金融科技业务风险本体构建与推理仿真

2022-05-14谢忠局陈思安张文迪吴立

计算机仿真 2022年4期

谢忠局，陈思安，张文迪，吴立

(1. 国网雄安金融科技集团有限公司，北京 100053；2. 华北电力大学控制与计算机工程学院，北京 102206；3. 国网汇通金财(北京)信息科技有限公司，北京 100053)

1 引言

随着计算机和计算机网络的普及以及基于计算机网络的商务增长，网络安全事件和计算机犯罪也几乎同比例增长；随着计算机网络技术的进步和成熟，计算机黑客入侵技术同样也在快速跟进并发展越来越成熟[1]。由此可见，传统一对一的安全策略已经不足以应对越来越复杂的业务风险。所以，设计实现针对金融科技平台的业务风险知识本体并推理出安全策略具有重要意义。

在知识图谱中，推理主要用于对知识图谱进行补全和知识图谱质量的校验[8]。20世纪70年代，随着专家系统[6]的提出和商业化发展，知识库构建和知识表示更加得到重视。从图的角度来看，知识图谱是一个语义网络，即一种用互联的节点和弧表示知识的一个结构[5]。语义网进一步吸收描述逻辑的研究成果，发展出了用网络本体语言(Web Ontology Language，OWL)系列标准化本体语言。本体的出现，在语义学和概念水平上构建出了可以描述的技术信息系统概念模型[2]。本体论在语义网的发展中起着重要作用。近年来，本体论被许多商业和科学界采用，作为共享、重用和处理领域知识的一种方式，它描述了在特定领域中所使用的术语。本文研究的是金融科技业务风险知识本体，结合金融科技业务风险模型，设计实现了金融科技业务风险知识本体，并在国网金融科技集团雄安平台实际场景中进行仿真，利用本体中存在的Jena推理机制对知识库中存储的知识进行推理和知识重用，提供推演和生成新知识或概念的有效解决方案，从而为管理者提供适当的风险防御安全策略。

2 金融科技业务风险本体分析

2.1 金融科技业务风险模型

金融科技业务风险主要体现为贷款融资业务和征信风控业务的账户体系风险、欺诈骗贷风险及征信信息泄漏风险。

账户体系风险在具体的业务细分中，最直接的业务体现为注册、登录和找回密码三个主要方面。针对“黑产”或“灰产的技术面分析主要有以下攻击：①垃圾注册：主要指通过程序或者纯人力大量注册的非活跃账号，这些账号不能直接给平台带来收益，但在一定程度上能够提升运营成本。②撞库攻击：撞库风险在登录、注册和找回密码等业务中普遍存在，目前“黑产”主要通过大量泄漏的用户数据，在这些潜在风险的地方，进行账号检存操作，然后通过存在的账号测试对应密码；或者寻找无任何防御的登录口进行撞库。⑶盗号洗号。④验证码安全：验证码在设计之初即为区分人与机器，在各类应用中广泛用于防护自动化攻击。⑤信息泄漏：主要指服务自身运营敏感数据泄漏，比如客户的用户账号、密码、邮箱，严重时会涉及用户征信数据的泄漏。

欺诈骗贷风险主要发生在实际融资的业务下，被视为业务安全里最重要的环节，主要风险体现在以下行为：①数据篡改：在申请中，验签不严的情况下，极有可能产生数据篡改伪造，产生非正常的请求。②身份造假：申请确认阶段，通过伪造或冒用他人身份的方式，使平台或机构无法确定申请者身份的真实性。

征信信息泄漏风险主要发生在账号泄漏后查看企业用户的各项征信信息，又或者通过伪造征信查询请求拉取用户征信信息。

根据金融科技业务中可能存在的风险分析，确定了金融科技业务的模式特点，模型以防御风险为目的，实现安全策略的灵活应对。具体模型如图1所示。

图1 金融科技业务风险模型

本模型中将金融科技已有的风险监测系统检测到的风险组作为输入，其中该风险的评价指标有优先级、风险权重及其风险之间的关系。根据评价指标经过计算可以得到该风险组的影响程度，从而确定其风险等级，即高级、中级和低级。最终确定解决该风险组的安全策略。根据实际场景情况，雄安平台的安全防护时期分为特殊期和非特殊期，其中特殊期时风险等级要求高一级。

