Trong lịch sử, các tổ chức doanh nghiệp chưa giám sát đầy đủ hoạt động của nhân viên trong các ứng dụng kinh doanh nội bộ. Về cơ bản, họ đã tin tưởng nhân viên của mình một cách mù quáng. Thật không may, sự tin tưởng này đã gây ra thiệt hại nghiêm trọng cho doanh nghiệp do hành động của một số nội gián độc hại.
Việc giám sát gặp khó khăn khi các giải pháp hiện có để phát hiện các hoạt động độc hại trong các ứng dụng kinh doanh chủ yếu dựa trên các quy tắc phải được viết và duy trì riêng cho từng ứng dụng. Điều này là do mỗi ứng dụng có một tập hợp các hoạt động và định dạng nhật ký riêng. Các giải pháp phát hiện dựa trên quy tắc cũng tạo ra nhiều kết quả dương tính giả (tức là cảnh báo sai) và âm tính giả (tức là các hoạt động độc hại không bị phát hiện).
Việc phát hiện cần phải rõ ràng về ý nghĩa của các hoạt động của ứng dụng để có thể áp dụng cho bất kỳ ứng dụng kinh doanh nào.
Giải pháp cho thách thức này nằm ở việc phân tích các chuỗi hoạt động thay vì phân tích riêng từng hoạt động. Điều này có nghĩa là chúng ta nên phân tích hành trình của người dùng (tức là phiên) để giám sát người dùng được xác thực trong các ứng dụng kinh doanh. MỘT công cụ phát hiện tìm hiểu tất cả các hành trình điển hình cho mỗi người dùng hoặc nhóm thuần tập và sử dụng chúng để phát hiện một hành trình khác với các hành trình điển hình.
Hai thách thức chính mà một công cụ phát hiện cần phải giải quyết là:
- Mỗi ứng dụng có một tập hợp các hoạt động và định dạng nhật ký khác nhau.
- Chúng tôi cần tìm hiểu chính xác các hành trình điển hình của người dùng trong từng ứng dụng và trên các ứng dụng.
Chuẩn hóa mô hình phát hiện
Để áp dụng một mô hình phát hiện cho bất kỳ nhật ký lớp ứng dụng nào, chúng tôi có thể trích xuất từ mỗi hành trình ba tính năng dựa trên trình tự sau (tức là các đặc điểm):
- Tập hợp các hoạt động, mỗi hoạt động được biểu thị bằng mã số.
- Thứ tự các hoạt động được thực hiện trong phiên.
- Khoảng thời gian giữa các hoạt động trong phiên.
Ba đặc điểm này có thể được áp dụng cho bất kì phiên ứng dụng và thậm chí đến các phiên trên các ứng dụng.
Hình bên dưới minh họa ba đặc điểm của hành trình của người dùng dựa trên năm hoạt động, mỗi hoạt động được biểu thị bằng một số, vì hoạt động này là một mã số theo quan điểm của mô hình.
Tìm hiểu hành trình điển hình của người dùng trên các ứng dụng
Như đã giải thích ở trên, việc phát hiện các hành trình bất thường dựa trên việc học tất cả các hành trình điển hình của người dùng. Công nghệ phân cụm nhóm các điểm dữ liệu tương tự để tìm hiểu các hành trình của người dùng này và tạo hành trình người dùng điển hình cho từng nhóm hành trình tương tự. Quá trình này chạy liên tục khi có dữ liệu nhật ký mới.
Sau khi hệ thống tìm hiểu các hành trình điển hình của người dùng, giải pháp phát hiện có thể kiểm tra mọi hành trình mới để xem liệu hành trình đó có giống với hành trình đã học trước đó hay không. Nếu hành trình hiện tại không giống với các phiên trước đây thì giải pháp sẽ gắn cờ hành trình đó là bất thường. Cũng có thể so sánh hành trình hiện tại với các hành trình liên quan đến nhóm người dùng thuộc về.
Giải pháp phát hiện phải dựa trên một công cụ phân cụm cực kỳ chính xác được thiết kế riêng cho phân cụm theo trình tự, trong khi vẫn duy trì gần như tuyến tính về số lượng hành trình mà nó phân cụm và không yêu cầu kiến thức trước về số lượng cụm cần tạo. Ngoài ra, nó phải phát hiện các ngoại lệ, loại bỏ chúng khỏi tập dữ liệu để nâng cao độ chính xác của phân cụm và xác định các ngoại lệ này là bất thường. Đó là cách công cụ phân cụm tạo ra các nhóm hành trình người dùng tương tự cũng có thể phát hiện hành trình người dùng bất thường trong dữ liệu lịch sử và báo cáo chúng là những điều bất thường.
