基于eID和谱理论的跨平台虚拟资产交易审计方法

摘要

本发明公开一种基于eID和谱理论的跨平台虚拟资产交易审计方法，本技术的核心思想就是对跨平台虚拟资产的交易操作日志进行建模并构造审计规则库，然后结合eID技术利用交易属性对用户交易日志实现关联审计分析，最终获取理想的虚拟资产交易审计准确率，本技术在建立数据模型时充分考虑了数据相关属性的问题，并且能适应用户交易属性多变性和交易行为不确定性的特点。本技术通过构建规则库可以根据审计结果对其进行动态修正。在虚拟资产交易日志测试阶段，本技术的使用的检测方法不仅简单而且能获取较高的精度。

说明书

技术领域

本技术属于网络与信息安全领域，具体涉及一种基于eID和谱理论的跨平 台虚拟资产交易审计方法。

背景技术

eID是电子身份证(electronic IDentity)的英文缩写，全称为公民网络 电子身份标识，是居民身份证在网络上的异化形式。eID是网络上远程证明个 人真实身份的权威性电子信息文件，由公安部公民网络身份识别系统签发 (http://eid.cn/khatiseid.html)。它是由网民个人身份信息生成的一组唯一 的网络标识符和数字证书，而网民真实信息保存在第三方可信机构。智能芯片 卡把功能和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起， 在网络上提供用户身份的验证信息，使得每个网民在网络虚拟环境中有且只有 一个对应的真实身份。eID具有权威性、安全性和公信力，它避免了直接使用 身份证导致的隐私泄漏问题，实现真正意义上的“前端匿名，后端实名”机制。 目前，作为科技部的一个重大项目，eID在北京、上海等部分地区开始试运用， 主要是对互联网上的远程身份进行识别与验证，如校园网络、电子商务、网络 媒体，在线服务等等。北京邮电大学校园网已基本实现了基于eID的服务功能， 并且取得了阶段性的成果。eID的使用为本技术的实现奠定了基础。

虚拟资产交易审计主要是检测交易过程中的异常，即通过对虚拟资产交易 相关日志进行关联分析，及时发现用户对虚拟资产的违规操作行为。异常审计 是数据挖掘的重要内容，其实现方法有多种。基于分类的异常审计方法：基于 分类的异常审计技术是一个两阶段过程，包括学习阶段和分类阶段。学习阶段， 又称训练阶段，建立描述预先定义的数据类或概念集的分类器，通过有效的标 记训练集构造分类器；分类阶段，又称测试阶段，利用分类器将一个测试对象 标记为正常或异常。它的使用基于如下一般性假设：在给定的特征空间中，必 能构造区分正常和异常数据类的分类器(Tan P N,Steinbach M,Kumar V. Introduction to Data Mining[J].2006.)。基于最邻近的异常审计技术：给 定特征空间中的数据集，可以使用距离度量来量化对象之间的相似性。直观地， 远离其它对象的对象可以被视为异常，基于邻近性的方法假定：异常数据与它 最近邻的邻近性显著偏离数据集中的其它数据与它们近邻之间的邻近性(Byers  S,Raftery A E.Nearest-neighbor clutter removal for estimating features  in spatial point processes[J].Journal of the American Statistical  Association,1998,93(442):577-584.)。统计学异常审计技术：统计学异常 审计技术对数据的正常性做了假设。它们假定数据集中的正常对象由一个随机 过程(生成模型)产生，因此，正常对象出现在该随机模型的高概率区域中， 而低概率区域中的对象是异常的。该技术的一般思想是：学习一个拟合给定数 据集的生成模型，然后识别该模型低概率区域中的对象，把它们视为异常 (Aggarkal C C,Philip S Y.Outlier Detection kith Uncertain Data[C]//SDM. 2008:483-493.)。信息论的异常审计技术：信息理论技术采用Kolmogorov复 杂性、熵和相对熵等不同的信息论方法分析数据集中的信息量。该技术的使用 基于以下事实：数据集中的异常会引发数据集信息量的不规则变化。信息论的 异常检测技术的步骤如下：给定数据集D，找出该数据集的一个最小子集I，使 得C(D)-C(D-I)的值最大，子集I中的数据被认为是异常，其中C(D)表示数据D 的复杂性(Keogh E,Lonardi S,Ratanamahatana C A.Tokards parameter-free  data mining[C]//Proceedings of the tenth ACM SIGKDD international  conference on Knokledge discovery and data mining.ACM,2004:206-215.)。 基于谱理论的异常审计技术：谱技术通过一组包含数据集主要特征的属性找到 数据的一种近似表示。基于谱的异常审计技术假设数据可以被映射到低维度的 子空间中并且正常数据与异常数据有显著区别。因此该技术一般采用主成分分 析法找到这样的子空间，在该子空间内，异常数据容易被识别(Agovic A, Banerjee A,Ganguly A R,et al.6Anomaly Detection in Transportation  Corridors Using Manifold Embedding[J].Knokledge Discovery from Sensor  Data,2008:81-105.)。

