طراحی و پیاده سازی سیستم هوشمند شناسایی رفتار مشکوک در بانکداری اینترنتی به کمک نظریه مجموعههای فازی
محورهای موضوعی : فناوری اطلاعات و ارتباطاتلیلا ساروخانی 1 , غلامعلی منتظر 2
1 - دانشگاه تربیت مدرس
2 -
کلید واژه: بانکداری اینترنتی, رفتار مشکوک, سیستم هوشمند, تشخیص الگو, نظریه فازی,
چکیده مقاله :
چکیده یکی از مهمترین موانع برای استفاده از بانکداری اینترنتی عدم امنیت تراکنشها و برخی سوءاستفادهها در مسیر انجام مبادلات مالی است.به همین دلیل جلوگیری از نفوذ غیرمجاز و تشخیص جرم از مسائل مهم در مؤسسات مالی وبانکهاست. دراین مقاله سیستمی هوشمندی طرح شده است که تشخیص رفتارهای مشکوک و غیرمعمول کاربران در سیستم بانکداری اینترنتی را امکانپذیر میسازد. از آنجا که رفتار کاربران مختلف همراه با ابهام و عدم قطعیت است این سیستم بر اساس نظریه فازی طراحی شده تا رفتار کاربران را شناسایی کرده و رفتارهای مشکوک با شدتهای مختلف را دستهبندی کند. مدل طراحی شده در سیستم بانکداری اینترنتی بانک ملت به عنوان یکی از بزرگترین بانکهای برخط کشور آزمایش شده و نتایج آن نشان دهنده موفقیت سیستم در شناسایی رفتارهای مشکوک، با درجه صحت 93% ، است .
Abstract One of the most important obstacles to use Internet Banking is lack of security and some abuses in such systems. Therefore, fraud and suspicious behavior detection, to prevent unauthorized accesses, are of great importance in financial organizations and banks. In this paper, an expert system is designed to detect users’ unusual or suspicious behaviors in the internet banking system. As different users’ behaviors may be ambiguous and uncertain the system has been designed based on fuzzy notions in such a way that it can recognize the users’ behaviors and classify the suspicious ones according to their intensity. The proposed system has been implemented and tested on the Internet-Banking system for Bank Mellat, which has the largest on-line banking services in Iran and the results showed that the system detects successfully the unusual behavior.
فصلنامه علمي-پژوهشي فنّاوري اطلاعات و ارتباطات ایران | سال اول، شمارههاي 1و 2، پاييز و زمستان 1387 صص: 9- 18 |
|
طراحي و پياده سازي سيستم هوشمند شناسايي رفتار مشکوک در بانکداري اينترنتي به کمک نظرية مجموعههاي فازي
ليلا ساروخاني* غلامعلي منتظر*1
* دانشكده فني ومهندسي، دانشگاه تربيت مدرّس
چکيده1
يکي از مهمترين موانع براي استفاده از بانکداري اينترنتي عدم امنيت تراکنشها و برخي سوءاستفادهها در مسير انجام مبادلات مالي است.به همين دليل جلوگيري از نفوذ غيرمجاز و تشخيص جرم از مسائل مهم در مؤسسات مالي وبانکهاست. دراين مقاله سيستمي هوشمندي طرح شده است که تشخيص رفتارهاي مشکوک و غيرمعمول کاربران در سيستم بانکداري اينترنتي را امکانپذير ميسازد. از آنجا که رفتار کاربران مختلف همراه با ابهام و عدم قطعيت است اين سيستم بر اساس نظرية فازي طراحي شده تا رفتار کاربران را شناسايي کرده و رفتارهاي مشکوک با شدتهاي مختلف را دستهبندي کند. مدل طراحي شده در سيستم بانکداري اينترنتي بانک ملت به عنوان يکي از بزرگترين بانکهاي برخط کشور آزمايش شده و نتايج آن نشان دهندة موفقيت سيستم در شناسايي رفتارهاي مشکوک، با درجة صحت 93% ، است .
کليد واژگان: بانکداري اينترنتي، رفتار مشکوک، سيستم هوشمند، تشخيص الگو، نظرية فازي
1- مقدمه
دسترسي آسان و گسترده به اينترنت آن را به يکي از معابر اصلي فروش براي خرده فروشيها بدل کرده است. با توجه به وجود توان بالقوه در استفاده از اينترنت حجم مبادلات تجارت الکترونيکي در سالهاي گذشته رشد زيادي داشته است[1]. همچنين يكي از ابزارهاي ضروري براي تحقق و گسترش تجارت الكترونيكي، وجود سيستم بانكداري الكترونيكي است كه همگام با سيستمهاي جهاني مالي و پولي، عمليات و فعاليتهاي مربوط به تجارت الكترونيكي را تسهيل كند. در حقيقت ميتوان گفت پيادهسازي تجارتالكترونيكي، نيازمند تحقق بانكداريالكترونيكي است. به همين دليل، استفاده از سيستمهاي الكترونيكي در موسسات مالي و اعتباري جهان به سرعت رو به گسترش بوده و شمار استفادهكنندگان از خدمات بانكداري الكترونيكي روز به روز در حال افزايش است از اين رو صنعت بانکداري تلاش دارد تا با بکارگيري اينترنت به عنوان يکي از کانالهاي اصلي ارائۀ خدمات، براي نفوذ و قدرتمند ساختن کسب و کار خود استفاده کند[2].
