アカウント乗っ取りインサイト - Amazon Fraud Detector
データソースの選択データの準備データの選択データの検証

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アカウント乗っ取りインサイト

アカウント乗っ取りインサイト (ATI) モデルタイプは、悪意のある乗っ取り、フィッシング、または認証情報の盗難によってアカウントが侵害されたかどうかを検出することで、オンライン上の不正なアクティビティを識別します。Account Takeover Insights は、オンラインビジネスからのログインイベントを使用してモデルをトレーニングする機械学習モデルです。

トレーニング済みのアカウント乗っ取りインサイトモデルをリアルタイムログインフローに埋め込んで、アカウントが侵害されているかどうかを検出できます。このモデルは、さまざまな認証およびログインタイプを評価します。これには、ウェブアプリケーションのログイン、API ベースの認証、および single-sign-on (SSO) が含まれます。アカウント乗っ取りインサイトモデルを使用するには、有効なログイン認証情報が表示されたら GetEventPrediction API を呼び出します。API は、アカウントが侵害されるリスクを定量化するスコアを生成します。Amazon Fraud Detector は、スコアと定義したルールを使用して、ログインイベントの結果を 1 つ以上返します。結果は、設定した結果です。受け取った結果に基づいて、ログインごとに適切なアクションを実行できます。つまり、ログインに提示された認証情報を承認またはチャレンジできます。例えば、追加の検証としてアカウント PIN を要求することで、認証情報にチャレンジできます。

アカウント乗っ取りインサイトモデルを使用して、アカウントログインを非同期的に評価し、リスクの高いアカウントに対してアクションを実行することもできます。例えば、高リスクのアカウントを人間によるレビューワーの調査キューに追加して、アカウントの停止など、さらにアクションを実行する必要があるかどうかを判断できます。

アカウント乗っ取りインサイトモデルは、ビジネスのログインイベントの履歴を含むデータセットを使用してトレーニングされます。このデータを指定します。オプションで、アカウントを正当なものとして、または不正なものとしてラベル付けできます。ただし、モデルのトレーニングには必要ありません。アカウント乗っ取りインサイトモデルは、アカウントの正常なログイン履歴に基づいて異常を検出します。また、悪意のあるアカウント乗っ取りのイベントのリスクを高めることを示すユーザーの行動の異常を検出する方法についても説明します。例えば、通常、同じ一連のデバイスと IP アドレスからログインするユーザーなどです。不正行為者は通常、別のデバイスと位置情報からログインします。この手法では、アクティビティが異常であるリスクスコアを生成します。これは通常、悪意のあるアカウント乗っ取りの主な特徴です。

アカウント乗っ取りインサイトモデルをトレーニングする前に、Amazon Fraud Detector は機械学習技術を組み合わせて、データの強化、データ集約、およびデータ変換を実行します。次に、トレーニングプロセス中に、Amazon Fraud Detector は指定した raw データ要素を強化します。raw データ要素の例としては、IP アドレスやユーザーエージェントなどがあります。Amazon Fraud Detector は、これらの要素を使用して、ログインデータを記述する追加の入力を作成します。これらの入力には、デバイス、ブラウザ、ジオロケーション入力が含まれます。Amazon Fraud Detector は、指定したログインデータも使用して、過去のユーザーの動作を説明する集計変数を継続的に計算します。ユーザー動作の例には、ユーザーが特定の IP アドレスからサインインした回数が含まれます。これらの追加のエンリッチメントとアグリゲートを使用すると、Amazon Fraud Detector はログインイベントからの少数の入力から強力なモデルパフォーマンスを生成できます。

アカウント乗っ取りインサイトモデルは、悪意のあるアクターが人間かロボットかにかかわらず、悪意のあるアクターによって正当なアカウントがアクセスされたインスタンスを検出します。このモデルは、アカウント侵害の相対リスクを示す単一のスコアを生成します。侵害された可能性があるアカウントには、高リスクアカウントとしてフラグが付けられます。高リスクのアカウントは、2 つの方法のいずれかで処理できます。または、追加の ID 検証を適用することもできます。または、手動調査のためにアカウントをキューに送信することもできます。

データソースの選択

アカウント乗っ取りインサイトモデルは、Amazon Fraud Detector の内部に保存されているデータセットでトレーニングされます。Amazon Fraud Detector を使用してログインイベントデータを保存するには、ユーザーのログインイベントを含む CSV ファイルを作成します。イベントごとに、イベントのタイムスタンプ、ユーザー ID、IP アドレス、ユーザーエージェント、ログインデータが有効かどうかなどのログインデータを含めます。CSV ファイルを作成したら、まずファイルを Amazon Fraud Detector にアップロードし、インポート機能を使用してデータを保存します。その後、保存されたデータを使用してモデルをトレーニングできます。Amazon Fraud Detector を使用したイベントデータセットの保存の詳細については、「」を参照してください。 Amazon Fraud Detector を使用してイベントデータを社内に保存する

データの準備

Amazon Fraud Detector では、UTF-8 形式でエンコードされたカンマ区切り値 (CSV) ファイルでユーザーアカウントのログインデータを指定する必要があります。CSV ファイルの最初の行には、ファイルヘッダーが含まれている必要があります。ファイルヘッダーは、各データ要素を記述するイベントメタデータとイベント変数で構成されます。イベントデータは ヘッダーに従います。イベントデータの各行は、単一のログインイベントからのデータで構成されます。

