Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Програмна система моніторингу аномальної поведінки банкоматів при проведенні зловмисних транзакцій

Скачати 71.87 Kb.

Програмна система моніторингу аномальної поведінки банкоматів при проведенні зловмисних транзакцій




Скачати 71.87 Kb.
Дата конвертації25.03.2017
Розмір71.87 Kb.

УДК 681.3, 004.62

Рожак Ю.Р., Сало А.М.

Національний університет "Львівська політехніка"

кафедра електронних обчислювальних машин

Програмна система моніторингу аномальної поведінки банкоматів при проведенні зловмисних транзакцій


© Рожак Ю.Р., Сало А.М., 2016
Розглянуто проблему виявлення та виокремлення аномальної поведінки банкомату при проведенні шахрайських транзакцій. Проаналізовані алгоритми виявлення аномальної поведінки комп'ютерної системи. Запропоновано структурну схему системи, алгоритм її роботи та діаграму класів.

Ключові слова: аналіз даних, імовірнісна графічна модель.

Program system of the ATM anomaly behavior monitoring during malicious transactions


The problem of identifying and isolating anomalous behavior during the fraudulent ATM transactions. The analyzed algorithms to detect abnormal behavior of the computer system. A structural diagram of the algorithm of its work and the chart classes.
Keywords: data mining, probabilistic graphical model.
Структу́рна схе́ма - схема, яка визначає основні функціональні частини виробу, їх взаємозв'язки та призначення. Під функціональною частиною розуміють складову частину схеми: елемент, пристрій, функціональну групу, функціональну ланку.
Графі́чна моде́ль, або імові́рнісна графі́чна моде́ль (ІГМ, англ. probabilistic graphical model, PGM) - це ймовірнісна модель, для якої умовні залежності[en] між випадковими змінними виражено графом. Вони поширені в теорії ймовірностей, статистиці, - зокрема, баєсовій, - та в машинному навчанні.
Аналіз даних - розділ математики, що займається розробкою методів обробки даних незалежно від їх природи.
Отримання да́них (англ. Data Mining) - виявлення прихованих закономірностей або взаємозв'язків між змінними у великих масивах необроблених даних. Зазвичай поділяють на задачі класифікації, моделювання та прогнозування.

Вступ. Розвиток комп’ютерних технологій в наш час досягає свого апогею, що дозволяє використовувати їх в різноманітних галузях людської діяльності. Впровадження електронних рахунків для населення дало поштовх для виникнення різноманітних терміналів з обслуговування користувачів. Так, наприклад давно уже буденною справою стали банкомати та термінали поповнення мобільних рахунків.

Проте, виключення людського фактору дозволило також пришвидшити розвиток шахрайства, пов’язаного з такими операціями.

Людський фактор у загальному визначається як сукупність основних соціальних якостей людини, які історично склалися в суспільстві. До них відносяться ціннісні орієнтири, моральні принципи, норми поведінки, життєві плани, рівень знань та інформованості, характер трудових та соціальних навичок, установки та уявлення про особисто значимі елементи соціального життя - соціальну справедливість, про права і свободи людини, про громадянський обов'язок.
Існують різноманітні види дій, напрямлених на збагачення незаконним шляхом при використанні платіжних терміналів.
Платі́жний терміна́л (інша назва - POS-термінал) - електронний пристрій, призначений для ініціювання переказу з рахунка, у тому числі видачі готівки, отримання довідкової інформації і друкування документа за операцією із застосуванням спеціального платіжного засобу, наприклад, банківської платіжної картки;
Деякі з них напрямленні на отримання інформації для доступу до ресурсів інших користувачів, проте інші базуються на змінах в роботі самого терміналу, підробці транзакції, тощо. Саме останній може нанести великих втрат для фірми-власника терміналів. Тому, такі дії повинні якнайшвидше виявлятись задля запобігання злочинів.

Зручність, та розповсюдженість такого платіжного інструменту, як банкомат, робить їх особливо привабливим об'єктом для злочинних та шахрайських посягань. Фінансове шахрайство з використанням банкомату здійснюється різними способами і побудоване на несанкціонованому списанні коштів із рахунків клієнтів банку, несанкціонованому одержанні персональної інформації, та створення шахрайських методів обману терміналу. [1] ПС та банки приділяють велику увагу питанням безпеки, запобіганню ризику шахрайства, розробляють спеціальні заходи та операційні правила, механізми для уникнення та зменшення збитків від незаконних операцій з банкоматами, удосконалюють спеціалізоване програмне забезпечення для автоматизації методів боротьби з шахрайством та захисту баз даних (БД).