بانکداري اينترنتي در دو حالت به انجام فعاليتهاي مرتبط با کسب و کار ميپردازد. نخست حالت بدون تراکنش است که در آن بانک از اينترنت به عنوان ابزاري براي تبليغات دربارۀ خدمات خود استفاده ميکند و دوم حالت تراکنشي است که در آن بانک به مشتريان خود اجازه ميدهد از اينترنت براي انجام عمليات مالي خود شامل مشاهدۀ ريزکارکرد، مانده، صورتحساب و همچنين انتقال وجه و پرداخت قبوض استفاده کنند. با اين که هردو اين حالات ريسک پذير هستند ولي حالت تراکنشي در بانکداري اينترنتي که به آن بانکداري برخط1 نيز ميگويند به علت داشتن معماري ناهمگن و حضور اجزاي مختلف و همچنين انجام فعاليتهاي مالي توسط مشتريان ، مستعد پذيرش ريسک بالاتري است[2]. 2
از سوي ديگر بايد اشاره کرد که همراه با افزايش امکانات و خدمات بانکها در اينترنت و رشد روزافزون انجام تراکنشهاي برخط توسط مشتريان، ميزان بروز جرائم مالي در صنعت بانکداري اينترنتي نيز به سرعت در حال رشد است، به طوري که آهنگ رشد جرايم برخط بين 8 تا 9 درصد در سال تخمين زده ميشود[1]. آمارها نشان ميدهند که ميزان ضرر مالي بانکها از اين جرايم در انگلستان در سال 2007 ميلادي بالغ بر 6/22 ميليون پوند بوده است[3] از اين رو بانکها به سرعت در حال بهبود بخشيدن و سرمايهگذاري بر روي سيستمهاي ضد سرقت خود هستند. با توجه به رشد تهديدات و حملات کامپيوتري که با انگيزههاي مالي انجام ميشود امنيت صنعت بانکداري بايد به عنوان يک موضوع مهم شناخته شود[4] چراکه از دستدادن اعتماد مشتريان به دليل وقوع کلاهبرداري در اين نوع خدمات در نهايت باعث به خطرافتادن اقتصاد عمومي خواهد شد. بدينلحاظ روشهاي مختلفي براي شناسايي جرم، رفتارهاي غيرمعمول و مغاير با قانون کاربران وجود دارد و تحقيقات مشابهي نيز در صنايع مختلف مانند صنايع بهداشتي[5]، ارتباطات راه دور[6]، بخشمالي [7]، پست الکترونيکي[8] وغيره انجام شده است،علاوه براين روشهاي مختلفي براي مواجهه بارفتارهاي فريب آميز در بانکداري اينترنتي موردتوجه قرارگرفته که در ادامه شرح مختصري از آنها ذکر ميشود. بانکهاي فراهمکنندۀ خدمات اينترنتي، روشهاي مختلفي را براي تشخيص جرم و غربال کردن تراکنشهاي مشتريان به کار ميبرند. روشهايي که اخيراً استفاده ميشود شامل مشاهدۀ تراکنشها از طريق سيستمهاي تصديق نشاني3(AVS)، روش تصديق کارت4(CVM)، شمارۀ شناسايي شخصي(PIN)5 و روشهاي زيستسنجي6 است. AVS شامل شناسايي نشاني از طريق کدهاي زيپ شدۀ مشتريان است در حالي که CVM و PIN شامل بررسي عددي است که مشتري به عنوان رمزعبور براي خود در نظر گرفته است. زيست سنجي نيز شامل شناسايي و تصديق امضا يا اثرانگشت مشتري است[1]. روشهاي مبتني بر قواعد، نگهداري سياهۀ مشتريان بدحساب و خوشحساب و تقسيم بندي آنها برحسب مناطق جغرافيايي مختلف نيز از جمله اطلاعاتي است که براي کمک به تشخيص جرم استفاده شده است. همچنين يکي ديگر از روشهاي مورد استفاده در تشخيص جرم، استفاده از روشهاي دادهکاوي است که بر تحليلهاي آماري و کشف رفتار مشتريان و استفاده از الگوها براي شناسايي جرم تمرکز دارند [1]. اين روشها مبتني بر يادگيري قواعدي خاص هستند و قادرند شاخصهاي رفتارهاي فريبآميز را از پايگاه دادههاي بزرگ تراکنشهاي کاربران کشف کنند. اين شاخصها براي ايجاد سيستمهاي پايشگر17استفاده ميشوند تا رفتارهاي غيرمعمول مشتريان را ثبت کرده و رفتارهاي مشکوک را از ميان آنها شناسايي کنند. در نهايت خروجي اين سيستمها ميتواند براي اعلام هشدار و اخطار درخصوص کاربران متخلف استفاده شود[9]. قواعد وابستگي28نيز يکي از بهترين روشهاي دادهکاوي براي خلق چنين مدلهايي است. در[10] از اين روش براي استخراج دانش و بهدست آوردن الگوهاي رفتاري غيرمتعارف از مجموعۀ بزرگ تراکنشهاي کاربران در پايگاهدادههاي تراکنش کارت اعتباري براي تشخيص و جلوگيري از وقوع جرم استفاده شده است. روش ديگري که تاکنون براي شناسايي و تشخيص جرم استفاده شده شبکههاي عصبي مصنوعي است که قابليت استخراج الگو از پايگاهدادههاي حاوي تراکنشهاي گذشتۀ مشتريان را دارند. اين شبکهها آموزش پذير بوده و قابليت انطباق با شکلهاي جديد جرم را دارا هستند [1]. در[4] از يک شبکۀعصبي براي تشخيص جرم در بانکداري اينترنتي با کمک فرايند يادگيري بانظارت و استفاده از مجموعههاي يادگيرنده براي ساختن مدلهايي از تراکنشهاي فريبآميز بانکداري اينترنتي ارائه شده است. شبکۀ مطرح شده با کمک مجموعۀ بزرگي از تراکنشها که مي توانند طي فرايندي الگوي فعاليتهاي غيرقانوني و مجرمانه را شناسايي کنند طراحي شده است. علاوه بر اين در [11] يک سيستم نروفازي39براي يافتن حسابهاي بياعتبار و پيشبيني درمورد اين حسابها ارائه شده که با دقت نسبتاً بالايي شناسايي اين گونه حسابها را امکانپذير ساخته است در اين مقاله از تاريخچۀ تخلفات انجام شده در سيستم و همچنين اطلاعات مربوط به افرادي که در بازپرداخت وام خود دچار مشکل شدهاند استفاده شده است. از منطق فازي نيز در صنعت بيمه، شبکههاي رايانهاي، ارتباطات راه دور و غيره براي شناسايي جرائم الکترونيکي استفاده شده است. به عنوان مثال در [12] از يک سيستم فازي سلسلهمراتبي براي تشخيص تغييرات غيرعادي رفتارترافيکي پستهاي الکترونيکي استفاده شده است در اين مقاله اطلاعات مربوط به فرستنده و دريافتکننده، تاريخ و زمان ارسال نامه، استخراج و براساس آن مقياسهاي مختلفي براي اندازه گيري رفتار استاندارد پستالکترونيکي کاربران تعيين ميشود. آنگاه برپاية اين رفتار استاندارد وبه كمك يک سيستمفازي سلسله مراتبي رفتار غيرعادي كاربر شناسايي ميشود. در [13] براي تشخيص حمله در يک شبکۀ رايانهاي از منطق فازي استفاده شده است. در اين مقاله يک سيستم هوشمند براي شناسايي حملات طراحي شده که درآن ازدو الگوريتم داده کاوي دسته بندي و قوانين همبستگي فازي به صورت ترکيبي براي پيشبيني رفتارهاي مختلف در شبکهها استفاده شده است. به اين ترتيب که قواعد فازيِ وزندار در هر دسته با يکديگر تجميع شده تا تصميم گيري در مورد اجزاي آن دسته انجام شود.
