Datenquelle auswählen Vorbereiten von Daten Daten auswählen Daten werden validiert

Einblicke in die Kontoübernahme

Der Modelltyp Account Takeover Insights (ATI) identifiziert betrügerische Online-Aktivitäten, indem festgestellt wird, ob Konten durch böswillige Übernahmen, Phishing oder den Diebstahl von Zugangsdaten kompromittiert wurden. Account Takeover Insights ist ein Modell für maschinelles Lernen, das das Modell anhand von Anmeldeereignissen aus Ihrem Online-Geschäft trainiert.

Sie können ein trainiertes Account Takeover Insights-Modell in Ihren Echtzeit-Anmeldeablauf einbetten, um festzustellen, ob ein Konto kompromittiert wurde. Das Modell bewertet eine Vielzahl von Authentifizierungs- und Anmeldetypen. Dazu gehören Logins für Webanwendungen, API-basierte Authentifizierungen und (SSO). single-sign-on Um das Account Takeover Insights-Modell zu verwenden, rufen Sie die GetEventPredictionAPI auf, nachdem Sie gültige Anmeldeinformationen vorgelegt haben. Die API generiert einen Score, der das Risiko quantifiziert, dass das Konto kompromittiert wird. Amazon Fraud Detector verwendet die Punktzahl und die Regeln, die Sie definiert haben, um ein oder mehrere Ergebnisse für die Anmeldeereignisse zurückzugeben. Die Ergebnisse sind diejenigen, die Sie konfiguriert haben. Basierend auf den Ergebnissen, die Sie erhalten, können Sie für jede Anmeldung die entsprechenden Maßnahmen ergreifen. Das heißt, Sie können die für die Anmeldung angegebenen Anmeldeinformationen entweder genehmigen oder anfechten. Sie können die Anmeldeinformationen beispielsweise anfechten, indem Sie zur zusätzlichen Bestätigung nach einer Konto-PIN fragen.

Sie können das Account Takeover Insights-Modell auch verwenden, um Kontoanmeldungen asynchron auszuwerten und Maßnahmen für Konten mit hohem Risiko zu ergreifen. Beispielsweise kann ein Konto mit hohem Risiko zur Untersuchungswarteschlange hinzugefügt werden, sodass ein menschlicher Prüfer feststellen kann, ob weitere Maßnahmen ergriffen werden müssen, z. B. das Konto sperren.

Das Account Takeover Insights-Modell wird anhand eines Datensatzes trainiert, der die historischen Login-Ereignisse Ihres Unternehmens enthält. Sie geben diese Daten an. Sie können die Konten optional als legitim oder betrügerisch kennzeichnen. Dies ist jedoch nicht erforderlich, um das Modell zu trainieren. Das Account Takeover Insights-Modell erkennt Anomalien anhand der Historie erfolgreicher Anmeldungen eines Kontos. Es lernt auch, wie Anomalien im Verhalten eines Benutzers erkannt werden können, die auf ein erhöhtes Risiko einer böswilligen Kontoübernahme hindeuten. Zum Beispiel ein Benutzer, der sich normalerweise von denselben Geräten und IP-Adressen aus anmeldet. Ein Betrüger meldet sich normalerweise von einem anderen Gerät und einem anderen Standort aus an. Bei dieser Technik wird ein Risiko-Score für eine anomale Aktivität ermittelt, was in der Regel ein Hauptmerkmal böswilliger Kontoübernahmen ist.

Vor dem Training eines Account Takeover Insights-Modells verwendet Amazon Fraud Detector eine Kombination aus Techniken des maschinellen Lernens, um Datenanreicherung, Datenaggregation und Datentransformation durchzuführen. Während des Schulungsprozesses reichert Amazon Fraud Detector dann die von Ihnen bereitgestellten Rohdatenelemente an. Beispiele für Rohdatenelemente sind IP-Adresse und Benutzeragent. Amazon Fraud Detector verwendet diese Elemente, um zusätzliche Eingaben zu erstellen, die die Anmeldedaten beschreiben. Zu diesen Eingaben gehören Geräte-, Browser- und Geolokalisierungseingaben. Amazon Fraud Detector verwendet auch die von Ihnen angegebenen Anmeldedaten, um kontinuierlich aggregierte Variablen zu berechnen, die das bisherige Benutzerverhalten beschreiben. Beispiele für Benutzerverhalten umfassen die Häufigkeit, mit der sich der Benutzer von einer bestimmten IP-Adresse aus angemeldet hat. Mithilfe dieser zusätzlichen Erweiterungen und Aggregate kann Amazon Fraud Detector mit einer kleinen Anzahl von Eingaben aus Ihren Anmeldeereignissen eine starke Modellleistung erzielen.

