可信網絡交易系統的理論創新與實踐推進
——《網絡交易風險控制理論》書評

王懷清

隨著電子商務的迅猛發展，網絡交易遭受惡意攻擊、網絡釣魚以及交易欺詐等愈加嚴重。網絡交易平臺的關鍵技術、監管能力及手段明顯不足。蔣昌俊教授領銜的科研團隊對可信網絡交易系統的理論和實踐進行了多年深入的研究，取得了一系列可喜的研究成果，并收于《網絡交易風險控制理論》一書。該書對網絡交易系統的現狀進行了深入總結，對學術界和工業界常用的可信保障技術進行了全面介紹，并提出了具有“行為”特色的認證機制，以及一系列的基于模型的風險防控方法。該書內容豐富、資料翔實、邏輯嚴密，是基于信息學科研究網絡交易風險防控的一本好書。

近年來，隨著網絡技術的發展，以及“互聯網+”相關政策的支持，網絡交易作為新的商業模式發展異常迅速。據中國互聯網絡信息中心統計，截至2017年12月，我國網民規模達7.72億，其中，網絡購物用戶達5.53億，相較2016年增長了14.3%，占網民總體的69.1%；使用網上支付的用戶規模也達5.31億。網絡交易的持續高速發展也帶了諸多的安全問題，比如惡意攻擊、木馬劫持等對網絡交易造成了巨大的傷害，其中，2017年遇到網絡釣魚以及各類交易欺詐的用戶占比較2016年有所升高，快遞服務和電商網站相關維權搜索量占比最大。據360獵網平臺分析，金融理財詐騙是舉報數量最多的類型，虛假購物緊隨其后。針對上述問題，蔣昌俊教授及其團隊經過多年的研究，在相關項目的支持下，取得了有價值的成果，并匯總成《網絡交易風險控制理論》一書，該書研究內容系統全面，研究特色凸顯，是目前筆者讀到的基于信息學科研究網絡交易風險控制的第一本專著。

《網絡交易風險控制理論》研究內容系統全面，由蔣昌俊教授和于汪洋博士合著，于2018年3月出版，該書從信息技術角度，介紹了網絡交易風險防控的理論和相關技術，首次將行為認證引入網絡交易的可信保障，開展了行為認證技術在網絡交易系統中的應用研究，形成了網絡交易支付系統風險防控關鍵技術的整套理論與方法，并研制了大規模網絡交易風險防控系統平臺。

全書共分為8章。第1章介紹了目前國內外網絡交易的現狀，對學術界、業界常用的可信保障技術進行了全面的總結，并提出了相關問題，指出傳統的安全技術和身份認證方法已不足以應對開放網絡環境下新的風險挑戰，研究基于行為的認證理論有望取得創新性的成果。第2章則介紹了該書中用到的領域內基本知識，為后面章節的展開進行鋪墊，其中，形式化模型是重要的一環，因為要對并發的網絡交易系統行為進行準確地刻畫，Petri網、自動機等形式化模型必不可少。對于網絡交易這一并發軟件系統，其行為是依托于業務流程的，所以對于網絡交易流程的刻畫至關重要，因而該書第3章著重介紹了業務系統的相關知識，并突出了作者團隊提出的基于Petri網的兩種形式化模型，這些成果均已發表于國內外知名期刊，具有一定的影響力。第4章、第5章則開始涉及基于行為的認證理論，針對軟件系統的行為認證和用戶的行為認證，作者提出了大量創新性的理論和方法，融合了服務器端和客戶端的可信認證，同時也涉及測試技術、系統評估和身份認證等現有的風險防控技術。基于上述理論，作者研究團隊開發了大規模網絡交易風險防控系統平臺，監控技術是核心。第6章介紹了監控平臺的框架、核心技術和異常處理機制等。

隨著國內互聯網金融經濟的發展，互聯網征信受到越來越多的重視。征信也是風險防控的重要一環，對用戶信用的掌握可以有效減少網絡交易的風險。因此，第7章主要介紹了征信系統的基本原理和架構。最后，作者用了3個案例研究來結束該書。總的來說，該書內容豐富，覆蓋全面，結構清晰，邏輯通順，將網絡交易風險控制的現狀、理論、方法進行了科學的整理和闡述。

該書研究特色凸顯，一大特色是提出了網絡交易風險防控的行為認證技術，建立了交易系統行為和用戶行為的規范與模式，通過采集和分析用戶在系統中的行為足跡，建立了基于模型的行為認證機制，有效提高了網絡交易風險防控的實時性，降低了誤判率，克服了交易欺詐的高辨識和強實時的難題。其中，行為認證的核心技術在于形式化模型的構建。在當前人工智能和大數據的背景下，使用形式化方法進行建模和分析必不可少，基于嚴格的數學定義和分析可以最大程度地發現問題并解決問題，不僅能發現已知的缺陷，還能發現未知的缺陷，為風險防控的高效實施提供模型基礎。蔣昌俊教授及其團隊在形式化領域耕耘多年，有著深厚的理論積淀，尤其在Petri網的理論和應用方面，成就斐然，培養了一大批杰出人才。將適于刻畫并發系統的Petri網應用于網絡交易系統的風險防控，水到渠成。同時，該書也不拘泥于Petri網這一種形式化模型，根據不同的應用場景，行為認證技術也涉及了自動機、馬爾科夫模型等廣泛使用的理論和方法，為網絡交易的風險防控奠定了堅實的理論基礎。

除了理論上的創新，該書的研究還進行了工業實踐方面的探索，并卓有成效。據我所知，蔣昌俊教授領銜的團隊在進行上述理論研究的過程中，得到了國家自然科學基金委和科技部多個項目的支持，并與國內領先的網絡交易平臺(支付寶、快錢、中國工商銀行等單位)建立了良好的合作關系。對于支付寶等網絡交易企業來說，在進行海量交易的同時，如何高效準確地對每筆交易進行風險判別，是亟待解決的問題，而傳統的以數字證書為核心的安全技術已不足以應對。該書的研究恰好契合了業界的需要，作者所在團隊的科研人員與支付寶等知名企業進行了長期的合作研究，部分人員常駐支付寶，將理論研究的成果進行實踐應用，與企業共同對風控系統進行升級和優化，攻克了大規模、高并發、強實時交易的若干關鍵問題，并搭建了大規模分布式的網絡交易風險防控平臺。這是產學研結合的不錯嘗試，是在企業業務場景和技術基礎上，借力高校的理論創新優勢，向前邁進的一步，對交易風險的精準判定和瞬時識別具有重要的意義。

網絡交易已成為國民經濟的重要組成部分，其中的安全可信問題越發凸顯，如何在技術層面有效控制風險是一個關鍵的科學問題。該著作的研究緊緊契合這一科學問題，將網絡交易風險控制的現狀、理論、方法進行了科學的整理和闡述，既有現有的成熟技術，又有獨創的理論方法，對互聯網金融風險控制具有很強的啟發、借鑒和指導作用，同時對信息技術領域的相關研究人員、學者也具有參考價值，對計算機軟件理論與軟件安全專業的學生也不失為一本開拓視野的參考書。

筆者非常愿意將此書推薦給對網絡交易風險防控感興趣的學者及工業界。同時，感謝作者在這一領域所進行的研究，期盼作者能夠出更多的優秀成果。