互联网支付体系风险防控的行为分析技术及应用

随着网络购物、电子商务类应用网站的蓬勃兴起，带动了互联网支付需求的快速增长。与此同时，交易劫持、钓鱼欺诈和网站拖库盗号等交易欺诈问题也呈现爆炸性增长趋势，严重威胁网络电子交易用户的财产安全。但是，现有以身份认证为核心、以防御攻击为目标的信息安全技术，无法应对和解决以”在线欺诈”为主要特征的网络交易安全威胁，迫切需要构建新的具备瞬时辨识能力的网络交易风险防控技术体系。针对上述问题，同济大学研究团队于1999年在国内率先开展了相关理论和技术研究，在国家、省部各类计划资助下，联合支付宝等企业，以行为认证为核心手段，以业务过程的正确可靠、用户行为的授信可用、系统交易的在线可控、平台支付的高效可信为目标，构建了互联网支付的风险管控技术体系。项目成果通过教育部组织的鉴定，行为认证技术达到了国际领先水平。主要创新点如下：从互联网支付系统的模型规约出发，构建了互联网支付系统的LPN模型，分析多业务主体交互过程的行为可预期性，准确定位业务流程漏洞，防范业务安全风险；以用户行为分析、识别用户信用为出发点，提出了一整套用户行为数据采集、授信评估和信用识别技术来有效鉴别用户行为可信与否，解决交易支付中的身份盗用和用户欺诈风险；提出了系统交易的行为认证技术，构建系统行为证书，在线监控系统执行逻辑，实时捕获、报警和阻止风险交易，保障交易可信进行；提出了设备、行为、业务三位一体的可信平台体系模型及技术，研制了大规模分布式的交易风险实时防控平台，在避免对交易过度打扰的同时，有效提升平台风险实时管控能力。成果获授权发明专利29项；国际PCT6项；行业标准8项；软件著作权17项；发表论文71篇，其中SCI、EI检索85篇次，ACM、IEEE系列汇刊12篇，获ACM MobiHoc 2014唯一最佳论文奖(国内学者首次获得)。英国皇家工程院士Asoke Nandi评价该成果：”提出了具有原创性的网络交易风险防控的行为认证理论和技术”。芬兰阿尔托大学Matti Hamalainen博士评价该成果”对于交易支付服务具有重要意义，在确保服务易用高效的同时，有效降低了交易欺诈风险。”此外，加拿大工程院院士Sherman Shen等引用了项目成果，并给予正面评价。上海信息安全测评中心检测报告表明：项目成果”对交易进行可信检测，有效识别可信和非可信交易，对非可信交易进行风险检测，对风险交易进行拦截”，”可信平台的交易直接放行率为90.518%；交易风险模型使得风险最高的2%的交易覆盖了所有案件数量的78.6%；案件识别系统进行交易风险识别的平均响应时间为65ms。”项目成果在支付宝、快钱等国内第三方支付企业得到成功应用，同时服务上海浦东”国家电子商务综合创新实践区”。基于项目成果，支付宝为3亿多实名用户提供安全可信优质高效的网络交易支付服务，并服务海外20个国家和地区的第三方支付业务。近三年项目成果的应用共为支付宝保护资金(减少资金损失)138.14亿元。
同济大学
蒋昌俊;张亚英;程立;喻剑;孙毓忠;刘关俊;王成;章昭辉;丁志军;方钰;闫春钢;曹恺;宋莹;季洪飞;陈闳中