关键字 |
隐马尔可夫模型(HMM),静态用户名/密码,误报,安全问题,安全图片,动态密码。 |
介绍 |
当使用银行发行的信用卡进行网上交易时,交易可以是网上购买或转账。网上购买可以使用银行发行的信用卡或借记卡,基于卡的购买可以分为实体卡和虚拟卡两种。在这两种情况下,如果卡或卡的详细信息被盗,欺诈者可以很容易地进行欺诈交易,这将给持卡人或银行造成重大损失。在网上资金转移的情况下,用户使用详细信息,如登录Id,密码和交易密码。再次,如果在这里错过了帐户的细节,那么,它将导致欺诈交易。 |
信用卡欺诈是一个涉及面很广的术语,指在交易中使用信用卡或任何类似的支付机制作为欺诈性资金来源的盗窃和欺诈行为。其目的可能是获得货物而不付款,或从帐户中获得未经授权的资金。信用卡欺诈也是身份盗窃的辅助手段。 |
欺诈开始于实体卡的盗窃或与账户相关的数据的泄露,包括卡号或其他在合法交易中通常且必须提供给商家的信息。泄露可以通过许多常见的途径发生,而且通常不会让持卡人、商家或发卡人泄露消息,至少在账户最终被用于欺诈之前是这样。一个简单的例子是商店店员复印销售收据以备日后使用。互联网上信用卡使用的快速增长使得数据库安全漏洞的代价格外高昂;在某些情况下,数百万账户被泄露。 |
持卡人可以迅速报告被盗的信用卡,但被盗的账户可能会在发生欺诈使用之前被小偷囤积数周或数月,因此很难确定被盗的来源。持卡人在收到账单之前可能不会发现欺诈使用,账单可能不经常发出。 |
2基础知识和定义 |
在三个安全级别中,第一个级别是静态用户名/密码(也可以是个人识别号码),这些是用于验证和授权客户的凭据。例如,用户名和密码是用于验证用户访问帐户权限的凭据。授权意味着在检查凭证之后,如果帐户详细信息正确,那么允许他们访问他们的资源。 |
第二个层次是关于隐马尔可夫模型,它是一个双嵌入随机过程,具有两个层次结构。与传统的马尔科夫模型[4]相比,它可以用来模拟更复杂的随机过程。HMM具有由一组转移概率控制的有限状态集。在特定状态下,可以根据相关的概率分布生成结果或观察结果。外部观察者只能看到结果而不能看到状态。每个状态在可能的输出标记上都有一个概率分布。因此,HMM生成的令牌序列提供了关于状态序列的一些信息。注意,形容词“隐藏”指的是模型所经过的状态序列,而不是模型的参数,即使模型参数确切地知道,模型仍然是“隐藏”的。基于HMM的应用在语音识别、生物信息学和基因组学等各个领域都很常见。 |
A. HMM和欺诈检测 |
在欺诈检测系统中,HMM最初是用持卡人[1]的正常行为训练的。如果传入的信用卡交易没有被训练过的HMM以足够高的概率接受,则被认为是欺诈。然后第三层将被唤起,即动态密码,这是一个随机生成的数字或密码,通过web服务的帮助发送到用户或客户(或任何可能是信用卡所有者的人)的手机,只是为了确保正确的用户在那一刻使用卡。除此之外,另一个概念是安全图片和安全问题,当动态密码无法在规定的时间内到达用户的手机时,就会出现安全问题。 |
以下是可以通过上述技术解决的一些方面。 |
B.偷卡 |
当信用卡丢失或被盗时,它仍然可用,直到持卡人通知发卡机构卡已丢失。大多数发行人都有免费的24小时电话号码,以鼓励及时举报。尽管如此,小偷仍有可能在卡上进行未经授权的购买,直到卡被注销。如果没有其他安全措施,小偷可能会在持卡人或发卡机构意识到卡在坏人手中之前购买数千美元的商品或服务。 |
C.泄露账户 |
信用卡账户信息以多种格式存储。账户号码通常被压印在卡片上,背面的磁条以机器可读的格式包含数据。字段可能有所不同,但最常见的包括1)持卡人的姓名2)账号3)到期日期。 |
D.未带卡 |
邮件和互联网是针对销售和运输产品的商家进行欺诈的主要途径,并影响了合法的邮购和互联网商家。如果卡不在现场(称为CNP, card not present),商家必须依靠持卡人(或自称持卡人的人)间接提供信息,无论是通过邮件、电话还是互联网。虽然有保障措施,但它仍然比亲自提交风险更大,事实上,由于风险更大,发卡机构倾向于对CNP[6]收取更高的交易费率。令许多人惊讶的是,电话订购是风险最大的,远比网上订购风险大。 |
E.身份盗窃 |
身份盗窃[6]可以分为两大类:应用欺诈和账户接管。 |
应用程序欺诈:应用程序欺诈是指犯罪分子使用偷来的或伪造的文件以他人的名义开设账户。犯罪分子可能会试图窃取公用事业账单和银行对账单等文件,以获取有用的个人信息。或者他们可以伪造文件。 |
账户接管:当犯罪分子试图接管另一个人的账户时,就会发生账户接管,首先要收集目标受害者的信息,然后伪装成真正的持卡人联系他们的发卡人,并要求将邮件重定向到一个新地址。雷竞技网页版然后罪犯报告卡丢失,并要求寄一张补卡。 |
f .略读 |
略读是指在合法交易中窃取信用卡信息。这是一个典型的“内部工作”由一个不诚实的员工合法的商人。窃贼可以通过影印收据等基本方法获取受害者的信用卡号码,也可以使用更高级的方法,如使用小型电子设备(撇码器)窃取并存储数百个受害者的信用卡号码。通常的情况是在餐馆或购物中心,在那里,撇脂者在受害者的视线之外掌握了他们的信用卡。 |
窃贼还可以使用一个小键盘,不引人注目地转录磁条[6]上没有的3或4位卡安全码。 |
g .梳理 |
梳理[6]是一个术语,用于验证被盗卡数据的有效性。窃贼在一个有实时交易处理功能的网站上展示信用卡信息。如果卡片处理成功,小偷就知道卡片还是好的。所购买的具体物品并不重要,小偷不需要购买实际产品,网站订阅或慈善捐赠就足够了。这种消费通常是小额的,一方面是为了避免使用信用卡的信用额度,另一方面也是为了避免引起发卡机构的注意。 |
