CN102004999A - 电子商务网络中基于行为收益模式的共谋团体识别方法 - Google Patents

Abstract

电子商务网络中基于行为收益模式的共谋团体识别方法涉及一种网络中共谋团体的识别方法，该方案通过分析用户在进行共谋时的最终目的是为获得金钱利益。如果团体共谋进行欺骗，其欺骗对象为团体外部用户，所以团体成员用户之间的交易较大，而对外部交易很少，否则团体交易收益将减少，欺骗成本将增加。本发明通过改进相似度方法，检测用户所获取信誉集中于某个用户或团体，而金钱收益却不集中在该团体来检测电子商务用户是否存在共谋。该发明通过直接限制欺骗收益，提高欺骗成本限制共谋。其识别方法更符合经济学博弈原理，更接近共谋团体形成的本质原因，可以有效的对电子商务中共谋团体进行识别，减少电子商务中的风险。

Description

电子商务网络中基于行为收益模式的共谋团体识别方法

技术领域

本发明涉及一种网络中共谋团体的识别方法，尤其涉及一种电子商务网络中基于行为收益模式的共谋团体识别方法.属干信息安全领域，特别是电子商务网络安全领域。

背景技术

电子商务网络的出现在很大程度上改变了购物模式，电子商务技术得到迅猛发展，现在日趋成熟，其良好的购物方式使得电子商务在中国逐渐盛行。典型的如淘宝网，拍拍网等电子商务系统。但是电子商务信誉系统由于网络天生的开放性、匿名性和难以追踪性等特点，恶意用户很容易侵入到网络中并发起攻击与欺骗。因此，电子商务网络在带来便利的同时，也产生一些欺骗威胁，商家与买家之间经常利用欺骗获取利益。为了解决这一问题，电子网络引入信誉信任机制，对网络中恶意用户的活动起到了比较好的抑制作用。

信誉机制的原理是通过买卖双方在对方违反交易原则时给对方赋予低信任评价，使其在后期的交易中不能继续获利的方法抑制恶意用户的活动，实践证明该机制的效果显著。但信誉系统本身的信誉数据对节点本身信任的依赖，需要用户对交易做出正确的信任评价，而恶意用户利用这个弱点，使其遭受攻击。现有的电子商务中，针对信任机制的攻击主要是共谋团体攻击，例如利用Sybil鼓吹信誉。当共谋团体攻击形成后，首先是某些商家信誉迅速抬高，形成不正当竞争，或者是某些商家利用小商品抬高信誉，而在高价格商品上进行欺骗，以次充好；或者是利用攻击淹没自己的不良记录。

现有的信任管理系统针对共谋团体的识别方案主要是基于对用户IP聚类分析与节点评价行为的相似性。但基于用户IP的共谋团体识别方案的工作原理是通过对用户的IP来源进行聚类分析，将来源相近的用户视作共谋团体成员。该方案来自P2P信任网络，正确运行的前提是，共谋团体的成员同时在地理分布上也是邻近的，即该方案只限于识别由IP比较接近的用户组成的特殊共谋团体，一般用于电子商务发展的前期。但是现实中恶意用户可以很方便的通过虚拟社区集合大量IP分布于各地的用户组成共谋团体发起攻击，在这种情况下，基于用户IP的共谋团体识别方案无效。行为相似度进行判定的工作原理是根据同一共谋团体中的成员由于发起攻击的需要，在行为模式上表现出较大的相似性，由此可以识别共谋团体。其需要共谋团体成员发起攻击时各个用户保持均衡，这对对等的串谋团体比较有效，但是对于Sybil攻击中用户评价行为随机分布时或故意模拟正常用户的攻击缺少有力的抵制。

