基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)支付欺詐交易動態(tài)識別模型的構(gòu)建

熊傳文

（廈門工學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院，福建 廈門 361021）

隨著互聯(lián)網(wǎng)的興起和網(wǎng)絡(luò)社交平臺的不斷發(fā)展，網(wǎng)絡(luò)支付安全問題日益突顯．機(jī)器學(xué)習(xí)技術(shù)有利于保障網(wǎng)絡(luò)支付環(huán)境安全，能有效識別出網(wǎng)絡(luò)支付欺詐交易．通過計(jì)算機(jī)技術(shù)模擬人類學(xué)習(xí)，并在此基礎(chǔ)上不斷獲取新的技能和知識．把機(jī)器學(xué)習(xí)應(yīng)用到互聯(lián)網(wǎng)DDoS發(fā)攻擊檢測中，可以精準(zhǔn)地完成攻擊檢測［1］．網(wǎng)絡(luò)支付交易屬于互聯(lián)網(wǎng)安全范疇之內(nèi)，在日常網(wǎng)絡(luò)支付交易中，由于網(wǎng)絡(luò)信息不對稱，網(wǎng)絡(luò)支付存在很大的安全隱患，容易發(fā)生網(wǎng)絡(luò)支付欺詐交易行為［2］．網(wǎng)絡(luò)支付欺詐行為具有多樣性的特點(diǎn)，網(wǎng)絡(luò)經(jīng)營者采取不正當(dāng)?shù)氖侄纹垓_和誤導(dǎo)消費(fèi)者就是其中一種網(wǎng)絡(luò)欺詐行為．

在相關(guān)研究中，樊春美等［3］提出了一種基于電商平臺的惡意支付賬戶識別算法，通過關(guān)聯(lián)分析和特征的重要性篩選交易數(shù)據(jù)．利用隨機(jī)森林算法分析電商平臺的真實(shí)交易數(shù)據(jù)，使用k-means進(jìn)行惡意支付賬戶聚類，區(qū)分惡意支付賬戶和正常支付賬戶．趙朋亞等［4］提出了一種基于標(biāo)簽傳播的協(xié)同分類欺詐檢測方法，考慮了欺詐節(jié)點(diǎn)間關(guān)聯(lián)緊密的現(xiàn)象，利用標(biāo)簽傳播算法擴(kuò)散欺詐節(jié)點(diǎn)的標(biāo)簽信息，確定未知標(biāo)簽節(jié)點(diǎn)是否為欺詐用戶．

由于傳統(tǒng)的欺詐交易識別模型分類器效果不佳，導(dǎo)致所需網(wǎng)絡(luò)支付欺詐交易行為識別時(shí)間較長，容易發(fā)生網(wǎng)絡(luò)安全問題．因此，本文提出了基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)支付欺詐交易動態(tài)識別模型，以機(jī)器學(xué)習(xí)技術(shù)為主，對動態(tài)識別模型展開研究，抓取網(wǎng)絡(luò)支付數(shù)據(jù)包并提取網(wǎng)絡(luò)交易信息鏈特征，采用迭代算法搭建網(wǎng)絡(luò)支付交易多分類器，實(shí)現(xiàn)數(shù)據(jù)分類，以期提供一個(gè)安全的網(wǎng)絡(luò)支付環(huán)境，減少網(wǎng)絡(luò)支付欺詐交易行為．

