Historisk sett har ikke bedriftsorganisasjoner overvåket sine ansattes aktiviteter tilstrekkelig innenfor interne forretningsapplikasjoner. De stolte i hovedsak (og blindt) på sine ansatte. Denne tilliten har dessverre forårsaket alvorlig forretningsskade på grunn av handlingene til noen ondsinnede innsidere.
Overvåking er vanskelig når eksisterende løsninger for å oppdage skadelige aktiviteter i forretningsapplikasjoner hovedsakelig er basert på regler som må skrives og vedlikeholdes separat for hver applikasjon. Dette er fordi hver applikasjon har et skreddersydd sett med aktiviteter og loggformater. Regelbaserte deteksjonsløsninger genererer også mange falske positive (f.eks. falske varsler) og falske negative (dvs. ondsinnede aktiviteter blir uoppdaget).
Deteksjon må være agnostisk for betydningen av en applikasjons aktiviteter, slik at den kan brukes på alle forretningsapplikasjoner.
Løsningen på denne utfordringen ligger i å analysere sekvenser av aktiviteter i stedet for å analysere hver aktivitet på egen hånd. Dette betyr at vi bør analysere brukerreiser (dvs. økter) for å overvåke autentiserte brukere i forretningsapplikasjoner. EN deteksjonsmotor lærer alle typiske reiser for hver bruker, eller kohort, og bruker dem til å oppdage en reise som avviker fra typiske reiser.
De to hovedutfordringene en deteksjonsmotor må løse er:
- Hver applikasjon har et annet sett med aktiviteter og loggformat.
- Vi må lære nøyaktig typiske brukerreiser i hver applikasjon og på tvers av applikasjoner.
Standardisering av deteksjonsmodellen
For å bruke én deteksjonsmodell på en hvilken som helst applikasjonslagslogg, kan vi trekke ut følgende tre sekvensbaserte funksjoner fra hver reise (dvs. egenskaper):
- Settet med aktiviteter, hver angitt med numeriske koder.
- Rekkefølgen aktivitetene ble utført i i økten.
- Tidsintervaller mellom aktivitetene under økten.
Disse tre egenskapene kan brukes på noen applikasjonsøkt, og til og med til økter på tvers av applikasjoner.
Figuren nedenfor illustrerer de tre kjennetegnene til en brukerreise basert på fem aktiviteter, hver angitt med et tall, da aktiviteten er en numerisk kode fra modellens perspektiv.
Lære typiske brukerreiser på tvers av apper
Som forklart ovenfor er oppdagelsen av unormale reiser basert på læring alle typiske brukerreiser. Clustering-teknologi grupperer lignende datapunkter for å lære disse brukerreisene og generere en typisk brukerreise for hver gruppe med lignende reiser. Denne prosessen kjører kontinuerlig etter hvert som nye loggdata blir tilgjengelige.
Når systemet lærer reisene som er typiske for brukeren, kan deteksjonsløsningen sjekke hver ny reise for å se om den ligner på en tidligere lært. Hvis den nåværende reisen ikke ligner tidligere økter, flagger løsningen den som en anomali. Det er også mulig å sammenligne gjeldende reise med reiser knyttet til kohort brukeren tilhører.
En deteksjonsløsning må være basert på en ekstremt nøyaktig clustering-motor som er skreddersydd for sekvensclustering, mens den fortsatt forblir nesten lineær i antall reiser den klynger og ikke krever forkunnskaper om hvor mange klynger som skal genereres. I tillegg må den oppdage uteliggere, fjerne dem fra datasettet for å forbedre klyngingsnøyaktigheten, og identifisere disse uteliggere som anomalier. Det er slik klyngemotoren som genererer grupper av lignende brukerreiser, også kan oppdage unormale brukerreiser i historiske data og rapportere dem som uregelmessigheter.
