Algorithms and software architecture for automated user behaviour analysis in cyber threat detection systems

Abstract

The relevance of the present study is determined increasing complexity of cyber threats and the limited effectiveness of traditional detection methods, which necessitates the implementation of intelligent behavioural approaches using modern algorithmic and language models. The purpose of this study was to generalise and conceptually reinterpret approaches to automated user behaviour analysis in cyber threat detection systems the perspective of algorithmic solutions and architectural principles of their construction. The study, based on theoretical analysis, a systemic approach, and comparative analysis, demonstrates that user behaviour analysis is an effective approach to cyber threat detection, capable of complementing and surpassing classical signature-based methods through the identification of context-dependent anomalies and multi-stage attacks. Comparative analysis of approaches to User and Entity Behaviour Analytics established a transition a focus on individual actions to comprehensive analysis of interactions between users and technical components, which increases the accuracy of threat detection and reduces the number of false-positive alerts. Systemic analysis of the architecture of contemporary cybersecurity platforms showed that the integration of large language models ensures unified processing of structured, semi-structured, and unstructured data, modelling of long-term inter-event dependencies, and development of contextual behavioural models in real-time. Conceptual analysis and analytical evaluation indicate that combining behavioural analysis with large language models creates adaptive, scalable, and risk-oriented cybersecurity systems capable of early detection and proactive response to contemporary cyber threats while maintaining explainability, security, and regulatory compliance. The findings may support the design and implementation of intelligent cybersecurity systems in security operations and monitoring centres, security information and event management systems, and platforms for security orchestration, automation, and incident response.

Актуальність представленої роботи зумовлена зростаючою складністю кіберзагроз і обмеженою ефективністю традиційних методів їх виявлення, що потребує впровадження інтелектуальних поведінкових підходів із використанням сучасних алгоритмічних і мовних моделей. Метою цього дослідження було узагальнення та концептуальне переосмислення підходів до автоматизованого аналізу поведінки користувачів у системах виявлення кіберзагроз з позицій алгоритмічних рішень і архітектурних принципів їх побудови. У результаті дослідження, виконаного з використанням теоретичного аналізу, системного підходу та порівняльно-аналітичного методу, встановлено, що поведінковий аналіз користувачів є ефективним інструментом виявлення кіберзагроз, здатним доповнювати та перевершувати класичні сигнатурні методи за рахунок ідентифікації контекстно-залежних аномалій і багатокрокових атак. Порівняльний аналіз підходів аналізу поведінки користувачів і об’єктів системи продемонстрував перехід від фокусування на індивідуальних діях до комплексного аналізу взаємодій між користувачами та технічними компонентами, що підвищує точність виявлення загроз і зменшує кількість хибнопозитивних сповіщень. Системний аналіз архітектур сучасних платформ кіберзахисту показав, що інтеграція великих мовних моделей забезпечує уніфіковану обробку структурованих, напівструктурованих і неструктурованих даних, моделювання довготривалих міжподієвих залежностей та формування контекстуальних поведінкових моделей у режимі реального часу. Концептуальне узагальнення й аналітична оцінка підтвердили, що поєднання поведінкового аналізу з великими мовними моделями створює адаптивні, масштабовані та ризик-орієнтовані системи кіберзахисту, здатні забезпечувати раннє виявлення й проактивне реагування на сучасні кіберзагрози за умови дотримання вимог пояснюваності, безпеки та нормативної відповідності. Отримані результати можуть бути корисними для розроблення та впровадження інтелектуальних систем кіберзахисту в центрах управління та моніторингу інформаційної безпеки, системах управління інформацією та подіями безпеки, платформах оркестрації, автоматизації та реагування на інциденти