2.2 金融科技业务风险本体描述及实现

创建金融科技业务风险知识本体定义超类，并确定其合适的类层次结构。本文将金融科技业务风险知识本体领域总结为四个超类：风险特征、风险信息、风险等级和时期，其超类图如图2所示。

图2 金融科技业务风险本体超类图

1)风险特征。风险特征本体用来描述风险预先定义好的优先级和权重等特征，它用来计算该风险的影响程度，从而得到该风险组的风险等级。

2)风险信息。风险信息本体包括风险编号、风险名称、对应策略、影响程度、风险来源、破坏方式等描述属性。

3)风险等级。风险等级本体用来描述风险所处的风险状态，分为高级、中级和低级三个描述属性。

4)时期。时期本体用来描述风险防护阶段的相关属性，时期可分为特殊期和非特殊期。

根据金融科技业务的特点及本体的构建方法，采用W3C推荐的资源描述框架RDF/RDFS来描述金融科技业务风险知识本体。

例如：金融科技业务风险知识本体中存在“信息非正常传送”风险，其对应策略为“传输加密”，那么该风险及部分属性OWL语义的描述如下：

本文采用本体的开发工具Protégé 5.0建立本体库。Protégé是由斯坦福大学开发的，它是一个开源软件，既有GUI的应用类型，又有API接口，提供了本研究所需的所有特性和功能，并且用户友好，大大增强了它的灵活性。Protégé 5.0应用程序把本体结构以树形的层次结构显示，用户可以通过点击相应的项目来增加或编辑类、子类、属性和实例等，使用户在不需要了解具体的本体表示语言的情况下就可以在概念层次上设计领域模型[5]。

金融科技业务风险知识本体如图3所示。

图3 金融科技业务风险知识本体

3 金融科技业务风险仿真及推理

3.1 金融科技业务风险知识公理

公理代表本体内存在的事实，可以对本体内类或者关系进行约束，一般包括以下四个基本公理：

1)part-of：局部与整体的关系；

2)kind-of：父类与子类之间的关系；

3)instance-of：在类中填充实例，类与实例之间的关系；

4)attribute-of：类的属性，有对象属性和数据属性。

除了以上描述的基本公理外，本体中还存在类内公理和类间公理。其中公理1为类内公理，公理2至公理6为类间公理。

公理1：特殊期的业务风险等级要高于非特殊期风险等级。

公理2：影响程度=权重*优先级。

公理3：影响程度={x|8

影响程度为零时，系统处于安全状态。

公理4：风险之间存在的关系：依赖关系。

公理5：防御关系拥有逆转性。其中主语为安全策略，宾语为风险特征，与“防御”形成逆属性，即表示为某安全策略对某风险特征有防御作用，那么该风险特征就能被该安全策略防御。

公理6：只要是安全策略(Policy)就不可能是风险特征(Risk)，只要是风险特征就不可能是安全策略。

3.2 Jena推理机

目前流行的推理引擎有Jess、Racer、Pellet、FaCT++和Jena等，基于Java的Jena推理机是面向语义Web的应用开发包。Jena提供了一个DIG接口(如数据库中的ODBC)和用于本体分析的推理机，允许后台使用不同的推理机。因此，在Jena中也可以使用Racer、Pellet、FaCT++等推理机[11]。

Jena为RDF/RDFS和OWL提供了一个编程环境，它提供了更完整的接口来处理本体分析、存储、推理和查询。

语义查询系统可分为三个部分[12]：第一部分，利用Protégé创建基于本体的OWL模型。根据本体的定义，将原始信息标记为RDF文档，然后形成具有语义信息的数据文件。在第二阶段，OWL模型通过RDF/XML解析器转换为RDF模型，并永久存储在数据库中。Jena支持“内存中”和“持久存储”，能够与关系数据库系统(包括Oracle、MySQL和PostgreSQL)一起工作。将Jena的核心结构推理子系统和本体子系统集成的RDF模型生成OntModel。最后，在金融科技业务风险语义查询系统中，RDF API可以应用ARQ引擎和SPARQL语言来调用检索模型。这个过程包括类查询、属性查询和个别查询。