Alaris Anti Fraud System

Системы обнаружения мошенничества

Угрозы безопасности, с которыми приходится сталкиваться операторам на современном рынке телекоммуникаций, весьма многоплановы. Применяемые мошеннические схемы разнообразны, и их выбор во многом зависит от типа бизнес деятельности, структуры обрабатываемого трафика и квалификации персонала атакуемой компании. В связи с этим практически невозможно угадать, с чем именно придется столкнуться оператору возможно уже завтра.

Именно по этой причине высокоэффективная система обнаружения мошенничества (FMS-система) должна быть спроектирована таким образом, чтобы иметь возможность подстраиваться под любые новые типы схем, с которыми потенциально может столкнуться оператор.

Иными словами, на стадии внедрения системы в сеть невозможно предугадать, какие объекты необходимо контролировать на предмет злонамеренного вмешательства и каков может быть характер такого вмешательства.

Соответственно, если невозможно выявить потенциально уязвимые объекты, необходимо, чтобы FMS-cистема была способна отслеживать деятельность по ВСЕМ объектам сети и автоматически идентифицировать любые подозрительные операции.

Обнаружение мошенничества с использованием инструментария BIG DATA

Две вышеобозначенные проблемы, следовательно, приводят к постановке двух основных задач при разработке систем по борьбе с мошенничеством, выполнение которых представляется весьма нетривиальным:

  • FMS-система должна быть способна обрабатывать весь огромный объем разнородных данных, генерируемых телекоммуникационной сетью;
  • FMS-система в основе своей должна иметь высокоэффективные алгоритмы самообучения, которые позволили бы обнаруживать злонамеренную деятельность неизвестного типа.

Единственный рациональный путь для решения первой задачи - использовать те возможности, которые предоставляют технологии обработки данных BIG DATA.

“Большие данные (англ. Big Data) в информационных технологиях — серия подходов, инструментов и методов обработки структурированных и неструктурированных данных огромных объёмов и значительного многообразия для получения воспринимаемых человеком результатов, эффективных в условиях непрерывного прироста, распределения по многочисленным узлам вычислительной сети, сформировавшихся в конце 2000-х годов, альтернативных традиционным системам управления базами данных и решениям класса Business Intelligence” Википедия ©

Решение второй задачи по сути представляет собой ноу-хау каждой конкретной компании, предоставляющей услуги в сфере контроля над мошенничеством.

Система обнаружения мошенничества как услуга

FMS-система, разработанная компанией Alaris Labs, работает на основе модели предоставления услуг в рамках которой оператор-клиент направляет данные для анализа на облачные сервера компании.

Такая модель не требует привлечения дополнительных серверных мощностей или покупки дорогостоящих лицензий. По сути речь идет об оплате по факту оказания услуги.

Если оператор по каким-либо внутренним причинам не может отправлять данные вовне, FMS-система компании Alaris Labs может быть интегрирована в саму операторскую сеть, при этом модель оплаты услуг никак не изменится.

Принцип работы FMS-системы

На каждом узле сети, с которого может поступать потенциально полезная с точки зрения обнаружения мошенничества информация, устанавливаются настройки передачи этой информации на сервера FMS-системы либо с использованием родных утилит ОС (например, rsyslog), либо путем установки специального программного агента. При этом нет необходимости унифицировать данные, они могут приниматься системой в исходных форматах.

Alaris Anti Fraud Logic

Полученные данные обрабатываются, анализируются и индексируются, после чего к ним применяются специальные алгоритмы поиска, позволяющие обнаружить подозрительные события, о которых тут же оповещается персонал компании-клиента. Алгоритм поиска включает в себя следующие основные этапы:

  • идентификация наиболее характерных типов процессов (для отдельных групп, как-то: конечных пользователей, партнеров, направлений вызовов и т.д.)
  • коррекция выявленных структур конечным пользователем
  • выявление нестандартных процессов по конкретным объектам (или подход от обратного: выявление схемы работы при злонамеренном вмешательстве)
  • оповещение клиента о выявленных случаях подозрительной деятельности

Важной особенностью поискового алгоритма является его способность соотносить события, никак не связанные друг с другом с точки зрения обычного пользователя. Например, такие данные как дата самостоятельной регистрации пользователя, его местоположение и тип используемой кредитной карты могут быть сопоставлены с такой информацией как тип генерируемых данным пользователем вызовов, используемое оборудование и время совершения вызовов.

ПРИМЕР ЗАПРОСА
sourcetype=CDR* type=CLI | stats count AS Views, count(eval(action="purchase")) as Purchases | eval percentage=round(100-(Purchases/Views*100)) | count percentage AS "% Difference"

Такой тип полуавтоматического самообучения системы позволяет добиться высокой эффективности и полной автоматизации обнаружения мошенничества.

В ситуациях, когда невозможно вычислить, какой тип вмешательства в сеть можно ожидать, система действует от обратного: весь проходящий трафик разбивается на категории и структурируется. Любые процессы, которые так или иначе отличаются от известных типовых, отмечаются как потенциально опасные. Затем конечный пользователь принимает решение по каждому отдельному событию, определяя его как стандартное или мошенническое. В последнем случае система автоматически создает шаблон выявленной схемы, который в дальнейшем включается в процесс анализа всех вновь поступающих данных.