هدف اصلي در اين مقاله تشخيص رفتارهاي مشکوک مشتريان و دسته بندي آنها با استفاده از نظرية فازي در سيستم بانکداري اينترنتي بانک ملت است. بانک ملت در حال حاضر يکي از بزرگترين بانکهاي ارائه دهندۀ خدمات بانکداري اينترنتي در ايران است و بيش از يکصد هزار کاربر اينترنتي دارد که روزانه حدود ده هزار نفر از اين کاربران وارد سيستم شده و مبادلات مالي خود را از طريق اينترنت انجام ميدهند. ميزان تراکنشهاي انجام شده در اين سيستم به بيش از پنجاه هزار تراکنش در هرروز ميرسد که ميزان رشدي برابر با چهل درصد درسال را نشان مي دهداز اين رو با توجه به افزايش اقبال عمومي براي استفاده از اين نوع خدمات توسط کاربران و همچنين سياست جديد بانکها و دولت ايران براي تشويق مردم در جهت استفادۀ بيشتر از خدمات بانکداريالکترونيکي و اينترنتي، فراهمکردن امکاناتي براي امن ساختن اينگونه سيستمها و افزايش اطمنيان مردم براي استفاده از اين خدمات ضروري است. مقالۀ حاضر شامل بخشهاي زير است: بخش 2 به مروري اجمالي بر نظرية فازي و نکات مهم براي استفاده از اين نظريه ميپردازد پس از آن معماري کلي سيستم شناسايي رفتار براساس نظرية فازي مطرح شده است. سپس نحوۀ پيادهسازي آن در سيستم بانکداري اينترنتي بانک ملت و نيز نتايج کاربرد سيستم تشريح شده است و درنهايت بخش آخر به نتيجه گيري اختصاص يافته است.
2- اجمالي برنظرية سيستمهاي فازي
نظرية مجموعههاي فازي در سال 1965 ميلادي توسط عسکر لطفي زاده مطرح شد. نظرية مجموعههاي فازي روشي را براي محاسبۀ دادهها و اطلاعات غير قطعي و مبهم ارائه ميکند ضمن اينکه سازوکار استنتاج، براي استدلال را براساس مجموعهاي از قواعد "اگر-آنگاه" فراهم مي سازد. اين قواعد به کمک مجموعههاي فازي تعريف ميشوند که در آنها هريک از اعضاي مجموعه درجۀ تعلقي بين صفر و يک دارند. يک نمونه واقعي از عدم قطعيت وجود ابهام در زبان طبيعي انسانهاست [14]. سيستمهاي فازي مفاهيم نظرية مجموعه فازي و منطق فازي را با يکديگر تلفيق و چارچوبي براي ارائۀ دانش زباني همراه با عدم قطعيت فراهم ميکنند و دو مشخصۀ اصلي دارند که محبوبيت آنها را بيشتر کرده است: يکي اينکه آنها براي استدلال تقريبي10 به ويژه براي سيستمهايي که استخراج يک مدل رياضي از آنها کار دشواري است، مناسب بوده و ديگري اينکه منطق فازي اجازه ميدهد تصميمگيري با استفاده از اطلاعات ناکامل و غيرقطعي با کمک متغيرهاي زباني11، که به راحتي توسط انسانها قابل درک هستند، انجام شود.
سيستمهاي مبتني بر منطق فازي شامل چهار جزء اصلي هستند و همانطور که ذکر شد ميتوانند راه حل هاي عملي و مناسبي را در شرايط مختلف ارائه دهند هريک از اين اجزا به طور خلاصه در ذيل تشريح شده است[11]:
الف- فازيساز12: در فرايند فازيسازي روابط بين وروديها و متغيرهاي زباني با استفاده از توابع عضويت تعريف ميشود. در اين مرحله مقادير ورودي به درجۀ تعلق متغيرهاي زباني متناظر تبديل ميشوند. در واقع متغيرهاي ورودي از طريق واحد فازيساز به اعداد فازي تبديل ميشوند. در اين مقاله هر متغير ورودي به علت محاسبات ساده تر به يک عددفازي مثلثي تبديل شده است. هر عدد فازي مثلثي با سه تايي نشان داده ميشود که در آن است و تابع عضويت آن به شکل زير نمايش داده مي شود:
(1)
ب- پايگاهدانش13: پايگاه دانش از ترکيب دانش خبرگان حوزۀ مورد بحث به وجود ميآيد و به شکل قواعدي از متغيرهاي زباني تشکيل ميشود. اين قواعد براي بيان ارتباط ميان مجموعههاي فازي ورودي و خروجي استفاده ميشود. قالب گرامري يک قانون فازي به شکل زير بيان ميشود:
اگر (شرايط ورودي برقرار باشد) آنگاه (مجموعه نتايج خروجي قابل استنتاج است)
براي ايجاد پايگاه قواعد فازي در سيستم حاضر، نظريات خبرگان جمعآوري و با استفاده از آنها و عملگرهاي سه گانۀ فازي (شامل "يا"، "و"، "نه") در ميان هفت متغير ورودي ، 50 قاعدۀ "اگر- آنگاه" ايجاد شد. جزئيات اين مرحله در بخش سوم تشريح شده است.
