Разделы

AI

Какие преимущества дает технология потоковой аналитики для решения задач по обеспечению безопасности

Пользовательские устройства ежесекундно генерируют триллионы событий, данные о которых оседают в хранилищах. Накапливать такого рода информацию бессмысленно и дорого. Компании ищут способы монетизации сведений, собранных, например, о клиентах. Крупные игроки, инвестирующие в дата-центры и персонал, научились анализировать колоссальные объемы информации, делать выводы и даже составлять прогнозы. Анализ больших объемов данных в режиме реального времени позволяет мгновенно реагировать на происходящее, как того требует ситуация. 

Многое зависит от ситуации

Рассмотрим, например, мониторинг карточных транзакций. На полный цикл обработки транзакции платежная система отводит секунды, а на пути авторизации, как правило, три системы (эквайера, платежной системы и эмитента), поэтому на обработку операции, включая работу антифрод-системы, на каждом этапе — всего доли секунд. За эти мгновения нужно понять, выполнима ли транзакция (достаточно ли средств, не заблокирована ли карта), сделать прогноз относительно легитимности операции и при необходимости отклонить запрос, заблокировать платежное средство, направить уведомление клиенту и т. д. Сделать это без детального анализа истории операций клиента и моментальной оценки риска невозможно. Офлайн-анализ данных в таком случае бесполезен.

Другой пример из сферы ритейла, где для обнаружения нежелательных клиентов и предотвращения краж приходится анализировать видеопоток. Сотрудники службы безопасности в гипермаркетах контролируют поведение клиентов визуально, преимущественно с помощью видеокамер. Однако уследить за каждым посетителем в торговом зале невозможно, поэтому выбирается несколько групп подозрительных клиентов, которых отслеживают по камерам. Таких покупателей знают в лицо, или идентифицируют на входе в торговый зал, сверяясь с черными списками, либо замечают по неадекватному поведению. Подобный подход субъективен, не позволяет охватить всех покупателей, в результате ритейлеры несут значительные убытки.

Визуальный контроль проиграл системам класса CEP

На смену визуальному контролю приходят системы класса Complex stream processing (CEP), способные быстро, непрерывно и пособытийно обрабатывать потоки данных в оперативной памяти. Ключевое их отличие — сложные алгоритмы оценки, использующие аналитические модели вместо линейных правил. В распоряжении службы безопасности есть механизм перманентного объективного мониторинга происходящего в помещении, торговом зале и т. д.

Система, алгоритмы которой обучены выявлять аномалии, заостряет внимание на нестандартном поведении клиентов, указывая сотруднику службы безопасности только на тех, за которыми стоит пристально наблюдать. Характерно, что такие системы не только выявляют противоправные действия, но и немедленно предупреждают сотрудников охраны по каналам связи и даже блокируют кассовые операции.

Анализ данных по мере их поступления из разных источников позволяет делать прогнозы и оперативно принимать решения, в эффективности и результативности которых можно не сомневаться

Производительность — козырная карта

В продуктовой линейке компании SAS представлено решение потоковой обработки — SAS Event Stream Processing (далее — SAS ESP). Его разработчики задались целью – обеспечить высокую производительность, на порядок превышающую аналоги. Для этого пришлось отказаться от хранения промежуточных расчетов и индексов на диске.

Все преобразования потока выполняются в оперативной памяти, что позволяет обрабатывать миллионы событий в секунду, применяя сложную логику аналитических моделей (SAS, Python) и сохраняя низкую латентность — в большинстве случаев микросекунды. Благодаря таким характеристикам инструмент SAS ESP быстро нашел свою нишу среди решений для противодействия мошенничеству и обеспечения безопасности.

Алгоритм работы решения

Рассмотрим, как работает SAS ESP на примере анализа видеоизображений для выявления шоплифтеров (магазинных воров).

Для начала составляется логика, помещаемая в SAS ESP на исполнение. Предварительно следует построить аналитическую модель (как правило, обычную свёрточную нейронную сеть), которая будет анализировать собранную с камер магазина информацию о поведении клиентов, находящихся в торговом зале. Каждое существенное действие или их комбинация классифицируются моделью. Например, выделяются такие блоки, как «маршрут клиента», «время на анализ торговой позиции», «перекладывание товара», при этом учитываются уже известные факты о том, как часто конкретный покупатель бывает в магазине, что приобретает, каков его типичный маршрут и т. д.

Задача модели — понять типичное поведение не только вора, злоумышленника, мошенника, но и их антипода — порядочного клиента, чтобы различать события, сведя к минимуму количество ложных уведомлений. Если постоянный покупатель бывает в магазине каждые выходные на протяжении последних нескольких лет, приобретает товары на большую сумму, что легко выясняется по карте лояльности, то едва ли стоит ожидать от него кражи жевательной резинки, пусть даже поведение в рамках блока «перекладывание товара» будет идентифицировано системой как подозрительное. Скорее всего, это ошибка, вероятно, событие можно проигнорировать в пользу более рискованных.

