本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
帳戶接管洞察
帳戶接管洞察 (ATI) 模型類型透過偵測帳戶是否透過惡意接管、網路釣魚或遭竊的登入資料入侵,來識別詐騙線上活動。Account Takeover Insights 是一種機器學習模型,使用來自線上業務的登入事件來訓練模型。
您可以在即時登入流程中嵌入訓練過的 Account Takeover Insights 模型,以偵測帳戶是否遭到入侵。此模型會評估各種身分驗證和登入類型。其中包括 Web 應用程式登入、API 型身分驗證和single-sign-on(SSO)。若要使用 Account Takeover Insights 模型,請在顯示有效的登入憑證後呼叫 GetEventPrediction API。API 會產生分數,以量化帳戶遭到入侵的風險。Amazon Fraud Detector 會使用分數和您定義的規則,來傳回一或多個登入事件的結果。結果是您設定的結果。根據您收到的結果,您可以針對每次登入採取適當動作。也就是說,您可以核准或挑戰為登入提供的登入資料。例如,您可以要求帳戶 PIN 做為額外的驗證,來挑戰登入資料。
您也可以使用 Account Takeover Insights 模型以非同步方式評估帳戶登入,並對高風險帳戶採取動作。例如,可將高風險帳戶新增至調查佇列,供人工審核人員判斷是否需要採取進一步動作,例如暫停帳戶。
Account Takeover Insights 模型使用包含您業務歷史登入事件的資料集進行訓練。您提供此資料。您可以選擇將帳戶標記為合法或詐騙。不過,這並非訓練模型的必要條件。帳戶接管洞見模型會根據帳戶成功登入的歷史記錄偵測異常。其也會了解如何偵測使用者行為中的異常情況,而這些異常情況顯示惡意帳戶接管事件的風險增加。例如,通常從相同裝置集和 IP 地址登入的使用者。詐騙者通常會從不同的裝置和地理位置登入。此技術會產生異常活動的風險分數,通常是惡意帳戶接管的主要特徵。
在訓練 Account Takeover Insights 模型之前,Amazon Fraud Detector 會使用機器學習技術的組合來執行資料擴充、資料彙總和資料轉換。然後,在訓練過程中,Amazon Fraud Detector 會充實您提供的原始資料元素。原始資料元素的範例包括 IP 地址和使用者代理程式。Amazon Fraud Detector 使用這些元素來建立描述登入資料的其他輸入。這些輸入包括裝置、瀏覽器和地理位置輸入。Amazon Fraud Detector 也會使用您提供的登入資料,持續運算描述過去使用者行為的彙總變數。使用者行為的範例包括使用者從特定 IP 地址登入的次數。Amazon Fraud Detector 可以使用這些額外的擴充功能和彙總功能,從登入事件的一小組輸入產生強大的模型效能。
Account Takeover Insights 模型會偵測由不良行為者存取合法帳戶的執行個體,無論該不良行為者是人類還是機器人。此模型會產生單一分數,指出帳戶遭到入侵的相對風險。可能已遭入侵的帳戶會標記為高風險帳戶。您可以透過兩種方式之一來處理高風險帳戶。您可以強制執行額外的身分驗證。或者,您可以將帳戶傳送至佇列以進行手動調查。
選取資料來源
Account Takeover Insights 模型是在 Amazon Fraud Detector 內部存放的資料集上進行訓練。若要使用 Amazon Fraud Detector 存放您的登入事件資料,請使用 使用者的登入事件建立 CSV 檔案。對於每個事件,請包含登入資料,例如事件時間戳記、使用者 ID、IP 地址、使用者代理程式,以及登入資料是否有效。建立 CSV 檔案後,請先將檔案上傳至 Amazon Fraud Detector,然後使用匯入功能來存放資料。然後,您可以使用儲存的資料來訓練模型。如需使用 Amazon Fraud Detector 存放事件資料集的詳細資訊,請參閱 使用 Amazon Fraud Detector 在內部存放事件資料
準備資料
Amazon Fraud Detector 要求您以以 UTF-8 格式編碼的逗號分隔值 (CSV) 檔案提供使用者帳戶登入資料。CSV 檔案的第一行必須包含檔案標頭。檔案標頭包含事件中繼資料和描述每個資料元素的事件變數。事件資料遵循 標頭。事件資料中的每行都包含來自單一登入事件的資料。
對於帳戶接管洞見模型,您必須在 CSV 檔案的標頭列中提供下列事件中繼資料和事件變數。
事件中繼資料
建議您在 CSV 檔案標頭中提供下列中繼資料。事件中繼資料必須為大寫字母。