Das Account Takeover Insights-Modell erkennt Fälle, in denen ein böswilliger Akteur auf ein legitimes Konto zugreift, unabhängig davon, ob es sich bei dem böswilligen Akteur um einen Menschen oder einen Roboter handelt. Das Modell generiert einen einzigen Wert, der das relative Risiko einer Kontokompromittierung angibt. Konten, die möglicherweise kompromittiert wurden, werden als Konten mit hohem Risiko gekennzeichnet. Sie können Konten mit hohem Risiko auf zwei Arten verarbeiten. Sie können entweder eine zusätzliche Identitätsprüfung erzwingen. Oder Sie können das Konto zur manuellen Untersuchung in eine Warteschlange stellen.

Datenquelle auswählen

Account Takeover Insights-Modelle werden anhand eines intern in Amazon Fraud Detector gespeicherten Datensatzes trainiert. Um Ihre Anmeldeereignisse bei Amazon Fraud Detector zu speichern, erstellen Sie eine CSV-Datei mit Anmeldeereignissen von Benutzern. Geben Sie für jedes Ereignis Anmeldedaten wie den Zeitstempel des Ereignisses, die Benutzer-ID, die IP-Adresse und den Benutzeragenten an und geben Sie an, ob die Anmeldedaten gültig sind. Nachdem Sie die CSV-Datei erstellt haben, laden Sie die Datei zunächst auf Amazon Fraud Detector hoch und verwenden Sie dann die Importfunktion, um die Daten zu speichern. Anschließend können Sie Ihr Modell anhand der gespeicherten Daten trainieren. Weitere Informationen zum Speichern Ihres Ereignisdatensatzes mit Amazon Fraud Detector finden Sie unter Speichern Sie Ihre Eventdaten intern mit Amazon Fraud Detector

Vorbereiten von Daten

Amazon Fraud Detector verlangt, dass Sie die Anmeldedaten Ihres Benutzerkontos in einer Datei mit kommagetrennten Werten (CSV) angeben, die im UTF-8-Format codiert ist. Die erste Zeile Ihrer CSV-Datei muss einen Datei-Header enthalten. Der Datei-Header besteht aus Ereignismetadaten und Ereignisvariablen, die jedes Datenelement beschreiben. Die Ereignisdaten folgen dem Header. Jede Zeile in den Ereignisdaten besteht aus Daten aus einem einzelnen Anmeldeereignis.

Für das Accounts Takeover Insights-Modell müssen Sie die folgenden Ereignismetadaten und Ereignisvariablen in der Kopfzeile Ihrer CSV-Datei angeben.

Metadaten des Ereignisses

Wir empfehlen, dass Sie die folgenden Metadaten in Ihrem CSV-Datei-Header angeben. Die Event-Metadaten müssen in Großbuchstaben geschrieben sein.

EVENT_ID — Eine eindeutige Kennung für das Anmeldeereignis.
ENTITY_TYPE — Die Entität, die das Anmeldeereignis durchführt, z. B. ein Händler oder ein Kunde.
ENTITY_ID — Eine Kennung für die Entität, die das Anmeldeereignis durchführt.
EVENT_TIMESTAMP — Der Zeitstempel, zu dem das Anmeldeereignis eingetreten ist. Der Zeitstempel muss dem ISO 8601-Standard in UTC entsprechen.
EVENT_LABEL (empfohlen) — Eine Bezeichnung, die das Ereignis als betrügerisch oder legitim einstuft. Sie können beliebige Bezeichnungen wie „Betrug“, „legitim“, „1“ oder „0“ verwenden.

Anmerkung

Event-Metadaten müssen in Großbuchstaben geschrieben werden. Es wird zwischen Groß- und Kleinschreibung unterschieden.
Labels sind für Anmeldeereignisse nicht erforderlich. Wir empfehlen jedoch, dass Sie EVENT_LABEL-Metadaten angeben und Labels für Ihre Anmeldeereignisse angeben. Es ist in Ordnung, wenn die Labels unvollständig oder sporadisch sind. Wenn Sie Labels angeben, verwendet Amazon Fraud Detector diese, um automatisch die Erkennungsrate bei Kontoübernahmen zu berechnen und sie im Leistungsdiagramm und in der Tabelle des Modells anzuzeigen.

Variablen für Ereignisse

Für das Accounts Takeover Insights-Modell gibt es sowohl erforderliche (obligatorische) Variablen, die Sie angeben müssen, als auch optionale Variablen. Achten Sie beim Erstellen Ihrer Variablen darauf, die Variable dem richtigen Variablentyp zuzuweisen. Im Rahmen des Modelltrainingsprozesses verwendet Amazon Fraud Detector den Variablentyp, der der Variablen zugeordnet ist, um die Variablenanreicherung und Feature-Engineering durchzuführen.

Anmerkung

Namen von Ereignisvariablen müssen in Kleinbuchstaben geschrieben werden. Sie unterscheiden zwischen Groß- und Kleinschreibung.

Obligatorische Variablen

Die folgenden Variablen sind für das Training eines Accounts Takeover Insights-Modells erforderlich.