在虚拟资产交易审计中，与虚拟资产有关的异常一般为情境异常，因为虚 拟资产有多种类型，不同类型的虚拟资产属性不一样；并且不同的用户对同类 虚拟资产的操作也不一样，这涉及虚拟资产交易平台的多样性。因此，虚拟资 产的审计包含两方面内容：虚拟资产操作日志的审计和虚拟资产属性信息的审 计。因此单一地使用上述某种技术对虚拟资产的交易进行异常审计并不科学， 也很难获得较高的检测准确率。现有的异常审计方法侧重于审计数据的转移属 性或频率属性，却很少关注数据的相关属性。

发明内容

针对现有技术的缺陷，本技术在建立数据模型时就充分考虑了数据相关属 性的问题，并且能适应用户交易属性多变性和交易行为不确定性的特点。本技 术通过使用谱理论方法构建可以根据审计结果对其进行动态修正的审计规则库， 并结合eID技术实现对虚拟资产交易的跨平台审计。在虚拟资产交易日志测试 阶段，本技术使用的检测方法不仅简单而且能获取较高的精度。

本技术的核心思想就是对虚拟资产的交易操作日志进行建模并构造审计规 则库，然后结合eID技术利用交易属性对用户交易日志实现关联审计分析，最 终获取理想的虚拟资产交易审计准确率。本发明方案如下：

步骤1、给定某类虚拟资产的正常交易日志记录，称之为训练集；对于该训 练集，根据eID的唯一性，对其进行预处理：合并相同eID用户的交易日志， 将交易操作转化为时序数据,统计每个eID用户的交易属性信息，形成用户交易 属性信息库Φ；

步骤2、为用户的交易操作日志建立数学模型：将每名eID用户的交易操 作时序数据进行分割，分割长度为l；此外，将日志记录中互不相同操作的个数 记为N，这样可以为每个l长的交易操作序列创建N×N大小的矩阵C_l；该矩阵 的横纵坐标都是不同类型的操作，而矩阵元素就是对应的操作对在窗口尺寸h 内出现的频数，即h个连续操作中某操作对出现的次数；矩阵C_l的每个元素代 表了操作对之间的关联度；

步骤3、利用谱理论抽取用户交易操作行为主特征：由训练集转化得到的 矩阵集为大小都是N×N的，通过等式(1)计算均值矩阵 C_mean，n是训练集中时序数据段的总数；

$C_{\mathrm{mean}}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{C}_i---\left(1\right)$

矩阵集中的每个矩阵减去均值矩阵C_mean得到新的矩阵集；对于中的N×N 矩阵C_i’，可以改写为1×N²的向量，即

$\widehat{C_i}=[{C_i}^{,}\left(\mathrm{1,1}\right),{C_i}^{,}\left(\mathrm{1,2}\right),...,{C_i}^{,}\left(\mathrm{2,1}\right),...,{C_i}^{,}(N,N)],$1≤i≤n，构造协方差矩阵E， 大小是N²×N²，矩阵E元素的含义就是操作对与操作对之前关联度；

$E=\underset{i=1}{\overset{n}{\Sigma }}{{\hat{C}}_i}^T\widehat{C_i}---\left(2\right)$

根据PCA方法计算矩阵E的特征值为λ_i和相应的特征向量v_i(1≤i≤N²，λ₁≥ …≥)；根据谱理论和矩阵E的性质可知，v₁,v₂,…,构成N²×N²维空间的 一组正交基。从N²个特征向量中选择前k个，使得这k个特征的主成分贡献率达 到预定阈值η，即

