1概述

隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上證券交易系統(tǒng)功能的不斷豐富、完善和使用的便利性，網(wǎng)上交易正成為證券投資者交易的主流模式，據(jù)統(tǒng)計(jì)，證券經(jīng)營(yíng)機(jī)構(gòu)網(wǎng)上交易業(yè)務(wù)的交易量已經(jīng)占到總交易量的80%以上，網(wǎng)上證券交易系統(tǒng)已經(jīng)成為證券公司交易系統(tǒng)的重要組成部分。另一方面，隨著互聯(lián)網(wǎng)應(yīng)用的普及，針對(duì)網(wǎng)上證券交易的安全事件日益增多。

“盜買盜賣”惡意行為、“證券大盜”等病毒木馬給投資者和證券公司帶來(lái)經(jīng)濟(jì)損失的同時(shí)，也影響到網(wǎng)上證券交易市場(chǎng)的長(zhǎng)遠(yuǎn)發(fā)展，如何提升網(wǎng)上證券交易系統(tǒng)的安全性，已成為證券行業(yè)關(guān)注的熱點(diǎn)。

2網(wǎng)上證券交易面臨的問(wèn)題和分析

2.1網(wǎng)上證券交易面臨的安全問(wèn)題

在當(dāng)前信息技術(shù)日新月異、電子商務(wù)高速發(fā)展、資本市場(chǎng)規(guī)模不斷擴(kuò)大、業(yè)務(wù)創(chuàng)新層出不窮的前提下，證券業(yè)的信息系統(tǒng)變得越來(lái)越龐大和復(fù)雜。在行業(yè)信息化建設(shè)過(guò)程中，信息安全的各個(gè)環(huán)節(jié)都暴露了一些亟待解決的問(wèn)題。

互聯(lián)網(wǎng)應(yīng)用的快速發(fā)展，促使攻擊事件變得越來(lái)越普及，網(wǎng)絡(luò)犯罪活動(dòng)已經(jīng)從最初的個(gè)人惡意攻擊行為，轉(zhuǎn)變成目標(biāo)明確，有組織、有分工的職業(yè)化行為。危及網(wǎng)上證券交易安全的病毒、木馬、釣魚(yú)、竊取、篡改等攻擊手段層出不窮，大部分網(wǎng)上證券交易的用戶安全防范意識(shí)不高，對(duì)于可能盜取用戶口令的攻擊手段沒(méi)有任何防范能力。這些問(wèn)題極大地影響了證券交易體系的安全性。同時(shí)，以盈利為目的的黑色產(chǎn)業(yè)鏈，正促使這種局面愈加惡劣。

如近期集中爆發(fā)的網(wǎng)絡(luò)釣魚(yú)事件，更是給廣大的網(wǎng)上用戶，直接帶來(lái)了巨大的經(jīng)濟(jì)損失。因此，維護(hù)網(wǎng)絡(luò)安全成為了證券業(yè)信息化建設(shè)的重要工作。

網(wǎng)上證券交易系統(tǒng)的安全可以分為賬戶安全和系統(tǒng)安全。保護(hù)賬戶安全是指保護(hù)個(gè)人賬戶的賬戶/密碼、資金、交易行為等信息的機(jī)密性，不被他人竊取或監(jiān)聽(tīng)；保護(hù)系統(tǒng)安全是指保護(hù)網(wǎng)上證券交易系統(tǒng)，使之不受合法賬戶的非法交易行為的影響。

分析證券交易中的異常行為，有針對(duì)性地提出安全信息系統(tǒng)的解決方案，是保障網(wǎng)上證券交易系統(tǒng)安全、可靠運(yùn)行的有效途徑。

2.2網(wǎng)上證券交易異常行為定義和分析

證券交易中的異常行為主要表現(xiàn)在用戶在買賣股票、債券或資金劃轉(zhuǎn)過(guò)程中出現(xiàn)的異常舉動(dòng)。根據(jù)《上海證券交易所證券異常交易實(shí)時(shí)監(jiān)控指引》對(duì)證券交易異常行為的歸類和定義，基本包括以下幾種異常交易類別：高買低賣利益?zhèn)魉汀①Y金頻繁存取、長(zhǎng)期閑置賬戶頻繁異動(dòng)、大量委托或查詢請(qǐng)求、虛假申報(bào)、短線操縱、連續(xù)集中交易等。

1)高買低賣利益?zhèn)魉?

