王懷清

隨著電子商務(wù)的迅猛發(fā)展，網(wǎng)絡(luò)交易遭受惡意攻擊、網(wǎng)絡(luò)釣魚以及交易欺詐等愈加嚴重。網(wǎng)絡(luò)交易平臺的關(guān)鍵技術(shù)、監(jiān)管能力及手段明顯不足。蔣昌俊教授領(lǐng)銜的科研團隊對可信網(wǎng)絡(luò)交易系統(tǒng)的理論和實踐進行了多年深入的研究，取得了一系列可喜的研究成果，并收于《網(wǎng)絡(luò)交易風險控制理論》一書。該書對網(wǎng)絡(luò)交易系統(tǒng)的現(xiàn)狀進行了深入總結(jié)，對學術(shù)界和工業(yè)界常用的可信保障技術(shù)進行了全面介紹，并提出了具有“行為”特色的認證機制，以及一系列的基于模型的風險防控方法。該書內(nèi)容豐富、資料翔實、邏輯嚴密，是基于信息學科研究網(wǎng)絡(luò)交易風險防控的一本好書。

近年來，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，以及“互聯(lián)網(wǎng)+”相關(guān)政策的支持，網(wǎng)絡(luò)交易作為新的商業(yè)模式發(fā)展異常迅速。據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心統(tǒng)計，截至2017年12月，我國網(wǎng)民規(guī)模達7.72億，其中，網(wǎng)絡(luò)購物用戶達5.53億，相較2016年增長了14.3%，占網(wǎng)民總體的69.1%；使用網(wǎng)上支付的用戶規(guī)模也達5.31億。網(wǎng)絡(luò)交易的持續(xù)高速發(fā)展也帶了諸多的安全問題，比如惡意攻擊、木馬劫持等對網(wǎng)絡(luò)交易造成了巨大的傷害，其中，2017年遇到網(wǎng)絡(luò)釣魚以及各類交易欺詐的用戶占比較2016年有所升高，快遞服務(wù)和電商網(wǎng)站相關(guān)維權(quán)搜索量占比最大。據(jù)360獵網(wǎng)平臺分析，金融理財詐騙是舉報數(shù)量最多的類型，虛假購物緊隨其后。針對上述問題，蔣昌俊教授及其團隊經(jīng)過多年的研究，在相關(guān)項目的支持下，取得了有價值的成果，并匯總成《網(wǎng)絡(luò)交易風險控制理論》一書，該書研究內(nèi)容系統(tǒng)全面，研究特色凸顯，是目前筆者讀到的基于信息學科研究網(wǎng)絡(luò)交易風險控制的第一本專著。

《網(wǎng)絡(luò)交易風險控制理論》研究內(nèi)容系統(tǒng)全面，由蔣昌俊教授和于汪洋博士合著，于2018年3月出版，該書從信息技術(shù)角度，介紹了網(wǎng)絡(luò)交易風險防控的理論和相關(guān)技術(shù)，首次將行為認證引入網(wǎng)絡(luò)交易的可信保障，開展了行為認證技術(shù)在網(wǎng)絡(luò)交易系統(tǒng)中的應用研究，形成了網(wǎng)絡(luò)交易支付系統(tǒng)風險防控關(guān)鍵技術(shù)的整套理論與方法，并研制了大規(guī)模網(wǎng)絡(luò)交易風險防控系統(tǒng)平臺。

全書共分為8章。第1章介紹了目前國內(nèi)外網(wǎng)絡(luò)交易的現(xiàn)狀，對學術(shù)界、業(yè)界常用的可信保障技術(shù)進行了全面的總結(jié)，并提出了相關(guān)問題，指出傳統(tǒng)的安全技術(shù)和身份認證方法已不足以應對開放網(wǎng)絡(luò)環(huán)境下新的風險挑戰(zhàn)，研究基于行為的認證理論有望取得創(chuàng)新性的成果。第2章則介紹了該書中用到的領(lǐng)域內(nèi)基本知識，為后面章節(jié)的展開進行鋪墊，其中，形式化模型是重要的一環(huán)，因為要對并發(fā)的網(wǎng)絡(luò)交易系統(tǒng)行為進行準確地刻畫，Petri網(wǎng)、自動機等形式化模型必不可少。對于網(wǎng)絡(luò)交易這一并發(fā)軟件系統(tǒng)，其行為是依托于業(yè)務(wù)流程的，所以對于網(wǎng)絡(luò)交易流程的刻畫至關(guān)重要，因而該書第3章著重介紹了業(yè)務(wù)系統(tǒng)的相關(guān)知識，并突出了作者團隊提出的基于Petri網(wǎng)的兩種形式化模型，這些成果均已發(fā)表于國內(nèi)外知名期刊，具有一定的影響力。第4章、第5章則開始涉及基于行為的認證理論，針對軟件系統(tǒng)的行為認證和用戶的行為認證，作者提出了大量創(chuàng)新性的理論和方法，融合了服務(wù)器端和客戶端的可信認證，同時也涉及測試技術(shù)、系統(tǒng)評估和身份認證等現(xiàn)有的風險防控技術(shù)?；谏鲜隼碚?，作者研究團隊開發(fā)了大規(guī)模網(wǎng)絡(luò)交易風險防控系統(tǒng)平臺，監(jiān)控技術(shù)是核心。第6章介紹了監(jiān)控平臺的框架、核心技術(shù)和異常處理機制等。

