نویسندگان: قاسم فرجپور خاناپشتانی* – مهدیه توسلی1
چکیده: يكي از مهمترين موانع براي استفاده از بانكداري اينترنتي عدم امنيت تراكنشها و برخي سوءاستفاده ها در مسير انجام مبادلات مالي است.به همين دليل جلوگيري از نفوذ غيرمجاز و تشخيص جرم از مسائل مهم در مؤسسات مالي وبانكهاست . طرح احراز هویت امن و کارآمد یک مسئله بسیار مهم با توسعه فن آوری های شبکه بوده است. امنیت داده ها یک موضوع مهم در سناریو فعلی بانکی است. عملیات مالی امن و محرمانه است وباید آن را با امنیت بالا در هنگام برقراری ارتباط ارسال کرد. در این کار امنیت ارتباطات مورد بحث است. ارزیابی عملکرد بانک ها به نتایج مهمی برای بستانکاران، سرمایه گذاران و سهامداران و تعیین قابلیت های بانک ها برای رقابت در این بخش تبدیل شده است و دارای اهمیت حیاتی برای توسعه این بخش است.
کلمات کلیدی: بانكداري اينترنتي، رفتار مشكوك،تشخيص الگو، نظرية فازي ، احراز هویت، سیستم های توزیع شده، فیشینگ ،داده کاوی فازی
1. مقدمه
در اقتصاد، یکی از موسسات مالی که انتقال تجهیزات غیر فعال با حداقل هزینه را عهده دار است بانک است. به طور کلی هر مشکلی که می تواند در سیستم فعلی بانک رخ می دهد به طور مستقیم به سهامداران و همچنین اقتصاد تاثیرخواهد گذاشت. رشد سیستم بانکی به صورت موازی درجه کسب درآمد از بازار را افزایش می دهد، بنابراین توسعه در بخش بانکداری بخش های دیگر اقتصاد، به ویژه اقتصاد واقعی متقابلاً و عمیقا تحت تاثیر قرار خواهد داد.
دسترسي آسان و گسترده به اينترنت آن را به يكي از معابر اصلي فروش براي خرده فروشي ها بدل كرده است. با توجه به وجود توان بالقوه در استفاده از اينترنت حجم مبادلات تجارت الكترونيكي در سالهاي گذشته رشد زيادي داشته است]1[.همچنين يكي از ابزارهاي ضروري براي تحقق وگسترش تجارت الكترونيكي، وجود سيستم بانكداري الكترونيكي است كه همگام با سيستم هاي جهاني مالي وپولي، عمليات و فعاليتهاي مربوط به تجارت الكترونيكي راتسهيل كند . در حقيقت مي توان گفت پياده سازيتجارت الكترونيكي، نيازمند تحقق بانكداري الكترونيكي است.به همين دليل، استفاده از سيستم هاي الكترونيكي در موسسات مالي و اعتباري جهان به سرعت رو به گسترش بوده و شماراستفاده كنندگان از خدمات بانكداري الكترونيكي روز به روزدر حال افزايش است از اين رو صنعت بانكداري تلاش دارد تا با بكارگيري اينترنت به عنوان يكي از كانالهاي اصلي ارائة خدمات، براي نفوذ و قدرتمند ساختن كسب و كار خود استفاده كند ]2[.بسياري از سيستم هاي توسعه داده شده، امنيت را از طريق ديوارهاي آتش و ضد ويروس ها براي حملات داخلي و خارجي فراهم مي كنند]3[.
پنج عامل احراز هویت در یک سیستم توزیع شده، در قالب خدمات شبکه قابل ارائه و توزیع است.
