Привет, слушай. Начни с базовой модели нормального поведения – типа смеси Гаусса или скрытой марковской модели. Потом рассчитывай отклонения для каждого действия пользователя. Небольшое, но стабильное изменение в распределении этих отклонений можно выявить с помощью теста отношения правдоподобия. Если добавить к этому детектор аномалий во временном ряду, например, Seasonal ARIMA или LSTM автоэнкодер, то сможешь засечь скрытый след еще до того, как он распространится. Главное – держать набор признаков минимальным, чтобы не утонуть в шумах. Используй снижение размерности, типа PCA, чтобы фокусироваться на самых важных сигналах. А как только отделишь эти редкие события, можно применить алгоритм кластеризации, чтобы посмотреть, формируют ли они какую-то закономерность угрозы. В общем, надо выжать максимум информации из шума, но при этом чтобы вычислительная нагрузка была приемлемой.