عنوان مقاله: بررسی راه های امنیت شبکه های اینترنتی بانکی از طریق روشهای فازی
مولفین: دکتر قاسم فرجپور خاناپشتانی و مهدیه توسلی (دانشجوی ‌کارشناسی ارشد مهندسی صنایع ، دانشگاه آزاداسلامی واحدپرند، Mahdieh.tavassoli@gmail.com)
موضوع: مدیریت فناوری اطلاعات
سال انتشار (میلادی): 2015
وضعیت : تمام متن
منبع انتشار:  پایگاه مقالات علمی مدیریت  www.SYSTEM.parsiblog.com
تهیه و تنظیم:  ارسال شده توسط عضو پایگاه مقالات علمی مدیریت  www.SYSTEM.parsiblog.com
چکیده: یکی از مهمترین موانع برای استفاده از بانکداری اینترنتی عدم امنیت تراکنشها و برخی سوءاستفاده ها در مسیر انجام مبادلات مالی است.به همین دلیل جلوگیری از نفوذ غیرمجاز و تشخیص جرم از مسائل مهم در مؤسسات مالی وبانکهاست . طرح احراز هویت امن و کارآمد یک مسئله بسیار مهم با توسعه فن آوری های شبکه بوده است. امنیت داده ها یک موضوع مهم در سناریو فعلی بانکی است. عملیات مالی امن و محرمانه است وباید آن را با امنیت بالا در هنگام برقراری ارتباط ارسال کرد. در این کار امنیت ارتباطات مورد بحث است. ارزیابی عملکرد بانک ها به نتایج مهمی برای بستانکاران، سرمایه گذاران و سهامداران و تعیین قابلیت های بانک ها برای رقابت در این بخش  تبدیل شده است و دارای اهمیت حیاتی برای توسعه این بخش است.
کلمات کلیدی: بانکداری اینترنتی، رفتار مشکوک،تشخیص الگو، نظریة فازی ، احراز هویت، سیستم های توزیع شده، فیشینگ ،داده کاوی فازی

1.    مقدمه
در اقتصاد، یکی از موسسات مالی که انتقال تجهیزات غیر فعال با حداقل هزینه را عهده دار است بانک است. به طور کلی هر مشکلی که می تواند در سیستم فعلی بانک رخ می دهد به طور مستقیم به سهامداران و همچنین اقتصاد تاثیرخواهد گذاشت. رشد سیستم بانکی به صورت موازی درجه کسب درآمد از بازار را افزایش می دهد، بنابراین توسعه در بخش بانکداری بخش های دیگر اقتصاد، به ویژه اقتصاد واقعی متقابلاً و عمیقا تحت تاثیر قرار  خواهد داد.
دسترسی آسان و گسترده به اینترنت آن را به یکی از معابر اصلی فروش برای خرده فروشی ها بدل کرده است. با توجه به وجود توان بالقوه در استفاده از اینترنت حجم مبادلات تجارت الکترونیکی در سالهای گذشته رشد زیادی داشته است]1[.همچنین یکی از ابزارهای ضروری برای تحقق وگسترش تجارت الکترونیکی، وجود سیستم بانکداری الکترونیکی است که همگام با سیستم های جهانی مالی وپولی، عملیات و فعالیتهای مربوط به تجارت الکترونیکی راتسهیل کند . در حقیقت می توان گفت پیاده سازیتجارت الکترونیکی، نیازمند تحقق بانکداری الکترونیکی است.به همین دلیل، استفاده از سیستم های الکترونیکی در موسسات مالی و اعتباری جهان به سرعت رو به گسترش بوده و شماراستفاده کنندگان از خدمات بانکداری الکترونیکی روز به روزدر حال افزایش است از این رو صنعت بانکداری تلاش دارد تا با بکارگیری اینترنت به عنوان یکی از کانالهای اصلی ارائة خدمات، برای نفوذ و قدرتمند ساختن کسب و کار خود استفاده کند ]2[.بسیاری از سیستم های توسعه داده شده، امنیت را از طریق دیوارهای آتش و ضد ویروس ها برای حملات داخلی و خارجی فراهم می کنند]3[.