EVENT_ID - 登入事件的唯一識別符。
ENTITY_TYPE - 執行登入事件的實體,例如商家或客戶。
ENTITY_ID - 執行登入事件之實體的識別符。
EVENT_TIMESTAMP - 發生登入事件時的時間戳記。時間戳記必須在 UTC 中為 ISO 8601 標準。
EVENT_LABEL (建議) - 將事件分類為詐騙或合法的標籤。您可以使用任何標籤,例如「詐騙」、「合法」、「1」或「0」。
注意
事件中繼資料必須為大寫字母。區分大小寫。
登入事件不需要標籤。不過,我們建議您包含 EVENT_LABEL 中繼資料,並提供登入事件的標籤。如果標籤不完整或偶發,沒問題。如果您提供標籤,Amazon Fraud Detector 將使用它們自動計算帳戶接管探索率,並將其顯示在模型效能圖表和資料表中。
事件變數
對於帳戶接管洞見模型,您必須提供必要 (強制性) 變數和選用變數。建立變數時,請務必將變數指派給正確的變數類型。作為模型訓練程序的一部分,Amazon Fraud Detector 會使用與 變數相關聯的變數類型來執行變數擴充和特徵工程。
注意
事件變數名稱必須以小寫字母表示。它們區分大小寫。
強制性變數
訓練 Accounts Takeover Insights 模型時需要下列變數。
| 類別 | 變數類型 | 描述 |
|---|---|---|
IP 地址 |
IP_ADDRESS |
登入事件中使用的 IP 地址 |
瀏覽器和裝置 |
USERAGENT |
登入事件中使用的瀏覽器、裝置和作業系統 |
有效的登入資料 |
VALIDCRED |
指示用於登入的登入資料是否有效 |
選用變數
下列變數是訓練 Accounts Takeover Insights 模型的選用變數。
| 類別 | Type | 描述 |
|---|---|---|
瀏覽器和裝置 |
FINGERPRINT |
瀏覽器或裝置指紋的唯一識別符 |
工作階段 ID |
SESSION_ID |
驗證工作階段的識別符 |
標籤 |
EVENT_LABEL |
將事件分類為詐騙或合法的標籤。您可以使用任何標籤,例如「詐騙」、「合法」、「1」或「0」。 |
時間戳記 |
LABEL_TIMESTAMP |
上次更新標籤時的時間戳記。如果提供 EVENT_LABEL,則此為必要項目。 |
注意
您可以為兩個強制性變數選用變數提供任何變數名稱。請務必將每個強制和選用變數指派給正確的變數類型。
您可以提供額外的變數。不過,Amazon Fraud Detector 不會包含這些變數來訓練 Account Takeover Insights 模型。
選取資料
收集資料是建立帳戶接管洞見模型的重要步驟。當您開始收集登入資料時,請考慮下列要求和建議:
必要
-
提供至少 1,500 個使用者帳戶範例,每個帳戶至少有兩個相關聯的登入事件。
-
您的資料集必須至少涵蓋 30 天的登入事件。您可以稍後指定要用來訓練模型的事件特定時間範圍。
建議
您的資料集包含失敗登入事件的範例。您可以選擇將這些失敗的登入標記為「詐騙」或「合法」。
使用跨超過六個月的登入事件準備歷史資料,並包含 100K個實體。
如果您沒有已符合最低需求的資料集,請考慮呼叫 SendEvent API 操作,將事件資料串流至 Amazon Fraud Detector。
驗證資料
在建立帳戶接管洞察模型之前,Amazon Fraud Detector 會檢查您資料集中包含的中繼資料和變數,以訓練模型是否符合大小和格式需求。如需詳細資訊,請參閱資料集驗證。它也會檢查其他要求。如果資料集未通過驗證,則不會建立模型。若要成功建立模型,請務必在再次訓練之前修正未通過驗證的資料。
常見的資料集錯誤
驗證資料集以訓練 Account Takeover Insights 模型時,Amazon Fraud Detector 會掃描這些問題和其他問題,並在遇到一或多個問題時擲回錯誤。
CSV 檔案不是 UTF-8 格式。
CSV 檔案標頭至少不包含下列其中一個中繼資料:
EVENT_ID、ENTITY_ID或EVENT_TIMESTAMP。CSV 檔案標頭不包含下列變數類型的至少一個變數:
IP_ADDRESS、USERAGENT或VALIDCRED。有一個以上的變數與相同的變數類型相關聯。
中超過 0.1% 的值
EVENT_TIMESTAMP包含 null 或值,而非支援的日期和時間戳記格式。第一個事件和最後一個事件之間的天數少於 30 天。
超過 10% 的變數
IP_ADDRESS類型是無效或 null。超過 50% 的變數
USERAGENT類型包含 null。VALIDCRED變數類型的所有變數都會設定為false。
