DataVisor David Ting:为什么无监督机器学习是未来网络安全的选择

欺诈分子每天都在攻击企业并尽量伪装成正常用户行为活动,长此以往,企业便很难区分合法行为和欺诈行为之间的差异。在本文中,DataVisor技术副总裁David Ting将详细阐述有监督机器学习和无监督机器学习,以及为什么要采用后者来检测未知网络欺诈。

欺诈检测就像是猫鼠游戏。随着检测技术和欺诈防护系统的升级,欺诈者也在不断升级他们的攻击模式,以发现新的漏洞和弱点 – 所以在这时检测系统又需进行加强。

但是这一情况也许将发生变化。企业也许难以通过传统检测规则来预防欺诈攻击。在传统的反欺诈检测下,欺诈分子在攻击企业时显得十分熟练和难以检测。广泛可用的云服务使欺诈者可以轻松使用在线工具,如僵尸网络,代理服务器和自动化脚本等。欺诈分子也会使用不同的攻击策略进行混淆以逃避检测 – 像虚拟设备,模仿真实的用户活动,或让帐户在发起攻击之前进行数周的休眠。

这些意味着企业越来越难以区分正常用户和欺诈用户之间的活动区别。

有监督机器学习和无监督机器学习

为了应对不断发展的欺诈攻击,安全服务商一直致力于通过提升分析能力和机器学习技术,增强欺诈检测。现在,已经有许多企业使用机器学习技术来发现各类恶意行为,包括大规模虚假账号注册、欺诈交易、身份盗用等等。

大多数用于欺诈检测的机器学习解决方案采用的是有监督机器学习的方法,其提供了许多优于传统规则的优点。它不需要人工手动创建,测试和部署。相反,这些模型会使用来基于欺诈活动的历史案例的“标签”自动地进行自我训练。这样可以大大减少保持欺诈检测逻辑更新所需的人力和物力成本。

但是,如果我们只依靠历史数据来训练模型,有监督机器学习系统将只识别已知的欺诈模式。虽然有监督的机器学习模式确实比基于规则的检测系统有所提升,但它们受限于历史经验,这意味难以预测未来未知欺诈模式。

那么,如果有监督机器学习系统遭遇新型的欺诈攻击,又会发生什么?在这种情况下,需要依靠技术人员手动生成新模式的标签重新训练模型。但在现在在几天甚至一天之内,欺诈分子会不断测试和改变技术,以探测系统的漏洞,这已是欺诈行为中非常常见的情况。如果现有欺诈检测系统还未接受过识别新型欺诈模式的训练,只能通过重新训练系统以阻止欺诈攻击 – 但这一过程往往需要几周到几个月的时间。

示例图:在暗网中售卖的信用卡信息

在捕获多个账户的协同攻击时也存在类似的问题。今天,欺诈分子可以在暗网上轻松购买成千上万账户的认证信息。欺诈分子可以使用这些帐户发起攻击,例如合成身份欺诈或大规模账号盗取。在这样做时,狡猾的欺诈者通常会尝试随机化帐户配置文件和访问模式来伪装其活动。基于现有模式的欺诈检测系统通常都是单独检测帐户,因此它们无法看到暗含的广泛攻击的协调行为特征。

你有充分应对欺诈的准备吗?

在选择欺诈检测解决方案时,企业应该重点思考两个问题:

1.您如何对已知或已发现的欺诈做出反应?在对这种威胁作出反应的过程并采取预防措施是什么?

2.您是否有检测系统来发现未知欺诈?你如何发现这样的欺诈,以及你有什么解决方案来预防它们?

大多数现有的欺诈解决方案旨在解决第一个问题,第二个解决方案却难以解决。然而,随着欺诈份子的不断发展,欺诈技术演变的速度不断加快,对于企业而言,将重点放在第二个问题即预防未知欺诈上将变得至关重要。

提前检测未知欺诈

将有监督和无监督的欺诈检测方法视为冰山一角。在海平面上可见的攻击部分是已知的威胁,这些规则和有监督机器学习系统可以发现和检测;而冰山的海平以下不可见部分是由未知的威胁组成的,其模式和活动仍然是一个未知数 – 直到你的船体突然撞上海底的冰山出现一个洞。

无监督机器学习的检测方案无需训练数据,也无需事先了解欺诈模式。它们可以同时处理用户事件和活动,以分析数百万账户中的模式。这样,便可以识别恶意账户之间的关联,即使它们模仿正常的用户活动或改变它们的攻击技术。

在我们观察到的用户盗号攻击中,欺诈分子试图从他们盗来的账户中转出资金。他们并没有立即发起大额交易,而是首先通过一个小金额的转移来测试检测系统,然后在确认最初的转移已经通过后,再进行更大的转移。欺诈分子通过使用不同的设备和IP地址访问被盗的帐户有效地掩盖了他们的活动,但小规模转移的成功后便是更大的转移,通过检测这一特点使得无监督机器学习能够将这些转移活动定义欺诈行为。

David Ting

DataVisor 技术副总裁​

David拥有超过20年在雅虎,网易,和IGN等技术主导公司的领导经验。 David一直致力于进一步提升创新技术的扩展性和简洁易用性,并快速将它们推向市场。

2018-06-11T20:11:36+00:00 May 15th, 2018|媒体报道|