連遠(yuǎn)博，盛蒙蒙，袁瑩，周勝利

（浙江警察學(xué)院計(jì)算機(jī)與信息安全系，杭州 310000）

0 引言

由于互聯(lián)網(wǎng)金融業(yè)的快速發(fā)展，涉網(wǎng)新型犯罪正逐漸取代傳統(tǒng)的犯罪模式成為當(dāng)前犯罪的主要形式，嚴(yán)重危害了廣大人民的生命財(cái)產(chǎn)安全。當(dāng)前盡管國(guó)家有關(guān)部門從互聯(lián)網(wǎng)空間治理的角度，采用嚴(yán)防、嚴(yán)打的方式，對(duì)涉網(wǎng)新型犯罪的遏制初有成效，但缺少?gòu)牧髁慷丝趯?duì)詐騙網(wǎng)站進(jìn)行動(dòng)態(tài)的檢測(cè)和預(yù)防，對(duì)電信網(wǎng)絡(luò)詐騙犯罪的打擊與防范態(tài)勢(shì)依然嚴(yán)峻。開展基于網(wǎng)絡(luò)行為分析的詐騙網(wǎng)站識(shí)別模型研究，能夠從涉網(wǎng)新型犯罪的源頭出發(fā)，打擊詐騙活動(dòng)，預(yù)測(cè)用戶的被害性風(fēng)險(xiǎn)，從而更好地進(jìn)行預(yù)防詐騙等犯罪活動(dòng)，更好地保護(hù)廣大人民群眾的生命財(cái)產(chǎn)安全。

1 相關(guān)研究

國(guó)內(nèi)外對(duì)電信網(wǎng)絡(luò)詐騙犯罪識(shí)別、防控、預(yù)測(cè)等已有較多研究。

1.1 用戶網(wǎng)絡(luò)行為分析

在對(duì)用戶網(wǎng)絡(luò)行為的分析研究上，傳統(tǒng)的網(wǎng)絡(luò)行為分析方法主要有基于協(xié)同過濾的方法［1－2］、基于矩陣分解的方法［3-4］、基于知識(shí)圖譜［5］等方法。這些方法大多將單獨(dú)的網(wǎng)絡(luò)行為作為訓(xùn)練的目標(biāo)，較為可靠理想，但此類模型缺少考慮連續(xù)行為間內(nèi)在的關(guān)聯(lián)性、結(jié)構(gòu)性信息，難以反映一段時(shí)間內(nèi)用戶的連續(xù)性、動(dòng)態(tài)性的行為變化，存在局限。近年來隨著機(jī)器學(xué)習(xí)尤其是深度學(xué)習(xí)技術(shù)的快速發(fā)展，針對(duì)連續(xù)時(shí)間段內(nèi)的網(wǎng)絡(luò)行為序列建模問題，較多研究人員建立了基于神經(jīng)網(wǎng)絡(luò)的模型來求解。Cheng等［6］提出Wide&Deep模型，將線性模型和深度神經(jīng)網(wǎng)絡(luò)（deep neural network，DNN）結(jié)合起來，兼顧了模型的泛化能力和記憶性，具有可解釋性強(qiáng)、泛化能力強(qiáng)、記憶能力優(yōu)秀的特點(diǎn)。

Wang等［7］提出基于會(huì)話的全局上下文增強(qiáng)的圖神經(jīng)網(wǎng)絡(luò)推薦模型，在全局層面更好地表征網(wǎng)絡(luò)行為的特征，并將圖論結(jié)合進(jìn)去。此類方法大大提高了模型的準(zhǔn)確性和可靠性，能夠提取到深層次的網(wǎng)絡(luò)行為特征，對(duì)后續(xù)的發(fā)展具有重要的借鑒意義。

綜上所述，針對(duì)傳統(tǒng)詐騙網(wǎng)站黑白名單檢測(cè)方法難以時(shí)間滯后性大、檢測(cè)精確度不足等問題，本文擬提取用戶網(wǎng)絡(luò)數(shù)據(jù)流中的顯性數(shù)據(jù)特征以及隱性用戶網(wǎng)絡(luò)行為特征，并在BP神經(jīng)網(wǎng)絡(luò)模型的基礎(chǔ)上，通過結(jié)合遺傳算法優(yōu)化參數(shù)，建立基于改進(jìn)BP神經(jīng)網(wǎng)絡(luò)的詐騙網(wǎng)站識(shí)別模型，最終實(shí)現(xiàn)對(duì)詐騙網(wǎng)站的動(dòng)態(tài)識(shí)別分析。

