DE112015002933T5 - Immunverfahren zum Erfassen einer Anwenderverhaltensweise in einem elektronischen Transaktionsprozess - Google Patents

Immunverfahren zum Erfassen einer Anwenderverhaltensweise in einem elektronischen Transaktionsprozess Download PDF

Info

Publication number
DE112015002933T5
DE112015002933T5 DE112015002933.8T DE112015002933T DE112015002933T5 DE 112015002933 T5 DE112015002933 T5 DE 112015002933T5 DE 112015002933 T DE112015002933 T DE 112015002933T DE 112015002933 T5 DE112015002933 T5 DE 112015002933T5
Authority
DE
Germany
Prior art keywords
library
age
sequence
behavior
sequences
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112015002933.8T
Other languages
English (en)
Inventor
Chungang Yan
Zhijun Ding
Changjun Jiang
Hongzhong Chen
Shaoping Jiang
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tongji University
Original Assignee
Tongji University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tongji University filed Critical Tongji University
Publication of DE112015002933T5 publication Critical patent/DE112015002933T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Peptides Or Proteins (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Immunerfassungsverfahren für eine Anwenderverhaltensweise in einem elektronischen Transaktionsprozess, aufweisend einen Datenvorverarbeitungsschritt, der vorwiegend einen Anwenderbedienungsprozess zu einem Sequenzformat verarbeitet und verwandte wiederholte Daten entfernt; einen Trainingsschritt, der vorwiegend einen Altersstufenwert jeder Sequenz nach einer Zeitreihenfolge und nach einem Altersstufenentwicklungsprozess berechnet, veraltete Protokolle nach Altersstufenwerten löscht und eine normale Sequenzbiliothek (d. h., Antikörper) gewinnt; einen Erfassungsschritt, der vorwiegend erfasst, ob eine neu generierte Transaktionssequenz mutiert ist oder nicht; und einen Aktualisierungsschritt, der Altersstufenwerte von eigenen Körpern und Fremdkörpern rechtzeitig entsprechend einem Erfassungsergebnis aktualisiert und einen verwandten Bibliothekssatz aktualisiert. Die vorliegende Erfindung ist auf anomale Situationen im elektronischen Transaktionsprozess ausgerichtet, die eine Fehlbedienung durch Anwender sein können und auch eine illegale Bedienung sein können, die durch Verwendung eines falschen Kontos verursacht wird, oder andere Situationen, die nicht mit Anwenderverhaltensgewohnheiten übereinstimmen. Die vorliegende Erfindung stellt ein Immunverfahren zum Erfassen eines anomalen Anwenderverhaltens in einem elektronischen Transaktionsprozess für den elektronischen Handel und Drittpartei-Zahlungsplattformen bereit und hat Merkmale einer Kontrollierbarkeit und Vermeidbarkeit, Selbstanpassungsfähigkeit, eines eigenständigen Lernens, usw.

