Secara historis, organisasi perusahaan belum cukup memantau aktivitas karyawan mereka dalam aplikasi bisnis internal. Mereka pada dasarnya (dan membabi buta) mempercayai karyawan mereka. Sayangnya kepercayaan ini telah menyebabkan kerusakan bisnis yang parah karena tindakan beberapa orang dalam yang jahat.
Pemantauan menjadi sulit ketika solusi yang ada untuk mendeteksi aktivitas jahat dalam aplikasi bisnis sebagian besar didasarkan pada aturan yang harus ditulis dan dipelihara secara terpisah untuk setiap aplikasi. Ini karena setiap aplikasi memiliki serangkaian aktivitas dan format log yang dipesan lebih dahulu. Solusi deteksi berbasis aturan juga menghasilkan banyak positif palsu (yaitu, peringatan palsu) dan negatif palsu (yaitu, aktivitas jahat tidak terdeteksi).
Deteksi harus agnostik terhadap makna aktivitas aplikasi sehingga dapat diterapkan pada aplikasi bisnis apa pun.
Solusi untuk tantangan ini terletak pada analisis urutan aktivitas alih-alih menganalisis setiap aktivitas secara terpisah. Ini berarti kita harus menganalisis perjalanan pengguna (yaitu, sesi) untuk memantau pengguna yang diautentikasi dalam aplikasi bisnis. A mesin pendeteksi mempelajari semua perjalanan biasa untuk setiap pengguna, atau kelompok, dan menggunakannya untuk mendeteksi perjalanan yang menyimpang dari perjalanan biasa.
Dua tantangan utama yang perlu ditangani oleh mesin deteksi adalah:
- Setiap aplikasi memiliki kumpulan aktivitas dan format log yang berbeda.
- Kami perlu mempelajari secara akurat perjalanan pengguna biasa di setiap aplikasi dan di seluruh aplikasi.
Standarisasi Model Deteksi
Untuk menerapkan satu model deteksi ke log lapisan aplikasi apa pun, kami dapat mengekstraksi dari setiap perjalanan tiga fitur berbasis urutan berikut (yaitu, karakteristik):
- Serangkaian aktivitas, masing-masing dilambangkan dengan kode numerik.
- Urutan kegiatan yang dilakukan dalam sesi.
- Interval waktu antara aktivitas selama sesi.
Ketiga karakteristik ini dapat diterapkan Apa pun sesi aplikasi, dan bahkan ke sesi di seluruh aplikasi.
Gambar di bawah mengilustrasikan tiga karakteristik perjalanan pengguna berdasarkan lima aktivitas, masing-masing dilambangkan dengan angka, karena aktivitas tersebut merupakan kode numerik dari perspektif model.
Mempelajari Perjalanan Pengguna Umum di Seluruh Aplikasi
Seperti dijelaskan di atas, deteksi perjalanan abnormal didasarkan pada pembelajaran semua perjalanan pengguna biasa. Mengelompokkan teknologi mengelompokkan poin data serupa untuk mempelajari perjalanan pengguna ini dan menghasilkan perjalanan pengguna yang khas untuk setiap grup perjalanan serupa. Proses ini berjalan terus menerus saat data log baru tersedia.
Setelah sistem mempelajari perjalanan khas pengguna, solusi pendeteksian dapat memeriksa setiap perjalanan baru untuk melihat apakah itu serupa dengan yang dipelajari sebelumnya. Jika perjalanan saat ini tidak mirip dengan sesi sebelumnya, solusi menandainya sebagai anomali. Anda juga dapat membandingkan perjalanan saat ini dengan perjalanan yang terkait dengan kohor milik pengguna.
Solusi pendeteksian harus didasarkan pada mesin pengelompokan yang sangat akurat yang disesuaikan untuk pengelompokan urutan, sambil tetap hampir linier dalam jumlah perjalanan yang dikelompokkan dan tidak memerlukan pengetahuan sebelumnya tentang berapa banyak kelompok yang akan dihasilkan. Selain itu, ia harus mendeteksi outlier, menghapusnya dari kumpulan data untuk meningkatkan akurasi pengelompokan, dan mengidentifikasi outlier ini sebagai anomali. Begitulah cara mesin pengelompokan yang menghasilkan grup perjalanan pengguna serupa juga dapat mendeteksi perjalanan pengguna yang tidak normal dalam data historis dan melaporkannya sebagai anomali.