1- کارت RFID
2- Pin
3- اثر انگشت
4- OTP
5- صفحه کلید با صفحه کلید ID
همچنین یکی دیگر از راهکارهای بانکداری اینترنتی امن تشخیص و شناسایی هر گونه وب سایت های فیشینگ در زمان واقعی، به ویژه برای بانکداری الکترونیکی، در واقع یک مشکل پیچیده و پویا ست که شامل عوامل و معیارهای بسیاری است. در حال حاضر روش های جدیدی برای غلبه بر ابهام’ در بانکداری الکترونیکی برای ارزیابی وب سایت های فیشینگ و پیشنهاد انعطاف پذیر هوشمند و مدل موثر برای تشخیص وب سایت های فیشینگ بانکداری الکترونیکی وجود دارد.
2.معرفی عناوین
بانكهاي فراهم كنندة خدمات اينترنتي، روشهاي مختلفي را براي تشخيص جرم و غربال كردن تراكنشهاي مشتريان به كار مي برند. روشهايي كه اخيراً استفاده مي شود شامل مشاهدة تراكنشها از طريق سيستمهاي تصديق نشانی (AVS) [1] ، روش تصديق كارت [2](CVM) شمارة شناسايي شخصي [3](PIN) و روشهاي زيست سنجي[4] است. اين روشها مبتني بر يادگيري قواعدي خاص هستند و قادرند شاخص هاي رفتارهاي فريب آميز را از پايگاه داده هاي بزرگ تراكنشهاي كاربران كشف كنند . اين شاخصها براي ايجاد سيستمهاي پايشگر[5] استفاده مي شوند تا رفتارهاي غيرمعمول مشتريان را ثبت كرده و رفتارهاي مشكوك را از ميان آنها شناسايي كنند.
مزایای استفاده از احراز هویت مبتنی بر PIN، RFID کارت، اثر انگشت، OTP و ID صفحه کلید به خوبی طراحی شده است. پنج عامل پروتکل احراز هویت تا حد زیادی می تواند به بهبود تضمین اطلاعات در سیستم های توزیع شده کمک کند.]4[
مسائل مربوط به حریم شخصی همراه با ویژگی های امنیتی بهبود یافته، ورود و خروج پنج عامل نیز یکی دیگر از موضوع های ظریف در مورد چگونگی حفاظت از داده های بیومتریک را افزایش می دهد.عوامل احراز هویت نه تنها اطلاعات حریم خصوصی مالک، بلکه از نزدیک به امنیت در پروسه تأیید هویت مربوط می شود.
تعداد زیادی از مطالعات توسط روش های مختلفی برای اندازه گیری عملکرد بانک ها و نیاز به این مطالعات به طور فزاینده ای در حال رشد وجود دارد. یکی از روشهایی که در مطالعات تجربی، به طور گسترده ای استفاده می شود تجزیه و تحلیل نسبت است Tözüm (2002) . یکی دیگر از روش های مهم مورد استفاده در اندازه گیری عملکرد بانک تحلیل پوششی داده ها (DEA) است. این روش برای اندازه گیری کارایی شعب بانک استفاده می شود. ]6[
وب سایت های فیشینگ ، وب سایت هایی جعلی هستند که توسط افراد مخرب به تقلید از وب سایت های بانکداری الکترونیکی واقعی ایجاد شده. بسیاری از این نوع از صفحات وب دارای شباهت های بصری بالایی به صفحات وب واقعی است. کاربران اینترنت بدون تعجب و تشویش ممکن است به آسانی توسط این نوع از کلاهبرداری فریب خورده و اطلاعات حساب کاربری خود را به بانک، رمز عبور، شماره کارت اعتباری و یا سایر اطلاعات مهم در اختیار صاحبان صفحه وب فیشینگ قرار دهند. فیشینگ یک جرم نسبتا جدید در اینترنت در مقایسه با اشکال دیگر، به عنوان مثال، مانند ویروس و هک است. ]7[