1 基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)支付欺詐交易動態(tài)識別模型

1.1 抓取網(wǎng)絡(luò)支付數(shù)據(jù)包

進(jìn)行網(wǎng)絡(luò)支付詐騙交易動態(tài)識別之前，需要抓取網(wǎng)絡(luò)支付數(shù)據(jù)包，由于每天網(wǎng)絡(luò)的支付數(shù)據(jù)信息較多，需要設(shè)置一個(gè)提取數(shù)據(jù)程序，收集和整理每天產(chǎn)生的網(wǎng)絡(luò)支付數(shù)據(jù)，提取每一項(xiàng)網(wǎng)絡(luò)支付數(shù)據(jù)的特點(diǎn)［5］．網(wǎng)絡(luò)支付數(shù)據(jù)包的實(shí)時(shí)抓取是通過用戶網(wǎng)關(guān)實(shí)現(xiàn)的，將用戶網(wǎng)關(guān)收集到的數(shù)據(jù)包傳輸?shù)秸麄€(gè)網(wǎng)關(guān)系統(tǒng)中，路由器是抓取數(shù)據(jù)包的重要組成部件，網(wǎng)關(guān)能夠通過路由器傳輸數(shù)據(jù)進(jìn)行數(shù)據(jù)識別．網(wǎng)關(guān)識別程序可以從路由器中抓取數(shù)據(jù)包．網(wǎng)絡(luò)支付數(shù)據(jù)包括2種支付數(shù)據(jù)，分別是用戶數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)．用戶數(shù)據(jù)是指網(wǎng)絡(luò)支付服務(wù)運(yùn)營者從用戶處直接收集的數(shù)據(jù)，以及在網(wǎng)絡(luò)支付服務(wù)業(yè)務(wù)開展過程中產(chǎn)生歸屬于用戶的數(shù)據(jù)［6］.業(yè)務(wù)數(shù)據(jù)是指在網(wǎng)絡(luò)支付服務(wù)業(yè)務(wù)開展過程中產(chǎn)生的為保障業(yè)務(wù)正常運(yùn)行的數(shù)據(jù)．網(wǎng)絡(luò)支付欺詐交易行為存在于用戶和業(yè)務(wù)數(shù)據(jù)中，當(dāng)網(wǎng)絡(luò)支付安全受到威脅后，可以將網(wǎng)絡(luò)支付數(shù)據(jù)安全性分成4個(gè)等級，安全等級是根據(jù)網(wǎng)絡(luò)支付數(shù)據(jù)包的安全程度劃分的．

網(wǎng)絡(luò)支付欺詐交易包括金錢損失、用戶信息泄露等，通過網(wǎng)關(guān)抓取數(shù)據(jù)包，將抓取的數(shù)據(jù)包進(jìn)行特征分析，提取網(wǎng)絡(luò)支付數(shù)據(jù)包特征，劃分安全等級，篩選出安全等級較低的數(shù)據(jù)包，進(jìn)行重新計(jì)算分析，識別出安全等級低的數(shù)據(jù)包是否存在網(wǎng)絡(luò)支付欺詐交易行為［7］.整個(gè)網(wǎng)絡(luò)支付動態(tài)識別系統(tǒng)設(shè)置有網(wǎng)絡(luò)傳輸層、分類識別傳輸層的數(shù)據(jù)包，但不對數(shù)據(jù)包進(jìn)行深度識別．抓取數(shù)據(jù)包的網(wǎng)關(guān)不需要詳細(xì)分析數(shù)據(jù)包內(nèi)容，只需要掌握整個(gè)數(shù)據(jù)包結(jié)構(gòu)，對數(shù)據(jù)包的安全層次進(jìn)行相同安全等級劃分．由于網(wǎng)絡(luò)支付數(shù)據(jù)較多，通過網(wǎng)關(guān)進(jìn)行簡單的數(shù)據(jù)包分析和傳輸，有利于提高數(shù)據(jù)包抓取速度，數(shù)據(jù)包信息抓取過程相對簡單，網(wǎng)絡(luò)支付數(shù)據(jù)包抓取過程，如圖1所示．