因此，需要对这些特征的共谋团体攻击行为提出一种新型的识别方案。

发明内容

技术问题：本发明的目的是为电子商务信誉网络信任机制提供一种更为有效的共谋团体识别方案。

技术方案：本发明的电子商务信誉信任系统中共谋团体识别方案。该方案通过分析用户在进行共谋时的最终目的是为获得金钱利益。如果团体共谋进行欺骗，其欺骗对象为团体外部用户，所以团体成员用户之间的交易较大，而对外部交易很少，否则团体交易收益将减少，欺骗成本将增加。本发明通过改进相似度方法，检测用户所获取信誉集中于某个用户或团体，而金钱收益却不集中在该团体来检测电子商务用户是否存在共谋。与现有的共谋团体识别方案比较，该发明通过直接限制欺骗收益，提高欺骗成本限制共谋。其识别方法更符合经济学博弈原理，更接近共谋团体形成的本质原因，可以有效的对电子商务中共谋团体进行识别，减少电子商务中的风险。

本发明中涉及的共谋团体定义如下所示：

假设用户a正常情况下通过交互可以获得收益分为两个部分：信誉T_a与金钱M_a，记作U(T_a，M_a)，而当用户a参与用户团体活动形成集合G，如果满足下列条件：a获取的来自团体G中的信誉T_G，a与a的总信誉T_a的比值为r，a获取的来自团体G的金钱收入M_G，a在a的总收入M_a的比值为s，如果r与s的比值(或差)不小于设定值ε。则我们称该集合G∪{a}构成一个共谋团体。

该方法的工作原理是利用共谋团体在电子商务网络中利用鼓吹信誉，欺骗团体外部用户，使其相信被鼓吹的用户信誉可靠，以期获取金钱上的收入。其信誉鼓吹在共谋团体中，而主要金钱收入是在团体外部，因此我们可以利用这一特征识别共谋团体。

本发明的电子商务信誉信任系统中共谋团体识别方案具体步骤如下：

(1)用户的信任管理由中心服务TTP统一管理，每一个用户在隐私允许的前提下可以查看用户交易的行为历史记录与信任评价记录，以及该用户的商品交易的价格。

(2)每个用户在交易之前通过下载TTP上的将要交易的对手(或称敌手)交易记录集合，对提供记录的用户进行异常评价。

如果记录数过多(超过200)，则利用分布式任务分解，从中选取与记录数目相对应的子集进行评价，以期压缩计算规模。其方法是将提供评价记录的用户按照提供记录数的多少进行排序，按照算法取一个子集进行判定。

判断行为异常过程如下，满足如下评价行为记录为可能存在的异常行为：

第一种：如果用户与被评价用户交易次数的信任评价与其提供评价总数的比值高于阈值；

第二种：存在用户集合交易次数与支付比在总体交易的次数与支付比的差(或比值)高于阈值；

第三种：存在用户集合交易的受益者为被评价用户主体。

(3)针对行为异常的情况，启动共谋检测：首先从收集需要评价用户的评分数据(包括评价分数与交易收益量)；然后根据该数据计算服务用户从各个使用用户评价中获得的收益比例与各个用户主要支付对象；最后根据用户收益比与受益比进行聚类，判断是否有用户群能够高于阈值进而判断共谋团体。

(4)根据检测结果，汇报检测出的可能存在共谋团体的风险，提供给用户决策是否交易。

进一步的，电子商务系统使用的信任评价管理是集中管理模式，在评价之后不能更改信任评价。

进一步的，用户之间信任互评价过程行为如下：用户i作为买家通过交易平台与卖家j进行交易，交易完成后，i对j的服务与服务项目进行评价，j对i的支付行为进行评价，形成二者的相互评价。所述的评价数据至少包括(被评价用户的ID，评价用户的ID，用户提交的产品评价，被评价产品的ID，评价结果，具体评分，交易支付给用户的收益数额(金钱、虚拟货币))。

进一步的，在提供评价记录的用户数过多时，使用分布式任务分解，挑选提供记录的用户子集，根据概率选择其中部分用户，经由多次交易形成多次异常判定，覆盖该被评价用户的提供评价记录的用户。这样将计算任务在较可信网络中分配到多次交易中，降低计算规模。

选择提供评价记录的用户子集规模压缩取法如下：

(1)设提供评价记录的用户集合为S_j，使用堆排序根据各个用户提供总记录数进行非递增排序得S_j，1，使用堆排序根据各个用户与其总交易额多少进行非递增排序得S_j，2；

