帳戶接管洞察 - Amazon Fraud Detector
選取資料來源準備資料選取資料驗證資料

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

帳戶接管洞察

帳戶接管洞察 (ATI) 模型類型會偵測帳戶是否因惡意接管、網路釣魚或憑證遭竊而遭到入侵,藉此識別詐騙線上活動。帳戶接管見解是一種機器學習模型,它使用來自線上業務的登入事件來訓練模型。

您可以在即時登入流程中內嵌訓練有素的「帳戶接管見解」模型,以偵測帳戶是否遭到入侵。該模型評估了各種身份驗證和登錄類型。其中包括 Web 應用程式登入、API 型驗證和 (SSO)。 single-sign-on 若要使用帳戶接管見解模型,請在出現有效的登入認證後呼叫 GetEventPredictionAPI。API 會產生一個分數,以量化帳戶遭到入侵的風險。Amazon Fraud Detector 會使用您定義的分數和規則,為登入事件傳回一或多個結果。結果是您設定的結果。根據您收到的結果,您可以針對每次登入採取適當的動作。也就是說,您可以批准或挑戰為登錄提供的憑據。例如,您可以通過要求提供帳戶 PIN 作為其他驗證來挑戰憑據。

您也可以使用帳戶接管見解模型以非同步方式評估帳戶登入,並對高風險帳戶採取動作。例如,可將高風險帳戶新增至調查佇列,供人工審核者使用,以判斷是否需要採取進一步的動作,例如暫停帳號。

帳戶接管見解模型是使用包含您企業歷史登入事件的資料集進行訓練。您提供此資料。您可以選擇將帳戶標記為合法或欺詐性帳戶。但是,訓練模型並不需要這樣做。帳戶接管見解模型會根據成功登入帳戶的歷史記錄來偵測異常情況。它也會學習如何偵測使用者行為中的異常情況,進而增加惡意帳戶接管事件的風險。例如,通常從同一組裝置和 IP 位址登入的使用者。欺詐者通常從不同的設備和地理位置登錄。此技術會產生異常活動的風險評分,這通常是惡意帳戶接管的主要特徵。

在訓練帳戶接管洞察模型之前,Amazon Fraud Detector 使用機器學習技術的組合來執行資料豐富、資料彙總和資料轉換。然後,在訓練過程中,Amazon Fraud Detector 會豐富您提供的原始資料元素。原始資料元素的範例包括 IP 位址和使用者代理程式。Amazon Fraud Detector 使用這些元素來建立描述登入資料的其他輸入。這些輸入包括裝置、瀏覽器和地理位置輸入。Amazon Fraud Detector 也會使用您提供的登入資料,持續運算描述過去使用者行為的彙總變數。使用者行為的範例包括使用者從特定 IP 位址登入的次數。使用這些額外的擴充和彙總,Amazon Fraud Detector 可以從您的登入事件中的一小組輸入產生強大的模型效能。

「帳戶接管見解」模型會偵測不良行為者存取合法帳戶的執行個體,無論不良行為者是人類還是機器人。此模型會產生單一分數,指出帳戶遭到入侵的相對風險。可能已遭入侵的帳戶會標示為高風險帳戶。您可以通過以下兩種方式之一處理高風險帳戶。或者,您可以強制執行其他身份驗證。或者,您可以將帳號傳送至佇列以進行手動調查。

選取資料來源

帳戶接管洞察模型是根據內部儲存在 Amazon Fraud Detector 中的資料集進行訓練。若要使用 Amazon Fraud Detector 儲存您的登入事件資料,請建立包含使用者登入事件的 CSV 檔案。針對每個事件,包括登入資料,例如事件時間戳記、使用者 ID、IP 位址、使用者代理程式,以及登入資料是否有效。建立 CSV 檔案後,請先將檔案上傳到 Amazon Fraud Detector,然後使用匯入功能來存放資料。然後,您可以使用儲存的資料來訓練模型。如需使用 Amazon Fraud Detector 儲存事件資料集的詳細資訊,請參閱 使用 Amazon Fraud Detector 在內部存放您的事件資料

準備資料

Amazon Fraud Detector 要求您以逗號分隔值 (CSV) 檔案 (以 UTF-8 格式編碼) 提供使用者帳戶登入資料。CSV 檔案的第一行必須包含檔案標頭。文件頭由描述每個數據元素的事件元數據和事件變量組成。事件數據跟隨標題。事件資料中的每一行都包含來自單一登入事件的資料。