Програ́мне забезпе́чення (програ́мні за́соби) (ПЗ; англ. software) - сукупність програм системи обробки інформації і програмних документів, необхідних для експлуатації цих програм.
Проте проблема ризиків шахрайства залишається надзвичайно актуальною; збитки банків від шахрайства у світі продовжують становити мільйони доларів США. Для своєчасного запобігання та ефективного виявлення шахрайства ПС та банки-учасники використовують автоматизовані системи моніторингу транзакцій, які в загальному потоці транзакцій виявляють підозрілі на шахрайство, попереджають про них аналітиків і надають інформацію, необхідну для проведення розслідування та прийняття подальших рішень. Для підвищення точності виявлення підозрілих на шахрайство транзакцій в основу таких систем моніторингу необхідно покладати створені на основі різних принципів різнотипні математичні моделі й алгоритми, що дозволяє компенсувати недоліки одного методу перевагами іншого, забезпечуючи якість вирішення проблеми.
Автоматизо́вана систе́ма (АС) (англ. automated system) - сукупність керованого об'єкта й автоматичних керуючих пристроїв, у якій частину функцій керування виконує людина. АС являє собою організаційно-технічну систему, що забезпечує вироблення рішень на основі автоматизації інформаційних процесів у різних сферах діяльності (управління, проектування, виробництво тощо) або їх поєднаннях.
Математи́чна моде́ль - система математичних співвідношень, які описують досліджуваний процес або явище. Математична модель має важливе значення для таких наук, як: економіка, екологія, соціологія, фізика, хімія, механіка, інформатика, біологія та ін.
[2,3]


Стан проблеми. Коли говориться про процес виявлення аномалій при обробці даних, мається на увазі знаходження та ідентифікація елементів, що не відповідають очікуваним. Тобто при аналізі великої кількості даних, виробляються певні шаблони (патерни), до яких і прирівнюються всі наступні вхідні дані.

Існують три основні категорії методів виявлення аномалій. Методи виявлення аномалій без нагляду (неконтрольовані алгоритми) визначають аномалії на невизначеному наборі даних, виходячи з припущення, що більшість зразків з цього набору є нормальними, і шукаючи зразки, що найменше відповідають ознакам інших елементів в даному наборі даних. Використання методів контрольованого виявлення аномалій вимагає наявності набору даних, що вже позначено як нормальні або аномальні, та опирається на навчання класифікатора. Методи напів-контрольованого виявлення аномалій створюють модель, що представляє нормальну поведінку, виходячи із заданого нормального навчального набору даних, і потім перевіряють правдоподібність того, що тестовий екземпляр було породжено вивченою моделлю[4].

Одним з найпопулярніших і найпростіших методів є так званий метод найближчих сусідів, вважається одним з найпростіших по своїй суті методів виявлення аномалій. Він часто використовується в різних галузях поза комп’ютерними системами, зокрема в хімії. Цей метод оснований на припущенні про те, що клас одного об’єкту такий ж самий як і в більшості найближчих до нього. Тобто, алгоритм найближчих сусідів є методом для автоматичної класифікації об'єктів.

Використання штучних нейронних мереж також є доволі популярним для вирішення подібних задач.

Штучна нейронна мережа (ШНМ, англ. artificial neural network, ANN, рос. искусственная нейронная сеть, ИНС) - це математична модель, а також її програмна та апаратна реалізація, побудовані за принципом функціювання біологічних нейронних мереж - мереж нервових клітин живого організму.
Штучна нейронна мережа (англ. artificial neural network, ANN) — це математична модель, її програмна та апаратна реалізація, що побудовані за принципом функціювання мереж нервових клітин живого організму, звідки і отримало свою назву.
Нерво́ва ткани́на - тканина ектодермального походження і є системою спеціалізованих структур, що утворюють основу нервової системи і забезпечують умови для реалізації її функцій.
Це поняття виникло при вивченні процесів, які відбуваються в мозку, та при намаганні змоделювати ці процеси. Штучна нейронна мережа, за своєю суттю є системою простих елементів-обробників, що об’єднані та взаємодіють між собою. Кожен елемент подібної мережі має справу лише з сигналами, що надходять до нього, і сигналами, які він періодично надсилає іншим обробникам. Не зважаючи на те що ці обробники самі по собі надзвичайно прості, будучи з'єднаними в достатньо велику мережу з керованою взаємодією, вони разом здатні виконувати доволі складні завдання.