(2)对S_j，1，S_j，2分别从第一个用户开始顺序取lg|S_j，1|+b，lg|S_j，2|+b个用户，其中b为一个常数；

(3)对(2)所得的两个集合进行合并，得到用于判定的子集。

进一步的，所述判断异常行为的判定公式如下：

其中T_i，j表示用户i对j的信任评价记录，S_j是所有与j交易过的用户集合，ε₁为异常判定阈值；

(2)存在用户数目

其中M_i，j表示用户i对j的收益数额，X_sum为判定异常用户数目阈值，ε₂为异常判定阈值；

(3)存在用户数目其中G_i表示i所交易过的用户集合，ε₃为异常判定阈值。

进一步的，所述的聚类方法为：

(1)初始化共谋团体集合G₀；

(2)令j表示被评价用户，G₀＝{j}，所有评价过用户j的用户集为S_j；

(3)令G_j表示用户j评价的用户集合，求解集合S，如果

则S∪{j}。

(4)如果则对每一个i∈S_j  进行判定，如果

否则

对每一个i∈S_j进行判定，

如果

则G₀＝G₀∪{i}。

本发明具体实现步骤如下：

(1)对于每一个新加入的用户，电子商务平台为用户建立信任管理数据库；

(2)用户在进行交易之前，用户获取所要交易敌手(卖家)的的评价记录与提供相关评价的用户集合；

(3)根据提供相关评价的用户数目进行挑选进行判定是否存在异常的子集，挑选的算法详见实施过程；

(4)对提供相关评价的用户子集根据记录进行分析是否有交易记录行为异常，即提供评价记录的用户集合所提交评价记录的评分与交易收益是否超过设定的合理阈值，表现出行为异常的用户我们称之为异常用户。算法详见实施过程；

(5)如果存在异常行为，则认为可能存在共谋欺骗，启动共谋欺骗检测；

(6)启动共谋检测过程，将所有提供相关评价的用户数据(历史评价信息)进行收集；

(7)使用聚类算法对所有用户进行判定，利用受益相似进行衡量，如果存在可能共谋的用户集合大于阈值，则判定为存在共谋。算法详见实施过程；

(8)将检测结果反馈给用户，由用户根据风险判定是否进行交易。

有益效果：本发明所采用的基于博弈受益人的共谋团体检测算法，通过用户分布式检测网络中用户的评分行为，从而发现那些行为表现异常的用户，然后通过对这些异常用户之间的交易收益与交易受益进行分析，确认是否存在共谋团体。与其他识别算法如基于相似度，IP过滤的共谋团体识别算法相比，该算法适用识别更为准确，可以准确识别大多数的电子商务团体共谋行为，大大提高了电子商务网络信任模型对共谋攻击的抵制能力。

附图说明

图1为本发明的原理示意图。

图2为本发明的工作流程图。

具体实施方式

本发明的原理示意图如图1所示，用户在搜索确定需要交易之前，首先从信任管理中心系统下载被评价用户数据，根据提供评价记录的用户所提供的评价记录数目与交易额进行排序，得到一个有序非递增序列；然后，如果序列过长，则进行用户规模压缩，确定子集。对上述所得子集进行检测行为异常，如果发现在对该节点评分的节点中，行为异常的节点超过一定数量，则启动共谋团体检测算法，判断是否存在团体共谋行为。如果发现有共谋团体，反馈给用户一个风险分析，清除该团体对信任值计算的干扰，辅助用户提供决策。

参考流程图2，下面给出详细过程：

第一步：每一个用户在登录中心信任管理系统后，系统将为其分配用户标识ID，建立信任管理数据库。数据库至少保存：(1)用户交易记录；(2)用户交易被评价信息；(3)用户评价交易对手的评价信息。

第二步：用户在完成交易后，对交易结果进行评价：好评或者坏评，以及具体的评分。完成评价后提交的评价数据包括以下三部分：

(1)评价用户ID(标识评价是由谁做出的)，ID_i

(2)被评价用户ID〔标识被评价对象是谁〕，ID_j

(3)评价具体结果T_i，j和交易金额M_i，j，(下标表示用户i对j的)