$\frac{{\Sigma }_{i=1}^k{\lambda }_i}{{\Sigma }_{i=1}^{N^2}{\lambda }_i}\ge \eta ---\left(3\right)$

这k个特征向量就代表了用户交易行为的主特征。

步骤4、通过用户交易行为主特征构建审计规则库。任何虚拟资产交易日 志转化的时序数据矩阵都可以用向量积

$\left(\begin{array}{cc}{x}_i=v_i·{\hat{C}}^T& 1\le i\le k---\left(4\right)\end{array}\right)$

计算它在k个特征向量构成的主特征空间中的坐标表示，记为X＝(x₁,…,x_k)， 其中N×N的C改写成1×N²的,通过上式计算，任何高维的时序数据矩阵都 可以转化为主特征空间的坐标表示，达到了降维的目的；

$\underset{i=1}{\overset{k}{\Sigma }}{x}_i{V}_i=\underset{i=1}{\overset{k}{\Sigma }}(A_i+B_i)=\underset{i=1}{\overset{k}{\Sigma }}{A}_i+\underset{i=1}{\overset{k}{\Sigma }}{B}_i---\left(5\right)$

其中A_i中的元素由x_iV_i中元素大于阈值α的值构成，其余的构成B_i；正因子模块A_i反映了在正常交易过程中用户最有可能的产生操作序列，而Bi则反映了最不可 能出现的操作序列；通过式(4)、(5)计算中每个矩阵在主特征空间中的坐标 表示并构成正因子模块组和负因子模块组这样 就构成了虚拟资产交易日志审计规则库；

步骤5、虚拟资产交易操作和交易属性关联审计:对于任一待检测的用户虚 拟资产交易时序数据s，首先根据用户使用的eID在交易属性信息库Φ中查询s 相关操作的属性发生概率是否都达到预先设定的阈值ζ，若达到则按步骤2构建 矩阵M，否则就在矩阵M中未达到阈值ζ的属性关联操作所在的行或列加上惩罚 因子θ，θ值由实际应用确定；然后减去均值矩阵C_mean得到M′，并根据式(4)， 式(5)计算该时序数据的正负因子模块A_i‘和B_i’；最后对于和中的每一组模 块，根据下列等式计算用户此段虚拟资产交易日志正常与否的判断值,

对于审计判定值ε，有如下审计规则：

若且则审计为正常；

若且则审计为异常；

若且

i.若则审计为正常；

ii.否则审计为异常；

若且

i.若则审计为异常

ii.否则审计为正常；

步骤6、算法修正，若本技术判断正确且审计结果为正常，则将用户相应 交易操作属性信息加入属性信息库Φ，并根据用户eID进行概率统计；若本技 术判断错误且审计结果为正常，则将用户时序数据的生成的负因子模块加入负 因子模块组；若本技术判断错误且审计结果为异常，则将用户时序数据的生成 的正因子模块加入负因子模块组。

本发明本技术在建立数据模型时就充分考虑了数据相关属性的问题，并且 能适应用户交易属性多变性和交易行为不确定性的特点。本技术构建的规则库 可以根据审计结果对其进行动态修正。在虚拟资产交易日志测试阶段，本技术 使用的检测方法不仅简单而且能获取较高的精度，社会效益和经济效益显著。

附图说明

图1为本发明方法流程示意图

图2为本发明网络结构示意图

具体实施方式

下面通过具体实施方式来进一步说明本发明的技术方案：

由于本技术是基于eID的应用实现的，因此虚拟资产的交易需要与eID绑 定进行。基于eID的虚拟资产交易平台对用户产生的交易日志记录的更加详细， 对于整个交易流程进行了细致划分，共分为多种不同的交易操作，如电子商务 交易操作日志可以转化为下列时序数据：

对应上述的每一个交易操作，都会有相应的交易属性信息，如登录有IP、 结算有金额、付款有账号等，这需要根据该技术的具体应用进行考虑。

在技术的实施过程中，网民在互联网上的一切活动都是与eID进行绑定的。 以电子商务为例，用户在整个交易过程中都需要eID的统一认证。这样用户的 每一个交易相关的操作和每一次eID认证过程都会被记录在虚拟资产数据库服 务器中，而为了提高虚拟资产交易的事务处理能力，这些服务器是基于分布式 的。本技术主要就是针对这些分布式的虚拟资产数据库进行离线审计，发现其 中的异常数据。