Description

  • Hintergrund der vorliegenden Erfindung
  • Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft das Gebiet der Sicherheit im elektronischen Handel.
  • Beschreibung des Standes der Technik
  • In den letzten Jahren hat sich der elektronische Handel in China rasch entwickelt. Im vergangenen Jahr erreichte das Geschäftsergebnis elektronischer Transaktionen einen neuen Spitzenwert. Hinter einer Hochgeschwindigkeitsentwicklung lauern jedoch mögliche Gefahren. Da die Technologie nicht ausgereift ist und der Start spät erfolgt, ist die Krisensituation bezüglich der Vertrauenswürdigkeit elektronischer Transaktionen in China schwerwiegender als in anderen Ländern und schädliche Verhaltensweisen, wie eine betrügerische, illegale Verwendung von Konten und Phishing, treten unendlich auf. Diese schädlichen Verhaltensweisen und Fehloperationen von Anwendern stehen nicht mit Anwenderverhaltensgewohnheiten in Einklang und sind anomale Situationen in elektronischen Transaktionsprozessen.
  • Während einer tatsächlichen Anwendung war das herkömmliche Kontopasswortsystem bereits nicht mehr imstande, eine Vertrauenswürdigkeit elektronischer Transaktionen zu garantieren, und die bestehenden Invasionserfassungsmittel können sich nicht an neue betrügerische Mittel anpassen. Daher verwenden gegenwärtig der elektronische Handel und Drittpartei-Zahlungsplattformen im Allgemeinen ein manuelles Erfassungsverfahren und begrenzen ein anomales Verhalten durch Hinzufügen von Regeln. Obwohl die Fehlerfassungsquote dieses Verfahrens gering ist, ist die Anpassungsfähigkeit schlecht und ein hoher Einsatz von Arbeitskräften und Materialressourcen ist kostspielig.
  • Kurzdarstellung der vorliegenden Erfindung
  • Ein Immunverfahren zum Erfassen einer Anwenderverhaltensweise in einem elektronischen Transaktionsprozess ist ein Prozess zum Gewinnen einer normalen Sequenzbibliothek, die jüngste Verhaltensgewohnheiten eines Anwenders gemäß traditionellen Transaktionsablaufsequenzen des Anwenders und gemäß einem Altersstufenentwicklungsprozess am besten wiederspiegeln kann; und wenn eine neue Transaktionssequenz generiert wird, zum Erfassen gemäß einer anomalen Sequenzbiliothek und der normalen Sequenzbiliothek, ob die neu generierte Sequenz anomal ist oder nicht; und zum rechtzeitigen Aktualisieren der entsprechenden Bibliothek entsprechend einem Erfassungsergebnis.
  • Die technische Lösung der vorliegenden Erfindung ist wie folgt:
    Ein Immunerfassungsverfahren für eine Anwenderverhaltensweise in einem elektronischen Transaktionsprozess ist dadurch gekennzeichnet, dass das Immunerfassungsverfahren für die Anwenderverhaltensweise im elektronischen Transaktionsprozess die folgenden Schritte aufweist:
    • (1) einen Datenvorverarbeitungsschritt, der vorwiegend einen Anwenderbedienungsprozess zu einem Sequenzformat verarbeitet und verwandte wiederholte Daten entfernt;
    • (2) einen Trainingsschritt, der vorwiegend einen Altersstufenwert jeder Sequenz nach einer Zeitreihenfolge und nach einem Altersstufenentwicklungsprozess berechnet, veraltete Protokolle nach Altersstufenwerten löscht und eine normale Sequenzbiliothek (d. h., Antikörper) gewinnt. Der insbesondere: eine normale Sequenzbiliothek (d. h., einen Antikörpersatz Ab) und eine anomale Sequenzbiliothek (d. h., eine Fremdkörperbibliothek) erstellt. Der anfänglich eine Affinitätsberechnung an neu generierten Sequenzen und traditionellen Sequenzen anhand eines Altersstufenentwicklungsprozesses durchführt, wobei eine Altersstufe unverändert bleibt, wenn eine Affinität größer als ein gewisser Schwellenwert β ist, und andernfalls den Altersstufenwert um einen dazwischenliegenden Sequenzabstand erhöht; nach Berechnen von Altersstufenwerten traditioneller Transaktionsablaufsequenzen eines Anwenders, einen Satz von Sequenzen mit Altersstufenwerten, die kleiner als der Schwellenwert β sind, nach dem Alter der Altersstufen gewinnt, und den Satz von Sequenzen als eine normale Transaktionssequenzbibliothek verwendet, wobei Quellen der Fremdkörper-Transaktionssequenzbibliothek vorwiegend zwei Aspekte aufweisen, wobei ein Aspekt bekannte illegale Transaktionssequenzen betrifft, die einige Sequenzen mit höherer Affinität mit normalem Anwenderverhalten enthalten; der andere Aspekt neue anomale Sequenzen betrifft, die im Bedienungsprozess erfasst werden, sodass garantiert werden kann, dass ähnliche anomale Sequenzen rechtzeitig zu einem nächsten Zeitpunkt erfasst werden können, um eine Immunwirkung zu erzielen. Und wenn die neu generierten, anomalen Transaktionssequenzen der Fremdkörperbibliothek hinzugefügt werden, die Altersstufenwerte von Fremdkörpern in der Fremdkörperbibliothek nach dem Altersstufenwertentwicklungsprozess aktualisiert werden, aktive Fremdkörper darin zurückbehalten werden und ein selbststabilisiertes Aktualisieren der Fremdkörperbibliothek erreicht wird;