پنج عامل احراز هویت در یک سیستم توزیع شده، در قالب خدمات شبکه قابل ارائه و توزیع است.
1-    کارت RFID
2-    Pin
3-    اثر انگشت
4-    OTP
5-    صفحه کلید با صفحه کلید ID
همچنین یکی دیگر از راهکارهای بانکداری اینترنتی امن  تشخیص و شناسایی هر گونه وب سایت های فیشینگ در زمان واقعی، به ویژه برای بانکداری الکترونیکی، در واقع یک مشکل پیچیده و پویا ست که شامل عوامل و معیارهای بسیاری است. در حال حاضر روش های جدیدی برای غلبه بر ابهام" در بانکداری الکترونیکی برای ارزیابی وب سایت های فیشینگ و پیشنهاد انعطاف پذیر هوشمند و مدل موثر برای تشخیص وب سایت های فیشینگ بانکداری الکترونیکی وجود دارد.

2.    معرفی عناوین
بانکهای فراهم کنندة خدمات اینترنتی، روشهای مختلفی را برای تشخیص جرم و غربال کردن تراکنشهای مشتریان به کار می برند. روشهایی که اخیراً استفاده می شود شامل مشاهدة تراکنشها از طریق سیستمهای تصدیق نشانی (AVS)   ، روش تصدیق کارت   (CVM) شمارة شناسایی شخصی  (PIN) و روشهای زیست سنجی   است. این روشها مبتنی بر یادگیری قواعدی خاص هستند و قادرند شاخص های رفتارهای فریب آمیز را از پایگاه داده های بزرگ تراکنشهای کاربران کشف کنند . این شاخصها برای ایجاد سیستمهای پایشگر  استفاده می شوند تا رفتارهای غیرمعمول مشتریان را ثبت کرده و رفتارهای مشکوک را از میان آنها شناسایی کنند.
مزایای استفاده از احراز هویت مبتنی بر PIN، RFID کارت، اثر انگشت، OTP و ID  صفحه کلید به خوبی طراحی شده است. پنج عامل پروتکل احراز هویت تا حد زیادی می تواند به بهبود تضمین اطلاعات در سیستم های توزیع شده کمک کند.]4[
مسائل مربوط به حریم شخصی همراه با ویژگی های امنیتی بهبود یافته، ورود و خروج پنج عامل نیز یکی دیگر از موضوع های ظریف در مورد چگونگی حفاظت از داده های بیومتریک را افزایش می دهد.عوامل احراز هویت نه تنها اطلاعات حریم خصوصی مالک، بلکه از نزدیک به امنیت در پروسه تأیید هویت مربوط می شود.
