王怀清

随着电子商务的迅猛发展，网络交易遭受恶意攻击、网络钓鱼以及交易欺诈等愈加严重。网络交易平台的关键技术、监管能力及手段明显不足。蒋昌俊教授领衔的科研团队对可信网络交易系统的理论和实践进行了多年深入的研究，取得了一系列可喜的研究成果，并收于《网络交易风险控制理论》一书。该书对网络交易系统的现状进行了深入总结，对学术界和工业界常用的可信保障技术进行了全面介绍，并提出了具有“行为”特色的认证机制，以及一系列的基于模型的风险防控方法。该书内容丰富、资料翔实、逻辑严密，是基于信息学科研究网络交易风险防控的一本好书。

近年来，随着网络技术的发展，以及“互联网+”相关政策的支持，网络交易作为新的商业模式发展异常迅速。据中国互联网络信息中心统计，截至2017年12月，我国网民规模达7.72亿，其中，网络购物用户达5.53亿，相较2016年增长了14.3%，占网民总体的69.1%；使用网上支付的用户规模也达5.31亿。网络交易的持续高速发展也带了诸多的安全问题，比如恶意攻击、木马劫持等对网络交易造成了巨大的伤害，其中，2017年遇到网络钓鱼以及各类交易欺诈的用户占比较2016年有所升高，快递服务和电商网站相关维权搜索量占比最大。据360猎网平台分析，金融理财诈骗是举报数量最多的类型，虚假购物紧随其后。针对上述问题，蒋昌俊教授及其团队经过多年的研究，在相关项目的支持下，取得了有价值的成果，并汇总成《网络交易风险控制理论》一书，该书研究内容系统全面，研究特色凸显，是目前笔者读到的基于信息学科研究网络交易风险控制的第一本专著。

《网络交易风险控制理论》研究内容系统全面，由蒋昌俊教授和于汪洋博士合著，于2018年3月出版，该书从信息技术角度，介绍了网络交易风险防控的理论和相关技术，首次将行为认证引入网络交易的可信保障，开展了行为认证技术在网络交易系统中的应用研究，形成了网络交易支付系统风险防控关键技术的整套理论与方法，并研制了大规模网络交易风险防控系统平台。

全书共分为8章。第1章介绍了目前国内外网络交易的现状，对学术界、业界常用的可信保障技术进行了全面的总结，并提出了相关问题，指出传统的安全技术和身份认证方法已不足以应对开放网络环境下新的风险挑战，研究基于行为的认证理论有望取得创新性的成果。第2章则介绍了该书中用到的领域内基本知识，为后面章节的展开进行铺垫，其中，形式化模型是重要的一环，因为要对并发的网络交易系统行为进行准确地刻画，Petri网、自动机等形式化模型必不可少。对于网络交易这一并发软件系统，其行为是依托于业务流程的，所以对于网络交易流程的刻画至关重要，因而该书第3章着重介绍了业务系统的相关知识，并突出了作者团队提出的基于Petri网的两种形式化模型，这些成果均已发表于国内外知名期刊，具有一定的影响力。第4章、第5章则开始涉及基于行为的认证理论，针对软件系统的行为认证和用户的行为认证，作者提出了大量创新性的理论和方法，融合了服务器端和客户端的可信认证，同时也涉及测试技术、系统评估和身份认证等现有的风险防控技术。基于上述理论，作者研究团队开发了大规模网络交易风险防控系统平台，监控技术是核心。第6章介绍了监控平台的框架、核心技术和异常处理机制等。

随着国内互联网金融经济的发展，互联网征信受到越来越多的重视。征信也是风险防控的重要一环，对用户信用的掌握可以有效减少网络交易的风险。因此，第7章主要介绍了征信系统的基本原理和架构。最后，作者用了3个案例研究来结束该书。总的来说，该书内容丰富，覆盖全面，结构清晰，逻辑通顺，将网络交易风险控制的现状、理论、方法进行了科学的整理和阐述。

该书研究特色凸显，一大特色是提出了网络交易风险防控的行为认证技术，建立了交易系统行为和用户行为的规范与模式，通过采集和分析用户在系统中的行为足迹，建立了基于模型的行为认证机制，有效提高了网络交易风险防控的实时性，降低了误判率，克服了交易欺诈的高辨识和强实时的难题。其中，行为认证的核心技术在于形式化模型的构建。在当前人工智能和大数据的背景下，使用形式化方法进行建模和分析必不可少，基于严格的数学定义和分析可以最大程度地发现问题并解决问题，不仅能发现已知的缺陷，还能发现未知的缺陷，为风险防控的高效实施提供模型基础。蒋昌俊教授及其团队在形式化领域耕耘多年，有着深厚的理论积淀，尤其在Petri网的理论和应用方面，成就斐然，培养了一大批杰出人才。将适于刻画并发系统的Petri网应用于网络交易系统的风险防控，水到渠成。同时，该书也不拘泥于Petri网这一种形式化模型，根据不同的应用场景，行为认证技术也涉及了自动机、马尔科夫模型等广泛使用的理论和方法，为网络交易的风险防控奠定了坚实的理论基础。

除了理论上的创新，该书的研究还进行了工业实践方面的探索，并卓有成效。据我所知，蒋昌俊教授领衔的团队在进行上述理论研究的过程中，得到了国家自然科学基金委和科技部多个项目的支持，并与国内领先的网络交易平台(支付宝、快钱、中国工商银行等单位)建立了良好的合作关系。对于支付宝等网络交易企业来说，在进行海量交易的同时，如何高效准确地对每笔交易进行风险判别，是亟待解决的问题，而传统的以数字证书为核心的安全技术已不足以应对。该书的研究恰好契合了业界的需要，作者所在团队的科研人员与支付宝等知名企业进行了长期的合作研究，部分人员常驻支付宝，将理论研究的成果进行实践应用，与企业共同对风控系统进行升级和优化，攻克了大规模、高并发、强实时交易的若干关键问题，并搭建了大规模分布式的网络交易风险防控平台。这是产学研结合的不错尝试，是在企业业务场景和技术基础上，借力高校的理论创新优势，向前迈进的一步，对交易风险的精准判定和瞬时识别具有重要的意义。

网络交易已成为国民经济的重要组成部分，其中的安全可信问题越发凸显，如何在技术层面有效控制风险是一个关键的科学问题。该著作的研究紧紧契合这一科学问题，将网络交易风险控制的现状、理论、方法进行了科学的整理和阐述，既有现有的成熟技术，又有独创的理论方法，对互联网金融风险控制具有很强的启发、借鉴和指导作用，同时对信息技术领域的相关研究人员、学者也具有参考价值，对计算机软件理论与软件安全专业的学生也不失为一本开拓视野的参考书。

笔者非常愿意将此书推荐给对网络交易风险防控感兴趣的学者及工业界。同时，感谢作者在这一领域所进行的研究，期盼作者能够出更多的优秀成果。