该评价的内容可以使用XML描述如下：

<rating>

     <UserID>ID_i</UserID>

     <ServiceID>ID_j</ServiceID>

     <rateResult>T_i，j</rateResult>

     <volume>M_i，j</volume>

</rating>

第三步：用户向信任管理中心系统提交评价数据后，信任管理系统同时记录用户的评分行为，由信任管理系统统一管理所有用户评分行为与评价数据。用户在使用评价数据时，首先从信任管理系统将所使用的数据一起下载。

在本发明中，为避免大规模下载检测数据，我们采用分布式任务分解，利用多次交易重复检测的方法。每一个被评价用户不是一次将其所有相关数据下载，而是使用下载其中部分子集。其数据记录集合截取处理过程如下面算法所示：

算法：选择用户子集算法

输入：数据查询请求；

输出：与被评价用户评价记录相关的，用于判定是否存在共谋的提供评价用户子集；

Function SelectSubSet(ID_i，ID_j，T_i，j，M_i，j){

    If(用户数目过多){

         对用户按照提供评价记录数目非递增排序，并取前lg|S_j，1|+b个用

户；

         对用户按照交易额大小非递增排序，并取前lg|S_j，1|+b个用户；

         对所得的两个集合进行合并，得到S_sub；

         }

    else S_sub赋值为所有用户集合；

    返回S_sub；

}

算法中b的选取是一个经验参数，可以设定为大于整数2的数。算法并不是检测所有用户，降低了检测的用户规模，但经过多次(小于等于10)检测，在概率上可以达到覆盖大多数的结果。在需要精确结果的情况下，可以不使用压缩算法。

第四步：用户i对第三步所得S_sub子集中的用户的评分结果进行分析，检查是否存在行为异常的节点，统计检测到的异常节点数，若数量超过一定值，则启动共谋团体检测算法进行检测。

发现单个行为异常是进行共谋团体检测的基础，本发明对共谋团体的检测是建立在对异常用户集合中共同行为分析之上的。

本发明所提出的共谋团体检测方法所涉及的相关算法分别叙述如下：

(1)信任管理节点在整个共谋团体检测算法中扮演核心角色，负责监测异常节点行为、收集节点行为向量、计算节点之间行为相似度以及判别是否存在共谋团体等任务。信任管理节点在接受到节点评价数据之后的处理过程如下面的算法所示：

算法：检测单用户异常算法

输入：对被评价用户j提供评价的用户集合(S_sub)；

输出：是否可能存在异常用户的判断结果；

Function findException(S_sub){

//对被评价用户j的提供评价用户集

                    合S_j中的每一

//个用户从信任管理系统下载评价数据，GetData原语用来表示得到数

                          据；

$\mathrm{for}(\&ForAll;i\&Element;S_{\mathrm{sub}})\{$

$\mathrm{If}\left(\right|\frac{T_{i,j}}{\underset{k=1}{\overset{\left|S_j\right|}{\mathrm{\&Sigma;}}}{T}_{k,j}}|\&GreaterEqual;{\mathrm{\&epsiv;}}_1||\left(\right|\frac{T_{i,j}}{M_{i,j}}|-|\frac{\underset{k=1}{\overset{\left|S_j\right|}{\mathrm{\&Sigma;}}}{T}_{k,j}}{\underset{k=1}{\overset{\left|S_j\right|}{\mathrm{\&Sigma;}}}{M}_{k,j}}\left|\right)\&GreaterEqual;{\mathrm{\&epsiv;}}_2|\left|\right|\frac{M_{i,j}}{\underset{k=1}{\overset{\left|G_i\right|}{\mathrm{\&Sigma;}}}{M}_{i,k}}|\&GreaterEqual;{\mathrm{\&epsiv;}}_3)\{$