2 模型設(shè)計(jì)

2.1 總體架構(gòu)

本文建立基于遺傳算法改進(jìn)的BP神經(jīng)網(wǎng)絡(luò)模型，結(jié)構(gòu)如圖1所示。收集用戶上網(wǎng)時(shí)產(chǎn)生的流量數(shù)據(jù)作為數(shù)據(jù)樣本，通過編程手段提取流量包中的顯性流量特征編碼以及隱性網(wǎng)絡(luò)行為編碼作為數(shù)據(jù)集。使用訓(xùn)練數(shù)據(jù)集訓(xùn)練BP神經(jīng)網(wǎng)絡(luò)并使用遺傳算法優(yōu)化神經(jīng)網(wǎng)絡(luò)的相關(guān)參數(shù)，最終得到最優(yōu)模型，并投入測(cè)試數(shù)據(jù)集評(píng)估模型整體性能。

圖1 總體結(jié)構(gòu)圖

本文基本思路框架如下：

（1）以抓取的流量數(shù)據(jù)包作為樣本數(shù)據(jù)，并從中提取出顯性流量特征編碼集以及隱性網(wǎng)絡(luò)行為編碼集，將兩者以及網(wǎng)站的詐騙屬性人工標(biāo)定結(jié)果匯總，作為訓(xùn)練數(shù)據(jù)集和測(cè)試數(shù)據(jù)集。

（2）建立BP神經(jīng)網(wǎng)絡(luò)模型，投入訓(xùn)練數(shù)據(jù)集進(jìn)行訓(xùn)練的同時(shí)，結(jié)合遺傳算法迭代優(yōu)化參模型參數(shù)。

（3）輸入測(cè)試數(shù)據(jù)集，測(cè)試模型。

2.2 訓(xùn)練測(cè)試數(shù)據(jù)集獲取與構(gòu)建

（1）流量數(shù)據(jù)獲取。采用Wireshark軟件動(dòng)態(tài)抓取用戶在訪問目標(biāo)網(wǎng)站時(shí)產(chǎn)生的各種HTTP數(shù)據(jù)包，并保存為pcapng文件。

（2）用戶網(wǎng)絡(luò)行為分類。對(duì)采集到的pcapng流量數(shù)據(jù)，分類出數(shù)據(jù)包中用戶存在過的網(wǎng)絡(luò)行為。網(wǎng)絡(luò)行為分類主要有：登錄、注冊(cè)、借款、充值、投資等。

（3）數(shù)據(jù)初始特征挖掘。顯性流量特征編碼參數(shù)如表1所示。

表1 顯性流量特征編碼參數(shù)總表

對(duì)獲取的流量數(shù)據(jù)，采用Python的pyshark模塊進(jìn)行解析，提取表1中的初始特征，作為顯性流量特征編碼集。

（4）網(wǎng)絡(luò)行為特征挖掘。隱性網(wǎng)絡(luò)行為編碼參數(shù)表如表2所示。

表2 隱性網(wǎng)絡(luò)行為編碼參數(shù)總表

設(shè)計(jì)網(wǎng)絡(luò)行為字典，通過對(duì)比字典，標(biāo)注流量數(shù)據(jù)中存在的隱性網(wǎng)絡(luò)行為，最終形成隱性網(wǎng)絡(luò)行為編碼集。

（5）數(shù)據(jù)集構(gòu)建。將顯性流量特征編碼集與隱性網(wǎng)絡(luò)行為編碼集混合，并標(biāo)注相關(guān)網(wǎng)站的詐騙屬性，作為樣本數(shù)據(jù)集。并以總樣本數(shù)的0.7作為訓(xùn)練部分?jǐn)?shù)據(jù)來訓(xùn)練模型、優(yōu)化參數(shù)；并以總樣本數(shù)的0.3作為測(cè)試部分?jǐn)?shù)據(jù)。