本技术的核心思想就是对虚拟资产的交易操作日志进行建模并构造审计规 则库，然后结合eID技术利用交易属性对用户交易日志实现关联审计分析，最 终获取理想的虚拟资产交易审计准确率。其具体实施步骤如下：

步骤1)给定某类虚拟资产的正常交易日志记录，称之为训练集。对于该 训练集，根据eID的唯一性，对其进行预处理：合并相同eID用户的交易日志， 将交易操作转化为时序数据；统计每个eID用户的交易属性信息，形成用户交 易属性信息库Φ。

如表1就是电子商务交易虚拟资产数据库中一段日志记录统计的属性信息 库实例Φ

表1属性信息库一个简单实例

步骤2)为用户的交易操作日志建立数学模型。将每名eID用户的交易操 作时序数据进行分割，分割长度为l。l一般由本技术的具体应用而定，因为要 完成不同类型虚拟资产的交易操作数是不定的，这与使用该应用的用户交易习 惯相关。此外，用户交易过程中会产生很多相关操作，日志记录中互不相同操 作的个数为N，这样可以为每个l长的交易操作序列创建N×N大小的矩阵C_l。 该矩阵的横纵坐标都是不同类型的操作，而矩阵元素就是对应的操作对(时间 上，横坐标对应的操作在前，纵坐标对应的操作在后)在窗口尺寸h内出现的 频数，即h个连续操作中某操作对出现的次数。矩阵C_l的每个元素代表了操作 对之间的关联度，数值越大说明该操作对的关联越紧密，即用户交易进行前一 个操作后在h步内进行后一个操作的可能性很大。

该步骤中的参数可以根据不同的虚拟资产交易平台进行选择，不同的平台 对交易操作的划分粒度不一致，即N不相等，可以取每个交易平台划分的并集 或交集。这取决于本技术应用的具体环境，若为交集，则减轻系统资源负担， 但审计精度降低；若为并集，则增加系统负担，但审计精度得到提高。但是， 一般情况下，用户能在大约10个操作之内完成某次虚拟资产交易，因此分割长 度为l＝10。窗口尺寸h一般是分割长度l整数倍，因为只有这样才能挖掘用户 虚拟资产交易之间的属性信息。

步骤3)利用谱理论抽取用户交易操作行为主特征。由训练集转化得到的 矩阵集为大小都是N×N的，通过等式(1)计算均值矩阵 C_mean，n是训练集中时序数据段的总数。

$C_{\mathrm{mean}}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{C}_i---\left(1\right)$

矩阵集中的每个矩阵减去均值矩阵C_mean得到新的矩阵集。对于中的 N×N矩阵C_i’，可以改写为1×N²的向量，即

$\widehat{C_i}=[{C_i}^{,}\left(\mathrm{1,1}\right),{C_i}^{,}\left(\mathrm{1,2}\right),...,{C_i}^{,}\left(\mathrm{2,1}\right),...,{C_i}^{,}(N,N)],$1≤i≤n。构造协方差矩阵E， 大小是N²×N²，矩阵E元素的含义就是操作对与操作对之前关联度。

$E=\underset{i=1}{\overset{n}{\Sigma }}{{\hat{C}}_i}^T\widehat{C_i}---\left(2\right)$

根据PCA方法计算矩阵E的特征值为λ_i和相应的特征向量v_i(1≤i≤ N²，λ₁≥…≥)。根据谱理论和矩阵E的性质可知，v₁,v₂,…,构成N²×N²维空间的一组正交基。从N²个特征向量中选择前k个，使得这k个特征的主成分 贡献率达到预定阈值η，即

$\frac{{\Sigma }_{i=1}^k{\lambda }_i}{{\Sigma }_{i=1}^{N^2}{\lambda }_i}\ge \eta ---\left(3\right)$

η值的选取关系到本技术的时间复杂性和审计的准确率，通常取值为0.9不 仅可以获取用户虚拟资产交易的主要特征，还能保证较高的审计精度。

协方差矩阵E抽取出的特征向量v₁,v₂,…,v_k和矩阵C_i的性质一样，都来自于 同一个向量空间，表示各操作对之间的关联程度。1×N²的向量v_i能够写为 N×N大小的矩阵V_i(1≤i≤k)，不必使用所有的特征向量，就可以将任何用户 交易日志时序数据矩阵由N²个特征向量中的k个表示出来，因此这k个特征向量 就代表了用户交易行为的主特征。

