电子交易过程用户行为模式检测的免疫方法
【专利摘要】电子交易过程用户行为模式的免疫检测方法,包括数据预处理步骤,主要将用户操作过程处理成序列格式,清洗相关重复数据;训练步骤,主要是按照时间顺利,按照年龄演变过程,计算出各条序列的年龄值,根据年龄值删除衰老日志提取出正常序列库(即抗体);检测步骤,主要是检测新产生的交易序列是否发生突变;更新步骤,是根据检测结果,及时更新自体和异体的年龄值,进而更新有关库集。本发明面向的情况是电子交易过程中的异常情况,可能是用户自身的误操作,也可能是账户冒用的非法操作等不符合用户行为习惯的情况。本发明是为电商和第三方支付平台提供的检测电子交易过程中用户异常情况的免疫方法,具有可控可防、自适应、自学习等特点。
【专利说明】电子交易过程用户行为模式检测的免疫方法
【技术领域】
[0001] 本发明涉及电子商务安全领域。
【背景技术】
[0002] 近年来,电子商务在我国的发展可谓日新月异,过去的一年电子交易的业绩又达 到一个新的高度。但是高速的背后也存在隐患,由于技术不成熟、起步晚,我国电子交易可 信危机形势比其他国家更加严峻,欺诈、账户冒用、钓鱼等恶意行为层出不穷。这些恶意行 为和用户自身的误操作,都不符合用户行为习惯,都是电子交易过程中的异常情况。
[0003] 在实际应用中,传统的账户密码体系已经无法保证电子交易可信,已有的入侵检 测手段也不能适应新型的欺诈手段,因此,目前电商和第三方支付平台普遍采用的是人工 检测的方法,并通过添加规则来限制异常行为,这种方式虽然误检率低,但是自适应性较 差,而且花费了大量的人力物力。
【发明内容】
[0004] 电子交易过程用户行为模式检测的免疫方法是根据用户历史交易操作序列,根据 年龄演变过程,提取出了最能反应用户近期行为习惯的正常序列库;当新的交易序列产生 时,根据异常序列库和正常序列库来检测新产生序列是否发生异常。并根据检测结果,及时 更新相应库集。
[0005] 本发明技术方案为:
[0006] 电子交易过程用户行为模式的免疫检测方法,其特征在于,包括如下步骤:
[0007] (1)数据预处理步骤
[0008] 主要将用户操作过程处理成序列格式,清洗相关重复数据。
[0009] ⑵训练步骤
[0010] 主要是按照时间顺利,按照年龄演变过程,计算出各条序列的年龄值,根据年龄 值删除衰老日志提取出正常序列库(即抗体)。具体为:建立正常序列库(即抗体集Ab)和 异常序列库(即异体库Non-selves)。首先,按照年龄演变过程,即新产生的序列与历史序 列进行亲和度计算,亲和度大于某个阈值P,则年龄保持不变,否则年龄age值增加两者的 序列距离。计算出用户历史交易操作序列的年龄值之后,按照年龄大小,提取年龄age值小 于阈值P的序列集合作为正常交易序列库。所述异体交易序列库的来源主要包括两个方 面,一方面是已知非法交易序列,其中包括一些和用户正常行为亲和度较高的序列;另一方 面是运行过程中检测出来新的异常序列,可以保证下次可以及时检测出类似的异常序列, 达到免疫效果。当新产生的异常交易序列加入异体库,根据年龄值演变过程,更新异体库中 异体的年龄值,保留其中的活跃异体,实现对异体库的自稳更新。
[0011] (3)行为模式检测步骤
[0012] 检测新产生的交易序列是否发生突变,是针对新产生的交易序列Ag进行的"突 变"检测,分两步检测:
[0013] 第一步,将新产生的交易序列Ag与异体库进行比较,如果匹配成功,则报警行为 异常,并采取相关审查和通知用户措施,否则进入第二步;
[0014] 第二步,将新产生的交易序列Ag与正常交易序列(即抗体集Ab)进行比较,如果 与所有抗体亲和度都很低,则说明该序列有"突变"的可能,报警异常采取相应措施,反之检 测为正常行为。
[0015] ⑷更新步骤
[0016] 为提高检测准确性,需要对这两个模式库进行及时更新:更新正常模式库和异常 模式库,可以保证在能够准确检测的基础上,同时拥有对下次类似异常情况的免疫功能。
[0017] 根据检测的结果,如果结果为正常行为模式,那么就要按年龄演变过程,对正常模 式库(即抗体集Ab)进行年龄更新,删除其中的"衰老"日志,保证抗体集Ab能反应用户近 期行为习惯;如果结果为异常行为模式,和异常库中模式进行比较,如果是新模式,则添加 到异常模式库中,并更新异体库中异体序列的年龄值,清除"衰老"异体。
[0018] 本发明机理:
[0019] 为提取出能反应用户近期的行为习惯,需要清除用户交易日志中的衰老序列,这 和生物体清理衰老细胞保持机体平衡的免疫自稳机制基本类似;检测用户新产生的交易序 列是否正常,并及时清理异常序列,这和及时消除生物体中异常细胞的免疫监视机理有一 定的共通之处。由此可见,用户行为模式异常检测与生物免疫系统有很多相似之处,可以用 免疫方法来检测异常情况。
[0020] 为提高用户行为可信度,本发明提出了电子交易过程用户行为模式检测的免疫方 法,把能反应用户电子交易过程中行为习惯的日志对应于生物抗体,根据生物免疫自稳机 理,通过清理其中衰老日志来实现了抗体更新,从而保证处理过的日志可以反应用户最近 的行为习惯,并根据免疫监视机制来检测新产生的交易序列是否发生异常,达到检测用户 电子交易过程行为模式是否正常的目的。根据检测结果,及时更新有关库集,保证下次可以 及时检测出类似情况,达到免疫效果。
[0021] 本发明面向的情况是电子交易过程中的异常情况,可能是用户自身的误操作,也 可能是账户冒用的非法操作等不符合用户行为习惯的情况。本发明是为电商和第三方支付 平台提供的检测电子交易过程中用户异常情况的免疫方法,具有可控可防、自适应、自学习 等特点。
[0022] 本发明的创新:
[0023] 1)综合考虑了电子交易过程中的用户正常情况和异常情况,以此来识别新交易为 "自己"还是"异己";
[0024] 2)引入年龄演变过程,并以年龄作为衰老与否的依据来实现免疫自稳功能,可以 及时掌握用户行为习惯变化;
[0025] 3)根据检测结果及时更新年龄值和相应的库集,保证再次遇到类似异常模式可以 及时发现,达到免疫功效。
【专利附图】
【附图说明】
[0026] 图1为电子交易过程用户行为模式免疫检测方法的整体架构图
[0027] 图2为数据预处理过程
[0028] 图3为交易序列的年龄值演变过程
[0029] 图4为用户行为模式检测过程
[0030] 图5为免疫方法的总体流程图
[0031] 图6为免疫方法与滑动窗口方法实验结果对比
【具体实施方式】
[0032] (案例)
[0033] 电子交易过程用户行为模式免疫检测方法的整体架构如图1所示。电子交易过程 用户行为模式的免疫检测方法主要依次由数据预处理模块、训练模块、检测模块和更新模 块各步骤组成。数据预处理模块主要将用户操作过程处理成序列格式,清洗相关重复数据; 训练模块主要是按照时间顺利,按照年龄演变过程,计算出各条序列的年龄值,根据年龄值 删除衰老日志提取出正常序列库(即抗体);检测模块主要是检测新产生的交易序列是否 发生突变;更新模块是根据检测结果,及时更新自体和异体的年龄值,进而更新有关库集。 [0034] 电子交易过程用户行为模式免疫检测方法以用户正常历史交易记录为起点,处理 出能反应用户近期行为习惯的正常交易序列库,以及通过免疫反向选择算法生成异常交易 序列库。当新的交易序列产生后,需要两步检测,先与异常序列库比较,确定是异常则报警 并进一步检测;反之,与正常序列库比较,确定是正常则进行更新操作,否则报警进一步检 测。
[0035] 以下详细介绍之。
[0036] 数据预处理模块:主要是根据用户交易过程中点击控件的顺序,提取出如图2所 示的交易序列,然后对序列进行如图2所示的合并操作,合并其中的重复项,得到相应的数 据格式。
[0037] 例如,我们根据某买家的日志,提取出该用户的相关操作:A=search,B=order, C=shoppingcart,D=examine,E=payment,F=cancel,G=return。描述的是买家 购物的大致操作,A代表搜索商品操作,是交易的开始,B和C分别代表直接下订单和放入购 物车下订单,D表示查询余额,可以在B(或C)之后也可以与之同时进行,然后是F和E,两 者是选择关系,F代表取消订单,E表示回应付款,G表示退货,是不确定因素。
[0038] 训练模块:主要包括建立正常序列库(即抗体集Ab)和异常序列库(即异体库 Non-selves)。首先,按照如图3所示的年龄演变过程,即新产生的序列与历史序列进行亲 和度计算,亲和度大于某个阈值0,则年龄保持不变,否则年龄age值增加两者的序列距 离。计算出用户历史交易操作序列的年龄值之后,按照年龄大小,提取年龄age值小于阈 值@的序列集合作为正常交易序列库。
[0039] 异体交易序列库的来源主要包括两个方面,一方面是已知非法交易序列,其中包 括一些和用户正常行为亲和度较高的序列;另一方面是运行过程中检测出来新的异常序 列,可以保证下次可以及时检测出类似的异常序列,达到免疫效果。当新产生的异常交易序 列加入异体库,根据年龄值演变过程,更新异体库中异体的年龄值,保留其中的活跃异体, 实现对异体库的自稳更新。