    • (3) einen Verhaltensweise-Erfassungsschritt, der erfasst, ob eine neu generierte Transaktionssequenz mutiert ist oder nicht, wobei die Erfassung eine ”Mutationserfassung” ist, die, ausgerichtet auf die neu generierte Transaktionssequenz Ag, in zwei Schritten durchgeführt wird: Schritt eins: Vergleichen der neu generierten Transaktionssequenz Ag mit der Fremdkörperbibliothek, falls eine Übereinstimmung erreicht wird, Ausgeben eines Alarms einer Verhaltensanomalie und Durchführen einer relevanten Prüfung und Ergreifen von Anwenderbenachrichtigungsmaßnahmen und andernfalls Wechsel zu Schritt zwei; und Schritt zwei: Vergleichen der neu generierten Transaktionssequenz Ag mit normalen Transaktionssequenzen (d. h., dem Antikörpersatz Ab), wenn eine Affinität mit allen Antikörpern sehr gering ist, wird angezeigt, dass die Sequenz eine ”Mutation” sein kann, Ausgeben eines Alarms einer Anomalie und Ergreifen entsprechender Maßnahmen, und im Gegensatz dazu, Erachten eines erfassten Verhaltens als normales Verhalten; und
    • (4) einen Aktualisierungsschritt, zum Verbessern der Nachweisgenauigkeit, der rechtzeitig die zwei Bibliotheken für Verhaltensweisen aktualisiert: Aktualisieren der Bibliothek für normale Verhaltensweise und Aktualisieren der Bibliothek für anomale Verhaltensweise, sodass eine Immunfunktion bei ähnlichen anomalen Situationen beim nächsten Mal auf der Basis vorliegt, dass ein exakter Nachweis durchgeführt werden kann. entsprechend einem Erfassungsergebnis, wenn das Ergebnis eine normale Verhaltensweise ist, Durchführen einer Altersstufenaktualisierung an der Bibliothek für normale Verhaltensweise (d. h., dem Antikörpersatz Ab) gemäß dem Altersstufenentwicklungsprozess und Löschen ”veralteter” Protokolle darin um zu garantieren, dass der Antikörpersatz Ab jüngste Verhaltensgewohnheiten des Anwenders wiederspiegeln kann; wenn das Ergebnis eine anomale Verhaltensweise ist, Vergleichen der anomalen Verhaltensweise mit Verhaltensweisen in der anomalen Bibliothek; und wenn die anomale Verhaltensweise eine neue Verhaltensweise ist, Hinzufügen der anomalen Verhaltensweise in der Bibliothek für anomale Verhaltensweise, Aktualisieren der Altersstufenwerte von Fremdkörpersequenzen in der Fremdkörperbibliothek und Entfernen ”veralteter” Fremdkörper.
  • Mechanismen der vorliegenden Erfindung sind wie folgt:
    zum Gewinnen der jüngsten Verhaltensgewohnheiten des Anwenders muss ein Entfernen der veralteten Sequenzen in den Anwendertransaktionsprotokollen erfolgen und dies ist im Prinzip einem selbststabilisierten Immunmechanismus ähnlich, wobei Organismen veraltete Zellen entfernen, um ein Körpergleichgewicht aufrechtzuerhalten;
    Erfassen, ob die neu generierte Transaktionssequenz des Anwenders normal ist oder nicht, rechtzeitiges Entfernen der anomalen Sequenzen, und dies hat eine gewisse Gemeinsamkeit mit einem Immunüberwachungsmechanismus, dass anomale Zellen in Organismen rechtzeitig eliminiert werden. Daher haben ein Erfassen einer Anomalie in einer Anwenderverhaltensweise und ein biologisches Immunsystem zahlreiche Ähnlichkeiten und anomale Situationen können durch Anwendung des Immunverfahrens erfasst werden.