步骤4)通过用户交易行为主特征构建审计规则库。任何虚拟资产交易日 志转化的时序数据矩阵都可以用向量积

$\left(\begin{array}{cc}{x}_i=v_i·{\hat{C}}^T& 1\le i\le k---\left(4\right)\end{array}\right)$

计算它在k个特征向量构成的主特征空间中的坐标表示，记为X＝ (x₁,…,x_k)，其中N×N的C改写成1×N²的。通过上式计算，任何高维的时 序数据矩阵都可以转化为主特征空间的坐标表示，达到了降维的目的。

$\underset{i=1}{\overset{k}{\Sigma }}{x}_i{V}_i=\underset{i=1}{\overset{k}{\Sigma }}(A_i+B_i)=\underset{i=1}{\overset{k}{\Sigma }}{A}_i+\underset{i=1}{\overset{k}{\Sigma }}{B}_i---\left(5\right)$

上式可以计算时序数据矩阵的正因子模块S_i和负因子模块B_i，其中A_i中的 元素由x_iV_i中元素大于阈值α的值构成，其余的构成B_i。正因子模块A_i反映了在 正常交易过程中用户最有可能的产生操作序列，而B_i则反映了最不可能出现的 操作序列。通过式(4)、(5)计算中每个矩阵在主特征空间中的坐标表示并 构成正因子模块组和负因子模块组这样就 构成了虚拟资产交易日志审计规则库。

通过一系列计算，最终得到eID用户的虚拟资易模型和，这些模型存储 在特定的审计数据库服务器上，以便之后对eID用户的交易日志记录进行审计 时使用。

步骤5)虚拟资产交易操作和交易属性关联审计。对于任一待检测的用户 虚拟资产交易时序数据s，首先根据用户使用的eID在交易属性信息库Φ中查询 s相关操作的属性发生概率是否都达到预先设定的阈值ζ(如属性信息的直方分 布统计)，若达到则按步骤2)构建矩阵M，否则就在矩阵M中未达到阈值ζ的属 性关联操作所在的行或列加上惩罚因子θ，θ值由实际应用确定；然后减去均值 矩阵C_mean得到M′，并根据式(4)，式(5)计算该时序数据的正负因子模块A_i‘和B_i’； 最后对于和中的每一组模块，根据下列等式计算用户此段虚拟资产交易日志 正常与否的判断值。

ζ的值一般取0.8，而此时θ的值比较复杂，若eID用户的此次交易的某项属 性值落入的区间概率大于ζ，则θ为0；若eID用户的此次交易的某项属性值落入 的区间概率小于ζ，则θ为该区间概率与ζ的差值。如表1中的用户1，无论他的 某次交易金额是多少，该θ值为ζ-0.5、ζ-0.45或ζ-0.05；而对用户2而言，若他 的交易金额小于1000元，那么该θ值为0，若是其它值，则θ值的算法与用户1 的情形相同。

对于审计判定值ε，有如下审计规则：

若且则审计为正常；

若且则审计为异常；

若且

若则审计为正常；

否则审计为异常；

若且

若则审计为异常

否则审计为正常。

本技术从计算复杂性和审计准确率等多方面考虑，ε的值为0.8。表2是一 个审计实例。

表2简单审计实例

步骤6)算法修正。若本技术判断正确且审计结果为正常，则将用户相应 交易操作属性信息加入属性信息库Φ，并根据用户eID进行概率统计；若本技 术判断错误且审计结果为正常，则将用户时序数据的生成的负因子模块加入负 因子模块组；若本技术判断错误且审计结果为异常，则将用户时序数据的生成 的正因子模块加入负因子模块组。

综上所述，本发明技术方案在建立数据模型时就充分考虑了数据相关属性 的问题，并且能适应用户交易属性多变性和交易行为不确定性的特点。本技术 构建的规则库可以根据审计结果对其进行动态修正。在虚拟资产交易日志测试 阶段，本技术的使用的检测方法不仅简单而且能获取较高的精度。

以上是对本发明进行了示例性的描述，显然本发明的实现并不受上述方式 的限制，只要采用了本发明技术方案进行的各种改进，或未经改进将本发明的 构思和技术方案直接应用于其它场合的，均在本发明的保护范围内。