Можно ли одинаково оценивать подозрительный маршрут из отдела «Спиртные напитки» в «Подгузники» для покупателей, классифицированных как «семья» и как «самостоятельный клиент»? Или для тех, у кого в маршруте два отдела, а время нахождения в торговом зале составляет пять минут, и для тех, кто за час обошел 80% отделов? Наверное, нет.

«Одно и то же действие разных посетителей в разное время при различных условиях будут восприниматься системой по-разному. Это одно из условий качественного мониторинга. Тем не менее, аналитика – всего лишь инструмент. Каждый самостоятельно определяет аппетит к риску и в настройках может задать нужный уровень чувствительности к такого рода событиям», – поясняет Алексей Коняев, руководитель департамента решений по безопасности компании SAS Россия/СНГ.

Как только аналитическая модель обучена, необходимо запустить ее для анализа видеоизображений в реальном времени, чтобы получить возможность немедленно реагировать на нежелательное поведение. Все это доступно в графическом пользовательском интерфейсе SAS ESP. Далее модель будет обучаться на потоке самостоятельно, постоянно выполняя операцию train выбранного алгоритма, в том числе для изменяющихся условий (новых камер, перемещения стеллажей и т. п.).

География применения решения

Технологии анализа видеопотока в целях безопасности широко используются в банковской сфере. В частности, они позволяют предотвратить проникновение сотрудников или клиентов в запрещенные зоны, проход через турникеты по одному пропуску, а также обнаружить вещи, оставленные без присмотра в клиентской зоне, выявить неадекватное поведение клиентов рядом с банкоматами, фотографирование сотрудниками экранов мониторов и многое-многое другое.

С помощью современных технологий можно не только анализировать видеопоток как есть, но и делать прогнозы. Так, например, в случае обнаружения подозрительных лиц, осуществляющих нестандартные манипуляции с банкоматом, можно немедленно автоматически, без привлечения сотрудника безопасности, включать сигнализацию, блокировать двери и вызывать группу реагирования. Ведь подобные действия злоумышленников можно расценивать как их намерение вскрыть или похитить банкомат.

Предотвратить мошенничество

Не только машинное зрение является примером применения потоковой аналитики. Заслуживают внимания кейсы противодействия транзакционному мошенничеству. Набирают популярность подходы UBA/UEBA (User [and Entity] Behavioral Analytics). Суть их в том, чтобы на основе анализа разнородного потока данных из систем информационной безопасности сформировать сущности, объединенные вокруг пользователей или машин/девайсов, характеризующие их нормальное поведение. Таким образом появляется возможность предположить, кто из пользователей ведет себя «не так».

Камера – основной инструмент мониторинга для сотрудника службы охраны, а потоковая аналитика помогает сосредоточить внимание на подозрительных кейсах. Для сотрудника подразделения информационной безопасности аналитика значительно упрощает работу с системами DLP (Data Leakage Protection) и SIEM (Security Information and Event Management), сводит к минимуму количество ложных уведомлений, сохраняя ключевое преимущество ИБ-систем – скорость.

Примечательно, что анализ логов сегодня – это сфера ответственности сотрудников не только отдела информационной безопасности, но и отдела экономической безопасности, отвечающего за предотвращение инцидентов внутреннего мошенничества.

По словам Алексея Коняева, все больше специалистов в сфере экономической безопасности готовы осваивать новую и непростую для них сферу интеллектуального поиска нарушителей среди сотрудников. Руководителей компаний не устраивают сотрудники службы экономической безопасности, занятые расследованием произошедших инцидентов. Традиционными подручными способами, типа регулярных отчетов, проверок, хватать за руку внутренних мошенников практически невозможно. Украденные средства можно вывести значительно быстрее, чем сформируется отчет. Поэтому сотрудники экономической безопасности заинтересованы в применении инструментов, способных реагировать немедленно, предотвращая хищения и другие злоупотребления.

Понять, что именно этот платеж со спящего счета клиента – нелегитимен, что действия сотрудника по смене номера телефона клиента выполняются без ведома клиента, уличить кассира в намерении совершить кражу, а трейдера – злоупотребить полномочиями, помогают механизмы потоковой аналитики. Технология позволяет построить профили анализируемых объектов и выявлять аномалии в режиме реального времени, сопоставляя факты из различных источников. Например, к моменту совершения расходной операции по спящему клиентскому счету можно узнать, насколько такая операция соответствует ежедневному поведению банковского сотрудника (или, например, его коллег по отделению), связан ли получатель средств с сотрудником, например, по адресу проживания, или является созаемщиком в кредитном договоре, и т. д. А если дополнительно воспользоваться машинным зрением, то можно установить связь и по личным коммуникациям, что особенно актуально для мониторинга сотрудников подразделения закупок для контроля за особо важными сделками в организации.

Короткая ссылка