證券交易盜買盜賣行為，通常是通過(guò)頻繁交易國(guó)債或企業(yè)債品種，利用債券T+0交易、無(wú)漲跌停、且交投不活躍的特點(diǎn)，通過(guò)高買低賣方式，實(shí)現(xiàn)利益輸送。此類異常行為一般在市場(chǎng)整體交投不活躍、投資者不經(jīng)常查看賬戶狀態(tài)的情況下進(jìn)行，降低了被投資者及時(shí)發(fā)現(xiàn)的可能。

2)長(zhǎng)期閑置賬戶頻繁異動(dòng)

長(zhǎng)期閑置的賬戶突然發(fā)生異常波動(dòng)，包括頻繁登錄、頻繁交易，或無(wú)交易頻繁轉(zhuǎn)賬等，都可以視為疑似異常行為。如，正常交易日無(wú)交易賬戶資金劃轉(zhuǎn)每天發(fā)生3次以上，或者無(wú)交易賬戶資金劃轉(zhuǎn)每天發(fā)生1次，且持續(xù)發(fā)生3天以上，出現(xiàn)接近于大額現(xiàn)金交易標(biāo)準(zhǔn)的現(xiàn)金收付的交易行為。

3)大量委托或查詢請(qǐng)求

攻擊者通過(guò)利用多個(gè)賬戶發(fā)送大量無(wú)效的委托或查詢請(qǐng)求（如失敗委托或不可能成交委托），攻擊證券公司的交易系統(tǒng)。交易系統(tǒng)需要對(duì)委托、查詢訂單進(jìn)行處理，勢(shì)必會(huì)占用券商交易系統(tǒng)和交易所撮合系統(tǒng)的資源，也會(huì)影響到其他用戶的正常交易行為。

除上面介紹的異常行為外，虛假申報(bào)、短線操縱、連續(xù)集中交易等也嚴(yán)重影響了網(wǎng)上證券交易的政策秩序，需要及時(shí)發(fā)現(xiàn)并予以控制。

但是，網(wǎng)上證券交易的異常行為是在不斷變化的，很難僅憑借現(xiàn)有的行為特征予以識(shí)別和防范，還需要不斷了解新的異常行為，并作出反應(yīng)。本文提出了一種基于數(shù)據(jù)挖掘的異常行為分析方式，它通過(guò)收集交易行為數(shù)據(jù)，利用挖掘算法，對(duì)數(shù)據(jù)進(jìn)行清理、降維、歸納、模式識(shí)別、結(jié)果分析與評(píng)價(jià)，不斷豐富異常行為數(shù)據(jù)庫(kù)，從而實(shí)現(xiàn)對(duì)網(wǎng)上證券異常交易行為的及時(shí)預(yù)警。

3基于數(shù)據(jù)挖掘的證券交易異常行為分析

3.1數(shù)據(jù)挖掘的概念及方法

數(shù)據(jù)挖掘常特指數(shù)據(jù)庫(kù)數(shù)據(jù)挖掘（KnowledgeDiscoveryinDatabase），按照Fayyad的定義，“KDD是從數(shù)據(jù)集中識(shí)別出有效的、新穎的、潛在有用的，以及最終可理解的模式的非平凡過(guò)程”[1]。

數(shù)據(jù)挖掘的過(guò)程大體分為三個(gè)階段：數(shù)據(jù)準(zhǔn)備、數(shù)據(jù)挖掘以及結(jié)果的解釋評(píng)估，可以參見(jiàn)圖1中給出的多處理階段過(guò)程模型。

1)數(shù)據(jù)準(zhǔn)備

數(shù)據(jù)準(zhǔn)備包括數(shù)據(jù)選取（Selection）、數(shù)據(jù)預(yù)處理（Preprocessing）和數(shù)據(jù)變換（Transformation）等工作。數(shù)據(jù)選取用來(lái)確定發(fā)現(xiàn)任務(wù)的操作對(duì)象，即目標(biāo)數(shù)據(jù)（TargetData），根據(jù)用戶的需要從原始數(shù)據(jù)中抽取一部分?jǐn)?shù)據(jù)。數(shù)據(jù)預(yù)處理把目標(biāo)數(shù)據(jù)處理成便于挖掘的形式，一般包括去噪聲、缺值數(shù)據(jù)處理、消除重復(fù)記錄以及數(shù)據(jù)類型的轉(zhuǎn)換等操作。

2)數(shù)據(jù)挖掘

數(shù)據(jù)挖掘首先確定挖掘的任務(wù)，如分類、聚類、關(guān)聯(lián)規(guī)則發(fā)現(xiàn)，或序列模式發(fā)現(xiàn)等。然后選擇采用哪種挖掘算法，算法的選擇主要基于兩點(diǎn)考慮：一是針對(duì)數(shù)據(jù)本身的特點(diǎn)，采取相應(yīng)的算法挖掘；二是針對(duì)用戶的需求（是獲取顯式的規(guī)則還是抽象的模型等）采取相應(yīng)的算法挖掘。數(shù)據(jù)挖掘階段是數(shù)據(jù)挖掘過(guò)程的核心，目前的大多數(shù)研究也都是針對(duì)挖掘算法展開(kāi)的。