Einblicke in die Kontoübernahme - Amazon Fraud Detector

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einblicke in die Kontoübernahme

Der Modelltyp Account Takeover Insights (ATI) identifiziert betrügerische Online-Aktivitäten, indem er erkennt, ob Konten durch böswillige Übernahmen, Phishing oder durch gestohlene Anmeldeinformationen kompromittiert wurden. Account Takeover Insights ist ein Machine-Learning-Modell, das Anmeldeereignisse aus Ihrem Online-Unternehmen verwendet, um das Modell zu trainieren.

Sie können ein trainiertes Account Takeover Insights-Modell in Ihren Echtzeit-Anmeldeablauf einbetten, um festzustellen, ob ein Konto kompromittiert wurde. Das Modell bewertet eine Vielzahl von Authentifizierungs- und Anmeldetypen. Dazu gehören Webanwendungsanmeldungen, API-basierte Authentifizierungen und single-sign-on (SSO). Um das Modell Account Takeover Insights zu verwenden, rufen Sie die GetEventPrediction-API auf, nachdem gültige Anmeldeinformationen vorgelegt wurden. Die API generiert eine Punktzahl, die das Risiko einer Kompromittierung des Kontos quantifiziert. Amazon Fraud Detector verwendet die Punktzahl und die von Ihnen definierten Regeln, um ein oder mehrere Ergebnisse für die Anmeldeereignisse zurückzugeben. Die Ergebnisse sind diejenigen, die Sie konfiguriert haben. Basierend auf den Ergebnissen, die Sie erhalten, können Sie für jede Anmeldung entsprechende Maßnahmen ergreifen. Das heißt, Sie können die Anmeldeinformationen für die Anmeldung entweder genehmigen oder in Frage stellen. Sie können die Anmeldeinformationen beispielsweise in Frage stellen, indem Sie eine Konto-PIN als zusätzliche Verifizierung anfordern.

Sie können das Account Takeover Insights-Modell auch verwenden, um Kontoanmeldungen asynchron zu bewerten und Aktionen für Konten mit hohem Risiko durchzuführen. Beispielsweise kann ein Konto mit hohem Risiko zur Untersuchungswarteschlange für einen menschlichen Prüfer hinzugefügt werden, um festzustellen, ob weitere Maßnahmen ergriffen werden müssen, z. B. das Konto aussetzen.

Das Modell Account Takeover Insights wird anhand eines Datensatzes trainiert, der die historischen Anmeldeereignisse Ihres Unternehmens enthält. Sie geben diese Daten an. Sie können die Konten optional als legitime oder betrügerische Konten kennzeichnen. Dies ist jedoch nicht erforderlich, um das Modell zu trainieren. Das Modell Account Takeover Insights erkennt Anomalien basierend auf dem Verlauf erfolgreicher Anmeldungen eines Kontos. Außerdem erfahren Sie, wie Sie Anomalien im Verhalten eines Benutzers erkennen, die auf ein erhöhtes Risiko einer schädlichen Kontoübernahme hindeuten. Zum Beispiel ein Benutzer, der sich normalerweise von demselben Satz von Geräten und IP-Adressen aus anmeldet. Ein Betrüger meldet sich in der Regel von einem anderen Gerät und einer anderen Geolokalisierung an. Diese Technik erzeugt eine Risikobewertung für eine Aktivität, die ungewöhnlich ist, was in der Regel ein Hauptmerkmal bösartiger Kontoübernahmen ist.

Vor dem Training eines Account Takeover Insights-Modells verwendet Amazon Fraud Detector eine Kombination von Machine Learning-Techniken, um Datenanreicherung, Datenaggregation und Datentransformation durchzuführen. Anschließend reichert Amazon Fraud Detector während des Trainingsprozesses die von Ihnen bereitgestellten Rohdatenelemente an. Beispiele für Rohdatenelemente sind IP-Adresse und Benutzeragent. Amazon Fraud Detector verwendet diese Elemente, um zusätzliche Eingaben zu erstellen, die die Anmeldedaten beschreiben. Zu diesen Eingaben gehören die Eingaben für Gerät, Browser und Geolokalisierung. Amazon Fraud Detector verwendet auch die von Ihnen bereitgestellten Anmeldedaten, um kontinuierlich aggregierte Variablen zu berechnen, die das Verhalten früherer Benutzer beschreiben. Beispiele für das Benutzerverhalten sind die Häufigkeit, mit der sich der Benutzer von einer bestimmten IP-Adresse aus angemeldet hat. Mithilfe dieser zusätzlichen Anreicherungen und Aggregate kann Amazon Fraud Detector aus einer kleinen Menge von Eingaben aus Ihren Anmeldeereignissen eine starke Modellleistung generieren.