圖1 網(wǎng)絡(luò)支付數(shù)據(jù)包抓取過程圖

根據(jù)圖1可知，利用網(wǎng)關(guān)抓取網(wǎng)絡(luò)支付數(shù)據(jù)包，網(wǎng)關(guān)可以分析數(shù)據(jù)包的數(shù)據(jù)層次和數(shù)據(jù)包大小，生成網(wǎng)絡(luò)支付數(shù)據(jù)特征．網(wǎng)關(guān)獲取數(shù)據(jù)包大小可以通過計(jì)算數(shù)據(jù)包的時(shí)間跨度來確定，時(shí)間跨度越小說明網(wǎng)絡(luò)支付數(shù)據(jù)包里面的內(nèi)容信息較少，時(shí)間跨度越大說明網(wǎng)絡(luò)支付數(shù)據(jù)包里面的內(nèi)容信息較多，時(shí)間跨度與網(wǎng)絡(luò)支付數(shù)據(jù)包呈正相關(guān)［8］．抓取網(wǎng)絡(luò)支付數(shù)據(jù)包，是實(shí)現(xiàn)欺詐交易動態(tài)識別的前提條件，是進(jìn)行動態(tài)識別的數(shù)據(jù)來源，將抓取出安全等級較低的數(shù)據(jù)包進(jìn)行重新排列組合，著重識別安全等級較低的數(shù)據(jù)包，后期構(gòu)建的動態(tài)識別模型，主要對篩選出來的網(wǎng)絡(luò)支付數(shù)據(jù)包進(jìn)行識別，能夠有效節(jié)省識別時(shí)間．

1.2 提取網(wǎng)絡(luò)交易信息鏈特征

通過篩選出來的數(shù)據(jù)包，進(jìn)一步提取數(shù)據(jù)包內(nèi)網(wǎng)絡(luò)交易信息，分析網(wǎng)絡(luò)交易信息鏈特征，運(yùn)用類型學(xué)原理對信息鏈進(jìn)行分類．整合以往的網(wǎng)絡(luò)支付欺詐交易數(shù)據(jù)包信息內(nèi)容，利用網(wǎng)絡(luò)信息共享系統(tǒng)，將篩選出來的數(shù)據(jù)包信息與以往欺詐交易數(shù)據(jù)包進(jìn)行對比，分析出數(shù)據(jù)包存在的交易欺詐程度［9］．將提取的網(wǎng)絡(luò)交易數(shù)據(jù)信息內(nèi)容存儲在網(wǎng)絡(luò)安全數(shù)據(jù)庫中，分類編碼網(wǎng)絡(luò)交易數(shù)據(jù)信息，通過信息分類編碼框架整合成一條網(wǎng)絡(luò)支付數(shù)據(jù)信息鏈．由于信息鏈?zhǔn)怯蓴?shù)據(jù)包信息內(nèi)容構(gòu)建而成的，數(shù)據(jù)包信息內(nèi)容安全等級一共劃分了4個(gè)等級，所以信息鏈根據(jù)數(shù)據(jù)包安全等級進(jìn)行編碼．由于每天網(wǎng)絡(luò)支付交易數(shù)據(jù)較多，構(gòu)成的數(shù)據(jù)信息鏈可以有效節(jié)省網(wǎng)絡(luò)數(shù)據(jù)庫空間，編碼后的信息鏈更有利于動態(tài)識別模型運(yùn)行，不需要?jiǎng)討B(tài)識別模型在海量數(shù)據(jù)信息中分析，信息鏈能夠有效提高動態(tài)識別效率．網(wǎng)絡(luò)支付交易信息鏈編碼模型如圖2所示．

