역사적으로 기업 조직은 내부 비즈니스 애플리케이션 내에서 직원의 활동을 충분히 모니터링하지 않았습니다. 그들은 본질적으로 (그리고 맹목적으로) 직원들을 신뢰했습니다. 이러한 신뢰는 불행히도 일부 악의적인 내부자의 행동으로 인해 심각한 비즈니스 피해를 입혔습니다.
비즈니스 애플리케이션에서 악성 활동을 탐지하기 위한 기존 솔루션이 주로 각 애플리케이션에 대해 별도로 작성하고 유지 관리해야 하는 규칙을 기반으로 하는 경우 모니터링이 어렵습니다. 이는 각 애플리케이션마다 맞춤형 활동 및 로그 형식 세트가 있기 때문입니다. 규칙 기반 탐지 솔루션은 또한 많은 오탐(즉, 허위 경고)과 허위(즉, 악의적인 활동이 탐지되지 않음)를 생성합니다.
탐지는 모든 비즈니스 애플리케이션에 적용될 수 있도록 애플리케이션 활동의 의미에 구애받지 않아야 합니다.
이 문제에 대한 해결책은 각 활동을 자체적으로 분석하는 대신 활동의 순서를 분석하는 것입니다. 이는 비즈니스 애플리케이션에서 인증된 사용자를 모니터링하기 위해 사용자 여정(예: 세션)을 분석해야 함을 의미합니다. ㅏ 탐지 엔진 각 사용자 또는 집단의 모든 일반적인 여정을 학습하고 이를 사용하여 일반적인 여정에서 벗어나는 여정을 감지합니다.
탐지 엔진이 해결해야 하는 두 가지 주요 과제는 다음과 같습니다.
- 각 애플리케이션에는 서로 다른 활동 세트와 로그 형식이 있습니다.
- 우리는 각 애플리케이션과 애플리케이션 전반에서 일반적인 사용자 여정을 정확하게 학습해야 합니다.
탐지 모델 표준화
애플리케이션 계층 로그에 하나의 탐지 모델을 적용하기 위해 각 여정에서 다음 세 가지 시퀀스 기반 기능(즉, 특성)을 추출할 수 있습니다.
- 각각 숫자 코드로 표시되는 일련의 활동입니다.
- 세션에서 활동이 수행된 순서입니다.
- 세션 중 활동 사이의 시간 간격입니다.
이 세 가지 특성을 적용할 수 있습니다. 어떤 애플리케이션 세션, 심지어 애플리케이션 전체의 세션까지 가능합니다.
아래 그림은 활동이 모델의 관점에서 숫자 코드이기 때문에 각각 숫자로 표시되는 XNUMX가지 활동을 기반으로 하는 사용자 여정의 세 가지 특성을 보여줍니다.
앱 전반에 걸친 일반적인 사용자 여정 학습
위에서 설명한 것처럼 비정상적인 여정의 탐지는 학습을 기반으로 합니다. 모든 일반적인 사용자 여정 클러스터링 기술은 유사한 데이터 포인트를 그룹화하여 이러한 사용자 여정을 학습하고 유사한 여정의 각 그룹에 대한 일반적인 사용자 여정을 생성합니다. 이 프로세스는 새 로그 데이터를 사용할 수 있게 되면 지속적으로 실행됩니다.
시스템이 사용자에게 일반적인 여정을 학습하면 탐지 솔루션은 모든 새로운 여정을 확인하여 이전에 학습한 여정과 유사한지 확인할 수 있습니다. 현재 여정이 이전 세션과 유사하지 않은 경우 솔루션은 이를 이상 징후로 표시합니다. 현재 여정을 다음과 관련된 여정과 비교할 수도 있습니다. 사용자가 속한 코호트.
탐지 솔루션은 시퀀스 클러스터링에 맞춰진 매우 정확한 클러스터링 엔진을 기반으로 해야 하며 동시에 클러스터링하는 여정 수는 거의 선형으로 유지되어야 하며 생성할 클러스터 수에 대한 사전 지식이 필요하지 않습니다. 또한 이상값을 감지하고 이를 데이터 세트에서 제거하여 클러스터링 정확도를 높이고 이러한 이상값을 이상값으로 식별해야 합니다. 이것이 유사한 사용자 여정 그룹을 생성하는 클러스터링 엔진이 기록 데이터에서 비정상적인 사용자 여정을 감지하고 이를 이상으로 보고할 수 있는 방법입니다.