تعداد زیادی از مطالعات توسط روش های مختلفی برای اندازه گیری عملکرد بانک ها و نیاز به این مطالعات به طور فزاینده ای در حال رشد وجود دارد. یکی از روشهایی که در مطالعات تجربی، به طور گسترده ای استفاده می شود تجزیه و تحلیل نسبت است Tözüm (2002) . یکی دیگر از روش های مهم مورد استفاده در اندازه گیری عملکرد بانک تحلیل پوششی داده ها (DEA) است. این روش برای اندازه گیری کارایی شعب بانک استفاده می شود. ]6[
وب سایت های فیشینگ ، وب سایت هایی جعلی  هستند که توسط افراد مخرب به تقلید از وب سایت های  بانکداری الکترونیکی واقعی ایجاد شده. بسیاری از این نوع از صفحات وب دارای شباهت های بصری بالایی به صفحات وب واقعی است. کاربران اینترنت بدون تعجب و تشویش ممکن است به آسانی توسط این نوع از کلاهبرداری فریب خورده و اطلاعات حساب کاربری خود را به بانک، رمز عبور، شماره کارت اعتباری و یا سایر اطلاعات مهم در اختیار صاحبان صفحه وب فیشینگ قرار دهند. فیشینگ یک جرم نسبتا جدید در اینترنت در مقایسه با اشکال دیگر، به عنوان مثال، مانند ویروس و هک است. ]7

3.    اجمالی برنظریة سیستم های فازی
نظریة مجموعه های فازی در سال 1965 میلادی توسط عسکر لطفی زاده مطرح شد. نظریة مجموعه های فازی روشی را برای محاسبة داده ها و اطلاعات غیر قطعی و مبهم ارائه می کند ضمن اینکه سازوکار استنتاج، برای استدلال را براساس مجموعه ای از قواعد "اگر -آنگاه" فراهم می سازد. این قواعد به کمک مجموعه های فازی تعریف می شوند که در آنها هریک از اعضای مجموعه درجة تعلقیبین صفر و یک دارند. یک نمونه واقعی از عدم قطعیت وجود ابهام در زبان طبیعی انسانهاست]8[ . سیستمهای فازی مفاهیم نظریة مجموعه فازی و منطق فازی را با یکدیگر تلفیق و چارچوبی برای ارائه دانش زبانی همراه با عدم قطعیت فراهم می کنند و دو مشخصة اصلی دارند که محبوبیت آنها را بیشتر کرده است: یکی اینکه آنها برای استدلال تقریبی  به ویژه برای سیستمهایی که استخراج یک مدل ریاضی از آنها کار دشواری است، مناسب بوده و دیگری اینکه منطق فازی اجازه م یدهد تصمیم گیری با استفاده از اطلاعات ناکامل و غیرقطعی با کمک متغیرهای زبانی ، که به راحتی توسط انسانها قابل درک هستند، انجام شود. سیستم های مبتنی بر منطق فازی شامل چها ر جزء اصلی هستند و همانطور که ذکر شد می توانند راه حل های عملی و مناسبی را در شرایط مختلف ارائه دهند. ]9[
فازی ساز: در فرایند فازی سازی روابط بین ورودی ها و متغیرهای زبانی با استفاده از توابع عضویت تعریف می شود. در این مرحله مقادیر ورودی به درجة تعلق متغیرهای زبانی متناظر تبدیل می شوند. در واقع متغیرهای ورودی از طریق واحد فازی ساز به اعداد فازی تبدیل می شوند. در این مقاله هر متغیر ورودی به علت محاسبات ساده تر به یک عدد فازی مثلثی تبدیل شده است . هر  عدد فازی مثلثی با سه تایی   نشان داده است و تابع عضویت آن به a1 ≤ a2 ≤ a3 می شود که تابع عضویت آن به صورت شکل زیر نمایش داده می شود:
 
پایگاه دانش : پایگاه دانش از ترکیب دانش خبرگان حوزة مورد بحث به وجود می آید و به شکل قواعدی از متغیرهای زبانی تشکیل می شود . این قواعد برای بیان ارتباط میان مجموعه های فازی ورودی و خروجی استفاده می شود . قالب گرامری یک قانون فازی به شکل زیر بیان می شود: اگر (شرایط ورودی برقرار باشد) آنگاه (مجموعه نتایج خروجی قابل استنتاج است).
موتور استنتاج : این بخش واحد تصمیم گیر سیستم فازی است. یک موتور استنتاج قابلیت استنتاج خروجی ها با استفاده از قواعد و عملگرهای فازی را داراست بدین معنا که عملگرهایی مانند: کمینه، بیشینه و یا مجموع را ترکیب و خروجی فازی را از مجموعه های فازی ورودی و روابط فازی استخراج کرده و از این طریق توانایی تصمیم گیری در انسان را شبیه سازی می کند .