  • Zur Verbesserung einer Vertrauenswürdigkeit eines Anwenderverhaltens sieht die vorliegende Erfindung das Immunverfahren zum Erfassen einer Anwenderverhaltensweise im elektronischen Transaktionsprozess vor, wobei die Protokolle, die die Anwenderverhaltensgewohnheiten im elektronischen Transaktionsprozess wiederspiegeln können, biologischen Antikörpern entsprechen, eine Antikörperaktualisierung durch Entfernen veralteter Protokolle darin gemäß einem biologischen selbststabilisierten Immunmechanismus erreicht wird, sodass die verarbeiteten Protokolle die jüngsten Verhaltensgewohnheiten des Anwenders wiederspiegeln können, ob die neu generierte Transaktionssequenz anomal oder nicht ist, gemäß dem Immunüberwachungsmechanismus erfasst wird, und die Zielsetzung einer Erfassung, ob die Anwenderverhaltensweise im elektronischen Transaktionsprozess normal ist oder nicht, erreicht wird. Die zugehörige Bibliothek wird anhand des Erfassungsergebnisses rechtzeitig aktualisiert um zu garantieren, dass ähnliche Situationen beim nächsten Mal rechtzeitig erfasst werden können und die Immunwirkung erreicht wird.
  • Die Situationen, auf welche die vorliegende Erfindung ausgerichtet ist, sind anomale Situationen im elektronischen Transaktionsprozess, die eine Fehlbedienung durch Anwender und auch eine illegale Bedienung sein können, die durch Verwendung eines falschen Kontos verursacht wird, oder andere Situationen, die nicht mit Anwenderverhaltensgewohnheiten übereinstimmen. Die vorliegende Erfindung stellt ein Immunverfahren zum Erfassen eines anomalen Anwenderverhaltens in einem elektronischen Transaktionsprozess für den elektronischen Handel und Drittpartei-Zahlungsplattformen bereit und hat Merkmale einer Kontrollierbarkeit und Vermeidbarkeit, Selbstanpassungsfähigkeit, eines eigenständigen Lernens, usw.
  • Innovationen der vorliegenden Erfindung sind wie folgt:
    • 1) die normalen Situationen und anomalen Situationen des Anwenders im elektronischen Transaktionsprozess werden umfassend betrachtet, um neue Transaktionen als ”eigene Körper” oder ”Fremdkörper” zu erkennen;
    • 2) da der Altersstufenentwicklungsprozess eingeführt wird und die selbststabilisierte Immunfunktion erreicht wird, indem die Altersstufe als Grundlage einer Alterung verwendet wird, kann die Änderung von Anwenderverhaltensgewohnheiten rechtzeitig bekannt sein; und
    • 3) die Altersstufenwerte und die entsprechenden Bibliotheken werden rechtzeitig gemäß dem Erfassungsergebnis aktualisiert um zu garantieren, dass die ähnlichen anomalen Verhaltensweisen, die wieder vorgefunden werden, rechtzeitig festgestellt werden und die Immunwirkung erzielt wird.
  • Kurze Beschreibung der Zeichnungen
  • 1 ist eine ganzheitliche Architekturdarstellung eines Immunerfassungsverfahrens für eine Anwenderverhaltensweise in einem elektronischen Transaktionsprozess.
  • 2 ist ein Datenvorverarbeitungsprozess.
  • 3 ist ein Altersstufenwertentwicklungsprozess von Transaktionssequenzen.
  • 4 ist ein Erfassungsprozess einer Anwenderverhaltensweise.
  • 5 ist ein gesamtes Ablaufdiagramm eines Immunverfahrens.
  • 6 ist ein Vergleich von Versuchsergebnissen eines Immunverfahrens und einer Schiebefenstermethode.
  • Ausführliche Beschreibung bevorzugter Ausführungsformen
  • (Beispiele)
  • 1 zeigt eine ganzheitliche Architekturdarstellung eines Immunerfassungsverfahrens für eine Anwenderverhaltensweise in einem elektronischen Transaktionsprozess. Das Immunerfassungsverfahren für die Anwenderverhaltensweise im elektronischen Transaktionsprozess besteht vorwiegend und der Reihe nach aus Schritten, die durch ein Datenvorverarbeitungsmodul, ein Trainingsmodul, ein Erfassungsmodul und ein Aktualisierungsmodul ausgeführt werden. Das Datenvorverarbeitungsmodul wird vorwiegend zum Verarbeiten eines Anwenderbedienungsprozesses in ein Sequenzformat und Entfernen verwandter wiederholter Daten verwendet; das Trainingsmodul wird vorwiegend zum Berechnen eines Altersstufenwerts jeder Sequenz anhand einer zeitlichen Reihenfolge und anhand eines Altersstufenentwicklungsprozesses, Löschen veralteter Protokolle nach Altersstufenwerten und Gewinnen einer normalen Sequenzbiliothek (d. h., Antikörper) verwendet; das Erfassungsmodul wird vorwiegend zum Erfassen, ob eine neu generierte Transaktionssequenz mutiert ist oder nicht, verwendet; und das Aktualisierungsmodul wird zum Aktualisieren von Altersstufenwerten von eigenen Körpern und Fremdkörpern entsprechend einem Erfassungsergebnis und zum Aktualisieren der relevanten Bibliothek verwendet.
