Ανάπτυξη Υπηρεσιών και Χαρακτηρισµός Χρηστών Επικοινωνιακής & Δικτυακής Τεχνολογίας

Α ΡΙΣΤΟΤΕΛΕΙΟ Π ΑΝΕΠΙΣΤΗΜΙΟ Θ ΕΣΣΑΛΟΝΙΚΗΣ Σ ΧΟΛΗ Θ ΕΤΙΚΩΝ Ε ΠΙΣΤΗΜΩΝ Τ ΜΗΜΑ Φ ΥΣΙΚΗΣ Τ ΟΜΕΑΣ Ε ΦΑΡΜΟΓΩΝ Φ ΥΣΙΚΗΣ & Φ ΥΣΙΚΗΣ Π ΕΡΙΒΑΛΛΟΝΤΟΣ Ανάπτυξη Υπηρεσιών και Χαρακτηρισµός Χρηστών Επικοινωνιακής & Δικτυακής Τεχνολογίας ΔΙΔΑΚΤΟΡΙΚΗ ΔΙΑΤΡΙΒΗ ΚΩΝΣΤΑΝΤΙΝΟΥ Σ. ΧΕΙΛΑ ΦΥΣΙΚΟΥ - ΡΑΔΙΟΗΛΕΚΤΡΟΛΟΓΟΥ, M.I.S. Θ ΕΣΣΑΛΟΝΙΚΗ, 2006

στη µνήµη της πρώτης µου δασκάλας, της µητέρας µου, ιαµαντούλας

i ΠΡΟΛΟΓΟΣ Το αντικείµενο της παρούσας διατριβής είναι ο χαρακτηρισµός χρηστών σε τηλεπικοινωνιακά δίκτυα και η ανάπτυξη υπηρεσιών για τη βελτίωση της ασφάλειας, της λειτουργικότητας και της διαθεσιµότητας των δικτύων αυτών. Η δουλειά που περιλαµβάνεται στην παρούσα διατριβή έγινε στο Εργαστήριο Ραδιοεπικοινωνιών του Τµήµατος Φυσικής του Αριστοτελείου Πανεπιστηµίου Θεσσαλονίκης (ΑΠΘ). Μέρος της έγινε στο Τηλεπικοινωνιακό Κέντρο (ΤΚ) του ΑΠΘ του οποίου υπήρξα µέλος. Η ανίχνευση απάτης είναι σηµαντική εφαρµογή, διότι οι εταιρείες και οι πάροχοι τηλεπικοινωνιακής πρόσβασης και τηλεπικοινωνιακών υπηρεσιών χάνουν ένα σηµαντικό ποσοστό των εσόδων τους εξαιτίας της. Το γεγονός πως η απάτη πρέπει να εντοπιστεί έγκαιρα και πως το πρόβληµα εµπλέκει στοιχεία από την πολυπλοκότητα της ανθρώπινης συµπεριφοράς, κάνει την ανίχνευση απάτης ένα προκλητικό και ενδιαφέρον πρόβληµα. Εκτός από την ανίχνευση απάτης, η µοντελοποίηση και ο χαρακτηρισµός των χρηστών στις τηλεπικοινωνίες έχει ένα ακόµα κίνητρο. Την κατανόηση της συµπεριφοράς των πελατών ώστε να προβλεφθεί η παροχή προσωποποιηµένων υπηρεσιών καθώς και η βελτίωση της λειτουργίας των παρόχων. Η διατριβή δοµείται σε εννέα κεφάλαια. Στο πρώτο κεφάλαιο δίνεται η γενική περιγραφή του προβλήµατος και γίνεται µια επισκόπηση της σχετικής διεθνούς βιβλιογραφίας. Στο επόµενο κεφάλαιο παρουσιάζεται το περιβάλλον παραγωγής και συλλογής των τηλεπικοινωνιακών δεδοµένων που χρησιµοποιήθηκαν στη διατριβή, ενώ στο τρίτο κεφάλαιο αναλύεται το ισχύον νοµικό πλαίσιο που θέτει τους