3. اجمالي برنظرية سيستم هاي فازي
نظرية مجموعه هاي فازي در سال 1965 ميلادي توسط عسكر لطفي زاده مطرح شد. نظرية مجموعه هاي فازي روشي را براي محاسبة داده ها و اطلاعات غير قطعي و مبهم ارائه مي كند ضمن اينكه سازوكار استنتاج، براي استدلال را براساس مجموعه اي از قواعد “اگر -آنگاه” فراهم مي سازد. اين قواعد به كمك مجموعه هاي فازي تعريف مي شوند كه در آنها هريك از اعضاي مجموعه درجة تعلقيبين صفر و يك دارند. يك نمونه واقعي از عدم قطعيت وجود ابهام در زبان طبيعي انسانهاست]8[ . سيستمهاي فازي مفاهيم نظرية مجموعه فازي و منطق فازي را با يكديگر تلفيق و چارچوبي براي ارائه دانش زباني همراه با عدم قطعيت فراهم مي كنند و دو مشخصة اصلي دارند كه محبوبيت آنها را بيشتر كرده است: يكي اينكه آنها براي استدلال تقريبي [6]به ويژه براي سيستمهايي كه استخراج يك مدل رياضي از آنها كار دشواري است، مناسب بوده و ديگري اينكه منطق فازي اجازه م يدهد تصميم گيري با استفاده از اطلاعات ناكامل و غيرقطعي با كمك متغيرهاي زباني[7]، كه به راحتي توسط انسانها قابل درك هستند، انجام شود. سيستم هاي مبتني بر منطق فازي شامل چها ر جزء اصلي هستند و همانطور كه ذكر شد مي توانند راه حل هاي عملي و مناسبي را در شرايط مختلف ارائه دهند. ]9[
فازي ساز: در فرايند فازي سازي روابط بين ورودي ها و متغيرهاي زباني با استفاده از توابع عضويت تعريف مي شود. در اين مرحله مقادير ورودي به درجة تعلق متغيرهاي زباني متناظر تبديل مي شوند. در واقع متغيرهاي ورودي از طريق واحد فازي ساز به اعداد فازي تبديل مي شوند. در اين مقاله هر متغير ورودي به علت محاسبات ساده تر به يك عدد فازي مثلثي تبديل شده است . هر عدد فازي مثلثي با سه تايي نشان داده است و تابع عضويت آن به a1 ≤ a2 ≤ a3 مي شود كه تابع عضويت آن به صورت شكل زير نمايش داده مي شود:
پايگاه دانش[8]: پايگاه دانش از تركيب دانش خبرگان حوزة مورد بحث به وجود مي آيد و به شكل قواعدي از متغيرهاي زباني تشكيل مي شود . اين قواعد براي بيان ارتباط ميان مجموعه هاي فازي ورودي و خروجي استفاده مي شود . قالب گرامري يك قانون فازي به شكل زير بيان مي شود: اگر (شرايط ورودي برقرار باشد) آنگاه (مجموعه نتايج خروجي قابل استنتاج است).
موتور استنتاج[9]: اين بخش واحد تصميم گير سيستم فازي است. يك موتور استنتاج قابليت استنتاج خروجي ها با استفاده از قواعد و عملگرهاي فازي را داراست بدين معنا كه عملگرهايي مانند: كمينه، بيشينه و يا مجموع را تركيب و خروجي فازي را از مجموعه هاي فازي ورودي و روابط فازي استخراج كرده و از اين طريق توانايي تصميم گيري در انسان را شبيه سازي مي كند .
نافازي ساز[10]: اين مرحله عكس فرايند فازي سازي را انجام مي دهد. نافازي ساز، يك خروجي با مقدار قطعي از مجموعه هاي فازي كه خروجي موتور استنتاج هستند توليد مي كند. روش هاي زيادي براي نافازي سازي مطرح شده است.