Метод кластерного аналізу.

Кластерний аналіз (англ. Data clustering) - задача розбиття заданої вибірки об'єктів (ситуацій) на підмножини, що називаються кластерами, так, щоб кожен кластер складався з схожих об'єктів, а об'єкти різних кластерів істотно відрізнялися.
Кластерний аналіз або кластеризація є завданням групування безлічі об'єктів таким чином, що об'єкти, які знаходяться в тій же самій групі (так званий кластер) більш схожі (за певними параметрами) один до одного, ніж в інших групах (кластерах). Це основне завдання пошукового інтелектуального аналізу даних, а також загальна методика аналізу статистичних даних, що використовуються в багатьох областях, в тому числі для машинного навчання, розпізнавання образів, аналізу зображень, пошуку інформації, біоінформатики, стиснення даних і комп'ютерної графіки.
Тео́рія розпізнава́ння о́бразів - розділ кібернетики, що розвиває теоретичні основи й методи класифікації і ідентифікації предметів, явищ, процесів, сигналів, ситуацій і т. п. об'єктів, які характеризуються кінцевим набором деяких властивостей і ознак.
Інформаці́йний по́шук (ІП) (англ. Information retrieval) - наука про пошук неструктурованої документальної інформації. Особливо це відноситься до пошуку інформації в документах, пошук самих документів, добуття метаданих з документів, пошуку тексту, зображень, відео та звуку у локальних реляційних базах даних, у гіпертекстових базах даних таких, як Інтернет та локальні інтранет.
Сти́снення да́них (англ. data compression) - це процедура перекодування даних, яка проводиться з метою зменшення їхнього обсягу, розміру, об'єму.
Машинне навчання (англ. machine learning) - це підгалузь інформатики (зокрема, м'яких[en] та гранульованих обчислень[en]), яка еволюціювала з дослідження розпізнавання образів та теорії обчислювального навчання[en] в галузі штучного інтелекту.

Постановка задачі. Запропонувати алгоритм для виокремлення транзакцій, при яких виявлено аномальну поведінку банкомату, з поміж загальної маси. Розробити програмну систему аналізу даних на основі запропонованого алгоритму. Розробити структурну схему та описати алгоритм роботи системи.
Розв’язання задачі. Для розв’язку поставленої задачі було вирішено взяти за основу Баєсову мережу довіри та розробити алгоритм. В силу того, що Баєсова мережа - це повна модель для змінних і їх відносин, вона може бути використана для отримання відповіді на ймовірнісні запитання.
Ба́єсова мере́жа, мере́жа Ба́єса, мере́жа перекона́нь, ба́єсова моде́ль або ймові́рнісна орієнто́вана ациклі́чна гра́фова моде́ль (англ. Bayesian network, Bayes network, belief network, Bayes(ian) model, probabilistic directed acyclic graphical model) - це ймовірнісна графічна модель (різновид статистичної моделі), яка представляє набір випадкових змінних та їхніх умовних залежностей[en] за допомогою орієнтованого ациклічного графу (ОАГ, англ. directed acyclic graph, DAG). Наприклад, баєсова мережа може може представляти ймовірнісні зв'язки між захворюваннями та симптомами. Таку мережу можна використовувати для обчислення ймовірностей наявності різних захворювань за наявних симптомів.
[5]

Програмна система дозволятиме проводити пошук транзакцій, для яких імовірність того, що транзакція є шахрайською, перевищуватиме певне порогове значення[6]. Порогове значення задається у відсотках.

Структура програмної моніторингу аномальної поведінки банкоматів при проведенні зловмисних транзакцій (рис. 1) містить наступні основні модулі: блок опрацювання стану апарату – здійснення моніторингу стану банкомату; управління роботою клієнта – отримання інформації про запити користувача пристрою та стан банкомату; блоки взаємодії клієнтської та серверної частин – відповідають за зв'язок пристрою з серверною частиною. блок перевірки інформації – відсіювання тарнзакцій, при яких виявлена аномальна поведінка банкомату, на основі реалізованого алгоритму; сховище даних – містить всю інформацію про проведену транзакцію та зміну стану банкомата при її виконанні, транзакції, при яких виявлено нетипову поведінку, зберігаються в окремій таблиці для зручності їх моніторингу.