ج- موتور استنتاج14: اين بخش واحد تصميمگير سيستم فازي است. يک موتور استنتاج قابليت استنتاج خروجيها با استفاده از قواعد و عملگرهاي فازي را داراست بدين معنا که عملگرهايي مانند: کمينه، بيشينه و يا مجموع را ترکيب و خروجي فازي را از مجموعههاي فازي ورودي و روابط فازي استخراج کرده و از اين طريق توانايي تصميمگيري در انسان را شبيهسازي ميکند. دراين مقاله موتوراستنتاج ممداني15 به عنوان هستۀ سيستم فازي انتخاب شد که از طريق روابط زير فرايند بکارگيري وروديها را بر اساس قواعد تعريف شده اعمال ميکند [15].
(2)
(3)
د- نافازيساز16: اين مرحله عکس فرايند فازيسازي را انجام ميدهد. نافازيساز، يک خروجي با مقدار قطعي از مجموعههاي فازي که خروجي موتور استنتاج هستند توليد ميکند. روشهاي زيادي براي نافازي سازي مطرح شده است که در اين مقاله از روش گرانيگاه17 با کمک رابطۀ (4) استفاده شده است [15].
(4)
همچنان که اشاره شد در اين مقاله از يک سيستم خبرۀ استنتاج فازي براي تشخيص رفتارهاي مشکوک مشتريان بانکداري اينترنتي استفاده شده است. نحوۀ طراحي و معماري سيستم فازي در بخش بعد تشريح شده است.
3- معماري سيستم خبرة شناسايي رفتار در بانک ملت
براي استفاده از قابليت سيستم فازي در شناسايي رفتارهاي مشکوک، نخست کلية رفتارهاي کاربران در پنج سطح مختلف دستهبندي و سپس سيستم خبرۀ فازي براي استنتاج اين خروجيها طراحي شده است و براي ارزيابي قابليت سيستم طراحي شده، اين مدل در سيستم بانکداري اينترنتي بانکملت بهکارگرفته شده است. در ادامه، ابتدا شيوۀ دستهبندي رفتارهاي کاربران، تشريح و سپس به توضيح سيستم خبره فازي و نحوۀ تشخيص رفتارهاي مشکوک مشتريان در سامانۀ بانکداري بانک ملت پرداخته خواهد شد.
3-1- دستهبندي رفتارهاي مشتريان
همچنان که در بخش1عنوان شد پژوهشهاي قبلي غالباً به شناسايي جرم بدون درنظر گرفتن شدت و ضعف آن بسنده ميکنند [1، 10]. ليکن هدف اصلي در اين مقاله شناسايي رفتارهاي مشکوک مشتريان است. بدين لحاظ، براي رسيدن به تعريف واضحي از "کاربر مشکوک" ابتدا بايد تعاريف مشخصي از رفتارهاي مختلف کاربران بانکداري اينترنتي و ردههاي مختلف آن بهوجود آيد، بديهي است اين دستهبندي کمک شاياني به اتخاذ راهبرد صحيح براي نوع برخورد با هريک از آن دستهها مينمايد. از اين رو پنج دسته رفتار جداگانه به شرح زير تعريف شده است:
الف- رفتارعادي: شامل کاربراني است که عمليات آنها به صورت عادي، بدون اشتباه و کامل انجام شده است.
ب- رفتارکمي مشکوک: شامل کاربراني است که در هنگام ورود خطا داشته و به تلاش براي ورود غيرمجاز مظنون هستند.
ج- رفتار مشکوک: شامل کاربراني است که در هنگام ورود خطاهاي پيدرپي داشته و به تلاش براي ورود غيرمجاز مظنون هستند و همچنين بدون انجام عمليات خاصي مرتباً وارد سامانه شدهاند.
د- رفتار بسيارمشکوک: شامل کاربراني است که به تلاش براي ورود غيرمجاز مشکوک و همچنين عمليات خاصي را خارج از عرف معمول تکرار کردهاند.
ﻫ- رفتار خطرناک: شامل کاربراني است که از مرورگرهاي ناشتاخته استفاده کرده و رفتارهاي يک کاربر مشکوک را نيز انجام دادهاند.
همانطور که از معاني واژهها برميآيد شدت غيرمعمول بودن رفتارها به ترتيب از حالت عادي به خطرناک زياد ميشود. اين رفتارها به کمک اعداد فازي مدل شده و به عنوان متغيرهاي زباني مطابق شکل1 در خروجي سيستم فازي به کار گرفته شدهاند بدين معنا که نتيجۀ استنتاج سيستم فازي تخصيص کاربر به يکي از اين پنج دسته خواهد بود.
3-2- طراحي سيستم فازي
مدل سيستم خبرۀ فازي با استفاده از نرم افزار متلب (06/7) طراحي شده و شامل پنج بخش است:
1) واسط کاربر که اطلاعات مربوط به متغيرهاي ورودي سيستم را از يک پايگاه داده دريافت ميکند.
2) پايگاه قواعد فازي
3) واحد فازي ساز
4) موتور استنتاج فازي
5) واحد نافازي ساز
شکل2 معماري کلي اين سيستم را نمايش ميدهد.