圖2 網(wǎng)絡(luò)支付交易信息鏈編碼模型

網(wǎng)絡(luò)支付交易信息鏈?zhǔn)怯尚畔⒕幋a模型實(shí)現(xiàn)的，按照等級有序排列信息鏈，是實(shí)現(xiàn)信息鏈有效管理的基礎(chǔ)．網(wǎng)絡(luò)支付信息鏈資源的開發(fā)利用，能夠有效節(jié)省網(wǎng)絡(luò)支付欺詐交易的動態(tài)識別成本，網(wǎng)絡(luò)支付交易生成的信息鏈?zhǔn)菍⒕W(wǎng)絡(luò)支付資源數(shù)據(jù)進(jìn)行整合［10］．網(wǎng)絡(luò)支付交易是建立在信息網(wǎng)絡(luò)的一項(xiàng)經(jīng)濟(jì)活動，信息鏈里面有資金交易情況，根據(jù)提取信息鏈中的資金交易特征，分析交易雙方價(jià)值平等度是否一致，如果出現(xiàn)不一致的情況，說明這一次的網(wǎng)絡(luò)支付交易存在欺詐行為［11］．根據(jù)信息系統(tǒng)構(gòu)建的信息鏈模型，對網(wǎng)絡(luò)支付數(shù)據(jù)包進(jìn)行深度檢測，將數(shù)據(jù)包中的數(shù)據(jù)進(jìn)行重新排列組合，利用數(shù)據(jù)構(gòu)成一條信息鏈．在進(jìn)行網(wǎng)絡(luò)支付欺詐交易動態(tài)識別之前，要對網(wǎng)絡(luò)支付信息鏈進(jìn)行分析，提取信息系統(tǒng)中的信息鏈特征，信息鏈包含了整個(gè)交易信息內(nèi)容，包括交易物品、交易資金、交易地點(diǎn)等信息，能夠有效分析網(wǎng)絡(luò)支付交易情況．網(wǎng)絡(luò)支付交易信息鏈?zhǔn)沁M(jìn)行動態(tài)識別的重要環(huán)節(jié)，一旦信息鏈遭到破壞，信息鏈里的信息將會遺失，導(dǎo)致信息鏈不完整，網(wǎng)絡(luò)支付交易特征不清晰，嚴(yán)重影響到網(wǎng)絡(luò)支付欺詐交易模型的穩(wěn)定性［12］．在進(jìn)行動態(tài)識別時(shí)，一定要保證信息鏈的完整性，構(gòu)建一個(gè)安全穩(wěn)定的信息鏈存儲系統(tǒng)．

1.3 迭代算法搭建網(wǎng)絡(luò)支付交易多分類器

利用迭代算法搭建一個(gè)網(wǎng)絡(luò)支付交易多分類器，由于網(wǎng)絡(luò)支付交易信息呈現(xiàn)多樣化特點(diǎn)，搭建網(wǎng)絡(luò)支付交易多分類器是非常有必要的．將網(wǎng)絡(luò)支付交易產(chǎn)生的數(shù)據(jù)通過不同的分類劃分，數(shù)據(jù)包的數(shù)據(jù)信息存儲在分類器中，將分類器分為強(qiáng)分類器和弱分類器，不同類型里面數(shù)據(jù)大小和數(shù)據(jù)安全性都不一樣［13］．分類器將根據(jù)每一次抓取的網(wǎng)絡(luò)支付信息數(shù)據(jù)包得到一個(gè)數(shù)據(jù)集合，將數(shù)據(jù)集合進(jìn)行分類從而確定每一個(gè)數(shù)據(jù)樣本的權(quán)值，通過多分類器對數(shù)據(jù)集合進(jìn)行分析，將數(shù)據(jù)樣本的權(quán)值進(jìn)行重新修改，最終滿足弱分類器的參數(shù)值［14］．隨著網(wǎng)絡(luò)支付數(shù)據(jù)樣本的不斷增加，動態(tài)識別難度也會隨之加大，采用迭代算法可以排除安全性較高的網(wǎng)絡(luò)支付交易數(shù)據(jù)特征，可以有效提高動態(tài)識別的準(zhǔn)確性，降低錯(cuò)誤率．根據(jù)多分類器的數(shù)據(jù)樣本利用迭代計(jì)算方法，得到弱分類器的數(shù)據(jù)之間的分類誤差值，計(jì)算公式如下：

其中，Q表示分類器之間的誤差值，E代表網(wǎng)絡(luò)支付數(shù)據(jù)樣本r的權(quán)重值，()T r表示分類器對樣本的結(jié)果值，Uk表示樣本標(biāo)簽．