對於帳戶接管見解模型,您必須在 CSV 檔案的標題行中提供下列事件中繼資料和事件變數。

事件元數據

建議您在 CSV 檔案標頭中提供下列中繼資料。事件中繼資料必須是大寫字母。

  • EVENT_ID-登入事件的唯一識別碼。

  • ENTITY_TYPE-執行登入事件的實體,例如商家或客戶。

  • ENTITY_ID-執行登入事件之實體的識別碼。

  • 事件時間戳記-發生登錄事件時的時間戳。時間戳記必須採用 ISO 8601 標準 (世界標準時間)。

  • EVENT_LABEL(建議使用)-將事件分類為欺詐或合法的標籤。您可以使用任何標籤,例如「欺詐」,「合法」,「1」或「0」。

注意

  • 事件中繼資料必須是大寫字母。它是區分大小寫的。

  • 登入事件不需要標籤。不過,我們建議您加入 EVENT_LABEL 中繼資料,並為您的登入事件提供標籤。如果標籤不完整或零星,這很好。如果您提供標籤,Amazon Fraud Detector 會使用這些標籤來自動計算帳戶接管探索率,並將其顯示在模型效能圖表和表格中。

事件變數

對於帳戶接管見解模型,您必須提供必要 (強制) 變數和選用變數。建立變數時,請務必將變數指派給正確的變數類型。做為模型訓練程序的一部分,Amazon Fraud Detector 會使用與變數相關聯的變數類型來執行變數擴充和功能工程。

注意

事件變數名稱必須是小寫字母。它們是區分大小寫的。

強制性變數

訓練「帳戶接管見解」模型時,需要下列變數。

類別 變數類型 描述

IP 地址

IP_ADDRESS

登入事件中使用的 IP 位址

瀏覽器和設備

用戶代理

登入事件中使用的瀏覽器、裝置和作業系統

有效的憑證

有效

指出用於登入的認證是否有效

選擇性變數

下列變數是用於訓練「帳戶接管見解」模型的選用變數。

類別 Type 描述

瀏覽器和設備

指紋

瀏覽器或裝置指紋的唯一識別碼

階段作業 ID

SESSION_ID

驗證工作階段的識別碼

標籤

事件標籤

將事件歸類為詐騙或合法的標籤。您可以使用任何標籤,例如「欺詐」,「合法」,「1」或「0」。

時間戳記

標籤時間戳記

上次更新標籤時的時間戳記。如果提供了事件 _ 標籤,這是必需的。
注意

  • 您可以為這兩個強制性變量可選變量提供任何變量名稱。重要的是,每個強制性和可選變量分配給正確的變量類型。

  • 您可以提供其他變數。但是,Amazon Fraud Detector 不會包含這些變數來訓練帳戶接管洞察模型。

選取資料

收集資料是建立帳戶接管見解模型的重要步驟。開始收集登入資料時,請考慮下列需求和建議:

必要

  • 提供至少 1,500 個使用者帳戶範例,每個範例至少有兩個相關的登入事件。

  • 您的資料集必須涵蓋至少 30 天的登入事件。您稍後可以指定用於訓練模型的事件的特定時間範圍。

建議

  • 您的資料集包含不成功的登入事件範例。您可以選擇將這些失敗的登入標籤為「詐騙」或「合法」。

  • 使用超過六個月的登入事件準備歷史資料,並包含 10 萬個實體。

如果您沒有符合最低需求的資料集,請考慮透過呼叫 SendEventAPI 操作將事件資料串流至 Amazon Fraud Detector。

驗證資料

在建立帳戶接管洞察模型之前,Amazon Fraud Detector 會檢查您在資料集中用於訓練模型的中繼資料和變數是否符合大小和格式要求。如需詳細資訊,請參閱資料集驗證。它還檢查其他要求。如果資料集未通過驗證,則不會建立模型。為了成功創建模型,請確保在再次訓練之前修復未通過驗證的數據。

常見資料集錯誤

在驗證資料集以訓練帳戶接管洞察模型時,Amazon Fraud Detector 會掃描這些問題和其他問題,並在遇到一或多個問題時擲回錯誤。

  • CSV 檔案不是使用 UTF-8 格式的檔案。

  • CSV 檔案標頭不包含下列至少一個中繼資料:EVENT_IDENTITY_ID、或EVENT_TIMESTAMP

  • CSV 檔案標頭不包含下列變數類型的至少一個變數:IP_ADDRESSUSERAGENT、或VALIDCRED

  • 有一個以上的變量是與相同的變量類型相關聯。

  • 中超過 0.1% 的值EVENT_TIMESTAMP包含空值或受支援的日期和時間戳記格式以外的值。

  • 第一個事件和最後一個事件之間的天數少於 30 天。

  • 變數類型的IP_ADDRESS變數有 10% 以上為無效或空值。

  • 超過 50% 的變量類型的USERAGENT變量包含空值。

  • 變數類型的所有VALIDCRED變數都設定為false