2.3 BP神經(jīng)網(wǎng)絡(luò)模型和遺傳算法

BP神經(jīng)網(wǎng)絡(luò)（back propagation neural network，反向傳播神經(jīng)網(wǎng)絡(luò)）是一種經(jīng)典、高效、精度較為理想的神經(jīng)網(wǎng)絡(luò)模型，其模型構(gòu)造主要由輸入層、隱藏層、輸出層三層組合而成。圖2為該模型的拓?fù)浣Y(jié)構(gòu)：

圖2 BP神經(jīng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

BP神經(jīng)網(wǎng)絡(luò)主要有存在前向傳播和誤差反向傳播等過程組成，其焦點(diǎn)是利用梯度搜索技術(shù)，優(yōu)化網(wǎng)絡(luò)中各層級(jí)的權(quán)重參數(shù)，使得實(shí)際輸出值與預(yù)期輸出值之間的偏差最小化。設(shè)定義實(shí)際上的輸出層的值與預(yù)期中輸出層的值之間的誤差值為字母E，則E的公式如公式（1）所示。

其中f（x）為傳遞函數(shù)Sigmod。圖3為該函數(shù)的曲線圖。w jk、v ij為各層的權(quán)值。

圖3 傳遞函數(shù)Sigmod曲線圖

觀察誤差E的公式易知，如果想調(diào)整并盡可能的縮小誤差E，則需要調(diào)整輸入層、隱藏層、輸出層各層的權(quán)值，相關(guān)公式如公式（2）、（3）所示。

在模型一開始時(shí)設(shè)置初始權(quán)值，并將權(quán)值輸入遺傳算法當(dāng)中，初始化遺傳算法。建立BP神經(jīng)網(wǎng)絡(luò)，用訓(xùn)練數(shù)據(jù)集訓(xùn)練模型，并計(jì)算誤差值E，調(diào)整權(quán)值，更新當(dāng)前最優(yōu)解。當(dāng)?shù)Ｖ怪?，從中將最?yōu)權(quán)值參數(shù)輸出，獲得整體最佳模型，并投入測(cè)試數(shù)據(jù)集評(píng)估模型。

遺傳算法結(jié)構(gòu)如圖4所示。

圖4 遺傳算法結(jié)構(gòu)圖

3 實(shí)驗(yàn)與分析

3.1 實(shí)驗(yàn)訓(xùn)練集與測(cè)試集

本實(shí)驗(yàn)使用搜集到的用戶網(wǎng)絡(luò)數(shù)據(jù)流作為樣本數(shù)據(jù)，并從中進(jìn)行顯性流量特征編碼，分析并提取隱性網(wǎng)絡(luò)行為編碼，將兩個(gè)編碼集以及手動(dòng)標(biāo)注的網(wǎng)站詐騙屬性編碼集合并，作為總的數(shù)據(jù)集?？傆?jì)8676條數(shù)據(jù)。訓(xùn)練數(shù)據(jù)集有6073條數(shù)據(jù)，其中網(wǎng)站的詐騙屬性為“TRUE”的有3036條，網(wǎng)站的詐騙屬性為“FALSE”的有3037條；測(cè)試數(shù)據(jù)集有2603條數(shù)據(jù)，其中網(wǎng)站的詐騙屬性為“TRUE”的有1301條，網(wǎng)站的詐騙屬性為“FALSE”的有1302條。表3為本次實(shí)驗(yàn)的具體數(shù)據(jù)情況。

表3 實(shí)驗(yàn)數(shù)據(jù)情況總表

3.2 實(shí)驗(yàn)環(huán)境

數(shù)據(jù)庫(kù)類型與版本：MySQL 5.7.26。

系統(tǒng)環(huán)境：8 GB內(nèi)存，處理器8個(gè)。

操作系統(tǒng)版本：Kali Linux 2021.1。

編程語(yǔ)言環(huán)境：Python 3.7.9，g++。

3.3 評(píng)價(jià)體系

3.3.1 精確率與召回率

公式（4）為精確率P（Precision）的計(jì)算公式。其中TP含義是將正類預(yù)測(cè)為正類的情況，TP含義是將負(fù)類預(yù)測(cè)為正類的情況，F(xiàn)N含義是將正類預(yù)測(cè)為負(fù)類的情況。