        //如果存在异常用户

        X_sum←X_sum+1；

        if(X_sum＞ζ)Detector(ID_j)；//如果存在异常，启动检测算法

        }

    }

}

其中，S_j表示对被评价用户j的提供评价用户集合，M_i，j表示用户i对j的交易数额，T_i，j表示用户i对j的信任评价记录，ε₁，ε₂ ε₃表示是异常阈值，ζ表示规模数目阈值(一般取2)。

(2)共谋团体检测算法Detector(ID_j)如下：

算法：共谋团体检测算法

输入：被评价用户ID

输出：存在共谋，则显示共谋团体和风险分析，否则显示风险分析procedure Detector(ID_j){

//初始化共谋团体G₀为空集；

//初始化中间变量S为空集；

GetAllSet(ID_j，S_j)；//根据ID_j得到评价j的用户全集，

               //GetAllSet原语表示获得评价用户集合

GetRateSet(ID_j，G_j)；//根据ID_j得到j评价的用户全集，

              //GetRateSett原语表示获得相对应的用户集合

for

GetData(T_k，j，M_k，j)；//对被评价用户j的提供评价用户集

               合S_j，G_j中的

//每一个用户从信任管理系统下载评价数据，GetData原语用来表示得

                          到数据；

S←G_j∩S_j；

If(S＝null){  //如果S为空集

$\mathrm{for}(\&ForAll;i\&Element;S_j)\{$

$\mathrm{if}\left(\right|\frac{M_{i,j}}{\underset{k=1}{\overset{\left|S_j\right|}{\mathrm{\&Sigma;}}}{M}_{k,j}}|\&GreaterEqual;{\mathrm{\&epsiv;}}_3)G_0=G_0\&cup;\left\{i\right\};$

}else{

      S←S∪{j}

$\mathrm{If}\left(\right|\frac{M_{i,s}}{\underset{k=1}{\overset{\left|G_i\right|}{\mathrm{\&Sigma;}}}{M}_{i,k}}|\&GreaterEqual;{\mathrm{\&epsiv;}}_3)G_0=G_0\&cup;\left\{i\right\};$

}

If(|G₀|＞δ){

判定G₀为共谋团体，计算共谋造成的风险；

输出集合G₀中的元素与风险评价；

        }else{输出风险分析；

    }

}

其中，S_j表示对被评价用户j的提供评价用户集合，G_i表示用户i评价的用户集合，M_i，j表示用户i对j的交易数额，M_i，s表示用户i对团体S的交易数额，T_i，j表示用户i对j的信任评价记录，ε₃表示是异常阈值，δ表示共谋团体规模数目阈值。

第五步，利用检测结果重新计算用户信任值，输出共谋风险，消除共谋团体的于扰。

计算用户信任值，目的是消除共谋团体在计算过程中的影响，保证计算结果的真实可靠性，提供给用户一个真实的信任程度评估与风险评估。具体实现可能根据风险计算的方法不同而不同。最直观的做法就是在剔除所有共谋团体成员的评分数据之后重新计算节点，其次是将共谋团体作为一个整体重新计算。

至此，基于节点行为相似度的共谋团体识别过程结束。

对于本领域技术人员，还可以根据具体信任模型的不同以及本发明的核心思想设计和构造自己的共谋团体检测算法，在具体环境中达到最好的效果，从而更好的检测网络中存在的共谋团体。需要特别说明的是，本文对本发明的说明是以电子商务网络中面向交易金额的信任模型为例，但是对本发明进行适当的调整后，它同样适用于面向资源的信任模型。因此在本发明中针对交易收益与受益，以及在其之上进行共谋团体识别，但是，通过采用适当的方法描迷用户的其他收益(例如时间，P2P网络中的上传下载流量交易收益等)，也可以在这些收益之上建立起相应的共谋团体识别方案。

最后，尽管为说明目的公开了本发明的具体实施例和附图，其目的在于帮助理解本发明的内容并据以实施，但是本领域的技术人员可以理解；在不脱离本发明及所附的权利要求的精神和范围内，各种替换、变化和修改都是可能的。因此，本发明不应局限于最佳实施例和附图所公开的内容，本发明要求保护的范围以权利要求书界定的范围为准。