شکل1: معماري سيستم خبرۀ فازي
3-2-1- تعيين پارامترهاي ورودي
در مرحلۀ اول واسط کاربري، اطلاعات مربوط به متغيرهاي ورودي سيستم را به شکل اعدادي قطعي دريافت ميکند. براي تعيين پارامترهاي ورودي، سيستم به طور کامل بررسي شد اين بررسي از ديدگاه کاربري و سيستمي صورت گرفت. از آنجا که پارامترهاي ورودي ميبايد از فايل ثبت ورود18 رفتار کاربران استخراج شود ابتدا جدولهايي که رفتار کاربران با ذکر جزئيات آنها ثبت ميكند، به طور کامل بررسي شد. بدين منظور دو جدول شناسايي شد که اطلاعات مختلفي شامل نوع مرورگر و شمارۀ شناسايي اتصال به اينترنت، نوع فعاليت و تراکنشي که انجام داده به همراه جزئيات آن و همچنين تاريخ و زمان انجام هر فعاليت و تراکنش از ورود تا پرداخت قبض، انجام حواله، گرفتن صورتحساب براي هر کاربر در آن ثبت شده است. پس از تحليل آنها و با کمک خبرگان بانك، پارامترهايي استخراج شد که لزوماً در جدولهاي اوليه موجود نبود و با انجام محاسبات مختلف بهدست آمدند. به تعبير ديگر اين اقلام اطلاعاتي به صورت ساختنايافته در جدولها درج شده بود لذا عمليات پيشپردازش بر روي اين جدولها صورت گرفت و از اين طريق رکوردهاي حاوي اطلاعات مربوط به انجام هر تراکنش براي هر کاربر تجزيه شدند و هريک از اقلام اطلاعاتي براي هرکاربر در هر روز به صورت جداگانه استخراج شد. پس از اين مرحله براي استخراج اقلاماطلاعاتي که در طراحي سيستم فازي مورد نياز بود از نظر بيست خبرۀ بانکداري اينترنتي استفاده شد که در نتيجۀ آن برخي پارامترها حذف و برخي اضافه شدند. بعد از تحليل نهايي، هفت پارامتر که در تعيين رفتار کاربر در سامانۀ بانکدارياينترنتي نقش دارند به عنوان متغيرهاي ورودي و يک پارامتر (رفتار کاربر) به عنوان متغير خروجي در سيستم تعيين شدند که نام و مفهوم هريک از آنها مطابق جدول1 است. بديهي است، اين متغيرها متناسب با سامانۀ بانکداري اينترنتي بانک ملت در ايران بوده و ممکن است برخي از موارد آن در کشورهاي ديگر تغيير كند.
3-2-2- تعريف توابع عضويت متغيرهاي ورودي
در اين بخش براي هر متغير ورودي مجموعهاي از واژههاي زباني تعريف شدند که تعداد آنها از سه تا پنج واژه براي هر پارامتر ورودي متغير است. سپس از طريق پرسشنامه، از خبرگان بانکداري اينترنتي درخواست شد تا مقادير و بازههاي اين واژهها را تعيين کنند. در اين پرسشنامه، هر پارامتر ورودي و مفهوم آن، واژههاي زباني هريک از متغيرها به همراه مقادير عددي آنها، در قالب پنج گزينة متفاوت براي هر واژه در اختيار خبرگان قرار گرفت. پس از جمعآوري نتايج، ميانگين نظر خبرگان به شکل اعداد فازي مثلثي به عنوان مقادير ورودي سيستم تعيين شد که نتايج آن در جدول 2 آمده است. اين بخش از آن جهت اهميت دارد که اين متغيرها و مقادير آنها در گام بعدي و در پايگاه قواعد فازي استفاده شدهاند. علاوه بر اين نمايش متغيرهاي زباني ورودي و خروجي در شکل2 نشان داده شده است.
[1] 1. نویسنده عهدهدار مکاتبات(montazer@modares.ac.ir)
[2] 1.Online Banking
[3] .Address Verification systems(AVS)
[4] .Card Verification Method(CVM)
[5] .Personal Identification Number(PIN)
[6] .Biometrics
[7] 1.monitoring
[8] 2.Association Rules
[9] 3.Neuro fuzzy
[10] .Approximate reasoning
[11] .Linguistic variables
[12] .Fuzzifier
[13] .Knowledge base
[14] .Inference engine
[15] .Mamdani
[16] .Defuzzifier
[17] .Center of gravity (COG)
[18] .Log file
جدول1: نام و مفهوم متغيرهاي زباني ورودي وخروجي
رديف | نام متغيرها | نماد | واحد | مفهوم |
---|---|---|---|---|
1 | تعداد اشتباه | Mis | بار | تعداد خطاهاي کاربر هنگام ورود به سيستم |
2 | تعداد حواله | FtCnt | بار | تعداد حوالههاي اينترنتي که کاربر انجام داده است |
3 | مبلغ حواله | FtAmnt | صدهزاريال | مبلغ حوالههاي اينترنتي که کاربر انجام داده است |
4 | تعداد IP | IPCnt | - | تعداد IPهاي مختلفي که در هنگام ورود کاربر به سامانه ثبت شده است. |
5 | زمان ورود | ET | ساعت | ساعاتي از شبانه روز که کاربر از سامانه استفاده کرده است |
6 | قدمت کاربر | UsrType | ماه | مدت زمان آشنايي کاربر با سامانه |
7 | نوع مرورگر | Brwsr | - | نوع مرورگر کاربر از لحاظ متداول بودن |
8 | رفتار کاربر | Result | - | خروجي – رفتاري که به کاربر تخصيص مييابد |
|
| ||||||||
|
| ||||||||
|
| ||||||||
|
|
شکل2: مقادير زباني متغيرهاي ورودي و خروجي
جدول2: مقاديرزباني متغيرهاي ورودي و خروجي
رديف | نام متغير | مقادير زياني | اعداد فازي |
---|---|---|---|
1 | تعداد اشتباه هنگام ورود به سيستم (Mis) | بدون اشتباه | [87/1, 1, 0] |
کم اشتباه | [13/3, 2 ,13/1] | ||
چند اشتباه | [50/6 , 55/4 ,80/2] | ||