召回率R（Recall）計(jì)算公式如公式（5）所示。

3.3.2 ROC曲線

ROC曲線是指以虛報(bào)概率P1=y/N為橫坐標(biāo)，以擊中概率P2=y/SN為縱坐標(biāo)，繪制而成的曲線圖。若繪制得到的曲線離對(duì)角線越近，則說明該模型的識(shí)別分類能力比較差，反之，若繪制得到的曲線里對(duì)角線比較遠(yuǎn)，則說明該模型的識(shí)別分類能力比較優(yōu)。

3.4 實(shí)驗(yàn)步驟

（1）通過抓包手段獲取用戶流量數(shù)據(jù)包，作為樣本數(shù)據(jù)，并將其保存在數(shù)據(jù)庫(kù)中。數(shù)據(jù)情況如圖5所示。

圖5 流量數(shù)據(jù)包

（2）編寫Python腳本，解析數(shù)據(jù)包文件，提取顯性流量特征編碼，如圖6所示。

圖6 顯性流量特征編碼圖

（3）設(shè)計(jì)用戶網(wǎng)絡(luò)行為字典，分析并提取隱性網(wǎng)絡(luò)行為編碼，并合并得到訓(xùn)練數(shù)據(jù)集和測(cè)試數(shù)據(jù)集。隱性網(wǎng)絡(luò)行為編碼情況如圖7所示。

圖7 隱性網(wǎng)絡(luò)行為編碼圖

（4）設(shè)置初始閾值，使用訓(xùn)練數(shù)據(jù)集訓(xùn)練BP神經(jīng)網(wǎng)絡(luò)。

（5）初始化遺傳算法，并開始迭代更新最優(yōu)參數(shù)。

（6）結(jié)束迭代，輸出最優(yōu)模型，并使用測(cè)試數(shù)據(jù)集測(cè)試模型。

3.5 實(shí)驗(yàn)結(jié)果分析

訓(xùn)練BP神經(jīng)網(wǎng)絡(luò)模型并采用遺傳算法對(duì)參數(shù)進(jìn)行不斷優(yōu)化，最終模型的整體精確度為0.954，召回率為0.963。圖8為擬合回歸的情況，圖中擬合優(yōu)度R=0.97848，說明回歸直線的擬合情況整體良好，符合預(yù)期。

圖8 擬合回歸圖

正態(tài)概率圖如圖9所示。圖中藍(lán)色點(diǎn)為樣本數(shù)據(jù)的分布情況。

圖9 正態(tài)概率圖

誤差變化如圖10所示。從圖中可知，訓(xùn)練測(cè)試過程中誤差總體可控，大部分情況下誤差變化不大。

圖10 誤差變化圖

誤差相關(guān)圖、頻數(shù)直方圖、樣本偏相關(guān)函數(shù)如圖11～圖13所示。

圖11 誤差相關(guān)圖

圖12 頻數(shù)直方圖

4 結(jié)語(yǔ)

本文針對(duì)傳統(tǒng)詐騙網(wǎng)站識(shí)別與預(yù)防技術(shù)存在的時(shí)間滯后性嚴(yán)重、精確度不足、模型開銷過大的問題，提出基于網(wǎng)絡(luò)行為的詐騙網(wǎng)站識(shí)別模型，從流量數(shù)據(jù)中分析并挖掘顯隱性網(wǎng)絡(luò)行為編碼，建立了遺傳算法優(yōu)化的BP神經(jīng)網(wǎng)絡(luò)模型，實(shí)現(xiàn)了識(shí)別、分析網(wǎng)站詐騙屬性的功能和目的。模型可以從動(dòng)態(tài)的流量數(shù)據(jù)中有效識(shí)別出詐騙網(wǎng)站。下一步的研究將聚焦于時(shí)序網(wǎng)絡(luò)行為的分析預(yù)測(cè)方向，實(shí)現(xiàn)對(duì)用戶詐騙被害性風(fēng)險(xiǎn)的動(dòng)態(tài)識(shí)別，并提高模型魯棒性，從電信網(wǎng)絡(luò)詐騙犯罪受害端進(jìn)行預(yù)防和發(fā)掘。