Das Account-Capover-Insights-Modell erkennt Instances, auf die ein böswilliger Akteur auf ein legitimes Konto zugreift, unabhängig davon, ob es sich bei dem böswilligen Akteur um einen Menschen oder einen Roboter handelt. Das Modell erzeugt eine einzelne Punktzahl, die das relative Risiko einer Kontokompromittierung angibt. Konten, die möglicherweise kompromittiert wurden, werden als Konten mit hohem Risiko gekennzeichnet. Sie können Konten mit hohem Risiko auf zwei Arten verarbeiten. Entweder können Sie eine zusätzliche Identitätsprüfung erzwingen. Oder Sie können das Konto zur manuellen Untersuchung an eine Warteschlange senden.

Auswählen der Datenquelle

Modelle von Account Takeover Insights werden anhand eines intern in Amazon Fraud Detector gespeicherten Datensatzes trainiert. Um Ihre Anmeldeereignisdaten mit Amazon Fraud Detector zu speichern, erstellen Sie eine CSV-Datei mit Anmeldeereignissen von Benutzern. Geben Sie für jedes Ereignis Anmeldedaten wie den Zeitstempel des Ereignisses, die Benutzer-ID, die IP-Adresse, den Benutzeragenten und ob die Anmeldedaten gültig sind, an. Nachdem Sie die CSV-Datei erstellt haben, laden Sie die Datei zuerst in Amazon Fraud Detector hoch und verwenden Sie dann die Importfunktion, um die Daten zu speichern. Anschließend können Sie Ihr Modell mit den gespeicherten Daten trainieren. Weitere Informationen zum Speichern Ihres Ereignisdatensatzes mit Amazon Fraud Detector finden Sie unter . Speichern Sie Ihre Eventdaten intern mit Amazon Fraud Detector

Vorbereiten von Daten

Amazon Fraud Detector erfordert, dass Sie Ihre Benutzerkonto-Anmeldedaten in einer CSV-Datei (durch Kommas getrennte Werte) bereitstellen, die im UTF-8-Format codiert ist. Die erste Zeile Ihrer CSV-Datei muss einen Datei-Header enthalten. Der Datei-Header besteht aus Ereignismetadaten und Ereignisvariablen, die jedes Datenelement beschreiben. Ereignisdaten folgen dem -Header. Jede Zeile in den Ereignisdaten besteht aus Daten aus einem einzigen Anmeldeereignis.

Für das Modell Account Takeover Insights müssen Sie die folgenden Ereignismetadaten und Ereignisvariablen in der Kopfzeile Ihrer CSV-Datei angeben.

Ereignismetadaten

Wir empfehlen Ihnen, die folgenden Metadaten in Ihrem CSV-Datei-Header anzugeben. Die Ereignismetadaten müssen in Großbuchstaben angegeben werden.

  • EVENT_ID – Eine eindeutige Kennung für das Anmeldeereignis.

  • ENTITY_TYPE – Die Entität, die das Anmeldeereignis durchführt, z. B. ein Händler oder ein Kunde.

  • ENTITY_ID – Eine Kennung für die Entität, die das Anmeldeereignis ausführt.

  • EVENT_TIMESTAMP – Der Zeitstempel des Anmeldeereignisses. Der Zeitstempel muss im ISO 8601-Standard in UTC vorliegen.

  • EVENT_LABEL (empfohlen) – Ein Label, das das Ereignis als betrügerisches oder legitimes Ereignis klassifiziert. Sie können alle Bezeichnungen verwenden, z. B. „d“, „legit“, „1“ oder „0“.

Anmerkung
  • Ereignismetadaten müssen in Großbuchstaben angegeben werden. Bei der Groß- und Kleinschreibung wird zwischen Groß- und Kleinschreibung unterschieden.

  • Labels sind für Anmeldeereignisse nicht erforderlich. Wir empfehlen jedoch, EVENT_LABEL-Metadaten einzuschließen und Labels für Ihre Anmeldeereignisse bereitzustellen. Es ist in Ordnung, wenn die Beschriftungen unvollständig oder sporadisch sind. Wenn Sie Labels angeben, berechnet Amazon Fraud Detector anhand dieser Labels automatisch eine Rate zur Kontoübernahmeerkennung und zeigt sie in der Modellleistungstabelle und -tabelle an.

Ereignisvariablen

Für das Modell Account Takeover Insights gibt es sowohl erforderliche (Verzeichnis-) Variablen, die Sie angeben müssen, als auch optionale Variablen. Wenn Sie Ihre Variablen erstellen, müssen Sie die Variable dem richtigen Variablentyp zuweisen. Im Rahmen des Modelltrainingsprozesses verwendet Amazon Fraud Detector den Variablentyp, der der Variablen zugeordnet ist, um die Anreicherung von Variablen und das Feature-Engineering durchzuführen.

Anmerkung

Namen von Ereignisvariablen müssen in Kleinbuchstaben geschrieben werden. Bei ihnen wird zwischen Groß- und Kleinschreibung unterschieden.

Obligatorische Variablen

Die folgenden Variablen sind erforderlich, um ein Modell von Account Takeover Insights zu trainieren.

