I takt med att mängden känslig data som lagras på uppkopplade tjänster och plattformar ökar så ökar även behovet av robusta användarautentiseringsmekanismer som bibehåller användarnas säkerhet och personliga integritet på internet. Samtidigt kan för strikta och simplistiska säkerhetspolicies för användarautentisering resultera i en försämrad användarupplevelse, vilket höjer efterfrågan efter skarpa säkerhetsverktyg för användarautentisering som flaggar inloggningshändelser som onormala med hög exakthet.
Den här studien undersöker om Long Short-Term Memories (LSTM) och Vektorbaserade Ordinbäddningar (eng: Word Embeddings) kan kombineras för att upptäcka onormalt användarautentiseringsbeteende. Två anomalidetektionsmodeller, där den ena fokuserar på att upptäcka onormala inloggningshändelser medan den andra upptäcker onormala sekvenser av inloggningshändelser, är framtagna och applicerade i en användarautentiseringsloggkontext som består av 280,063 inloggningsförsök. Eftersom att det inte finns några kända onormala inloggningsförsök i loggen så tränas modellerna på det normala inloggningsflödet medan två typer av manipulerade onormala inloggningshändelser är placerade i testdatan för att kunna verifiera modellernas anomalidetektionsprestanda. Genom att rekonstruera datan som inte innehåller några anomalier med de tränade modellerna och studera de uppkomna rekonstruktionsfelen så kan rekonstruktionsfelen av testdatan användas för att hitta onormala inloggningsförsök. Modellernas resultat är slutligen jämförda med naiva anomalidetektionsmodeller
De två framtagna modellernas resultat är varierande. Vid anomalidetektion av onormala inloggningssekvenser så visar den LSTM- och Vektorbaserade Ordinbäddningskombinerade modellen lovande resultat, där de uppseendeväckande höga recallvärdena vid anomalidetektion av den ena typen av manipulerade onormala inloggningshändelser är en höjdpunkt. Vid anomalidetektion av onormala inloggningshändelser så ger den LSTM- och Vektorbaserade Ordinbäddningskombinerade modellen dock dåliga resultat där valet av det rekonstruktionsfelsbaserade anomalitröskelvärdet bedöms ha varit en betydande faktor. Analys av logghändelseattributen [Användare, Land, Inloggningsstatus] visade sig vara den kombination som resulterade i bäst anomalidetektionsprestanda för båda modellerna.