[0040] 行为模式检测模块:主要就是针对新产生的交易序列Ag进行的"突变"检测,分两 步检测,图4显示了该模块的主要功能。图4:
[0041] 第一步,将新产生的交易序列Ag与异体库进行比较,如果匹配成功,则报警行为 异常,并采取相关审查和通知用户措施,否则进入第二步;
[0042] 第二步,将新产生的交易序列Ag与正常交易序列(即抗体集Ab)进行比较,如果 与所有抗体亲和度都很低,则说明该序列有"突变"的可能,报警异常采取相应措施,反之检 测为正常行为。
[0043] 更新模块:该免疫方法的总体流程图如图5所示,为提高检测准确性,需要对这两 个模式库进行及时更新。本模块的主要功能就是更新正常模式库和异常模式库,可以保证 在能够准确检测的基础上,同时拥有对下次类似异常情况的免疫功能。
[0044] 根据检测的结果,如果结果为正常行为模式,那么就要按照图3所示的年龄演变 过程,对正常模式库(即抗体集Ab)进行年龄更新,删除其中的"衰老"日志,保证抗体集Ab 能反应用户近期行为习惯;如果结果为异常行为模式,和异常库中模式进行比较,如果是新 模式,则添加到异常模式库中,并更新异体库中异体序列的年龄值,清除"衰老"异体。
[0045] 为了把握用户的行为习惯,常用的方法是滑动窗口,只考虑用户近期的日志,而免 疫的方法,考虑的是日志的年龄,因此日志可能是近期的交易日志,也可能是比较久远的日 〇
[0046] 我们以近期主要序列之一的ABDEG为标准,由于ABDEG和ADBEG两个都是该用户 近期的主要行为序列,并且两者的亲和度是0. 8,则0. 8为关键参数。实验中,我们分别用滑 动窗口(slidingwindows)方法和本发明的免疫方法提取了 40条行为序列,为检验它们体 现用户近期行为习惯的程度,将它们分别与近期主要行为序列ABDEG进行亲和度计算,具 体两种方法所提取的40条行为序列的亲和度分布情况如图6所示。
[0047] 表1是两种方法进行定量分析的结果,可以看出,本发明提出的免疫方法的平均 亲和度0. 81,高于关键参数0. 8,而滑动窗口方法则低于0. 8。由此可见,免疫方法提取的 日志更能反应用户近期的行为习惯,可以用于检测新产生的交易序列是否符合用户行为习 惯。
[0048] 表1两种方法定量比较结果 [0049]
【权利要求】
1.电子交易过程用户行为模式的免疫检测方法,其特征在于,包括如下步骤: (1)数据预处理步骤 将用户操作过程处理成序列格式,清洗相关重复数据; ⑵训练步骤 按照时间顺利,按照年龄演变过程,计算出各条序列的年龄值,根据年龄值删除衰老日 志提取出正常序列库(即抗体),具体为: 建立正常序列库(即抗体集Ab)和异常序列库(即异体库Non-selves); 首先,按照年龄演变过程,即新产生的序列与历史序列进行亲和度计算,亲和度大于某 个阈值β,则年龄保持不变,否则年龄age值增加两者的序列距离; 计算出用户历史交易操作序列的年龄值之后,按照年龄大小,提取年龄age值小于阈 值β的序列集合作为正常交易序列库; 所述异体交易序列库的来源主要包括两个方面,一方面是已知非法交易序列,其中包 括一些和用户正常行为亲和度较高的序列;另一方面是运行过程中检测出来新的异常序 列;当新产生的异常交易序列加入异体库,根据年龄值演变过程,更新异体库中异体的年龄 值,保留其中的活跃异体,实现对异体库的自稳更新; (3) 行为模式检测步骤 检测新产生的交易序列是否发生突变,是针对新产生的交易序列Ag进行的"突变"检 测,分两步检测: 第一步,将新产生的交易序列Ag与异体库进行比较,如果匹配成功,则报警行为异常, 并采取相关审查和通知用户措施,否则进入第二步; 第二步,将新产生的交易序列Ag与正常交易序列(即抗体集Ab)进行比较,如果与所 有抗体亲和度都很低,则说明该序列有"突变"的可能,报警异常采取相应措施,反之检测为 正常行为; (4) 更新步骤 更新正常模式库和异常模式库: 根据检测的结果,如果结果为正常行为模式,那么就要按年龄演变过程,对正常模式库 (即抗体集Ab)进行年龄更新,删除其中的"衰老"日志,保证抗体集Ab能反应用户近期行 为习惯;如果结果为异常行为模式,和异常库中模式进行比较,如果是新模式,则添加到异 常模式库中,并更新异体库中异体序列的年龄值,清除"衰老"异体。
【文档编号】G06Q20/40GK104318435SQ201410495295
【公开日】2015年1月28日 申请日期:2014年9月25日 优先权日:2014年9月25日
【发明者】蒋昌俊, 闫春钢, 陈闳中, 丁志军, 蒋少平 申请人:同济大学