 
نافازی ساز : این مرحله عکس فرایند فازی سازی را انجام می دهد. نافازی ساز، یک خروجی با مقدار قطعی از مجموعه های فازی که خروجی موتور استنتاج هستند تولید می کند. روش های زیادی برای نافازی سازی مطرح شده است.
 منطق فازی در مقایسه  با تئوری منطق سنتی این است که به جای ثابت و دقیق به بیان تقریبی می پردازد که در آن دامنه مجموعه دوتایی دارای منطق دو ارزشی بین 0 و 1  است. ]4[
فرآیند تحلیل سلسله مراتبی (AHP) یکی از شناخته شده ترین تکنیک های تصمیم گیری است که اولین بار توسط ساتی (1980) پیشنهاد شد. کارشناسان روش های مختلف برای فازی AHP دارند بنابراین نظریه مجموعه فازی باعث می شود فرآیند مقایسه بیشتر انعطاف پذیر و قادر به توضیح باشد. ]6[
FL برای چندین دهه در علوم مهندسی استفاده می شود.]7[

4.    سیستمهای کاربردی فازی در تشخیص رفتار مشکوک در امنیت شبکه
1-4 برای استفاده از قابلیت سیستم فازی در شناسایی رفتارهای مشکوک، نخست کلیة رفتارهای کاربران در پنج سطح مختلف دسته بندی و سپس سیستم خبرة فازی برای استنتاج این خروجی ها طراحی شده است و برای ارزیابی قابلیت سیستم طراحی شده، این مدل در سیستم بانکداری به کارگرفته شده است.
پنج دسته رفتار جداگانه به شرح زیر تعریف شده است:
الف- رفتارعادی
ب- رفتارکمی مشکوک
ج- رفتار مشکوک
د- رفتار بسیارمشکوک
هـ- رفتار خطرنا ک
همانطور که از معانی واژه ها برمی آید شدت غیرمعمول بودن رفتارها به ترتیب از حالت عادی به خطرناک زیاد می شود. این رفتارها به کمک اعداد فازی مدل شده و به عنوان متغیرهای زبانی مطابق شکل 1 در خروجی سیستم فازی به کار گرفته شده اند بدین معنا که نتیجة استنتاج سیستم فازی تخصیص کاربر به یکی از این پنج دسته خواهد بود. ]8[
2-4 مشتری برای اولین بار وارد کارت RFID را به یک کارت خواننده که داده های استخراج شده دارد می شود.شدپس از آن، مشتری وارد PIN  شده و اطلاعات اثر انگشت او  از اسکنر برای استخراج در این مرحله استفاده می شود. ]4[
 3-4 فاکتورهای تأیید هویت سیستم
ثبت نام. هر کاربر را به ثبت نام در بانک به منظور تبدیل شدن به یک کاربر مجاز تبدیل می کند.. روند ثبت نام به شرح زیر است: ارائه اطلاعات اولیه مانند ایمیل نام کاربری، آدرس، اطلاعات تماس شناسه (شماره)، اثبات عکس و سایر اطلاعات مورد نیاز. ما فرض می کنیم که یک دستگاه برای استخراج الگوی اثر انگشت و انجام تمام محاسبات در استخراج فازی وجود دارد. در این مرحله هیچ الگوی اثر انگشت را شامل نمی شود و انجام تمام محاسبات در استخراج فازی خواهد بود. هیچ تعامل با سرور تأیید اعتبار موجود نیست. تکنیک های تایید مشتریان یک فرآیند مرتبط اما جدا از احراز هویت است. تکمیل فرآیند تصدیق در منشاء حساب رخ می دهد. تایید اطلاعات شخصی ممکن است به سه روش به دست آید:
بررسی مثبت:  اطمینان حاصل شود که اطلاعات ارائه شده توسط متقاضی با اطلاعات موجود منطبق و از منابع قابل اعتماد است .به طور خاص، یک موسسه مالی می تواند هویت یک مشتری بالقوه را از طریق مقایسه پاسخ متقاضی به یک سری از سوالات دقیق برابر با اطلاعات در یک پایگاه داده مورد اعتماد (به عنوان مثال، گزارش های اعتباری قابل اعتماد) برای دیدن در صورتی که اطلاعات ارائه شده توسط متقاضی اطلاعات مسابقات در بررسی پایگاه داده باشد.
