| Telefon: +36 22 501 632

Seacon Europe Kft. | 8000 Székesfehérvár, Móricz Zs. u. 14.

Területek

Viselkedéselemzés

Cél

A megfigyelni kívánt alany (rendszer és/vagy szervezet és/vagy személy és/vagy alkalmazás és/vagy eszköz) önmagához vagy referenciacsoporthoz képest szokatlan viselkedésének felismerése.

 


Üzleti igény/eredmény

A rendelkezésre álló működést leíró adatokat úgy lehessen megvizsgálni, hogy:

  • ne kelljen szabályrendszert definiálni az anomáliák kiszűrésére
  • tényadatok alapján automatikusan megállapításra kerülhessen a normál viselkedés (profilozás)
  • a profilhoz képest szokatlan viselkedést/működést mutassa meg a rendszer
  • referencia csoportok normál viselkedéséhez is hasonlítsa az adott alany viselkedését

Az elemzés eredményeként szülessen meg egy olyan, gyanúgeneráláson alapuló lista, mely rangsorolja, hogy az alany működését leíró rekordok közül melyek voltak a leggyanúsabbak (legjobban eltértek a normál viselkedéstől). Az eredmény lista mutassa meg azt is, hogy az adott rekordban melyek voltak a leggyanúsabb paraméterek.

Megoldás

Kiindulási alapként a SeaLog keretrendszer által összegyűjtött digitális nyomokból kiválaszthatjuk azokat az elemeket, melyek minél pontosabban leírják az alany viselkedését. A lényeges, meghatározó adatkörökből a ki lehet alakítani egy olyan, ún. objektum-attribútum mátrixot, mely nem csak a nyers adatokat, hanem az azokra épülő mérőszámokat is tartalmazhat. Az előkészített mátrixot a SeaLog hasonlóságelemző modulja feldolgozza, és táblázatosan illetve grafikusan is megmutatja az elemzés eredményét. A gyanúérték szerint sorrendbe állított rekordok mellet megjelöli azt is, hogy a működést leíró sok adat közül melyek voltak azok, amelyek a legjobban hozzájárultak a gyanú kialakulásához. Ezen kívül megmutatja azokat az adatköröket, melyek lényegtelenek voltak az elemzés eredményei szempontjából (ami annyit is jelent, hogy nem voltak befolyással az alany viselkedésére). Ezek kihagyásával és más adatkör bevonásával az elemzést újra futtatva finomítani lehet az eredményen.

Néhány elemzési példa:

  • Informatikai rendszerben működési rendellenességek kiszűrése:
  • a működés leírására kiválasztott adatkörök (tulajdonságok): hibás/sikeres loginok száma, felhasználó felvétele, rendszerdátum változtatása, tűzfal műveletek admin jogosultággal, memória elfogyás, CPU terhelés, jelszóváltás…
  • a tényleges működést leíró rekordok (objektum): az elemzés alá vont időszakot 4 órás sávokra bontva csoportosítottuk az adatokat
  • az elemzés erős rendszergazdai jogokhoz köthető tevékenységet tapasztalt, késő esti, éjjeli időszakban
  • rövid vizsgálat kiderítette, hogy egy komplikációkkal teli szerverfrissítés okozta a rendellenes tevékenységet
  • Gyanús bankkártya tranzakciók kiszűrése:
  • az egyes tranzakciók tényleges értékeit (dátumok, devizák, pénzösszegek, helyszínek, fogadó felek, bankkártya és tranzakció típusok…) tartalmazó, milliós nagyságrendű az elemzendő állomány
  • referencia csoportok képzése értékkészlet alapján
  • az önmagához és a referencia csoportokhoz képest generált gyanúk egymásra rétegezése ad egy összesített gyanúmértéket
  • a gyanúmértékkel jellemezhető tételek között több visszatérő érték szerepel
  • bizonyos fogadók/címzettek, tranzakció típusok esetében erősen hatnak egymásra
  • Kérdőív alapú HR kockázat elemzés:
  • elégedettségi felméréshez kiadott kérdőívekre beérkezett válaszok alapján inkonzisztens személyiségek feltárása
  • a viselkedést leíró tulajdonságok a kérdőív kérdései voltak (7 azonosító, 33 értékelő)
  • egy személy által kitöltött kérdőív képzett egy objektumot
  • minden kérdés a maradék 39 kérdés függvényében került elemzésre, melynek eredménye kimutatta:
  • melyek azok a személyek, akik nem magyarázható válaszsorozatokkal szolgáltak
  • illetve az utolsó kérdések hitelessége „szignifikánsan” alacsonyabb, mint a többi kérdésre adott válaszok