  • Das Immunerfassungsverfahren für die Anwenderverhaltensweise im elektronischen Transaktionsprozess nimmt normale traditionelle Transaktionsaufzeichnungen des Anwenders als Ausgangspunkte, führt eine Verarbeitung durch, um eine normale Transaktionssequenzbibliothek zu erhalten, die jüngste Verhaltensgewohnheiten des Anwenders wiederspiegeln kann, und generiert eine anomale Transaktionssequenzbibliothek durch einen umgekehrten Immunauswahlalgorithmus. Nach dem Generieren einer neuen Transaktionssequenz ist eine Erfassung in zwei Schritten erforderlich, zuerst wird ein Vergleich mit anomalen Sequenzen durchführt, ein Alarm ausgegeben, wenn bestimmt wird, dass die neue Transaktionssequenz anomal ist, und eine weitere Erfassung durchgeführt; und im Gegensatz dazu wird ein Vergleich mit der normalen Sequenzbiliothek durchführt, ein Aktualisierungsvorgang durchgeführt, wenn bestimmt wird, dass die neue Transaktionssequenz normal ist, und andernfalls ein Alarm ausgegeben und eine weitere Erfassung durchgeführt.
  • Es folgt eine ausführliche Beschreibung.
  • Das Datenvorverarbeitungsmodul wird vorwiegend zum Gewinnen von Transaktionssequenzen, die in 2 dargestellt sind, gemäß einer Reihenfolge von Anklicken von Steuerungen in einem Anwendertransaktionsprozess und anschließenden Durchführen eines Kombinationsvorgangs, der in 2 dargestellt ist, an den Sequenzen, um wiederholte Punkte darin zu kombinieren, um entsprechende Datenformate zu erhalten, verwendet.
  • Zum Beispiel gewinnen wir die folgenden relevanten Anwenderbedienungen anhand eines Protokolls eines Käufers: A = Suche, B = Bestellung, C = Einkaufswagen, D = Prüfen, E = Zahlung, F = Löschen und G = Zurück. Die Bedienungen beschrieben ungefähre Bedienungen des Käufers beim Einkaufen, wobei A einen Suchvorgang nach einer Ware darstellt und der Beginn einer Transaktion ist, B und C eine direkte Bestellung bzw. eine Bestellung nach Ablegen in einen Einkaufswagen darstellen, D eine Saldoprüfung darstellt und nach B (oder C) durchgeführt werden kann oder gleichzeitig durchgeführt werden kann, wobei dann F und E Auswahlmöglichkeiten sind, wobei F ein Löschen der Bestellung darstellt, E eine Antwort auf die Zahlung darstellt und G eine Rückgabe darstellt und ein ungewisser Faktor ist.
  • Das Trainingsmodul wird vorwiegend zum Erstellen einer normalen Sequenzbiliothek (d. h., eines Antikörpersatzes Ab) und einer anomalen Sequenzbiliothek (d. h., einer Fremdkörperbibliothek) verwendet; zuerst wird eine Affinitätsberechnung an neu generierten Sequenzen und traditionellen Sequenzen anhand eines Altersstufenentwicklungsprozesses durchgeführt, dargestellt in 3, wobei ein Alter unverändert bleibt, wenn eine Affinität größer als ein gewisser Schwellenwert β ist, und andernfalls die Altersstufenwerte um einen dazwischenliegenden Sequenzabstand erhöht werden; und nach Berechnen von Altersstufenwerten traditioneller Transaktionsablaufsequenzen eines Anwenders, ein Satz von Sequenzen mit Altersstufenwerten, die kleiner als der Schwellenwert β sind, nach dem Alter der Altersstufen gewonnen wird und der Satz von Sequenzen als eine normale Transaktionssequenzbibliothek verwendet wird.
  • Quellen für die Fremdkörper-Transaktionssequenzbibliothek weisen vorwiegend zwei Aspekte auf, wobei ein Aspekt bekannte illegale Transaktionssequenzen betrifft, die einige Sequenzen mit höherer Affinität mit normalem Anwenderverhalten enthalten; der andere Aspekt neue anomale Sequenzen betrifft, die im Bedienungsprozess erfasst werden, sodass garantiert werden kann, dass ähnliche anomale Sequenzen rechtzeitig zu einem nächsten Zeitpunkt erfasst werden können, um eine Immunwirkung zu erzielen; und wenn die neu generierten, anomalen Transaktionssequenzen der Fremdkörperbibliothek hinzugefügt werden, die Altersstufenwerte von Fremdkörpern in der Fremdkörperbibliothek nach dem Altersstufenwertentwicklungsprozess aktualisiert werden, aktive Fremdkörper darin zurückbehalten werden und ein selbststabilisiertes Aktualisieren der Fremdkörperbibliothek erreicht wird.
  • Das Verhaltensweise-Erfassungsmodul wird vorwiegend zum Durchführen einer ”Mutationserfassung” an einer neu generierten Transaktionssequenz Ag in zwei Schritten verwendet, wie in 4 dargestellt, die Hauptfunktionen des Moduls zeigt:
    Schritt eines: Vergleichen der neu generierten Transaktionssequenz Ag mit der Fremdkörperbibliothek, falls eine Übereinstimmung erreicht wird, Ausgeben eines Alarms einer Verhaltensanomalie und Durchführen einer relevanten Prüfung und Ergreifen von Anwenderbenachrichtigungsmaßnahmen, und andernfalls Wechsel zu Schritt zwei; und
    Schritt zwei: Vergleichen der neu generierten Transaktionssequenz Ag mit normalen Transaktionssequenzen (d. h., dem Antikörpersatz Ab), wenn eine Affinität mit allen Antikörpern sehr gering ist, wird angezeigt, dass die Sequenz eine ”Mutation” sein kann, Ausgeben eines Alarms einer Anomalie und Ergreifen entsprechender Maßnahmen, und im Gegensatz dazu, Erachten eines erfassten Verhaltens als normales Verhalten.
  • Das Aktualisierungsmodul: 5 zeigt ein gesamtes Ablaufdiagramm eines Immunverfahrens und zum Verbessern der Nachweisgenauigkeit müssen die zwei Bibliotheken von Verhaltensweisen rechtzeitig aktualisiert werden. Eine Hauptfunktion des Moduls ist ein Aktualisieren einer Bibliothek für normale Verhaltensweise und einer Bibliothek für anomale Verhaltensweise, sodass eine Immunfunktion bei ähnlichen anomalen Situationen beim nächsten Mal auf der Basis vorliegt, dass ein exakter Nachweis durchgeführt werden kann:
    wenn entsprechend einem Erfassungsergebnis das Ergebnis eine normale Verhaltensweise ist, Durchführen einer Altersstufenaktualisierung an der Bibliothek für normale Verhaltensweise (d. h., dem Antikörpersatz Ab) gemäß dem Altersstufenentwicklungsprozess, der in 3 dargestellt ist, und Löschen ”veralteter” Protokolle darin um zu garantieren, dass der Antikörpersatz Ab jüngste Verhaltensgewohnheiten des Anwenders wiederspiegeln kann; wenn das Ergebnis eine anomale Verhaltensweise ist, Vergleichen der anomalen Verhaltensweise mit Verhaltensweisen in der anomalen Bibliothek; und wenn die anomale Verhaltensweise eine neue Verhaltensweise ist, Hinzufügen der anomalen Verhaltensweise in der Bibliothek für anomale Verhaltensweise, Aktualisieren der Altersstufenwerte von Fremdkörpersequenzen in der Fremdkörperbibliothek und Entfernen ”veralteter” Fremdkörper.
  • Zum Kennenlernen der Anwenderverhaltensgewohnheiten ist eine allgemein verwendete Methode eine Schiebefenstermethode, die nur jüngste Protokolle des Anwenders berücksichtigt, während das Immunverfahren die Altersstufen der Protokolle berücksichtigt und die Protokolle daher jüngste Transaktionsprotokolle wie auch in der fernen Vergangenheit liegende Protokolle sein können.
  • Wir nehmen ABDEG, eine der jüngsten Hauptsequenzen, als Standard. Da ABDEG und ADBEG jüngste Verhaltenshauptsequenzen des Anwenders sind und deren Affinität 0,8 ist, ist 0,8 ein Schlüsselparameter. In einem Versuch verwenden wir die Schiebefenstermethode bzw. das Immunverfahren, das in der vorliegenden Erfindung vorgesehen ist, um 40 Verhaltenssequenzen zu gewinnen. Zum Erfassen des Wiederspiegelungsgrades der jüngsten Verhaltensgewohnheiten des Anwenders wird jeweils eine Affinitätsberechnung an den 40 Verhaltenssequenzen und der jüngsten Verhaltenshauptsequenz ABDEG durchgeführt und 6 zeigt spezielle Affinitätsverteilungssituationen der 40 Verhaltenssequenzen, die durch Anwenden der zwei Methoden gewonnen werden.
  • Tabelle 1 zeigt Ergebnisse einer quantitativen Analyse, die durch Anwenden der zwei Methoden durchgeführt wird. Es ist ersichtlich, dass die durchschnittliche Affinität, die bei Anwendung des Immunverfahrens erhalten wird, das durch die vorliegende Erfindung vorgesehen ist, 0,81 ist und höher als der Schlüsselparameter 0,8 ist, während die durchschnittliche Affinität, die durch Anwenden der Schiebefenstermethode erhalten wird, kleiner als 0,8 ist. Daher ist ersichtlich, dass die Protokolle, die durch Anwenden des Immunverfahrens gewonnen werden, die jüngsten Verhaltensgewohnheiten des Anwenders besser wiederspiegeln können und zum Erfassen verwendet werden können, ob die neu generierten Transaktionssequenzen mit den Anwenderverhaltensgewohnheiten übereinstimmen oder nicht. Tabelle 1: Quantitative Vergleichsergebnisse der zwei Methoden
    Durchschnittliche Affinität Prozentsatz von Antikörpern mit Affinität nicht kleiner als 0,8 Anzahl von Antikörpern mit Affinität gleich 1 Anzahl von Antikörpern mit Affinität kleiner als 0,7
    Schiebefenster 0,76 20% 1 10
    Immunverfahren 0,81 42,5% 3 2