بررسی منطقی: اطمینان حاصل شود که اطلاعات ارائه شده منطقی با کد منطقه تلفن، کد پستی و آدرس سازگار است.
بررسی منفی: اطمینان حاصل شود که اطلاعات ارائه شده با تقلب همراه است. ]5[
 4-4 غیر فازی سازی یک روش برای تبدیل اعداد فازی به اعداد واضح واقعی است. چندین روش موجود برای این منظور وجود دارد. روش های رایج میانگین حداکثرها و مرکز ثقل هستند، و روش TOPSIS به صورت مجتمع هستند. در حالی که فازی AHP برای تعیین وزن های اصلی و زیر معیارهای مورد استفاده میباشد. روش TOPSIS برای ارزیابی عملکرد از بانک های تجاری استفاده می شودساختار سلسله مراتبی در شکل نشان می دهد که شکل کلی ارزیابی عملکرد هدف کلی در سطح اول تعیین بهترین عملکرد در کل. در سطح دوم، ساختار سلسله مراتبی به عملکرد مالی و غیر مالی از هم جدا هستند. در حالی که ساختار سلسله مراتبی مالی برای ارزیابی عملکرد مالی استفاده می شود، ساختار سلسله مراتبی غیر مالی است و برای اندازه گیری عملکرد غیر مالی استفاده می شود. با این روش، سه ساختار سلسله مراتبی متعلق به عملکرد مالی، غیر مالی و در کل برای تعیین وزن هر یک از اصلی و subattribute استفاده می شود. ارزیابی عملکرد مالی اگر چه بسیاری از انواع نسبت های مالی در ارزیابی عملکرد بانک ها وجود دارد، نتایج ارزیابی می تواند با توجه به نسبت های مختلف متفاوت باشد.]6[
 5-4 قواعد کلی استنتاج از داده کاوی فازی ]7[
 
5.    پیاده سازی
1-5 سیستم خبرة فازی با استفاده از اطلاعاتی که از محیط واقعی سیستم بدست آمده بود به مرحلة اجرا درآمد.]9[
2-5 تغییر PIN  پس از ورود به سیستم:  مشتری می تواند / PIN خود را تغییر دهد. سرور اجازه می دهد تا مشتری به تغییر PIN قدیمی با PIN جدید و به روز رسانی داده ها در کارت RFID اقدام کند.
اثر انگشت:  انتخاب اثر انگشت (با استفاده از هر یک از 5 انگشت) اثر انگشت از تمام انگشتان دست در پایگاه داده باشد. ]5[

6.    نتیجه گیری
1-6 امروزه تشخیص جرم و بهبود سطح امنیت در صنعت بانکداری الکترونیکی بسیار مهمتر از گذشته شده است. یک سیستم خبرة فازی برای تشخیص رفتارهای مشکوک کاربران بانکداری اینترنتی طراحی شده است و نوع عملکرد کاربر در مواجهه با سیستم بانکداری اینترنتی، به عنوان ورودی سیستم فازی در نظر گرفته شده و خروجی، یکی از پنج دسته رفتار عادی، کمی مشکوک، مشکوک، بسیار مشکوک و خطرناک مشتری خواهد بود.همچنین امکان مدلسازی رفتار کاربران در پنج دستة مختلف است که با دقت بیشتری نوع رفتار کاربر را پیش بینی می کند و دیگر آنکه در نظرگرفتن حیطة وسیعی از متغیرهای ورودی، امکان پوشش جامع تری از عوامل شناسایی کنندة رفتار و عملکرد کاربر را مهیا می سازد.]9[
2-6 در سیستم های توزیع شده  ، موضوع ،به چالش کشیدن حفظ امنیت و حریم خصوصی است این رویکردها باعث می شود تا با ارائه پیشنهادات  فازی در حل این مسائل یک گام به جلو برداریم.