Сховище даних (англ. data warehouse) - предметно орієнтований, інтегрований, незмінний набір даних, що підтримує хронологію і здатний бути комплексним джерелом достовірної інформації для оперативного аналізу та прийняття рішень.


Рис. 1. Структурна схема роботи програмної системи моніторингу аномальної поведінки банкоматів.

Програма (фр. programme письмове оголошення, порядок денний, від грец. prógramma вказівка) - заздалегідь затверджена (визначена) дія.


Алгоритм роботи програмної системи аналізу даних на основі алгоритму виявлення асоціацій (рис. 2) складається з наступних основних кроків: отримання даних з банкомату – отримання даних про дії користувача банкомату та його стан; обрахунок ймовірності того, що транзакція- зловмисна— використання ймовірнісних зв’язків елементів Баєсової мережі для обрахунку імовірності; порівняння отриманого результату з заданим при проектуванні системи пороговим значенням; Запис інформації в сховище – виділення з загальної маси інформація записується в сховище даних для подальшої обробки іншими системами.

Рис. 2. Алгоритм роботи програмної системи моніторингу аномальної поведінки банкомата при проведенні зловмисних транзакцій

Для створення програмної системи було вирішено обрати об’єктно-орієнтовану мову програмування Java. В якості сховища баз даних, яке призначене для зберігання даних про покупки товарів та послуг, запропоновано обрати систему керування базами даних MySQL.

Система керування, також Система управління (англ. control system) - систематизований набір засобів впливу на підконтрольний об'єкт для досягнення цим об'єктом певної мети. Об'єктом системи керування можуть бути як технічні об'єкти так і люди.
В результаті створення програмної системи аналізу даних на основі алгоритму виявлення асоціацій, отримаємо наступну діаграму класів (рис. 3). ). Основними класами програмної системи є: ATMCondition – клас, об’єкти якого представляють стан банкомату; Transaction – клас, обєкти якого представляють транзакції та зберігають усі дані про неї; Analizator – використовує алгоритм на основі Баєсової мережі для припущення того, що транзакція є зловмисною; BayesNetwork, BayesNode – класи, що описують Баєсову мережу та її елементи; DBConnector – допоміжний клас для запису інформації в сховище даних.

Рис. 3. Діаграма класів програмної системи моніторингу аномальної поведінки банкомата при проведенні зловмисних транзакцій



.
Діагра́ма кла́сів - статичне представлення структури моделі. Відображає статичні (декларативні) елементи, такі як: класи, типи даних, їх зміст та відношення. Діаграма класів, також, може містити позначення для пакетів та може містити позначення для вкладених пакетів.

Висновки. У даній роботі розроблено програмну систему моніторингу аномальної поведінки банкомата при проведенні зловмисних транзакцій з використанням Баєсової мережі довіри. Розроблено структурну схему та описано алгоритм роботи системи, наведено діаграму класів.

Література

  1. Шахрайство з банкоматом – [Електронний ресурс]. - Режим доступу: http://www.finosvita.com.ua/ua/fraud_crime/all_publications/SHahraystvo-z-bankomatom.htm

  2. Заславський В. А. Принцип різнотипності та особливості дослідження складних систем з високою ціною відмови // Вісник Київ.
    Складна́ систе́ма - система, поняття, що широко використовується в сучасній науковій літературі і вказує на специфічні особливості об'єктів дослідження практично в усіх розділах природничих та гуманітарних наук.
    ун-ту. Сер. Фіз.-мат. науки. - 2006. - № 1. - С. 136-147.

  3. Многоверсионные системы, технологии, проекты / В. С. Хар­ ченко, В. Я. Жихарев, В. М. Илюшко, Н. В. Нечипорук. Под ред. д-ра техн. наук, проф. В. С. Харченко. - Х.: Нац. аэро¬ косм. ун-т «Харьк. авиац. ин-т», 2003. - 486 с.

  4. Виявлення аномалій – [Електронний ресурс]. – Режим доступу: https://uk.wikipedia.org/wiki/Anomaly_detection

  5. Зельнер А. Байесовские методы в эконометрии. — М.: Статистика, 1980. — 438 с.

  6. Рекомендательные системы: теорема Байеса – [Електронний ресурс]. - Режим доступу: https://habrahabr.ru/company/surfingbird/blog/150207/


Скачати 71.87 Kb.

  • Program system of the ATM anomaly behavior monitoring during malicious transactions