Claims (1)

  1. Immunerfassungsverfahren für eine Anwenderverhaltensweise in einem elektronischen Transaktionsprozess, dadurch gekennzeichnet, dass das Immunerfassungsverfahren für die Anwenderverhaltensweise im elektronischen Transaktionsprozess die folgenden Schritte aufweist: (1) einen Datenvorverarbeitungsschritt, der einen Anwenderbedienungsprozess zu einem Sequenzformat verarbeitet und verwandte wiederholte Daten entfernt; (2) einen Trainingsschritt, der einen Altersstufenwert jeder Sequenz nach einer Zeitreihenfolge und nach einem Altersstufenentwicklungsprozess berechnet, veraltete Protokolle nach Altersstufenwerten löscht und eine normale Sequenzbiliothek (d. h., Antikörper) gewinnt, insbesondere: eine normale Sequenzbiliothek (d. h., einen Antikörpersatz Ab) und eine anomale Sequenzbiliothek (d. h., eine Fremdkörperbibliothek) erstellt; anfänglich eine Affinitätsberechnung an neu generierten Sequenzen und traditionellen Sequenzen anhand eines Altersstufenentwicklungsprozesses durchführt, eine Altersstufe unverändert lässt, wenn eine Affinität größer als ein gewisser Schwellenwert β ist, und andernfalls den Altersstufenwert um einen dazwischenliegenden Sequenzabstand erhöht; nach Berechnen von Altersstufenwerten traditioneller Transaktionsablaufsequenzen eines Anwenders, einen Satz von Sequenzen mit Altersstufenwerten, die kleiner als der Schwellenwert β sind, nach dem Alter der Altersstufen gewinnt und den Satz von Sequenzen als eine normale Transaktionssequenzbibliothek verwendet, wobei Quellen der Fremdkörper-Transaktionssequenzbibliothek vorwiegend zwei Aspekte aufweisen, wobei ein Aspekt bekannte illegale Transaktionssequenzen betrifft, die einige Sequenzen mit höherer Affinität mit normalem Anwenderverhalten enthalten; der andere Aspekt neue anomale Sequenzen betrifft, die im Bedienungsprozess erfasst werden; und wenn die neu generierten, anomalen Transaktionssequenzen der Fremdkörperbibliothek hinzugefügt werden, die Altersstufenwerte von Fremdkörpern in der Fremdkörperbibliothek nach dem Altersstufenwertentwicklungsprozess aktualisiert werden, aktive Fremdkörper darin zurückbehalten werden und ein selbststabilisierendes Aktualisieren der Fremdkörperbibliothek erreicht wird; (3) einen Verhaltensweise-Erfassungsschritt, der erfasst, ob eine neu generierte Transaktionssequenz mutiert ist oder nicht, wobei die Erfassung eine ”Mutationserfassung” ist, die, ausgerichtet auf die neu generierte Transaktionssequenz Ag, in zwei Schritten durchgeführt wird: Schritt eins: Vergleichen der neu generierten Transaktionssequenz Ag mit der Fremdkörperbibliothek, falls eine Übereinstimmung erreicht wird, Ausgeben eines Alarms einer Verhaltensanomalie und Durchführen einer relevanten Prüfung und Ergreifen von Anwenderbenachrichtigungsmaßnahmen, und andernfalls Wechsel zu Schritt zwei; und Schritt zwei: Vergleichen der neu generierten Transaktionssequenz Ag mit normalen Transaktionssequenzen (d. h., dem Antikörpersatz Ab), wenn eine Affinität mit allen Antikörpern sehr gering ist, wird angezeigt, dass die Sequenz eine ”Mutation” sein kann, Ausgeben eines Alarms einer Anomalie und Ergreifen entsprechender Maßnahmen, und im Gegensatz dazu, Erachten eines erfassten Verhaltens als normales Verhalten; und (4) einen Aktualisierungsschritt, der eine Bibliothek für normale Verhaltensweise und eine Bibliothek für anomale Verhaltensweise aktualisiert: entsprechend einem Erfassungsergebnis, wenn das Ergebnis eine normale Verhaltensweise ist, Durchführen einer Altersstufenaktualisierung an der Bibliothek für normale Verhaltensweise (d. h., dem Antikörpersatz Ab) gemäß dem Altersstufenentwicklungsprozess und Löschen ”veralteter” Protokolle dann um zu garantieren, dass der Antikörpersatz Ab jüngste Verhaltensgewohnheiten des Anwenders wiederspiegeln kann; wenn das Ergebnis eine anomale Verhaltensweise ist, Vergleichen der anomalen Verhaltensweise mit Verhaltensweisen in der anomalen Bibliothek; und wenn die anomale Verhaltensweise eine neue Verhaltensweise ist, Hinzufügen der anomalen Verhaltensweise in der Bibliothek für anomale Verhaltensweise, Aktualisieren der Altersstufenwerte von Fremdkörpersequenzen in der Fremdkörperbibliothek und Entfernen ”veralteter” Fremdkörper.
DE112015002933.8T 2014-09-25 2015-09-14 Immunverfahren zum Erfassen einer Anwenderverhaltensweise in einem elektronischen Transaktionsprozess Pending DE112015002933T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201410495295.4A CN104318435A (zh) 2014-09-25 2014-09-25 电子交易过程用户行为模式检测的免疫方法
CN2014104952954 2014-09-25
PCT/CN2015/089511 WO2016045514A1 (zh) 2014-09-25 2015-09-14 电子交易过程用户行为模式检测的免疫方法