پراشتباه | [90/11 , 36/8 , 78/4] | ||
بسيار پراشتباه | [33/24 , 03/16 , 98/9] | ||
2 | تعداد حوالۀ اينترنتي (FtCnt ) | کم | [50/2, 1, 0] |
متوسط | [97/7, 73/4 ,60/1] | ||
زياد | [80/18, 23/13, 9/5] | ||
3 | مبلغ حوالۀ اينترنتي (FtAmnt) | کم | [94/9, 1 ,0] |
متوسط | [05/25, 09/16 ,18/7] | ||
زياد | [30/70 , 5/46 , 9/20] | ||
خيلي زياد | [60/135 ,92/92, 92/59] | ||
4 | زمانهاي ورود به سيستم (ET) | عادي | [47/22, 90/13 ,0] |
کمي غيرعادي | [05/25, 09/16, 18/19] | ||
غيرعادي | [47/30, 33/25, 23/21] | ||
5 | نوعکاربر از لحاظ قدمت (UsrType) | تازه وارد | [94/1 ,1 ,0 ] |
نيمه مسلط | [45/4 , 80/2 ,35/1] | ||
مسلط | [80/16, 97/9 ,44/3] | ||
6 | نوع مرورگر (Brwsr) | نامتداول | [94/1, 99/0 ,0/0] |
نيمه متداول | [03/6 ,72/3 ,31/1] | ||
متداول | [56/10 ,74/7, 97/4] | ||
7 | تعداد IP کاربر (IPCnt ) | کم | [50/3, 1, 0] |
متوسط | [60/10, 12/7 ,25/3] | ||
زياد | [30/15, 66/9 , 02/6] | ||
8 | خروجي رفتار کاربر (Result) | عادي | [50/2, 1, 0] |
کمي مشکوک | [60/4, 32/2 ,25/1] | ||
مشکوک | [01/7, 21/5 ,12/3] | ||
بسيار مشکوک | [11/8, 62/6 ,20/5] | ||
خطرناک | [85/9, 22/9 ,11/7] |
3-2-3- توليد پايگاه قواعد فازي
در اين مرحله پايگاه قواعد فازي با استفاده از متغيرهاي زباني ورودي و نظريات خبرگان با 50 قاعدۀ "اگر- آنگاه" مطابق آنچه در بخش دوم بيان شده است، ايجاد شد. تعدادي از مهمترين قواعد حاصل از نظرات خبرگان در جدول 3 آمده است.
جدول3: نمونههايي از قواعد پايگاه قواعد فازي
رديف | شرح قاعده |
---|---|
1 | اگر کاربر، کم اشتباه و تعداد حواله متوسط و تعدادآي پي متوسط و زمان ورود غيرعادي و نوع مرورگر متداول باشد آنگاه رفتار کمي مشکوک است. |
2 | اگر کاربر، کم اشتباه و تعداد حواله متوسط و تعدادآي پي متوسط و زمان ورود غيرعادي و نوع مرورگر غيرمتداول باشد آنگاه رفتار مشکوک است. |
3 | اگر کاربر، کم اشتباه و تعداد حواله متوسط و تعدادآي پي متوسط و زمان ورودعادي و نوع مرورگر غيرمتداول باشد آنگاه رفتارکمي مشکوک است. |
4 | اگر کاربر، چند اشتباه و تعداد حواله متوسط و مبلغ حواله زياد و تعدادآي پي متوسط و زمان ورود کمي غير عادي و نوع مرورگر غيرمتداول باشد آنگاه رفتارمشکوک است. |
5 | اگر کاربر، چند اشتباه و تعداد حواله متوسط و مبلغ حواله زياد و تعدادآي پي متوسط و زمان ورود کمي غير عادي و نوع مرورگر نيمه متداول باشد آنگاه رفتارکمي مشکوک است. |
6 | اگر کاربر، بي اشتباه و تعداد حواله متوسط و مبلغ حواله زياد و تعدادآي پي متوسط و زمان ورود کمي غير عادي و نوع مرورگر متداول باشد آنگاه رفتارعادي است. |
7 | اگر کاربر، بي اشتباه و تعداد حواله زياد و مبلغ حواله خيلي زياد و تعدادآي پي کم و زمان ورود عادي و نوع مرورگر متداول باشد آنگاه رفتار عادي است. |
8 | اگر کاربر، بي اشتباه و تعداد حواله زياد و مبلغ حواله خيلي زياد و تعدادآي پي کم و زمان ورود غيرعادي و نوع مرورگر متداول باشد آنگاه رفتار عادي است. |
9 | اگر کاربر، بسيار پر اشتباه و تعدادآي پي زياد و زمان ورود غيرعادي و نوع مرورگر غيرمتداول باشد آنگاه رفتار بسيار مشکوک است. |
10 | اگر کاربر، بسيار پر اشتباه و تعدادآي پي زياد و زمان ورود غيرعادي و نوع مرورگر غيرمتداول و نوع کاربر مسلط باشد آنگاه رفتار خطرناک است. |
11 | اگر کاربر، پر اشتباه و نوع کاربر نيمه وارد و مبلغ حواله زياد و تعدادآي پي متوسط و زمان ورود کمي غير عادي و نوع مرورگر نيمه متداول باشد آنگاه رفتاربسيار مشکوک است. |
12
| اگر کاربر، پر اشتباه و نوع کاربر مسلط و مبلغ حواله زياد و تعدادآي پي متوسط و زمان ورود غير عادي و نوع مرورگر متداول باشد آنگاه رفتاربسيار مشکوک است. |
13
| اگر کاربر، پر اشتباه و نوع کاربر مسلط و مبلغ حواله زياد و تعدادآي پي متوسط و زمان ورود غير عادي و نوع مرورگر غيرمتداول باشد آنگاه رفتارخطرناک است. است. |
14 | اگر کاربر، پر اشتباه و نوع کاربر ناوارد و مبلغ حواله متوسط و تعدادآي پي متوسط و زمان ورود عادي و نوع مرورگر متداول باشد آنگاه رفتار کمي مشکوک است. |
15 | اگر کاربر، بسيار پر اشتباه و نوع کاربر ناوارد و مبلغ حواله متوسط و تعدادآي پي زياد و زمان ورود عادي و نوع مرورگر متداول باشد آنگاه رفتار کمي مشکوک است. |
16 | اگر کاربر، چند اشتباه و نوع کاربر ناوارد و مبلغ حواله متوسط و تعدادآي پي متوسط و زمان ورود عادي و نوع مرورگر متداول باشد آنگاه رفتار عادي است. |
17 | اگر کاربر، چند اشتباه و نوع کاربر مسلط و مبلغ حواله کم و تعداد حواله کم و تعدادآي پي زياد و زمان ورود غيرعادي و نوع مرورگر نيمه متداول باشد آنگاه رفتار خطرناک است.
