Tarihsel olarak, kurumsal kuruluşlar, çalışanlarının faaliyetlerini dahili iş uygulamaları içinde yeterince izlememiştir. Esasen (ve körü körüne) çalışanlarına güveniyorlardı. Bu güven, ne yazık ki, bazı kötü niyetli kişilerin eylemleri nedeniyle ciddi iş zararına neden oldu.
İş uygulamalarındaki kötü amaçlı etkinlikleri tespit etmeye yönelik mevcut çözümler, esas olarak her uygulama için ayrı ayrı yazılması ve sürdürülmesi gereken kurallara dayandığında, izleme zordur. Bunun nedeni, her uygulamanın ısmarlama bir dizi etkinlik ve günlük biçimine sahip olmasıdır. Kural tabanlı algılama çözümleri ayrıca birçok yanlış pozitif (yani, yanlış uyarılar) ve yanlış negatifler (yani, kötü niyetli faaliyetler tespit edilmez) üretir.
Algılamanın, herhangi bir iş uygulamasına uygulanabilmesi için bir uygulamanın etkinliklerinin anlamından bağımsız olması gerekir.
Bu zorluğun çözümü, her bir faaliyeti kendi başına analiz etmek yerine faaliyet dizilerini analiz etmekte yatmaktadır. Bu, iş uygulamalarında kimliği doğrulanmış kullanıcıları izlemek için kullanıcı yolculuklarını (yani oturumları) analiz etmemiz gerektiği anlamına gelir. Bir algılama motoru, her kullanıcı veya grup için tüm tipik yolculukları öğrenir ve bunları tipik yolculuklardan sapan bir yolculuğu algılamak için kullanır.
Bir algılama motorunun ele alması gereken iki ana zorluk şunlardır:
- Her uygulamanın farklı bir faaliyet seti ve günlük formatı vardır.
- Her uygulamada ve uygulamalar arasında tipik kullanıcı yolculuklarını doğru bir şekilde öğrenmemiz gerekiyor.
Algılama Modelinin Standartlaştırılması
Herhangi bir uygulama katmanı günlüğüne bir algılama modeli uygulamak için, her yolculuktan aşağıdaki üç sıra tabanlı özelliği (yani karakteristikleri) çıkarabiliriz:
- Her biri sayısal kodlarla gösterilen etkinlikler kümesi.
- Oturumda etkinliklerin gerçekleştirilme sırası.
- Seans sırasında aktiviteler arasındaki zaman aralıkları.
Bu üç özellik aşağıdakilere uygulanabilir: hiç uygulama oturumuna ve hatta uygulamalar arasındaki oturumlara.
Aşağıdaki şekil, etkinlik modelin perspektifinden sayısal bir kod olduğundan, her biri bir sayı ile gösterilen beş etkinliğe dayalı bir kullanıcı yolculuğunun üç özelliğini göstermektedir.
Uygulamalar Arasında Tipik Kullanıcı Yolculuklarını Öğrenme
Yukarıda açıklandığı gibi, anormal yolculukların tespiti, öğrenmeye dayalıdır. tüm tipik kullanıcı yolculukları. Kümeleme teknolojisi, bu kullanıcı yolculuklarını öğrenmek için benzer veri noktalarını gruplandırır ve her benzer yolculuk grubu için tipik bir kullanıcı yolculuğu oluşturur. Bu süreç, yeni günlük verileri kullanılabilir hale geldikçe sürekli olarak çalışır.
Sistem, kullanıcıya özgü yolculukları öğrendiğinde, algılama çözümü, daha önce öğrenilene benzer olup olmadığını görmek için her yeni yolculuğu kontrol edebilir. Geçerli yolculuk geçmiş oturumlara benzemiyorsa, çözüm bunu bir anormallik olarak işaretler. Mevcut yolculuğu, kullanıcının ait olduğu grupla ilişkili yolculuklarla karşılaştırmak da mümkündür.
Bir algılama çözümü, kümelediği yolculuk sayısında neredeyse doğrusal kalırken ve kaç küme oluşturulacağı konusunda önceden bilgi gerektirmeyen, sıra kümeleme için özel olarak tasarlanmış son derece hassas bir kümeleme motoruna dayanmalıdır. Ek olarak, kümeleme doğruluğunu artırmak için aykırı değerleri algılamalı, bunları veri kümesinden kaldırmalı ve bu aykırı değerleri anormallik olarak tanımlamalıdır. Bu şekilde, benzer kullanıcı yolculuklarından oluşan gruplar oluşturan kümeleme motoru, geçmiş verilerdeki anormal kullanıcı yolculuklarını da tespit edebilir ve bunları anormallik olarak rapor edebilir.