電子交易過程用戶行為模式檢測的免疫方法

電子交易過程用戶行為模式檢測的免疫方法
【專利摘要】電子交易過程用戶行為模式的免疫檢測方法,包括數據預處理步驟，主要將用戶操作過程處理成序列格式，清洗相關重復數據；訓練步驟，主要是按照時間順利，按照年齡演變過程，計算出各條序列的年齡值，根據年齡值刪除衰老日志提取出正常序列庫(即抗體)；檢測步驟，主要是檢測新產生的交易序列是否發生突變；更新步驟，是根據檢測結果，及時更新自體和異體的年齡值，進而更新有關庫集。本發明面向的情況是電子交易過程中的異常情況，可能是用戶自身的誤操作，也可能是賬戶冒用的非法操作等不符合用戶行為習慣的情況。本發明是為電商和第三方支付平臺提供的檢測電子交易過程中用戶異常情況的免疫方法，具有可控可防、自適應、自學習等特點。
【專利說明】電子交易過程用戶行為模式檢測的免疫方法

【技術領域】
[0001] 本發明涉及電子商務安全領域。

【背景技術】
[0002] 近年來，電子商務在我國的發展可謂日新月異，過去的一年電子交易的業績又達 到一個新的高度。但是高速的背后也存在隱患，由于技術不成熟、起步晚，我國電子交易可 信危機形勢比其他國家更加嚴峻，欺詐、賬戶冒用、釣魚等惡意行為層出不窮。這些惡意行 為和用戶自身的誤操作，都不符合用戶行為習慣，都是電子交易過程中的異常情況。
[0003] 在實際應用中，傳統的賬戶密碼體系已經無法保證電子交易可信，已有的入侵檢 測手段也不能適應新型的欺詐手段，因此，目前電商和第三方支付平臺普遍采用的是人工 檢測的方法，并通過添加規則來限制異常行為，這種方式雖然誤檢率低，但是自適應性較 差，而且花費了大量的人力物力。


