Yritysorganisaatiot eivät ole historiallisesti seuranneet riittävästi työntekijöidensä toimintaa sisäisissä liiketoimintasovelluksissa. He luottivat pohjimmiltaan (ja sokeasti) työntekijöihinsä. Tämä luottamus on valitettavasti aiheuttanut vakavaa vahinkoa liiketoiminnalle joidenkin ilkeiden sisäpiiriläisten toimien vuoksi.
Valvonta on vaikeaa, kun olemassa olevat ratkaisut haitallisten toimintojen havaitsemiseen yrityssovelluksissa perustuvat pääasiassa sääntöihin, jotka on kirjoitettava ja ylläpidettävä erikseen jokaiselle sovellukselle. Tämä johtuu siitä, että jokaisella sovelluksella on räätälöity joukko toimintoja ja lokimuotoja. Sääntöihin perustuvat tunnistusratkaisut tuottavat myös monia vääriä positiivisia (eli vääriä hälytyksiä) ja vääriä negatiivisia (eli haitallisia toimia ei havaita).
Tunnistuksen on oltava agnostinen sovelluksen toimintojen merkityksen suhteen, jotta sitä voidaan soveltaa mihin tahansa liiketoimintasovellukseen.
Ratkaisu tähän haasteeseen on toimintosarjan analysoinnissa sen sijaan, että analysoitaisiin jokaista toimintaa erikseen. Tämä tarkoittaa, että meidän tulee analysoida käyttäjien matkat (eli istunnot) seurataksemme todennettuja käyttäjiä yrityssovelluksissa. A tunnistusmoottori oppii kaikki tyypilliset matkat kullekin käyttäjälle tai kohortille ja havaitsee niiden avulla matkan, joka poikkeaa tyypillisistä matkoista.
Kaksi päähaastetta, joihin tunnistusmoottorin on vastattava, ovat:
- Jokaisella sovelluksella on erilainen toimintosarja ja lokimuoto.
- Meidän on opittava tarkasti tyypilliset käyttäjäpolut kussakin sovelluksessa ja sovellusten välillä.
Havaintomallin standardointi
Jotta voimme soveltaa yhtä tunnistusmallia mihin tahansa sovelluskerroksen lokiin, voimme poimia jokaisesta matkasta seuraavat kolme sekvenssipohjaista ominaisuutta (eli ominaisuuksia):
- Toimintojen joukko, joista jokainen on merkitty numeerisilla koodeilla.
- Järjestys, jossa toiminnot suoritettiin istunnossa.
- Aikavälit toimintojen välillä istunnon aikana.
Näitä kolmea ominaisuutta voidaan soveltaa Kaikki sovellusistuntoon ja jopa eri sovellusten istuntoihin.
Alla olevassa kuvassa on havainnollistettu viiteen toimintoon perustuvan käyttäjämatkan kolme ominaisuutta, joista jokainen on merkitty numerolla, koska toiminta on mallin näkökulmasta numeerinen koodi.
Tyypillisten käyttäjien matkojen oppiminen sovellusten välillä
Kuten edellä selitettiin, poikkeavien matkojen havaitseminen perustuu oppimiseen kaikki tyypillisiä käyttäjämatkoja. Klusterointiteknologia ryhmittelee samanlaisia tietopisteitä oppiakseen nämä käyttäjämatkat ja luodakseen tyypillisen käyttäjämatkan kullekin samankaltaisen matkan ryhmälle. Tämä prosessi suoritetaan jatkuvasti, kun uusia lokitietoja tulee saataville.
Kun järjestelmä oppii käyttäjälle tyypilliset matkat, tunnistusratkaisu voi tarkistaa jokaisen uuden matkan, onko se samanlainen kuin aiemmin opittu. Jos nykyinen matka ei muistuta aiempia istuntoja, ratkaisu merkitsee sen poikkeavuudeksi. On myös mahdollista verrata nykyistä matkaa matkoihin, jotka liittyvät kohteeseen kohortti, johon käyttäjä kuuluu.
Havaitsemisratkaisun tulee perustua erittäin tarkkaan klusterointimoottoriin, joka on räätälöity sekvenssiklusterointiin, mutta silti lähes lineaarinen sen klusteroimien matkojen määrässä eikä edellytä aiempaa tietoa siitä, kuinka monta klusteria luodaan. Lisäksi sen on tunnistettava poikkeamat, poistettava ne tietojoukosta klusteroinnin tarkkuuden parantamiseksi ja tunnistettava nämä poikkeamat poikkeavuuksiksi. Näin klusterointimoottori, joka luo ryhmiä samankaltaisista käyttäjämatkoista, voi myös havaita epänormaalit käyttäjämatkat historiallisista tiedoista ja raportoida ne poikkeavuuksina.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