多分類器之間的誤差值，就可以表明網(wǎng)絡(luò)支付數(shù)據(jù)中存在的關(guān)系，如果安全系數(shù)不高的數(shù)據(jù)包與以其他弱分類器之間的誤差值較小，說明這一類的弱分類器里面的網(wǎng)絡(luò)支付數(shù)據(jù)信息可能會存在欺詐行為．利用的迭代算法可以分為2個(gè)運(yùn)算階段：第1個(gè)階段就是樣本集合階段，將網(wǎng)絡(luò)支付產(chǎn)生的數(shù)據(jù)進(jìn)行整合，形成一個(gè)數(shù)據(jù)集，數(shù)據(jù)集也是由迭代算法實(shí)現(xiàn)而來的；第2個(gè)階段就是樣本分類階段，由于網(wǎng)絡(luò)支付數(shù)據(jù)特征不一樣，需要對不同特征的數(shù)據(jù)進(jìn)行分類，這也是建立多分類器的重要階段，迭代算法將每一個(gè)分類器進(jìn)行加權(quán)平均計(jì)算，對數(shù)據(jù)進(jìn)行最終結(jié)果分類．迭代算法進(jìn)行權(quán)值計(jì)算，構(gòu)建分類器的過程相對比較復(fù)雜，需要對數(shù)據(jù)集合進(jìn)行反復(fù)計(jì)算，即使根據(jù)上述設(shè)置的信息鏈，數(shù)據(jù)信息鏈也是相當(dāng)龐大．在搭建多分類器時(shí)，需要嚴(yán)格控制好迭代的次數(shù)，讓迭代值符合測試范圍．

1.4 基于機(jī)器學(xué)習(xí)構(gòu)建網(wǎng)絡(luò)支付欺詐交易動態(tài)識別模型

基于機(jī)器學(xué)習(xí)構(gòu)建網(wǎng)絡(luò)支付欺詐交易動態(tài)識別模型，能夠有效節(jié)省識別時(shí)間，通過人工智能化技術(shù)實(shí)現(xiàn)實(shí)時(shí)動態(tài)識別．首先需要對網(wǎng)絡(luò)支付數(shù)據(jù)樣本的親和度進(jìn)行計(jì)算，通過二進(jìn)制位串來表示數(shù)據(jù)長度，由于網(wǎng)絡(luò)支付信息一般通過數(shù)據(jù)傳遞，數(shù)據(jù)包在進(jìn)行傳遞時(shí)，只能靠數(shù)據(jù)長度進(jìn)行初步分析，通過數(shù)據(jù)之間的距離和長度來計(jì)算數(shù)據(jù)樣本的親和度，計(jì)算公式如下：

其中，I表示網(wǎng)絡(luò)支付數(shù)據(jù)樣本的親和度，o表示網(wǎng)絡(luò)支付數(shù)據(jù)長度，iθ表示第i個(gè)數(shù)據(jù)樣本的相似度.

根據(jù)網(wǎng)絡(luò)支付數(shù)據(jù)樣本的親和度，可以有效分析出數(shù)據(jù)樣本之間的相關(guān)性，安全等級較高的數(shù)據(jù)樣本與其他數(shù)據(jù)樣本的親和度高，說明其他網(wǎng)絡(luò)支付數(shù)據(jù)樣本安全性能也相對較高，動態(tài)識別模型在識別的時(shí)候，識別程序相對較簡單［15］．動態(tài)識別模型首先需要識別出存在網(wǎng)絡(luò)支付欺詐交易行為的數(shù)據(jù)數(shù)量，這是動態(tài)識別的基礎(chǔ)．欺詐識別數(shù)量公式如下：

其中，A表示樣本欺詐交易數(shù)據(jù)數(shù)量，S表示整個(gè)數(shù)據(jù)包數(shù)據(jù)量，D表示與原數(shù)據(jù)集合的親和度不高的數(shù)據(jù)數(shù)量，F(xiàn)表示網(wǎng)絡(luò)支付實(shí)時(shí)產(chǎn)生的新網(wǎng)絡(luò)支付數(shù)據(jù)數(shù)量．