|
18 | اگر کاربر، بي اشتباه و نوع کاربر مسلط و مبلغ حواله خيلي زياد و تعداد حواله کم و تعدادآي پي زياد و زمان ورود عادي و نوع مرورگر متداول باشد آنگاه رفتار کمي مشکوک است.
|
19 | اگر کاربر،کم اشتباه و نوع کاربر مسلط و مبلغ حواله خيلي زياد و تعداد حواله کم و تعدادآي پي زياد و زمان ورود غيرعادي و نوع مرورگر متداول باشد آنگاه رفتار کمي مشکوک است.
|
20 | اگر کاربر،پر اشتباه و نوع کاربر مسلط و مبلغ حواله خيلي زياد و تعداد حواله کم و تعدادآي پي زياد و زمان ورود عادي و نوع مرورگر متداول باشد آنگاه رفتار خطرناک است.
|
21 | اگر کاربر،کم اشتباه و نوع کاربر مسلط و مبلغ حواله زياد و تعداد حواله زياد و تعدادآي پي زياد و زمان ورود عادي و نوع مرورگر متداول باشد آنگاه رفتار کمي مشکوک است.
|
|
|
4- پياده سازي سيستم
در اين مرحله سيستم خبرۀ فازي با استفاده از اطلاعاتي که از محيط واقعي سيستم بدست آمده بود به مرحلۀ اجرا درآمد. براي ارزيابي سيستم چندين نمونه از اقلام اطلاعاتي مربوط به کاربران مختلف، که در پايگاه دادۀ بانکداري اينترنتي بانک ملت وجود داشت به سيستم داده شد که دو نمونه از آنها با جزئيات بيشتر در ذيل تشريح شده است.
الف- مورد کاوي اول
کاربري، دريک روز، 7 بار براي ورود به سيستم تلاش کرده است که 2 بار آن بين ساعت 9 تا 12 صبح، 3 بار در فاصلۀ ساعت 4 تا 6 بعدازظهر و 2 مرتبه نيز بين ساعت 2 تا 3 نيمه شب بوده است. کاربر فوق در ورود صبح و نيمه شب بدون اشتباه بوده ولي در ورود بعدازظهر خود، در هر 3 مرتبه رمز عبور را اشتباه وارد کرده و نتوانسته وارد سيستم شود. در ورود صبح و بعدازظهر با دو IP و در نيمه شب در هر بار از يک IP متفاوت استفاده کرده است و همچنين مرورگري که در نيمه شب براي کاربر ثبت شده براي سيستم ناشناخته بوده است. مبلغ ده ميليون ريال در صبح آن روز به حساب کاربر وارد شده که در نيمه شب طي حوالهاي اينترنتي از حساب وي کسر شده است. اين کاربر بيش از 11 ماه است که از سامانۀ بانکداري اينترنتي استفاده ميکند. پس از ورود اطلاعات اين کاربر، سيستم طراحي شده رفتار کاربر را "بسيار مشکوک" شناسايي ميکند که از نظر خبرگان بانکداري اينترنتي بانک ملت تأييد شده است.
ب- موردکاوي دوم
کاربري که بيش از 6 ماه است از سيستم بانکداري اينترنتي
استفاده ميکند در فاصله زماني ساعت پنج تا شش صبح، پس از 2 بار اشتباه در درج رمز ورود، در بارسوم وارد سيستم شده و 5 حوالۀ اينترنتي با مبالغ خرد و بسيار کم انجام داده است. کاربر فوق، در طول روز، 37 بار، بدون اشتباه وارد سيستم شده ولي هيچ نوع عمليات مالي انجام نداده است. در پايان شب نيز دو مرتبه براي ورود به سيستم تلاش کرده ولي موفق نشده است . همچنين در تلاش نيمهشب کاربر، از يک IP استفاده شده ولي براي سيستم ناشناخته بوده است. پس از ورود اطلاعات اين کاربر سيستم طراحي شده رفتار کاربر را "مشکوک" شناسايي ميکند که از نظر خبرگان بانکداري اينترنتي بانک ملت تأييد شده است.
درادامه و طي جدول 4 نمونههاي ديگري از عملکرد سيستم به همراه نظر خبرگان در مورد آنها، آمده است.