منطق فازی در مقایسه با تئوری منطق سنتی این است که به جای ثابت و دقیق به بیان تقریبی می پردازد که در آن دامنه مجموعه دوتایی دارای منطق دو ارزشی بین 0 و 1 است. ]4[
فرآیند تحلیل سلسله مراتبی (AHP) یکی از شناخته شده ترین تکنیک های تصمیم گیری است که اولین بار توسط ساتی (1980) پیشنهاد شد. کارشناسان روش های مختلف برای فازی AHP دارند بنابراین نظریه مجموعه فازی باعث می شود فرآیند مقایسه بیشتر انعطاف پذیر و قادر به توضیح باشد. ]6[
FL برای چندین دهه در علوم مهندسی استفاده می شود.]7[
4.سیستمهای کاربردی فازی در تشخیص رفتار مشکوک در امنیت شبکه
1-4 براي استفاده از قابليت سيستم فازي در شناسايي رفتارهاي مشكوك، نخست كلية رفتارهاي كاربران در پنج سطح مختلف دسته بندي و سپس سيستم خبرة فازي براي استنتاج اين خروجي ها طراحي شده است و براي ارزيابي قابليت سيستم طراحي شده، اين مدل در سيستم بانكداري به كارگرفته شده است.
پنج دسته رفتار جداگانه به شرح زير تعريف شده است:
الف- رفتارعادي
ب- رفتاركمي مشكوك
ج- رفتار مشكوك
د- رفتار بسيارمشكوک
هـ- رفتار خطرنا ك
همانطور كه از معاني واژه ها برمي آيد شدت غيرمعمول بودن رفتارها به ترتيب از حالت عادي به خطرناك زياد مي شود. اين رفتارها به كمك اعداد فازي مدل شده و به عنوان متغيرهاي زباني مطابق شكل 1 در خروجي سيستم فازي به كار گرفته شده اند بدين معنا كه نتيجة استنتاج سيستم فازي تخصيص كاربر به يكي از اين پنج دسته خواهد بود. ]8[
2-4 مشتری برای اولین بار وارد کارت RFID را به یک کارت خواننده که داده های استخراج شده دارد می شود.شدپس از آن، مشتری وارد PIN شده و اطلاعات اثر انگشت او از اسکنر برای استخراج در این مرحله استفاده می شود. ]4[
3-4 فاکتورهای تأیید هویت سیستم
ثبت نام. هر کاربر را به ثبت نام در بانک به منظور تبدیل شدن به یک کاربر مجاز تبدیل می کند.. روند ثبت نام به شرح زیر است: ارائه اطلاعات اولیه مانند ایمیل نام کاربری، آدرس، اطلاعات تماس شناسه (شماره)، اثبات عکس و سایر اطلاعات مورد نیاز. ما فرض می کنیم که یک دستگاه برای استخراج الگوی اثر انگشت و انجام تمام محاسبات در استخراج فازی وجود دارد. در این مرحله هیچ الگوی اثر انگشت را شامل نمی شود و انجام تمام محاسبات در استخراج فازی خواهد بود. هیچ تعامل با سرور تأیید اعتبار موجود نیست. تکنیک های تایید مشتریان یک فرآیند مرتبط اما جدا از احراز هویت است. تکمیل فرآیند تصدیق در منشاء حساب رخ می دهد. تایید اطلاعات شخصی ممکن است به سه روش به دست آید:
بررسی مثبت: اطمینان حاصل شود که اطلاعات ارائه شده توسط متقاضی با اطلاعات موجود منطبق و از منابع قابل اعتماد است .به طور خاص، یک موسسه مالی می تواند هویت یک مشتری بالقوه را از طریق مقایسه پاسخ متقاضی به یک سری از سوالات دقیق برابر با اطلاعات در یک پایگاه داده مورد اعتماد (به عنوان مثال، گزارش های اعتباری قابل اعتماد) برای دیدن در صورتی که اطلاعات ارائه شده توسط متقاضی اطلاعات مسابقات در بررسی پایگاه داده باشد.
بررسی منطقی: اطمینان حاصل شود که اطلاعات ارائه شده منطقی با کد منطقه تلفن، کد پستی و آدرس سازگار است.