2 實(shí)驗(yàn)與分析

2.1 實(shí)驗(yàn)準(zhǔn)備

選擇不同類型、不同特點(diǎn)、不同長度的網(wǎng)絡(luò)支付交易數(shù)據(jù)包作為研究對象，選擇性能較好地計(jì)算機(jī)、監(jiān)控設(shè)備等硬件設(shè)備，為實(shí)驗(yàn)搭建一個(gè)安全穩(wěn)定的測試環(huán)境．為了獲得更加真實(shí)有效的實(shí)驗(yàn)測試結(jié)果，需要多次提取網(wǎng)絡(luò)支付數(shù)據(jù)包數(shù)據(jù)以及信息鏈的特征．此次實(shí)驗(yàn)選用8種類型的數(shù)據(jù)包，數(shù)據(jù)包特征如表1所示．

表1 網(wǎng)絡(luò)支付數(shù)據(jù)包特征

本實(shí)驗(yàn)選用上述8類數(shù)據(jù)包（表1）里面的數(shù)據(jù)進(jìn)行測試，8類數(shù)據(jù)包中的數(shù)量都不一樣，且通過網(wǎng)關(guān)的時(shí)間跨度也不同．

2.2 實(shí)驗(yàn)結(jié)果

采用基于機(jī)器學(xué)習(xí)的動態(tài)識別方法和傳統(tǒng)識別技術(shù)進(jìn)行實(shí)驗(yàn)測試．測試這2種網(wǎng)絡(luò)支付欺詐交易動態(tài)識別模型所需的識別時(shí)間，測試結(jié)果如表2所示．

表2 動態(tài)識別時(shí)間結(jié)果

由表2可知，所提動態(tài)識別模型識別出的欺詐交易數(shù)量與傳統(tǒng)動態(tài)識別模型識別出的網(wǎng)絡(luò)支付欺詐交易數(shù)量相同，但在數(shù)據(jù)包容量相同時(shí)，所提動態(tài)識別模型識別時(shí)間都比傳統(tǒng)動態(tài)識別模型所花費(fèi)的識別時(shí)間短．根據(jù)計(jì)算得出，在8類數(shù)據(jù)包中，所提動態(tài)識別模型平均識別時(shí)間為12.71 s，傳統(tǒng)動態(tài)識別模型平均識別時(shí)間為22.63 s，所提動態(tài)識別模型識別時(shí)間比傳統(tǒng)動態(tài)識別模型時(shí)間快了9.92 s．因此，基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)支付欺詐交易動態(tài)識別模型，能夠有效減少識別時(shí)間，提高動態(tài)識別效率．

3 結(jié)論

基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)支付欺詐交易動態(tài)識別模型的構(gòu)建，旨在為網(wǎng)絡(luò)支付提供一個(gè)安全的環(huán)境．為了能自動識別出網(wǎng)絡(luò)交易是否存在欺詐行為，首先在網(wǎng)絡(luò)上抓取網(wǎng)絡(luò)支付數(shù)據(jù)包；然后通過數(shù)據(jù)包特征提取網(wǎng)絡(luò)交易信息鏈，對信息鏈進(jìn)行初步分析，利用識別算法完成動態(tài)識別；最終通過機(jī)器學(xué)習(xí)技術(shù)構(gòu)建出網(wǎng)絡(luò)支付欺詐交易動態(tài)識別模型．本研究僅在網(wǎng)絡(luò)支付的層面上進(jìn)行分析和搭建支付欺詐交易動態(tài)識別模型，雖能夠有效辨別出網(wǎng)絡(luò)支付存在的欺詐行為，但沒有對網(wǎng)絡(luò)安全的其他方面進(jìn)行風(fēng)險(xiǎn)識別，因此，基于科學(xué)技術(shù)搭建不同類別的識別模型尚需進(jìn)一步研究.