оценку типичности активности, а не на классификацию вредоносности. Результат. Разработан прототип для Windows, включающий клиентский агент и серверное приложение на базе FastAPI и SQLite. Система собирает и хранит историю выполнения процессов, выявляет редкие и нетипичные запуски, формирует оповещения. Функциональная валидация показала корректность реализованных правил аналитики и возможность формирования информативных сигналов о нетипичной активности. Теоретическая / Практическая значимость: предложенный подход позволяет формировать поведенческий контекст активности процессов на рабочих станциях и использовать его в качестве дополнительного источника данных для систем мониторинга и анализа безопасности, включая SIEM и SOC, повышая эффективность выявления новых и нетипичных сценариев работы пользователей.

мониторинг процессов, информационная безопасность, поведенческий анализ, агентная система, классификация приложений, пользовательская активность, аномальные процессы

Новикова Д. Д., Подвигин В. А. Агентная система мониторинга процессов для поведенческого анализа и выявления аномальной активности на рабочих станциях // Информационные технологии и телекоммуникации. 2026. Т. 14. № 1. С. 22‒34. DOI: 10.31854/2307-1303-2026-14-1-22-34. EDN: DIUDHK

Novikova D., Podvigin V. Agent-Based System for Process Monitoring, Behavioral Analysis, and Anomalous Activity Detection on Workstations // Telecom IT. 2026. Vol. 14. Iss. 1. PP. 22‒34. (in Russian). DOI: 10.31854/2307-1303-2026-14-1-22-34. EDN: DIUDHK

  Метаданные статьи распространяются по лицензии CC0 1.0 Universal