【發明內容】

[0004] 電子交易過程用戶行為模式檢測的免疫方法是根據用戶歷史交易操作序列，根據 年齡演變過程，提取出了最能反應用戶近期行為習慣的正常序列庫；當新的交易序列產生 時，根據異常序列庫和正常序列庫來檢測新產生序列是否發生異常。并根據檢測結果，及時 更新相應庫集。
[0005] 本發明技術方案為：
[0006] 電子交易過程用戶行為模式的免疫檢測方法，其特征在于，包括如下步驟：
[0007] (1)數據預處理步驟
[0008] 主要將用戶操作過程處理成序列格式，清洗相關重復數據。
[0009] ⑵訓練步驟
[0010] 主要是按照時間順利，按照年齡演變過程，計算出各條序列的年齡值，根據年齡 值刪除衰老日志提取出正常序列庫（即抗體）。具體為：建立正常序列庫（即抗體集Ab)和 異常序列庫（即異體庫Non-selves)。首先，按照年齡演變過程，即新產生的序列與歷史序 列進行親和度計算，親和度大于某個閾值P，則年齡保持不變，否則年齡age值增加兩者的 序列距離。計算出用戶歷史交易操作序列的年齡值之后，按照年齡大小，提取年齡age值小 于閾值P的序列集合作為正常交易序列庫。所述異體交易序列庫的來源主要包括兩個方 面，一方面是已知非法交易序列，其中包括一些和用戶正常行為親和度較高的序列；另一方 面是運行過程中檢測出來新的異常序列，可以保證下次可以及時檢測出類似的異常序列， 達到免疫效果。當新產生的異常交易序列加入異體庫，根據年齡值演變過程，更新異體庫中 異體的年齡值，保留其中的活躍異體，實現對異體庫的自穩更新。
[0011] (3)行為模式檢測步驟
[0012] 檢測新產生的交易序列是否發生突變，是針對新產生的交易序列Ag進行的"突 變"檢測，分兩步檢測：
[0013] 第一步，將新產生的交易序列Ag與異體庫進行比較，如果匹配成功，則報警行為 異常，并采取相關審查和通知用戶措施，否則進入第二步；
[0014] 第二步，將新產生的交易序列Ag與正常交易序列（即抗體集Ab)進行比較，如果 與所有抗體親和度都很低，則說明該序列有"突變"的可能，報警異常采取相應措施，反之檢 測為正常行為。
[0015] ⑷更新步驟
[0016] 為提高檢測準確性，需要對這兩個模式庫進行及時更新：更新正常模式庫和異常 模式庫，可以保證在能夠準確檢測的基礎上，同時擁有對下次類似異常情況的免疫功能。
[0017] 根據檢測的結果，如果結果為正常行為模式，那么就要按年齡演變過程，對正常模 式庫（即抗體集Ab)進行年齡更新，刪除其中的"衰老"日志，保證抗體集Ab能反應用戶近 期行為習慣；如果結果為異常行為模式，和異常庫中模式進行比較，如果是新模式，則添加 到異常模式庫中，并更新異體庫中異體序列的年齡值，清除"衰老"異體。
[0018] 本發明機理：
[0019] 為提取出能反應用戶近期的行為習慣，需要清除用戶交易日志中的衰老序列，這 和生物體清理衰老細胞保持機體平衡的免疫自穩機制基本類似；檢測用戶新產生的交易序 列是否正常，并及時清理異常序列，這和及時消除生物體中異常細胞的免疫監視機理有一 定的共通之處。由此可見，用戶行為模式異常檢測與生物免疫系統有很多相似之處，可以用 免疫方法來檢測異常情況。
[0020] 為提高用戶行為可信度，本發明提出了電子交易過程用戶行為模式檢測的免疫方 法，把能反應用戶電子交易過程中行為習慣的日志對應于生物抗體，根據生物免疫自穩機 理，通過清理其中衰老日志來實現了抗體更新，從而保證處理過的日志可以反應用戶最近 的行為習慣，并根據免疫監視機制來檢測新產生的交易序列是否發生異常，達到檢測用戶 電子交易過程行為模式是否正常的目的。根據檢測結果，及時更新有關庫集，保證下次可以 及時檢測出類似情況，達到免疫效果。
[0021] 本發明面向的情況是電子交易過程中的異常情況，可能是用戶自身的誤操作，也 可能是賬戶冒用的非法操作等不符合用戶行為習慣的情況。本發明是為電商和第三方支付 平臺提供的檢測電子交易過程中用戶異常情況的免疫方法，具有可控可防、自適應、自學習 等特點。
[0022] 本發明的創新：
[0023] 1)綜合考慮了電子交易過程中的用戶正常情況和異常情況，以此來識別新交易為 "自己"還是"異己"；
[0024] 2)引入年齡演變過程，并以年齡作為衰老與否的依據來實現免疫自穩功能，可以 及時掌握用戶行為習慣變化；
[0025] 3)根據檢測結果及時更新年齡值和相應的庫集，保證再次遇到類似異常模式可以 及時發現，達到免疫功效。

【專利附圖】

【附圖說明】
[0026] 圖1為電子交易過程用戶行為模式免疫檢測方法的整體架構圖
[0027] 圖2為數據預處理過程
[0028] 圖3為交易序列的年齡值演變過程
[0029] 圖4為用戶行為模式檢測過程
[0030] 圖5為免疫方法的總體流程圖
[0031] 圖6為免疫方法與滑動窗口方法實驗結果對比