بررسی منفی: اطمینان حاصل شود که اطلاعات ارائه شده با تقلب همراه است. ]5[
4-4 غیر فازی سازی یک روش برای تبدیل اعداد فازی به اعداد واضح واقعی است. چندین روش موجود برای این منظور وجود دارد. روش های رایج میانگین حداکثرها و مرکز ثقل هستند، و روش TOPSIS به صورت مجتمع هستند. در حالی که فازی AHP برای تعیین وزن های اصلی و زیر معیارهای مورد استفاده میباشد. روش TOPSIS برای ارزیابی عملکرد از بانک های تجاری استفاده می شودساختار سلسله مراتبی در شکل نشان می دهد که شکل کلی ارزیابی عملکرد هدف کلی در سطح اول تعیین بهترین عملکرد در کل. در سطح دوم، ساختار سلسله مراتبی به عملکرد مالی و غیر مالی از هم جدا هستند. در حالی که ساختار سلسله مراتبی مالی برای ارزیابی عملکرد مالی استفاده می شود، ساختار سلسله مراتبی غیر مالی است و برای اندازه گیری عملکرد غیر مالی استفاده می شود. با این روش، سه ساختار سلسله مراتبی متعلق به عملکرد مالی، غیر مالی و در کل برای تعیین وزن هر یک از اصلی و subattribute استفاده می شود. ارزیابی عملکرد مالی اگر چه بسیاری از انواع نسبت های مالی در ارزیابی عملکرد بانک ها وجود دارد، نتایج ارزیابی می تواند با توجه به نسبت های مختلف متفاوت باشد.]6[
5-4 قواعد کلی استنتاج از داده کاوی فازی ]7[
5. پیاده سازی
1-5 سيستم خبرة فازي با استفاده از اطلاعاتي كه از محيط واقعي سيستم بدست آمده بود به مرحلة اجرا درآمد.]9[
نمونه هایی از قواعد پایگاه داده فازی
2-5 تغییر PIN پس از ورود به سیستم: مشتری می تواند / PIN خود را تغییر دهد. سرور اجازه می دهد تا مشتری به تغییر PIN قدیمی با PIN جدید و به روز رسانی داده ها در کارت RFID اقدام کند.
اثر انگشت: انتخاب اثر انگشت (با استفاده از هر یک از 5 انگشت) اثر انگشت از تمام انگشتان دست در پایگاه داده باشد. ]5[
6. نتیجه گیری
1-6 امروزه تشخيص جرم و بهبود سطح امنيت در صنعت بانكداري الكترونيكي بسيار مهمتر از گذشته شده است. يك سيستم خبرة فازي براي تشخيص رفتارهاي مشكوك كاربران بانكداري اينترنتي طراحي شده است و نوع عملكرد كاربر در مواجهه با سيستم بانكداري اينترنتي، به عنوان ورودي سيستم فازي در نظر گرفته شده و خروجي، يكي از پنج دسته رفتار عادي، كمي مشكوك، مشكوك، بسيار مشكوك و خطرناك مشتري خواهد بود.همچنین امكان مدلسازي رفتار كاربران در پنج دستة مختلف است كه با دقت بيشتري نوع رفتار كاربر را پيش بيني مي كند و ديگر آنكه در نظرگرفتن حيطة وسيعي از متغيرهاي ورودي، امكان پوشش جامع تري از عوامل شناسايي كنندة رفتار و عملكرد كاربر را مهيا مي سازد.]9[
2-6 در سیستم های توزیع شده ، موضوع ،به چالش کشیدن حفظ امنیت و حریم خصوصی است این رویکردها باعث می شود تا با ارائه پیشنهادات فازی در حل این مسائل یک گام به جلو برداریم.
