自 2025 年 11 月 7 日起,Amazon Fraud Detector 不再向新客戶開放。對於類似 Amazon Fraud Detector 的功能,請探索 Amazon SageMaker、AutoGluon 和 AWS WAF。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
帳戶接管洞察
帳戶接管洞察 (ATI) 模型類型透過偵測帳戶是否因惡意接管、網路釣魚或憑證遭竊而遭到入侵,來識別詐騙線上活動。Account Takeover Insights 是一種機器學習模型,使用線上業務的登入事件來訓練模型。
您可以在即時登入流程中嵌入訓練過的帳戶接管洞見模型,以偵測帳戶是否遭到入侵。此模型會評估各種身分驗證和登入類型。其中包括 Web 應用程式登入、API 型身分驗證和single-sign-on(SSO)。若要使用帳戶接管洞見模型,請在顯示有效的登入憑證後呼叫 GetEventPrediction API。API 會產生分數,以量化帳戶遭到入侵的風險。Amazon Fraud Detector 會使用您定義的分數和規則,為登入事件傳回一或多個結果。結果是您設定的結果。根據您收到的結果,您可以針對每次登入採取適當的動作。也就是說,您可以核准或挑戰為登入提供的登入資料。例如,您可以要求帳戶 PIN 做為額外的驗證來挑戰登入資料。
您也可以使用帳戶接管洞見模型,以非同步方式評估帳戶登入,並對高風險帳戶採取動作。例如,可將高風險帳戶新增至人工檢閱者的調查佇列,以判斷是否需要採取進一步動作,例如暫停帳戶。
帳戶接管洞見模型使用包含您業務歷史登入事件的資料集進行訓練。您提供此資料。您可以選擇將帳戶標記為合法或詐騙。不過,這並非訓練模型的必要條件。帳戶接管洞見模型會根據帳戶成功登入的歷史記錄來偵測異常。它還了解如何偵測使用者行為中的異常,這些異常表示惡意帳戶接管事件的風險增加。例如,通常從同一組裝置和 IP 地址登入的使用者。詐騙者通常會從不同的裝置和地理位置登入。此技術會產生異常活動的風險分數,這通常是惡意帳戶接管的主要特徵。
在訓練 Account Takeover Insights 模型之前,Amazon Fraud Detector 會使用機器學習技術的組合來執行資料擴充、資料彙總和資料轉換。然後,在訓練過程中,Amazon Fraud Detector 會充實您提供的原始資料元素。原始資料元素的範例包括 IP 地址和使用者代理程式。Amazon Fraud Detector 使用這些元素來建立描述登入資料的其他輸入。這些輸入包括裝置、瀏覽器和地理位置輸入。Amazon Fraud Detector 也會使用您提供的登入資料,持續運算描述過去使用者行為的彙總變數。使用者行為的範例包括使用者從特定 IP 地址登入的次數。Amazon Fraud Detector 使用這些額外的擴充功能和彙總功能,可從登入事件的一小組輸入產生強大的模型效能。
帳戶接管洞見模型會偵測遭惡意行為者存取合法帳戶的執行個體,無論惡意行為者是人類還是機器人。此模型會產生單一分數,指出帳戶遭到入侵的相對風險。可能已遭入侵的帳戶會標記為高風險帳戶。您可以透過兩種方式之一來處理高風險帳戶。您可以強制執行額外的身分驗證。或者,您可以將帳戶傳送至佇列以進行手動調查。
選取資料來源
帳戶接管洞見模型是在 Amazon Fraud Detector 內部存放的資料集上進行訓練。若要使用 Amazon Fraud Detector 存放您的登入事件資料,請使用 使用者的登入事件建立 CSV 檔案。對於每個事件,包括登入資料,例如事件時間戳記、使用者 ID、IP 地址、使用者代理程式,以及登入資料是否有效。建立 CSV 檔案後,請先將檔案上傳至 Amazon Fraud Detector,然後使用匯入功能來存放資料。然後,您可以使用儲存的資料來訓練模型。如需使用 Amazon Fraud Detector 存放事件資料集的詳細資訊,請參閱 使用 Amazon Fraud Detector 在內部存放事件資料
準備資料
Amazon Fraud Detector 要求您以以 UTF-8 格式編碼的逗號分隔值 (CSV) 檔案提供使用者帳戶登入資料。CSV 檔案的第一行必須包含檔案標頭。檔案標頭包含描述每個資料元素的事件中繼資料和事件變數。事件資料遵循 標頭。事件資料中的每一行都包含來自單一登入事件的資料。
對於帳戶接管洞見模型,您必須在 CSV 檔案的標頭列中提供下列事件中繼資料和事件變數。
事件中繼資料
我們建議您在 CSV 檔案標頭中提供下列中繼資料。事件中繼資料必須為大寫字母。
