Ajalooliselt ei ole ettevõtete organisatsioonid oma töötajate tegevust sisemistes ärirakendustes piisavalt jälginud. Nad usaldasid oma töötajaid sisuliselt (ja pimesi). See usaldus on kahjuks tekitanud tõsist ärikahju mõne pahatahtliku siseringi tegevuse tõttu.
Jälgimine on raske, kui olemasolevad lahendused ärirakendustes pahatahtliku tegevuse tuvastamiseks põhinevad peamiselt reeglitel, mis tuleb iga rakenduse jaoks eraldi kirjutada ja hooldada. Seda seetõttu, et igal rakendusel on eritellimusel toimingute ja logivormingute komplekt. Reeglipõhised tuvastamislahendused genereerivad ka palju valepositiivseid (st valehoiatusi) ja valenegatiivseid (st pahatahtlikud tegevused jäävad avastamata).
Tuvastamine peab olema rakenduse tegevuste tähenduse suhtes agnostiline, et seda saaks rakendada mis tahes ärirakendusele.
Selle väljakutse lahendus seisneb tegevuste jadade analüüsimises, selle asemel, et analüüsida iga tegevust eraldi. See tähendab, et me peaksime analüüsima kasutajate teekondi (st seansse), et jälgida ärirakendustes autentitud kasutajaid. A tuvastusmootor õpib tundma iga kasutaja või grupi kõik tüüpilised teekonnad ja kasutab neid, et tuvastada teekond, mis erineb tüüpilistest teekondadest.
Kaks peamist väljakutset, mida tuvastusmootor peab lahendama, on järgmised:
- Igal rakendusel on erinev tegevuste komplekt ja logivorming.
- Peame igas rakenduses ja rakenduste vahel täpselt selgeks õppima tüüpilised kasutajateed.
Tuvastamismudeli standardimine
Ühe tuvastamismudeli rakendamiseks mis tahes rakenduskihi logile saame igast teekonnast eraldada järgmised kolm järjestuspõhist funktsiooni (st omadused):
- Tegevuste kogum, millest igaüks on tähistatud numbrikoodidega.
- Seansi tegevuste sooritamise järjekord.
- Ajavahemikud tegevuste vahel seansi ajal.
Neid kolme omadust saab rakendada mistahes rakenduse seansi ja isegi erinevate rakenduste seanssidele.
Allolev joonis illustreerib kasutajateekonna kolme omadust, mis põhinevad viiel tegevusel, millest igaüks on tähistatud numbriga, kuna tegevus on mudeli vaatenurgast numbriline kood.
Tavaliste kasutajate teekondade õppimine rakenduste vahel
Nagu eespool selgitatud, põhineb ebatavaliste reiside tuvastamine õppimisel kõik tüüpilised kasutajateed. Klasterdamistehnoloogia rühmitab sarnased andmepunktid, et õppida neid kasutajate teekondi ja luua iga sarnaste teekondade rühma jaoks tüüpiline kasutajateekond. See protsess töötab pidevalt, kui uued logiandmed muutuvad kättesaadavaks.
Kui süsteem õpib selgeks kasutajale omased teekonnad, saab tuvastuslahendus kontrollida iga uut teekonda, et näha, kas see sarnaneb eelnevalt õpituga. Kui praegune teekond ei meenuta eelmisi seansse, märgib lahendus selle anomaaliaks. Samuti on võimalik võrrelda praegust reisi reisidega seotud reisidega kohorti, kuhu kasutaja kuulub.
Tuvastamislahendus peab põhinema äärmiselt täpsel klastrimootoril, mis on kohandatud järjestuste klastrite jaoks, jäädes samas rühmitavate teekondade arvu osas peaaegu lineaarseks ega nõua eelnevaid teadmisi selle kohta, kui palju klastreid luua. Lisaks peab see tuvastama kõrvalekalded, eemaldama need andmekogust, et suurendada rühmitamise täpsust, ja tuvastada need kõrvalekalded kõrvalekalletena. Nii suudab sarnaste kasutajate teekondade rühmi loov rühmitusmootor tuvastada ka ebatavalisi kasutajateid ajaloolistes andmetes ja teatada neist kõrvalekalletena.
