ユースケースによっては、異なる目的に合わせて、同じシステムを異なるモデルで適用することもできる。今日金融業界で使われているルールベースのモデルと比較した場合、IoTには自己学習モデルの方が適しているだろう。
ウェブベースアプリケーションの場合、ウェブサーバおよびウェブアプリケーションから収集したデータを不正検出システムに取り込んで分析することができる。通常、トランザクションのリスク分析に使用する主なデータには、IPアドレスと位置情報、ユーザーデバイスの情報、速度(前回のトランザクションからの経過時間など)、トランザクションのタイプ、また金銭が関わっている場合は取引額が含まれる。
例えば、あるIPアドレスで同じユーザーが5分の間に異なる国からログインした場合、両方またはいずれかのログインがそのアカウントの正当な所有者ではない第三者によるものである可能性が高いだろう。
自動学習型の不正/異常検出システムはデータの「正常」なパターンを学習し、このパターンに合致しないIoTデバイスが生成したデータの変化を検出する。このようなパターンの異常には次のような原因が考えられる。
- セキュリティインシデントに関連する異常パターン。例えば、攻撃者がシステムの脆弱性を探っている場合など。他にも、すでに攻撃者がデバイスのセキュリティを突破しており、その運用環境に影響を与えていることも考えられる
- 品質管理や予防保全に関連する異常パターン。例えば、あるデバイスが機械部品の不具合による異常を示し、最終的に当該デバイスの故障につながった場合
- IoTデバイス/サービスの実測値の異常。例えば、心臓の異常を示す心拍パターンの異常を検出した場合など
- 組織的成長の結果としての異常。例えば、負荷が高いためにデバイスからのデータ送信試行中にタイムアウトした場合など
- 環境の変化の結果としての異常。例えば洪水によるデバイスの損傷や通信障害など
自動学習および異常検出は、変化する不正手段やゼロデイ攻撃の発見に高い効果を発揮することができる。
ブラウザベースの金融サービスとIoTの大きな違い、それはIoTの場合であれば、通常はIoTデバイスが送信する情報をIoTサービスプロバイダーが規定できる点だ。このため、サービスプロバイダーが取得できるデータはウェブサーバやウェブアプリケーションが収集できるデータのみに制限されることがない。