Claims (6)

1.一种电子商务网络中基于行为收益模式识别的共谋团体识别方法，其特征在于该识别方法包括如下步骤：

1)对于每一个新加入的用户，电子商务平台为用户建立信任管理数据库；

2)用户在进行交易之前，用户获取所要交易敌手即卖家的的评价记录与提供相关评价的用户集合；

3)根据提供相关评价的用户数目进行挑选，如果用户数目较多，则利用分布式任务分解，选择用户子集，压缩异常判定的用户规模；

4)对每一个选择出的用户子集根据记录进行分析是否有交易记录行为异常，利用异常判定公式进行判定是否存在异常的用户；

5)如果子集中存在足够的用户数目满足异常判定公式，则认为该提供评价的用户集合有可能存在共谋欺骗，开始启动共谋欺骗检测程序；

6)启动共谋检测过程，将所有提供相关评价的用户历史评价信息数据进行收集，根据用户数据，使用异常判定方法对所有用户进行判定，将满足异常条件的用户进行共谋聚类，组成新的集合；然后利用基于行为收益模式识别的共谋团体识别方法进行团体判定，即用受益集中或相似进行衡量；如果存在可能共谋的用户集合受益人的集中程度大于阈值，则判定该用户集合为共谋团体；

7)将检测结果反馈给用户，由用户根据风险判定是否进行交易。

2.如权利要求1所述的电子商务网络中基于行为收益模式识别的共谋团体识别方法，其特征在于所述的分布式任务分解是将判定用户集是否存在共谋分解为多个用户通过多次判定子集。

3.如权利要求1或2所述的电子商务网络中基于行为收益模式识别的共谋团体识别方法，其特征在于所述的压缩异常判定的用户规模的计算公式为：lg|S_j，1|+b，lg|S_j，2|+b进行子集挑选方法，其中，设提供评价用户j记录的用户集合为S_j，使用堆排序对S_j根据各个用户提供总记录数进行非递增排序得S_j，1，使用堆排序对S_j根据各个用户与其总交易额多少进行非递增排序得S_j，2；b是常数。

4.如权利要求1所述的电子商务网络中基于行为收益模式识别的共谋团体识别方法，其特征在于所述异常判定公式为：

公式2： $\left|\frac{T_{i,j}}{M_{i,j}}\right|-\left|\frac{\underset{k=1}{\overset{\left|S_j\right|}{\mathrm{\&Sigma;}}}{T}_{k,j}}{\underset{k=1}{\overset{\left|S_j\right|}{\mathrm{\&Sigma;}}}{M}_{k,j}}\right|;$ 公式3： $\left|\frac{M_{i,j}}{\underset{k=1}{\overset{\left|G_i\right|}{\mathrm{\&Sigma;}}}{M}_{i,k}}\right|;$

其中，T_i，j表示用户i对j的信任评价记录，S_j是所有与j交易过的用户集合，

M_i，j表示用户i对j的收益数额，G_i表示i所交易过的用户集合，k表示属于求和符号上标集合S_j或G_i内的用户。

5.如权利要求1所述的电子商务网络中基于行为收益模式识别的共谋团体识别方法，其特征在于所述的共谋团体识别方法利用博弈原理，如果存在共谋，共谋团体将会在交易中使收益人，受益人集中在共谋团体内部，对外部付出为零或很少，则可以利用该特征进行聚类。

6.如权利要求1或5所述的电子商务网络中基于行为收益模式识别的共谋团体识别方法，其特征在于所述共谋聚类的方法为：

初始化共谋团体集合G₀；令j表示被评价用户，G₀＝{j}，所有评价过用户j的用户集为S_j；令G_j表示用户j评价的用户集合；

1)求解集合S，如果S＝G_j∩S_j为空集，则将j并入S；

如果S为空集，则对每一个i∈S_j进行判定，如果

则G₀＝G₀∪{i}；

如果S不为空集，则对每一个i∈S_j进行判定，如果

则G₀＝G₀∪{i}；其中ε₃为收益可信阈值。

Images