H. BIN攻击 |
信用卡的BIN范围为[2]。如果发行者不使用随机生成卡号,攻击者就有可能获得一个好的卡号,并通过使用生成器更改后四个号码来生成有效的卡号。这些卡的有效期很可能与商品的有效期相同 |
3MPLEMENTATION |
HMM是如何工作的? |
HMM会跟踪每张卡的消费模式,并找出与“通常”消费模式不一致的地方。如果经过训练的HMM不接受传入的信用卡交易,且有足够高的概率为[5]。然后它会发出警报,提示信用卡使用出现了问题,但是在本文中我们可以将动态密码发送到用户的手机上而不是警报,这样我们就可以减少误报的数量,误报是指在实际上没有发生攻击的情况下,提示攻击正在进行或者攻击已经成功发生的警报或警报。在隐马尔可夫模型(HMM)中,该模型不需要欺诈签名,但能够通过考虑持卡人的消费习惯来检测欺诈。(卡片交易处理顺序由随机过程的一个HMM)。训练HMM的流程流程图如图3.1所示。 |
我们将用户的配置文件分为低支出配置文件、中等支出配置文件、高支出配置文件和入侵者本身。个人持卡人的消费概况被用来获得他们的概况的初步估计。 |
聚类 |
例如,让我们取O1, O2, O3,O4.....或者是持卡人完成的交易序列,长度为r,设O[r+1]为最新交易生成的符号。为了形成另一个长度为r的序列,我们去掉O1并在该序列中添加O[r+1],并从as O2, O3,O4.........O[r+1]生成一个新的序列。然后计算新旧序列之间的差异,以确定交易是否是真实的。如上图3.2所示。我们取r值为10。表3.1显示了用户完成的事务,对于这些事务,我们创建了三个集群。如图3.2所示,集群I是低支出配置集群,集群II是中等支出配置集群,集群III是高支出配置集群。所以在上面的例子中,集群2拥有最大百分比的事务。因此,我们可以得出结论,用户属于集群2或他/她是中等消费概况。 So if the new transaction comes, then again clusters are formed and differences are noted down. If there is no difference then the transaction will be committed and if the difference are found (i.e. the profile is found to change) then the dynamic password has to be send to the users mobile phone for the sake of identifying the genuine user. As indicated in figure 3.2 |
动态密码 |
对于动态密码,随机数是在服务器端生成的,并通过web服务的帮助发送到客户的移动电话,以确保正确的用户在当时使用该卡。他/她必须输入相同的密码才能从银行获得授权,假设由于服务器端负载过重,如果用户在规定的时间内没有在手机中获得密码,那么在一段时间间隔后,将会询问一些可以由用户回答的人事问题(安全问题/图像),这些安全问题/图像应该与问题/图像相匹配。由客户在开户时填写/选择。 |
四。结论 |
本文提出了一种利用银行发行的信用卡进行网上交易的方法,交易可以是网上购买,也可以是网上转账。需要实现三个级别的安全,第一个是静态密码,第二个是HMM(隐马尔可夫模型),如果HMM检测到任何欺诈,那么第三个级别将出现动态密码,其次是安全问题或安全图像,为什么我要使用安全图像,因为在某些情况下,我们进行交易的机器将没有字母键盘。因此,在这种情况下,安全问题的答案将不会被输入。因此,如果用户可以通过触摸屏或其他任何方式灵活地选择任何图片,就可以工作。三种安全级别使用的限制可能会导致在线购买或在线转账的延迟。但这些延误可以忽略不计,因为我们更多地关注安全问题。这样的调查将使我们能够建立一个安全的方法来识别欺诈信用卡交易。 |
表格一览 |
|
表1 |
|
|
数字一览 |
|
|
参考文献 |
- Abhinav Srivastava,Amlan Kundu,Shamik Sural和Arun K Majumdar,“使用隐马尔可夫模型的信用卡欺诈检测”,IEEE Transactions On reliable and Secure Computing,vol.5第一,1 - 2008。
- “信用卡欺诈”,http:// en.wikipedia.org/wiki/Credit_card_fraud
- L.R . Rabiner,“隐马尔可夫模型和语音识别中的选择应用教程”,ieee, vol.77, no.2,pp。257 - 286年,1989年
- Raj Jain,《计算机系统性能分析的艺术》,John Wiley and Sons, 2010年第3章。
- 本森·埃德温·拉杰安妮·波西亚,“信用卡欺诈检测方法分析”,国际计算机通信与电子技术会议,2011年3月
- “信用卡欺诈类型”,http://www.monetos.co.uk/financing / Credit -cards/ Fraud -protection/ Types。
|