Kategorie	Typ der Variablen	Beschreibung
IP-Adresse	IP_ADDRESS	Die beim Anmeldevorgang verwendete IP-Adresse
Browser und Gerät	BENUTZERAGENT	Der Browser, das Gerät und das Betriebssystem, die beim Anmeldevorgang verwendet wurden
Gültige Anmeldeinformationen	GÜLTIG	Gibt an, ob die Anmeldeinformationen, die für die Anmeldung verwendet wurden, gültig sind

Optionale Variablen

Die folgenden Variablen sind optional für das Training eines Accounts Takeover Insights-Modells.

Kategorie	Typ	Beschreibung
Browser und Gerät	FINGERABDRUCK	Die eindeutige Kennung für einen Browser- oder Geräte-Fingerabdruck
Sitzungs-ID	SESSION_ID	Die Kennung für eine Authentifizierungssitzung
Label (Bezeichnung)	EVENT_LABEL	Eine Bezeichnung, die das Ereignis als betrügerisch oder legitim einstuft. Sie können beliebige Bezeichnungen wie „Betrug“, „legitim“, „1“ oder „0“ verwenden.
Zeitstempel	LABEL_TIMESTAMP	Der Zeitstempel, zu dem das Label zuletzt aktualisiert wurde. Dies ist erforderlich, wenn EVENT_LABEL angegeben ist.

Anmerkung

Sie können für beide obligatorischen Variablen (optionale Variablen) beliebige Variablennamen angeben. Es ist wichtig, dass jede obligatorische und optionale Variable dem richtigen Variablentyp zugewiesen wird.
Sie können zusätzliche Variablen angeben. Amazon Fraud Detector wird diese Variablen jedoch nicht für das Training eines Accounts Takeover Insights-Modells verwenden.

Daten auswählen

Das Sammeln von Daten ist ein wichtiger Schritt bei der Erstellung Ihres Account Takeover Insights-Modells. Wenn Sie mit der Erfassung Ihrer Anmeldedaten beginnen, sollten Sie die folgenden Anforderungen und Empfehlungen berücksichtigen:

Erforderlich

Geben Sie mindestens 1.500 Beispiele für Benutzerkonten mit jeweils mindestens zwei zugehörigen Anmeldeereignissen an.
Ihr Datensatz muss Login-Ereignisse von mindestens 30 Tagen abdecken. Sie können später den spezifischen Zeitraum der Ereignisse angeben, die zum Trainieren des Modells verwendet werden sollen.

Empfohlen

Ihr Datensatz enthält Beispiele für erfolglose Anmeldeereignisse. Sie können diese erfolglosen Anmeldungen optional als „betrügerisch“ oder „legitim“ kennzeichnen.
Bereiten Sie historische Daten mit Anmeldeereignissen vor, die sich über mehr als sechs Monate erstrecken und 100.000 Entitäten einbeziehen.

Wenn Sie nicht über einen Datensatz verfügen, der bereits die Mindestanforderungen erfüllt, sollten Sie erwägen, Ereignisdaten an Amazon Fraud Detector zu streamen, indem Sie den SendEventAPI-Vorgang aufrufen.

Daten werden validiert

Bevor Sie Ihr Account Takeover Insights-Modell erstellen, prüft Amazon Fraud Detector, ob die Metadaten und Variablen, die Sie in Ihren Datensatz aufgenommen haben, um das Modell zu trainieren, die Größen- und Formatanforderungen erfüllen. Weitere Informationen finden Sie unter Validierung von Datensätzen. Es prüft auch, ob andere Anforderungen erfüllt sind. Wenn der Datensatz die Validierung nicht besteht, wird kein Modell erstellt. Damit das Modell erfolgreich erstellt werden kann, stellen Sie sicher, dass Sie die Daten korrigieren, die die Validierung nicht bestanden haben, bevor Sie erneut trainieren.

Häufige Datensatzfehler

Bei der Validierung eines Datensatzes für das Training eines Account Takeover Insights-Modells sucht Amazon Fraud Detector nach diesen und anderen Problemen und gibt einen Fehler aus, wenn eines oder mehrere der Probleme auftreten.

Die CSV-Datei ist nicht im UTF-8-Format.
Der Header der CSV-Datei enthält nicht mindestens eines der folgenden Metadaten:EVENT_ID,ENTITY_ID, oder. EVENT_TIMESTAMP
Der CSV-Datei-Header enthält nicht mindestens eine Variable der folgenden Variablentypen:IP_ADDRESS,USERAGENT, oderVALIDCRED.
Es gibt mehr als eine Variable, die demselben Variablentyp zugeordnet ist.
Mehr als 0,1% der Werte in EVENT_TIMESTAMP enthalten Nullen oder andere Werte als die unterstützten Datums- und Zeitstempelformate.
Die Anzahl der Tage zwischen dem ersten und dem letzten Ereignis beträgt weniger als 30 Tage.
Mehr als 10% der Variablen des IP_ADDRESS Variablentyps sind entweder ungültig oder null.
Mehr als 50% der Variablen des USERAGENT Variablentyps enthalten Nullen.
Alle Variablen des Variablentyps sind auf gesetzt. VALIDCRED false

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Einblicke in Transaktionsbetrug

Ein Modell erstellen