アカウント乗っ取りインサイトモデルでは、CSV ファイルのヘッダー行に次のイベントメタデータとイベント変数を指定する必要があります。

イベントメタデータ

CSV ファイルヘッダーには、次のメタデータを指定することをお勧めします。イベントメタデータは大文字にする必要があります。

  • EVENT_ID - ログインイベントの一意の識別子。

  • ENTITY_TYPE - マーチャントや顧客など、ログインイベントを実行するエンティティ。

  • ENTITY_ID - ログインイベントを実行するエンティティの識別子。

  • EVENT_TIMESTAMP - ログインイベントが発生したときのタイムスタンプ。タイムスタンプは UTC の ISO 8601 標準である必要があります。

  • EVENT_LABEL (推奨) - イベントを不正または正当として分類するラベル。「fraud」、「legit」、「1」、「0」など、任意のラベルを使用できます。

注記

  • イベントメタデータは大文字である必要があります。大文字と小文字が区別されます。

  • ログインイベントにはラベルは必要ありません。ただし、EVENT_LABEL メタデータを含めて、ログインイベントのラベルを指定することをお勧めします。ラベルが不完全または散発的である場合は問題ありません。ラベルを指定すると、Amazon Fraud Detector はラベルを使用してアカウント乗っ取り検出レートを自動的に計算し、モデルのパフォーマンスチャートとテーブルに表示します。

イベント変数

アカウント乗っ取りインサイトモデルには、必須の (必須の) 変数とオプションの変数の両方を指定する必要があります。変数を作成するときは、変数を適切な変数タイプに割り当ててください。モデルトレーニングプロセスの一環として、Amazon Fraud Detector は変数に関連付けられている変数タイプを使用して、変数エンリッチメントと特徴量エンジニアリングを実行します。

注記

イベント変数名は小文字にする必要があります。大文字と小文字が区別されます。

必須変数

アカウント乗っ取りインサイトモデルのトレーニングには、次の変数が必要です。

カテゴリ 変数タイプ 説明

IP アドレス

IP_ADDRESS

ログインイベントで使用される IP アドレス

ブラウザとデバイス

USERAGENT

ログインイベントで使用されるブラウザ、デバイス、OS

有効な認証情報

有効

ログインに使用された認証情報が有効かどうかを示します。

オプションの変数

アカウント乗っ取りインサイトモデルのトレーニングでは、次の変数はオプションです。

カテゴリ タイプ 説明

ブラウザとデバイス

FINGERPRINT

ブラウザまたはデバイスのフィンガープリントの一意の識別子

セッション ID

SESSION_ID

認証セッションの識別子

ラベル

EVENT_LABEL

イベントを不正または正当として分類するラベル。「fraud」、「legit」、「1」、「0」など、任意のラベルを使用できます。

タイムスタンプ

LABEL_TIMESTAMP

ラベルが最後に更新されたときのタイムスタンプ。これは、EVENT_LABEL が指定されている場合に必要です。
注記

  • 両方の必須変数オプション変数に任意の変数名を指定できます。必須変数とオプションの変数をそれぞれ適切な変数タイプに割り当てることが重要です。

  • 追加の変数を指定できます。ただし、Amazon Fraud Detector には、アカウント乗っ取りインサイトモデルのトレーニングのためのこれらの変数は含まれません。

データの選択

データを収集することは、アカウント乗っ取りインサイトモデルを作成するための重要なステップです。ログインデータの収集を開始するときは、次の要件と推奨事項を考慮してください。

必須

  • 少なくとも 1,500 個のユーザーアカウントの例を示し、それぞれに少なくとも 2 つのログインイベントが関連付けられています。

  • データセットには、少なくとも 30 日間のログインイベントが含まれている必要があります。後で、モデルのトレーニングに使用するイベントの特定の時間範囲を指定できます。

推奨

  • データセットには、失敗したログインイベントの例が含まれています。オプションで、失敗したログインに「不正」または「正当」のラベルを付けることができます。

  • 6 か月を超えるログインイベントで履歴データを準備し、100K 個のエンティティを含めます。

すでに最小要件を満たしているデータセットがない場合は、 SendEvent API オペレーションを呼び出して Amazon Fraud Detector にイベントデータをストリーミングすることを検討してください。

データの検証

アカウント乗っ取りインサイトモデルを作成する前に、Amazon Fraud Detector は、モデルのトレーニングのためにデータセットに含めたメタデータと変数がサイズと形式の要件を満たしているかどうかを確認します。詳細については、「データセットの検証」を参照してください。また、他の要件もチェックします。データセットが検証に合格しない場合、モデルは作成されません。モデルを正常に作成するには、再トレーニングする前に、検証に合格しなかったデータを修正してください。

一般的なデータセットエラー

Account Takeover Insights モデルのトレーニング用にデータセットを検証すると、Amazon Fraud Detector はこれらの問題やその他の問題をスキャンし、1 つ以上の問題が発生した場合にエラーをスローします。

  • CSV ファイルは UTF-8 形式ではない。

  • CSV ファイルヘッダーには、、EVENT_IDENTITY_IDまたは のメタデータが少なくとも 1 つ含まれていませんEVENT_TIMESTAMP

  • CSV ファイルヘッダーには、、IP_ADDRESSUSERAGENTまたは の変数タイプの変数が少なくとも 1 つ含まれていませんVALIDCRED

  • 同じ変数タイプに関連付けられている変数が複数あります。

  • の 0.1% を超える値には、サポートされている日付とタイムスタンプ形式以外の NULL または値EVENT_TIMESTAMPが含まれています。

  • 最初のイベントから最後のイベントまでの日数は 30 日未満です。

  • 変数タイプのIP_ADDRESS変数の 10% 以上が無効なか null です。

  • 変数タイプのUSERAGENT変数の 50% 以上が null を含んでいます。

  • 変数タイプのすべてのVALIDCRED変数は に設定されますfalse