书评:网络交易风险防控新视角----评《网络交易风险控制理论》

网络交易风险防控新视角
                                              ---------评《网络交易风险控制理论》

罗军舟
东南大学计算机学院

摘要:近年来,网络交易发展迅速,越来越多的网民进行网上购物和交易。同时,作为涉及资金和金融的网络应用领域,网络交易的风险也越发凸显。网络交易逐渐呈现出规模化、体系化的趋势,实现网络交易系统的安全也越来越复杂。传统的基于身份认证和人工处理的风险防控方法已不足以应对新的交易风险。作为一本依托技术进行风险防控的学术专著,《网络交易风险控制理论》对这一领域进行了创新性的探索,提出了网络交易风险防控的行为认证理论,设计了基于模型的行为认证机制,可以有效减少风险判定的时间,减少人工出错的几率,提高系统智能判断的准确率。该书内容全面、结构完整,研究内容和方法具有较强创新性和开拓性,相关研究成果对当前网络交易的风险防控有着深远的意义。
关键词:网络交易;行为认证;书评;风险防控


1.引言

随着众多网络交易平台的崛起,以及双“十一”、双“十二”等促销节日的出现,国内网络交易发展迅猛,在网络平台进行购物、支付的人数逐年攀升,网上交易额也不断增长[1]。每天数亿笔的交易量,自然吸引了大量恶意用户的关注,一些企图盗用他人账号、资金的行为不断出现。例如,在2017年双11期间360为全国用户拦截PC和手机端钓鱼网站攻击40.8亿,每天拦截1.2亿次[2]。各种各样新的攻击、诈骗行为不断出现[3, 4],导致网络交易平台的安全可信遇到了极大的挑战。传统的以“身份认证”为核心的技术手段已不足以应对开放、动态网络环境下网络交易系统所面临的问题。在这样背景下,蒋昌俊教授带领团队经过多年的深入研究,建立了以“行为认证”为核心的风险防控技术体系,出版了专著《网络交易风险控制理论》。该书研究视角具有独创性,总结了目前网络交易风险防控的现状,并重点介绍了团队的相关研究成果。该书结构谨严,定位准确,对相关领域的研究人员和学生具有很强的指导性和实用性。

2.研究视角的创新性

目前网络安全领域大多是以数字证书为核心的身份认证机制,不能应对近年来新出现的“身份合法,行为不合法”网络交易风险,即用户的身份是合法的,但是行为却恶意的,损害他人利益。针对这一问题,该书提出了基于行为认证的理论体系,包括系统行为的认证和用户行为的认证[5, 6]。其中,用户行为的认证又包含了多种类型的行为特征,例如,用户的浏览行为,键盘和鼠标的使用行为等。该书从新的视角审视了目前网络交易当中的风险问题,具有很强的创新性。

2.1软件系统行为认证

该书的重点是从信息技术的角度对网络交易的风险进行防控,其核心是保障网络交易平台的可信。软件系统行为认证聚焦于系统的流程与行为,构造和规范合法的行为过程,并将其作为软件行为证书。证书的构造和发布位于可信服务端,买方、卖方和支付平台作为可信服务端的用户,将会注册并下载监控器以及行为证书。交易开始后,监控器启动,根据软件行为证书监控整个交易行为的执行,一旦发现违反行为证书的行为,监控器发出警报并进行后续处理,避免交易风险的发生。蒋昌俊教授带领团队对Petri网进行了数十年的研究,提出了基于Petri网模型的行为证书的构造 [7, 8],对擅于刻画并发的Petri网进行了扩展和改进,使其更适用于描述分布式网络交易系统,并将其融入软件系统行为认证机制中。软件系统行为认证的目的在于确保由多方参与主体构成的分布式交易系统的行为可预期性。该机制对传统的认证机制进行了合理、有力的补充,为新型网络交易风险的规避奠定了基础。