جدول4: نتيجة اجراي سيستم به همراه نظر خبرگان
|
رديف | تعداد اشتباه | تعداد IP | تعداد حواله | مبلغ حواله | زمان ورود | نوع مرورگر | نوع کاربر | خروجي سيستم | نظرخبرگان |
---|---|---|---|---|---|---|---|---|---|
1 | 3 | 5 | 2 | 80 | 3 | 6 | 6 | 53/0 | مشکوک |
2 | 7 | 5 | 2 | 80 | 8 | 6 | 11 | 79/0 | بسيار مشکوک |
3 | 2 | 4 | 11 | 78 | 11 | 7 | 8 | 51/0 | کمي مشکوک |
4 | 5 | 2 | - | - | 5 | 8 | 8 | 63/0 | مشکوک |
5 | 2 | 2 | 2 | 67 | 20 | 6 | 10 | 12/0 | عادي |
6 | 2 | 2 | 11 | 30 | 4 | 6 | 10 | 62/0 | کمي مشکوک |
7 | 1 | 4 | 8 | 92 | 2 | 3 | 9 | 62/0 | مشکوک |
8 | 14 | 5 | 1 | 100 | 13 | 5 | 6 | 88/0 | خطرناک |
9 | 10 | 5 | 8 | 50 | 13 | 6 | 6 | 83/0 | خطرناک |
10 | 1 | 1 | 4 | 23 | 5/15 | 8 | 8 | 50/0 | عادي |
11 | 1 | 1 | 12 | 47 | 2 | 8 | 8 | 62/0 | کمي مشکوک |
12 | 2 | 2 | 1 | 68 | 13 | 5 | 6 | 08/0 | عادي |
13 | 11 | 3 | - | - | 20 | 3 | 7 | 81/0 | خطرناک |
14 | 2 | 8 | 3 | 12 | 19 | 3 | 6 | 62/0 | مشکوک |
15 | 1 | 1 | 1 | 59 | 15 | 7 | 4 | 50/0 | عادي |
5- نتيجه گيري
امروزه تشخيص جرم و بهبود سطح امنيت در صنعت بانکداري الکترونيکي بسيار مهمتر از گذشته شده است. در اين مقاله يک سيستم خبرۀ فازي براي تشخيص رفتارهاي مشکوک کاربران بانکداري اينترنتي طراحي شده است. در اين سيستم نوع عملکرد کاربر در مواجهه با سيستم بانکداري اينترنتي، به عنوان ورودي سيستم فازي در نظر گرفته شده و خروجي، يکي از پنج دسته رفتار عادي، کمي مشکوک، مشکوک، بسيار مشکوک و خطرناک مشتري خواهد بود. مهمترين مزيت اين سيستم نسبت به روشهاي به کار رفته در ساير مقالات، نخست امکان مدلسازي رفتار کاربران در پنج دستۀ مختلف است که با دقت بيشتري نوع رفتار کاربر را پيش بيني ميکند و ديگر آنکه در نظرگرفتن حيطۀ وسيعي از متغيرهاي ورودي، امکان پوشش جامعتري از عوامل شناسايي کنندۀ رفتار و عملکرد کاربر را مهيا ميسازد. علاوه بر اين پياده سازي واقعي اين سيستم در محيط يکي از بزرگترين بانکهاي ارائه دهندۀ خدمات اينترنتي در کشور حاکي از صحت عملکرد سيستم با درجۀ 93% است که نشان دهندۀ قوت عملکرد آن است.
مراجع
[1] J. T. S. Quah and M. Sriganesh, "Real-time credit card fraud detection using computational intelligence," Expert Systems with Applications,2007, pp.9-17
[2] D. P. Dube and S. Ramanarayanan, "Internet Banking – A Layered Approach to Security," in Intelligent Information Technology, 2005, pp.190-197.
[3] T. Young, "Lords call for e-crime shakeup “. , available online at http://www.computing.co. uk/computing/news/2221020/lords-say-crime-nust- ,last visited October 2008.
[4] K. B. Bignell, "Authentication in an Internet Banking Environment; Towards Developing a Strategy for Fraud Detection," in Internet Surveillance and Protection, 2006. ICISP '06. International Conference on, Cote d'Azur, 2006, pp.23-23.
[5] P. Alexopoulos, X. Benetou, T. Tagaris, P. Georgolios, and K. Kafentzis, "IWEBCARE: AN ONTOLOGICAL APPROACH FOR FRAUD DETECTION IN THE HEALTHCARE DOMAIN," in International Conference on Information Technologies (InfoTech-2007), BULGARIA, 2007, pp.1-8.
[6] P. A. Estévez, C. M. Held, and C. A. Perez, "Subscription fraud prevention in telecommunications using fuzzy rules and neural networks," Experts Systems with Application, vol. 31, pp. 337-344, 2006.
[7] E. Kirkos, C. Spathis, and Y. Manolopoulos, "Data Mining techniques for the detection of fraudulent financial statements," Experts Systems with Application, vol. 32, pp.995-1003. 2007.
[8] K. Kerremans, Y. Tang, R. Temmerman, and G. Zhao, "Towards Ontology-based E-mail Fraud Detection," in Artificial intelligence, 2005. epia 2005. portuguese conference on: IEEE, 2005, pp. 106-111.
[9] L. Fang, M. Cai, H. Fu, and J. Dong, "Ontology-Based Fraud Detection," in Computational Science – ICCS 2007, 2007, pp.1048-1055.
[10] D. Sanchez, M. A. Vila, L. Cerda, and J. M. Serrano, "Association rules applied to credit card fraud detection," Expert Systems with Applications, 2008, pp.1-14.
[11] Y.-P. Huang, C.-C. Lu, and T.-W. Chang, "An Intelligent Approach to Detecting the Bad Credit Card Accounts," in 25th IASTED International Multi-Conference Artificial Intelligence and Applications, Innsbruck, Austria, 2007, pp. 1-6.
[12] M. N. Mark Jyn-Huey Lim, Jacky Hartnett, "Detecting Abnormal Changes in E-mail Traffic Using Hierarchical Fuzzy Systems," IEEE, 2007, pp.1-7
[13] R. A. Tansel Ozyera, Ken Barker, "Intrusion detection by integrating boosting genetic fuzzy classifier and data mining criteria for rule pre-screening," Journal of Network and Computer Applications, vol. 30, pp. 99-113, 2007.
[14] L. A. Zadeh, "The concept of a linguistic variable and its application to approximate reasoning," Information Sciences, vol.8, pp. 199-249,1975.
[15] L. Rutkowski, "Fuzzy Inference Systems," in Flexible Neuro-Fuzzy Systems, 2004, pp. 27-50.