Аннотация:В данной магистерской диссертации рассматривается задача выявления аномаль-
ного поведения пользователей в задаче выявления внутренних угроз. В рамках ра-
боты реализованы два подхода к решению этой задачи: с использованием LSTM-
автокодировщика и сети трансформер. Второй подход не встречался в литературе при
решении данной задачи. Были предложены модификации оригинального решения на
основе LSTM-автокодировщика, позволившие облегчить масштабирование решения и
уменьшить количество моделей без потери качества. Экспериментальное исследование
двух решений на общепринятом реалистичном наборе данных CERT 6.2 показало, что
модифицированное решение на основе LSTM-автокодировщика имеет лучшее качество
при более простой реализации и меньшим требованиям к ресурсам по сравнению с реше-
нием на основе сети архитектуры трансформер. Также была исследована возможность
использования неструктурированных поведенческих данных — контента при построе-
нии модели и сделан вывод, что это не дает прироста качества.