EVENT_ID - 登入事件的唯一識別符。
ENTITY_TYPE - 執行登入事件的實體,例如商家或客戶。
ENTITY_ID - 執行登入事件之實體的識別符。
EVENT_TIMESTAMP - 發生登入事件時的時間戳記。時間戳記必須在 UTC 的 ISO 8601 標準中。
EVENT_LABEL (建議) - 將事件分類為詐騙或合法的標籤。您可以使用任何標籤,例如「詐騙」、「合法」、「1」或「0」。
注意
事件中繼資料必須為大寫字母。區分大小寫。
登入事件不需要標籤。不過,我們建議您包含 EVENT_LABEL 中繼資料,並提供登入事件的標籤。如果標籤不完整或偶發,沒問題。如果您提供標籤,Amazon Fraud Detector 將使用它們自動計算帳戶接管探索率,並將其顯示在模型效能圖表和資料表中。
事件變數
對於帳戶接管洞見模型,您必須提供必要 (強制性) 變數和選用變數。建立變數時,請務必將變數指派給正確的變數類型。作為模型訓練程序的一部分,Amazon Fraud Detector 會使用與 變數相關聯的變數類型來執行變數擴充和功能工程。
注意
事件變數名稱必須為小寫字母。它們區分大小寫。
強制性變數
訓練 Accounts Takeover Insights 模型需要下列變數。
| 類別 | 變數類型 | 描述 |
|---|---|---|
IP 地址 |
IP_ADDRESS |
登入事件中使用的 IP 地址 |
瀏覽器和裝置 |
USERAGENT |
登入事件中使用的瀏覽器、裝置和作業系統 |
有效的登入資料 |
VALIDCRED |
指出用於登入的登入資料是否有效 |
選用變數
下列變數是訓練 Accounts Takeover Insights 模型的選用變數。
| 類別 | 類型 | 描述 |
|---|---|---|
瀏覽器和裝置 |
FINGERPRINT |
瀏覽器或裝置指紋的唯一識別符 |
工作階段 ID |
SESSION_ID |
身分驗證工作階段的識別符 |
標籤 |
EVENT_LABEL |
將事件分類為詐騙或合法的標籤。您可以使用任何標籤,例如「詐騙」、「合法」、「1」或「0」。 |
時間戳記 |
LABEL_TIMESTAMP |
上次更新標籤時的時間戳記。如果提供 EVENT_LABEL,則此為必要項目。 |
注意
您可以為兩個強制變數選用變數提供任何變數名稱。請務必將每個必要和選用變數指派給正確的變數類型。
您可以提供額外的變數。不過,Amazon Fraud Detector 不會包含這些變數來訓練 Accounts Takeover Insights 模型。
選取資料
收集資料是建立帳戶接管洞見模型的重要步驟。當您開始收集登入資料時,請考慮下列要求和建議:
必要
-
提供至少 1,500 個使用者帳戶範例,每個都有至少兩個相關聯的登入事件。
-
您的資料集必須至少涵蓋 30 天的登入事件。您可以稍後指定要用來訓練模型之事件的特定時間範圍。
建議
您的資料集包含登入事件失敗的範例。您可以選擇將這些失敗的登入標記為「詐騙」或「合法」。
使用跨超過六個月的登入事件準備歷史資料,並包含 100K個實體。
如果您沒有已符合最低要求的資料集,請考慮呼叫 SendEvent API 操作,將事件資料串流至 Amazon Fraud Detector。
驗證資料
在建立帳戶接管洞見模型之前,Amazon Fraud Detector 會檢查資料集中包含用於訓練模型的中繼資料和變數是否符合大小和格式要求。如需詳細資訊,請參閱資料集驗證。它也會檢查其他需求。如果資料集未通過驗證,則不會建立模型。若要成功建立模型,請務必在再次訓練之前修正未通過驗證的資料。
常見的資料集錯誤
驗證資料集以訓練 Account Takeover Insights 模型時,Amazon Fraud Detector 會掃描這些和其他問題,並在遇到一或多個問題時擲回錯誤。
CSV 檔案不是 UTF-8 格式。
CSV 檔案標頭至少不包含下列其中一個中繼資料:
EVENT_ID、ENTITY_ID或EVENT_TIMESTAMP。CSV 檔案標頭至少不包含下列變數類型的一個變數:
IP_ADDRESS、USERAGENT或VALIDCRED。有一個以上的變數與相同的變數類型相關聯。
中超過 0.1% 的值
EVENT_TIMESTAMP包含 null 或值,而非支援的日期和時間戳記格式。第一個事件和最後一個事件之間的天數少於 30 天。
超過 10% 的變數
IP_ADDRESS類型為無效或 null。超過 50% 的變數
USERAGENT類型包含 null。VALIDCRED變數類型的所有變數都設定為false。