隨著國內(nèi)互聯(lián)網(wǎng)金融經(jīng)濟的發(fā)展，互聯(lián)網(wǎng)征信受到越來越多的重視。征信也是風險防控的重要一環(huán)，對用戶信用的掌握可以有效減少網(wǎng)絡(luò)交易的風險。因此，第7章主要介紹了征信系統(tǒng)的基本原理和架構(gòu)。最后，作者用了3個案例研究來結(jié)束該書?？偟膩碚f，該書內(nèi)容豐富，覆蓋全面，結(jié)構(gòu)清晰，邏輯通順，將網(wǎng)絡(luò)交易風險控制的現(xiàn)狀、理論、方法進行了科學的整理和闡述。

該書研究特色凸顯，一大特色是提出了網(wǎng)絡(luò)交易風險防控的行為認證技術(shù)，建立了交易系統(tǒng)行為和用戶行為的規(guī)范與模式，通過采集和分析用戶在系統(tǒng)中的行為足跡，建立了基于模型的行為認證機制，有效提高了網(wǎng)絡(luò)交易風險防控的實時性，降低了誤判率，克服了交易欺詐的高辨識和強實時的難題。其中，行為認證的核心技術(shù)在于形式化模型的構(gòu)建。在當前人工智能和大數(shù)據(jù)的背景下，使用形式化方法進行建模和分析必不可少，基于嚴格的數(shù)學定義和分析可以最大程度地發(fā)現(xiàn)問題并解決問題，不僅能發(fā)現(xiàn)已知的缺陷，還能發(fā)現(xiàn)未知的缺陷，為風險防控的高效實施提供模型基礎(chǔ)。蔣昌俊教授及其團隊在形式化領(lǐng)域耕耘多年，有著深厚的理論積淀，尤其在Petri網(wǎng)的理論和應用方面，成就斐然，培養(yǎng)了一大批杰出人才。將適于刻畫并發(fā)系統(tǒng)的Petri網(wǎng)應用于網(wǎng)絡(luò)交易系統(tǒng)的風險防控，水到渠成。同時，該書也不拘泥于Petri網(wǎng)這一種形式化模型，根據(jù)不同的應用場景，行為認證技術(shù)也涉及了自動機、馬爾科夫模型等廣泛使用的理論和方法，為網(wǎng)絡(luò)交易的風險防控奠定了堅實的理論基礎(chǔ)。

除了理論上的創(chuàng)新，該書的研究還進行了工業(yè)實踐方面的探索，并卓有成效。據(jù)我所知，蔣昌俊教授領(lǐng)銜的團隊在進行上述理論研究的過程中，得到了國家自然科學基金委和科技部多個項目的支持，并與國內(nèi)領(lǐng)先的網(wǎng)絡(luò)交易平臺(支付寶、快錢、中國工商銀行等單位)建立了良好的合作關(guān)系。對于支付寶等網(wǎng)絡(luò)交易企業(yè)來說，在進行海量交易的同時，如何高效準確地對每筆交易進行風險判別，是亟待解決的問題，而傳統(tǒng)的以數(shù)字證書為核心的安全技術(shù)已不足以應對。該書的研究恰好契合了業(yè)界的需要，作者所在團隊的科研人員與支付寶等知名企業(yè)進行了長期的合作研究，部分人員常駐支付寶，將理論研究的成果進行實踐應用，與企業(yè)共同對風控系統(tǒng)進行升級和優(yōu)化，攻克了大規(guī)模、高并發(fā)、強實時交易的若干關(guān)鍵問題，并搭建了大規(guī)模分布式的網(wǎng)絡(luò)交易風險防控平臺。這是產(chǎn)學研結(jié)合的不錯嘗試，是在企業(yè)業(yè)務(wù)場景和技術(shù)基礎(chǔ)上，借力高校的理論創(chuàng)新優(yōu)勢，向前邁進的一步，對交易風險的精準判定和瞬時識別具有重要的意義。

網(wǎng)絡(luò)交易已成為國民經(jīng)濟的重要組成部分，其中的安全可信問題越發(fā)凸顯，如何在技術(shù)層面有效控制風險是一個關(guān)鍵的科學問題。該著作的研究緊緊契合這一科學問題，將網(wǎng)絡(luò)交易風險控制的現(xiàn)狀、理論、方法進行了科學的整理和闡述，既有現(xiàn)有的成熟技術(shù)，又有獨創(chuàng)的理論方法，對互聯(lián)網(wǎng)金融風險控制具有很強的啟發(fā)、借鑒和指導作用，同時對信息技術(shù)領(lǐng)域的相關(guān)研究人員、學者也具有參考價值，對計算機軟件理論與軟件安全專業(yè)的學生也不失為一本開拓視野的參考書。

筆者非常愿意將此書推薦給對網(wǎng)絡(luò)交易風險防控感興趣的學者及工業(yè)界。同時，感謝作者在這一領(lǐng)域所進行的研究，期盼作者能夠出更多的優(yōu)秀成果。