Kategorie Variablentyp Beschreibung

IP-Adresse

IP_ADDRESS

Die IP-Adresse, die im Anmeldeereignis verwendet wird

Browser und Gerät

BENUTZER

Browser, Gerät und Betriebssystem, die im Anmeldeereignis verwendet werden

Gültige Anmeldeinformationen

GÜLTIG

Gibt an, ob die Anmeldeinformationen, die für die Anmeldung verwendet wurden, gültig sind

Optionale Variablen

Die folgenden Variablen sind optional, um ein Modell von Account Takeover Insights zu trainieren.

Kategorie Typ Beschreibung

Browser und Gerät

FINGER-W dabei

Die eindeutige Kennung für einen Browser oder Geräte-Fingerabdruck

Sitzungs-ID

SESSION_ID

Die Kennung für eine Authentifizierungssitzung

Label (Bezeichnung)

EVENT_LABEL

Ein Label, das das Ereignis als betrügerische oder legitimes Ereignis klassifiziert. Sie können alle Bezeichnungen verwenden, z. B. „d“, „legit“, „1“ oder „0“.

Zeitstempel

LABEL_TIMESTAMP

Der Zeitstempel der letzten Aktualisierung des Labels. Dies ist erforderlich, wenn EVENT_LABEL bereitgestellt wird.

Anmerkung
  • Sie können alle Variablennamen für beide obligatorischen Variablen angeben. Es ist wichtig, dass jede obligatorische und optionale Variable dem richtigen Variablentyp zugewiesen ist.

  • Sie können zusätzliche Variablen angeben. Amazon Fraud Detector wird diese Variablen jedoch nicht für das Training eines Modells von Account Takeover Insights enthalten.

Auswählen von Daten

Das Sammeln von Daten ist ein wichtiger Schritt bei der Erstellung Ihres Account-Capover-Insights-Modells. Berücksichtigen Sie beim Sammeln Ihrer Anmeldedaten die folgenden Anforderungen und Empfehlungen:

Erforderlich

  • Geben Sie mindestens 1 500 Beispiele für Benutzerkonten an, die jeweils mindestens zwei zugehörige Anmeldeereignisse aufweisen.

  • Ihr Datensatz muss Anmeldeereignisse von mindestens 30 Tagen abdecken. Sie können später den spezifischen Zeitraum der Ereignisse angeben, die zum Trainieren des Modells verwendet werden sollen.

Empfohlen

  • Ihr Datensatz enthält Beispiele für erfolglose Anmeldeereignisse. Sie können diese erfolglosen Anmeldungen optional als „Betrüger“ oder „Legatisch“ kennzeichnen.

  • Bereiten Sie historische Daten mit Anmeldeereignissen vor, die sich über mehr als sechs Monate erstrecken und 100K.000 Entitäten enthalten.

Wenn Sie keinen Datensatz haben, der bereits die Mindestanforderungen erfüllt, sollten Sie erwägen, Ereignisdaten an Amazon Fraud Detector zu streamen, indem Sie den SendEvent -API-Vorgang aufrufen.

Validieren von Daten

Bevor Sie Ihr Account-Capover-Insights-Modell erstellen, prüft Amazon Fraud Detector, ob die Metadaten und Variablen, die Sie zum Trainieren des Modells in Ihren Datensatz aufgenommen haben, die Größen- und Formatanforderungen erfüllen. Weitere Informationen finden Sie unter Datensatzvalidierung. Es prüft auch auf andere Anforderungen. Wenn der Datensatz nicht validiert wird, wird das Modell nicht erstellt. Damit das Modell erfolgreich erstellt werden kann, stellen Sie sicher, dass Sie die Daten korrigieren, die die Validierung nicht bestanden haben, bevor Sie erneut trainieren.

Häufige Datensatzfehler

Bei der Validierung eines Datensatzes für das Training eines -Kontoübernahme-Insights-Modells sucht Amazon Fraud Detector nach diesen und anderen Problemen und gibt einen Fehler aus, wenn eines oder mehrere der Probleme auftreten.

  • Die CSV-Datei hat nicht das UTF-8-Format.

  • Der CSV-Datei-Header enthält nicht mindestens eines der folgenden Metadaten: EVENT_IDENTITY_ID, oder EVENT_TIMESTAMP.

  • Der CSV-Datei-Header enthält nicht mindestens eine Variable der folgenden Variablentypen: IP_ADDRESSUSERAGENT, oder VALIDCRED.

  • Es gibt mehr als eine Variable, die demselben Variablentyp zugeordnet ist.

  • Mehr als 0,1 % der Werte in EVENT_TIMESTAMP enthalten Null-Werte oder andere Werte als die unterstützten Datums- und Zeitstempelformate.

  • Die Anzahl der Tage zwischen dem ersten und dem letzten Ereignis beträgt weniger als 30 Tage.

  • Mehr als 10 % der Variablen des IP_ADDRESS Variablentyps sind entweder ungültig oder null.

  • Mehr als 50 % der Variablen des USERAGENT Variablentyps enthalten Null-Werte.

  • Alle Variablen des VALIDCRED Variablentyps sind auf festgelegtfalse.