2.2用户行为认证

除了对分布式网络交易流程的行为进行规范和约束,还有一种行为需要特别关注,那就是在满足系统行为规范的前提下,“身份合法”用户的行为是否异常?即用户行为认证机制。数字证书作为网络环境下一种有效的身份认证机制,已经被广泛采用。然而,数字证书作为一种静态的认证机制逐步暴露出其缺陷:无法解决“盗用身份”和“利用合法身份做非法事情”等问题。因此,该书中提出了基于用户行为特征的认证机制。对每个用户的行为,生成相应的行为证书,客户端部分的行为认证通过对用户行为的分析来实现对“合法用户的非法行为”进行有效监测。用户行为证书方法主要用来对用户的交易行为进行监控和分析,从而对用户身份进行鉴定,避免出现身份盗用、冒用的情况,预防交易风险的发生。用户行为的认证可通过采集正常用户平时网页浏览记录,从中抽取最能够代表该用户的行为信息,构建用户行为证书。广义上来讲,用户行为可以由用户的浏览习惯构成,也可以由鼠标、键盘等操作行为构成,这些都是不容易被仿冒的个人行为特征。相关技术和方法描述详细,研究内容独辟蹊径,很有特色。

3.研究内容的合理性

除了研究方法的创新性,该书内容丰富,重点突出。首先,该书从信息技术角度全面介绍了网络交易风险防控的相关理论、方法和技术,指出了目前面临的重要挑战。其次,简单介绍了该书中需要用的一些基本理论。然后,重点介绍了行为认证理论的形式化模型基础,以及软件系统的风险防控和用户行为的风险防控机制。基于上述理论和方法,蒋昌俊教授带领团队研制了大规模网络交易风险防控系统平台和专用设备,并与国内知名支付企业合作,致力于降低海量交易过程中风险出现的机率。除了作者团队提出和开发的理论和技术,该书还介绍了目前使用较多的测试技术、系统评估、征信等领域的技术和方法,尽量让读者对网络交易风险防控有一个全面的理解。该书作者从一个全新的视角全面系统地剖析了网络交易风险防控的机制和原理,在并无国内外成功经验借鉴的情况下,从无到有构建了以行为认证为核心的网络交易风险防控技术体系。

终上所述,该书内容全面,结构谨严,逻辑性强,研究内容和方法具有较强创新性和开拓性,体现了研究领域的前沿水平;研究成果对当前网络交易的风险防控有重大理论意义和实践指导价值。网络交易具有十分广阔的应用前景,同时伴随着巨大的技术挑战,网络交易风险防控理论的研究永无止境,相信该书是相关领域研究人员和学生一本很有价值的参考文献。


参考文献:
[1]中国互联网络信息中心(CNNIC), 第41次中国互联网络发展状况统计报告, 2018
[2]360公司, 2017年双十一中国网购安全专题报告,2017
[3]Wang R, Chen S, Wang X F, et al. How to shop for free online–security analysis of cashier-as-a-service based web stores. 32th IEEE Symposium on Security and Privacy (S&P), Oakland, USA, 2011,pp. 465–480
[4]360公司, 2016年第二季度网络诈骗趋势研究报告, 2016
[5]蒋昌俊, 陈闳中, 闫春钢, 丁志军, 于汪洋, 钟珺竹. 软件行为监控验证系统, 发明专利(ZL201410014450.6), 2015.08.19
[6]蒋昌俊, 陈闳中, 闫春钢, 丁志军, 于汪洋, 葛雍龙. 用户行为模式挖掘系统及其方法(ZL 201210448617.0), 2015.11.04
[7]蒋昌俊. Petri网理论与方法研究综述. 控制与决策, 1997,(6):631-636
[8]Yu W Y, Yan C G, Ding Z J and et al. Modeling and verification of Online Shopping Business Processes by Verification of Online Shopping Business Processes by Considering Malicious Behavior Patterns, IEEE Transactions on Automation Science and Engineering, 2016, 13(2): 647-662

 

用微信扫一扫

用微信扫一扫