رمز عبور، کارت RFID ، OTP ، اثر انگشت و صفحه کلید ID . کار ما نه تنها نشان می دهد که چگونه برای به دست آوردن احراز هویت گام برداریم بلکه مسائل مربوط به بیومتریک را نیز در سیستمهای توزیع شده قابل اجرا خواهد کرد.تجزیه و تحلیل نشان می دهد که در احراز هویت چندین عامل اساسی که از آنها نام برده شد، مورد نیاز خواهد بود. ]4[
3-6 روش FAHP برای تعیین وزن اصلی و زیر معیارهای از سلسله مراتب ارزیابی عملکرد استفاده می شود .درآخرین قسمت از مطالعه بانک ها از نظر عملکرد مالی، غیر مالی ، از روش TOPSIS برای رتبه بندی استفاده می شود. ارزیابی عملکرد سیستم های بانکی فازی AHP روش آسان و کارآمد در استفاده از هر دو داده های کمی و کیفی است. علاوه بر معیارهای مالی، معیارهای عملکرد غیر مالی مانند رضایت مشتری و کیفیت خدمات برای بانک های تجاری ارزیابی شده اند. ]6[
4-6 مدل داده کاوی فازی در بانکداری الکترونیکی وب سایت فیشینگ اهمیت معیارهای وب سایت ( URL و دامنه هویت ) را در وب سایتهای فیشینگ نشان داد.
منابع
[١] J. T. S. Quah and M. Sriganesh, “Real-time credit card fraud detection using computational intelligence,” Expert Systems with Applications,٢٠٠٧, pp.٩-١٧
[٢] D. P. Dube and S. Ramanarayanan, “Internet Banking – A Layered Approach to Security,” in Intelligent Information Technology, ٢٠٠٥, pp.١٩٠-١٩٧.
[3] P. K. Harmer, P. D. Williams, G. H. Gunsch and B. Lamont, ” An Artificial Immune System Architecture for Computer Security Applications,” IEEE Transaction On Evolutionary Computation, 2002.
[4] S. Hemamalini & M. L. Alphin Ezhil Manuel Department of Computer Science and Engineering, Alpha College of Engineering, Thirumazhisai, Chennai. A Fuzzy Implementation of Biometrics With Five Factor Authentication System For Secured Banking
[5] S.R. Jenifer Raja Shermila / International Journal of Engineering Research and Applications (IJERA) ISSN: 2248-9622 www.ijera.com Vol. 2, Issue 4, July-August 2012, pp.375-37 A Five-Ways Fuzzy Authentication for Secured Banking
[6] Nes_e Yalcın Secme a , Ali Bayrakdarog˘lu a, Cengiz Kahraman b a Department of Business Administration, Nevs_ehir University, 50300 Nevs_ehir, Turkey b Department of Industrial Engineering, Istanbul Technical University, 34367 Macka, Istanbul, Turkey Fuzzy performance evaluation in Turkish Banking Sector using Analytic Hierarchy Process and TOPSIS
[7] a Department of Computing University of Bradford, Bradford, UK b MIS Department Philadelphia University Amman, Jordan Intelligent phishing detection system for e-banking using fuzzy data mining Maher Aburrous a,*, M.A. Hossain a, Keshav Dahal a, Fadi Thabtah
[8] L. A. Zadeh, “The concept of a linguistic variable and its application to approximate reasoning,” Information Sciences, vol.٨, pp. ١٩٩-٢٤٩,١٩٧٥.
[9]ليلا ساروخاني- غلامعلي منتظر دانشكده فني ومهندسي، دانشگاه تربيت مدرّس
طراحي وپياده سازي سيستم هوشمند شناسايي رفتار مشكوك در بانكداري اينترنتي به كمك نظرية مجموعه هاي فازي
*
1.Address Verification systems(AVS )
2. Card Verification Method(CVM)
3. Personal Identification Number(PIN)
4. Biometrics
5. monitoring
6. Approximate reasoning
7. Linguistic variables
8. Knowledge base
9. Inference engine
10. Defuzzifier
موضوع:
«راههای امنیت شبکه های اینترنتی بانکی از طریق روشهای فازی»
نویسندگان:
قاسم فرجپور خاناپشتانی*
مهدیه توسلی1
*دکترای مهندسی صنایع و عضو هیئت علمی دانشگاه آزاد اسلامی واحد پرند
1دانشجوی کارشناسی ارشد مهندسی صنایع ،دانشگاه آزاداسلامی واحدپرند
E-mail:
Ghfarajpour44@gmail.com-
Mahdieh.tavassoli@gmail.com