【具體實施方式】
[0032] (案例）
[0033] 電子交易過程用戶行為模式免疫檢測方法的整體架構如圖1所示。電子交易過程 用戶行為模式的免疫檢測方法主要依次由數據預處理模塊、訓練模塊、檢測模塊和更新模 塊各步驟組成。數據預處理模塊主要將用戶操作過程處理成序列格式，清洗相關重復數據； 訓練模塊主要是按照時間順利，按照年齡演變過程，計算出各條序列的年齡值，根據年齡值 刪除衰老日志提取出正常序列庫（即抗體）；檢測模塊主要是檢測新產生的交易序列是否 發生突變；更新模塊是根據檢測結果，及時更新自體和異體的年齡值，進而更新有關庫集。 [0034] 電子交易過程用戶行為模式免疫檢測方法以用戶正常歷史交易記錄為起點，處理 出能反應用戶近期行為習慣的正常交易序列庫，以及通過免疫反向選擇算法生成異常交易 序列庫。當新的交易序列產生后，需要兩步檢測，先與異常序列庫比較，確定是異常則報警 并進一步檢測；反之，與正常序列庫比較，確定是正常則進行更新操作，否則報警進一步檢 測。
[0035] 以下詳細介紹之。
[0036] 數據預處理模塊：主要是根據用戶交易過程中點擊控件的順序，提取出如圖2所 示的交易序列，然后對序列進行如圖2所示的合并操作，合并其中的重復項，得到相應的數 據格式。
[0037] 例如，我們根據某買家的日志，提取出該用戶的相關操作：A=search,B=order, C=shoppingcart,D=examine,E=payment,F=cancel,G=return。描述的是買家 購物的大致操作，A代表搜索商品操作，是交易的開始，B和C分別代表直接下訂單和放入購 物車下訂單，D表示查詢余額，可以在B(或C)之后也可以與之同時進行，然后是F和E，兩 者是選擇關系，F代表取消訂單，E表示回應付款，G表示退貨，是不確定因素。
[0038] 訓練模塊：主要包括建立正常序列庫（即抗體集Ab)和異常序列庫（即異體庫 Non-selves)。首先，按照如圖3所示的年齡演變過程，即新產生的序列與歷史序列進行親 和度計算，親和度大于某個閾值0，則年齡保持不變，否則年齡age值增加兩者的序列距 離。計算出用戶歷史交易操作序列的年齡值之后，按照年齡大小，提取年齡age值小于閾 值@的序列集合作為正常交易序列庫。
[0039] 異體交易序列庫的來源主要包括兩個方面，一方面是已知非法交易序列，其中包 括一些和用戶正常行為親和度較高的序列；另一方面是運行過程中檢測出來新的異常序 列，可以保證下次可以及時檢測出類似的異常序列，達到免疫效果。當新產生的異常交易序 列加入異體庫，根據年齡值演變過程，更新異體庫中異體的年齡值，保留其中的活躍異體， 實現對異體庫的自穩更新。
[0040] 行為模式檢測模塊：主要就是針對新產生的交易序列Ag進行的"突變"檢測，分兩 步檢測，圖4顯示了該模塊的主要功能。圖4:
[0041] 第一步，將新產生的交易序列Ag與異體庫進行比較，如果匹配成功，則報警行為 異常，并采取相關審查和通知用戶措施，否則進入第二步；
[0042] 第二步，將新產生的交易序列Ag與正常交易序列（即抗體集Ab)進行比較，如果 與所有抗體親和度都很低，則說明該序列有"突變"的可能，報警異常采取相應措施，反之檢 測為正常行為。
[0043] 更新模塊：該免疫方法的總體流程圖如圖5所示，為提高檢測準確性，需要對這兩 個模式庫進行及時更新。本模塊的主要功能就是更新正常模式庫和異常模式庫，可以保證 在能夠準確檢測的基礎上，同時擁有對下次類似異常情況的免疫功能。
[0044] 根據檢測的結果，如果結果為正常行為模式，那么就要按照圖3所示的年齡演變 過程，對正常模式庫（即抗體集Ab)進行年齡更新，刪除其中的"衰老"日志，保證抗體集Ab 能反應用戶近期行為習慣；如果結果為異常行為模式，和異常庫中模式進行比較，如果是新 模式，則添加到異常模式庫中，并更新異體庫中異體序列的年齡值，清除"衰老"異體。
[0045] 為了把握用戶的行為習慣，常用的方法是滑動窗口，只考慮用戶近期的日志，而免 疫的方法，考慮的是日志的年齡，因此日志可能是近期的交易日志，也可能是比較久遠的日 〇
[0046] 我們以近期主要序列之一的ABDEG為標準，由于ABDEG和ADBEG兩個都是該用戶 近期的主要行為序列，并且兩者的親和度是0. 8,則0. 8為關鍵參數。實驗中，我們分別用滑 動窗口（slidingwindows)方法和本發明的免疫方法提取了 40條行為序列，為檢驗它們體 現用戶近期行為習慣的程度，將它們分別與近期主要行為序列ABDEG進行親和度計算，具 體兩種方法所提取的40條行為序列的親和度分布情況如圖6所示。
[0047] 表1是兩種方法進行定量分析的結果，可以看出，本發明提出的免疫方法的平均 親和度0. 81，高于關鍵參數0. 8,而滑動窗口方法則低于0. 8。由此可見，免疫方法提取的 日志更能反應用戶近期的行為習慣，可以用于檢測新產生的交易序列是否符合用戶行為習 慣。
[0048] 表1兩種方法定量比較結果 [0049]