رمز عبور، کارت RFID ، OTP ، اثر انگشت و صفحه کلید ID . کار ما نه تنها نشان می دهد که چگونه برای به دست آوردن احراز هویت گام برداریم بلکه مسائل مربوط به بیومتریک را نیز در سیستمهای توزیع شده قابل اجرا خواهد کرد.تجزیه و تحلیل نشان می دهد که در احراز هویت چندین عامل اساسی که از آنها نام برده شد، مورد نیاز خواهد بود. ]4[
3-6 روش FAHP برای تعیین وزن اصلی و زیر معیارهای از سلسله مراتب ارزیابی عملکرد استفاده می شود .درآخرین قسمت از مطالعه بانک ها از نظر عملکرد مالی، غیر مالی ، از روش TOPSIS برای رتبه بندی استفاده می شود. ارزیابی عملکرد سیستم های بانکی فازی AHP روش آسان و کارآمد در استفاده از هر دو داده های کمی و کیفی است.  علاوه بر معیارهای مالی، معیارهای عملکرد غیر مالی مانند رضایت مشتری و کیفیت خدمات برای بانک های تجاری ارزیابی شده اند. ]6[
4-6 مدل داده کاوی فازی در بانکداری الکترونیکی وب سایت فیشینگ اهمیت معیارهای وب سایت ( URL و دامنه هویت ) را در وب سایتهای فیشینگ نشان داد.


7.    منابع

[1] J. T. S. Quah and M. Sriganesh, "Real-time
credit card fraud detection using computational intelligence," Expert Systems
with Applications,2007, pp.9-17
[2] D. P. Dube and S. Ramanarayanan, "Internet Banking – A Layered Approach to Security," in Intelligent Information Technology, 2005, pp.190-197.
[3] P. K. Harmer, P. D. Williams, G. H. Gunsch and B.
Lamont, " An Artificial Immune System Architecture for Computer Security Applications," IEEE Transaction On Evolutionary Computation, 2002.
[4] S. Hemamalini & M. L. Alphin Ezhil Manuel
Department of Computer Science and Engineering, Alpha College of Engineering, Thirumazhisai, Chennai.
 A Fuzzy Implementation of Biometrics With Five Factor Authentication System For Secured Banking
 [5] S.R. Jenifer Raja Shermila / International Journal of Engineering Research and Applications (IJERA) ISSN: 2248-9622 www.ijera.com Vol. 2, Issue 4, July-August 2012, pp.375-37
 A Five-Ways Fuzzy Authentication for Secured Banking
[6] Nes_e Yalc?n Secme a , Ali Bayrakdarog?lu a, Cengiz Kahraman b
a Department of Business Administration, Nevs_ehir University, 50300 Nevs_ehir, Turkey
b Department of Industrial Engineering, Istanbul Technical University, 34367 Macka, Istanbul, Turkey
Fuzzy performance evaluation in Turkish Banking Sector using Analytic
Hierarchy Process and TOPSIS
[7] a Department of Computing University of Bradford, Bradford, UK
b MIS Department Philadelphia University Amman, Jordan
Intelligent phishing detection system for e-banking using fuzzy data mining
Maher Aburrous a,*, M.A. Hossain a, Keshav Dahal a, Fadi Thabtah
[8] L. A. Zadeh, "The concept of a linguistic variable and its application to approximate reasoning," Information Sciences, vol.8, pp. 199-249,1975.
]9[لیلا ساروخانی- غلامعلی منتظر دانشکده فنی ومهندسی، دانشگاه تربیت مدرّس
طراحی وپیاده سازی سیستم هوشمند شناسایی رفتار مشکوک در بانکداری اینترنتی به کمک نظریة مجموعه های فازی