Publications (1)

Publication Number Publication Date
DE112015002933T5 true DE112015002933T5 (de) 2017-03-02

Family

ID=52373663

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112015002933.8T Pending DE112015002933T5 (de) 2014-09-25 2015-09-14 Immunverfahren zum Erfassen einer Anwenderverhaltensweise in einem elektronischen Transaktionsprozess

Country Status (4)

Country Link
US (1) US20170278102A1 (de)
CN (1) CN104318435A (de)
DE (1) DE112015002933T5 (de)
WO (1) WO2016045514A1 (de)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104318435A (zh) * 2014-09-25 2015-01-28 同济大学 电子交易过程用户行为模式检测的免疫方法
CN108229963B (zh) * 2016-12-12 2021-07-30 创新先进技术有限公司 用户操作行为的风险识别方法及装置
CN108229964B (zh) * 2017-12-25 2021-04-02 同济大学 交易行为轮廓构建与认证方法、系统、介质及设备
CN108428132B (zh) 2018-03-15 2020-12-29 创新先进技术有限公司 欺诈交易识别方法、装置、服务器及存储介质
JP7199928B2 (ja) * 2018-11-14 2023-01-06 日立チャネルソリューションズ株式会社 キャッシュセンタの監視システムおよび監視方法
CN110298662B (zh) * 2019-07-04 2022-03-22 中国工商银行股份有限公司 交易重复提交的自动化检测方法及装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7624174B2 (en) * 2003-05-22 2009-11-24 Microsoft Corporation Self-learning method and system for detecting abnormalities
CN1291569C (zh) * 2004-09-24 2006-12-20 清华大学 一种附网存储设备中用户访问行为的异常检测方法
CN1333553C (zh) * 2005-03-23 2007-08-22 北京首信科技有限公司 基于序列模式挖掘的程序级入侵检测方法
CN101751409A (zh) * 2008-11-28 2010-06-23 上海电机学院 免疫系统在搜索引擎中的应用
CN103825875A (zh) * 2013-11-07 2014-05-28 北京安码科技有限公司 一种疫苗接种策略的虚拟机检测方法
CN103825877A (zh) * 2013-11-07 2014-05-28 北京安码科技有限公司 一种集成免疫虚拟机检测方法
CN103699822B (zh) * 2013-12-31 2016-11-02 同济大学 基于鼠标行为的电子商务中用户异常行为检测方法
CN104318435A (zh) * 2014-09-25 2015-01-28 同济大学 电子交易过程用户行为模式检测的免疫方法

Also Published As

Publication number Publication date
US20170278102A1 (en) 2017-09-28
CN104318435A (zh) 2015-01-28
WO2016045514A1 (zh) 2016-03-31

Similar Documents

Publication Publication Date Title
DE112015002933T5 (de) Immunverfahren zum Erfassen einer Anwenderverhaltensweise in einem elektronischen Transaktionsprozess
DE112012003640B4 (de) Erzeugen eines rhythmischen Passworts und Durchführen einer Authentifizierung auf der Grundlage rhythmischen Passworts
DE202017105184U1 (de) Tiefes Maschinenlernen zum Ausführen einer Berührungsbewegungsvorhersage
DE112018002822T5 (de) Klassifizieren neuronaler netze
DE102017125256A1 (de) Suche nach einer neuronalen Architektur
DE102016209032B3 (de) Bildbegebendes Verfahren zum Durchführen einer medizinischen Untersuchung nebst zugehörigem Bildgebenden System und zugehörigem Computerprogrammprodukt
DE112017002821T5 (de) Verfahren, System und Computerprogrammprodukt zur interaktiven Identifizierung von gleichen Personen oder Objekten in Videoaufnahmen
DE102017220898A1 (de) Verfahren und Vorrichtung zur Klassifizierung einer während der Sicherheitskontrolle zu kontrollierenden Person
DE102014204827A1 (de) Auflösen ähnlicher Entitäten aus einer Transaktionsdatenbank
DE112016001796T5 (de) Feinkörnige bildklassifizierung durch erforschen von etiketten von einem bipartiten graphen
DE102012218485B4 (de) Verfahren für ein Instant Messaging-System und Instant Messaging-System
DE102014116177A1 (de) Patientenrisiko-Stratifizierung durch Verknüpfen von wissengesteuerten und datengesteuerten Erkenntnissen
DE102019215460A1 (de) Verfahren und Vorrichtung zur Rauschreduktion von Bildaufnahmen
DE112021004104T5 (de) Forensisches verfahren für computersicherheit auf der grundlage zeitlicher anschlagänderungen beim eingeben von authentifizierungsnachweisen
DE112020004471T5 (de) Folgerungsvorrichtung, Trainingsvorrichtung, Folgerungsverfahren und Trainingsverfahren
DE102012214196A1 (de) Erkennen nicht eindeutiger Namen in einer Gruppe von Namen
DE102016205013A1 (de) Fingerabdruckerstellung und Vergleichen von Protokolldatenströmen
DE112020004120T5 (de) Überwachen eines status eines computersystems durch implementieren eines netzwerks für tiefes, unüberwachtes binäres codieren
DE112021004559T5 (de) System zur robusten vorhersage bei unregelmässigen zeitreihen in dialysepatientenakten
DE102018127802A1 (de) Hybrider klassifikator eines gepulsten neuronalen netzwerks und einer support-vektor-maschine
DE102021124256A1 (de) Mobile ki
DE102020211849A1 (de) Trainieren eines maschinellen lernmodells unter verwendung eines batch-basierten aktiven lernansatzes
DE60131680T2 (de) Verfahren und vorrichtung zum identifizieren einer biologischen probe
CN115906937A (zh) 一种可解释的cnn分类模型的模型剪枝方法
DE112021005555T5 (de) Multitasking-lernen über gradienteilung zur umfangreichen menschlichen analyse

Legal Events

Date Code Title Description
R012 Request for examination validly filed