【權利要求】
1.電子交易過程用戶行為模式的免疫檢測方法，其特征在于，包括如下步驟： (1)數據預處理步驟 將用戶操作過程處理成序列格式，清洗相關重復數據； ⑵訓練步驟 按照時間順利，按照年齡演變過程，計算出各條序列的年齡值，根據年齡值刪除衰老日 志提取出正常序列庫（即抗體），具體為： 建立正常序列庫（即抗體集Ab)和異常序列庫（即異體庫Non-selves); 首先，按照年齡演變過程，即新產生的序列與歷史序列進行親和度計算，親和度大于某 個閾值β，則年齡保持不變，否則年齡age值增加兩者的序列距離； 計算出用戶歷史交易操作序列的年齡值之后，按照年齡大小，提取年齡age值小于閾 值β的序列集合作為正常交易序列庫； 所述異體交易序列庫的來源主要包括兩個方面，一方面是已知非法交易序列，其中包 括一些和用戶正常行為親和度較高的序列；另一方面是運行過程中檢測出來新的異常序 列；當新產生的異常交易序列加入異體庫，根據年齡值演變過程，更新異體庫中異體的年齡 值，保留其中的活躍異體，實現對異體庫的自穩更新； (3) 行為模式檢測步驟 檢測新產生的交易序列是否發生突變，是針對新產生的交易序列Ag進行的"突變"檢 測，分兩步檢測： 第一步，將新產生的交易序列Ag與異體庫進行比較，如果匹配成功，則報警行為異常， 并采取相關審查和通知用戶措施，否則進入第二步； 第二步，將新產生的交易序列Ag與正常交易序列（即抗體集Ab)進行比較，如果與所 有抗體親和度都很低，則說明該序列有"突變"的可能，報警異常采取相應措施，反之檢測為 正常行為； (4) 更新步驟 更新正常模式庫和異常模式庫： 根據檢測的結果，如果結果為正常行為模式，那么就要按年齡演變過程，對正常模式庫 (即抗體集Ab)進行年齡更新，刪除其中的"衰老"日志，保證抗體集Ab能反應用戶近期行 為習慣；如果結果為異常行為模式，和異常庫中模式進行比較，如果是新模式，則添加到異 常模式庫中，并更新異體庫中異體序列的年齡值，清除"衰老"異體。
【文檔編號】G06Q20/40GK104318435SQ201410495295
【公開日】2015年1月28日 申請日期:2014年9月25日 優先權日:2014年9月25日
【發明者】蔣昌俊, 閆春鋼, 陳閎中, 丁志軍, 蔣少平 申請人:同濟大學