ii περιορισµούς και ορίζει τα όρια µέσα στα οποία επιτρέπεται η ανάλυση τους. Η ακολουθία των τριών πρώτων κεφαλαίων έχει σαν στόχο της την εξοικείωση του αναγνώστη µε το περιβάλλον του προβλήµατος ώστε να κατανοήσει τους λόγους που οδήγησαν στη διερεύνηση του. Στα επόµενα τρία κεφάλαια γίνεται η µαθηµατική θεµελίωση των µεθόδων που χρησιµοποιήθηκαν και προσεγγίζεται το πρόβληµα πρώτα σε µια και έπειτα σε πολλές διαστάσεις. Συγκεκριµένα, στο τέταρτο κεφάλαιο περιγράφονται οι τεχνικές, οι µέθοδοι και οι αλγόριθµοι που χρησιµοποιούνται στα επόµενα κεφάλαια και στο πέµπτο κεφάλαιο προσεγγίζεται το πρόβληµα µε µονοδιάστατα δεδοµένα. Στην περίπτωση αυτή χρησιµοποιούνται µέθοδοι ανάλυσης της εποχικότητας και πρόβλεψης χρονοσειρών ώστε να µελετηθεί και να µοντελοποιηθεί στο σύνολό του το περιβάλλον από το οποίο αντλούνται τα δεδοµένα. Στο ίδιο κεφάλαιο, προτείνεται µια µέθοδος για τον εντοπισµό σηµείων αλλαγής στην εξέλιξη χρονοσειρών, η οποία εφαρµόζεται για τον εντοπισµό αλλαγών στη συµπεριφορά χρηστών. Στο έκτο κεφάλαιο προτείνεται η κατασκευή πολυµεταβλητών πορτραίτων των χρηστών για τη µοντελοποίηση της συµπεριφοράς τους. Εφαρµόζονται τεχνικές τεχνητής νοηµοσύνης και εξόρυξης δεδοµένων για την αξιολόγηση της περιγραφικής ικανότητας που έχουν τα πορτραίτα στο διαχωρισµό περιπτώσεων απάτης από περιπτώσεις τυπικής συµπεριφοράς των χρηστών. Το πορτραίτο που περιγράφει καλύτερα το πρόβληµα επιλέγεται και εξάγονται κανόνες που µπορούν να χρησιµοποιηθούν ως κατώφλια απόφασης για τον εντοπισµό περιπτώσεων απάτης. Αλγόριθµοι µετα-µάθησης επιστρατεύονται για να ελεγχθεί η ισχύς των κανόνων. Το έβδοµο κεφάλαιο παρουσιάζει τον τρόπο µε τον οποίο τα συµπεράσµατα από τα προηγούµενα κεφάλαια αλλά και η ειδική γνώση του προβλήµατος χρησιµοποιούνται για την κατασκευή ενός έµπειρου συστήµατος. Το έµπειρο σύστηµα µπορεί να χρησιµοποιηθεί στο περιβάλλον του τηλεπικοινωνιακού δικτύου για τον έλεγχο των λογαριασµών των χρηστών µε στόχο τον εντοπισµό περιπτώσεων απάτης. Στο όγδοο κεφάλαιο παρατίθενται γεγονότα και σκέψεις που αφορούν στο µέλλον των τηλεπικοινωνιών και συγκεκριµένα στις νέες µορφές απάτης που θα εµφανιστούν στα δίκτυα της επόµενης γενιάς καθώς και στους τρόπους αντιµετώπισής τους. Τέλος, τα συµπεράσµατα της διατριβής ανακεφαλαιώνονται στο ένατο κεφάλαιο όπου γίνονται και προτάσεις για µελλοντική έρευνα. Θα ήθελα να ευχαριστήσω θερµά τον επιβλέποντα καθηγητή µου κ. Ιωάννη Σάχαλο που µου έδωσε την ευκαιρία να ασχοληθώ µε το αντικείµενο. Η επιστηµονική

iii καθοδήγηση, η ηθική υποστήριξη και η ενθάρρυνσή του όλα αυτά τα χρόνια υπήρξαν καταλυτικές στην πορεία για την ολοκλήρωση της διατριβής. Αισθάνοµαι υποχρεωµένος στους συναδέλφους και φίλους, τον ρ. Σωτήρη Γούδο, υπεύθυνο λειτουργίας του ΤΚ του ΑΠΘ, και τον επίκουρο καθηγητή Ιωάννη Ρέκανο, για τις εποικοδοµητικές συζητήσεις σε πολλά από τα θέµατα που µε απασχόλησαν καθώς και για την συνεχή παρότρυνση. Ευχαριστώ τους καθηγητές και τους συναδέλφους µου στο Εργαστήριο Ραδιοεπικοινωνιών Α.Π.Θ. καθώς και τους συναδέλφους και συνεργάτες µου στο Τηλεπικοινωνιακό Κέντρο Α.Π.Θ., και στο Τ.Ε.Ι. Σερρών για την ανοχή, την κατανόηση και τη συµπαράστασή τους. Τέλος, χωρίς την κατανόηση, την υποστήριξη και την ενθάρρυνση της οικογένειάς µου, των γονέων µου, της συζύγου µου Μαρίας και του γιού µου ηµήτρη, αυτή η διατριβή δεν θα είχε ολοκληρωθεί. Εύχοµαι να µπορέσω να αναπληρώσω το χρόνο που τους στέρησα. Θεσσαλονίκη, 2006 Κωνσταντίνος Σ. Χειλάς

v ΠΕΡΙΕΧΟΜΕΝΑ Πρόλογος...i Περιεχόµενα...v Κεφάλαιο 1...1-3 Εισαγωγή...1-3 1.1 Η έννοια της απάτης...1-4 1.2 Μορφές και εξέλιξη της απάτης στις τηλεπικοινωνίες...1-4 1.2.1 Ιστορική εξέλιξη της τηλεπικοινωνιακής απάτης...1-6 1.2.2 Κατηγορίες τηλεπικοινωνιακής απάτης...1-8 1.3 Προηγούµενη έρευνα...1-10 1.4 Περιπτώσεις απάτης σε συναφείς περιοχές...1-12 1.4.1 Ανίχνευση εισβολών σε υπολογιστικά συστήµατα...1-13 1.4.2 Απάτη µε πιστωτικές κάρτες...1-14 1.4.3 ιερεύνηση απάτης σε άλλες περιοχές...1-14 1.5 Το κίνητρο και η συµβολή της παρούσας διατριβής...1-15 Βιβλιογραφία...1-17 Κεφάλαιο 2...2-1 Καταγραφή και κοστολόγηση τηλεπικοινωνιακών υπηρεσιών...2-1 2.1 Γενικά...2-1 2.2 Ιστορική αναδροµή...2-3 2.3 Συλλογή δεδοµένων κοστολόγησης σε τηλεπικοινωνιακά δίκτυα...2-4 2.4 Προσδιορισµός της ταυτότητας του συνδροµητή...2-6 2.5 Telecommunications Management Network TMN...2-7

vi 2.6 Σύστηµα Σηµατοδοσίας 7 - SS7...2-10 2.7 Συλλογή δεδοµένων χρήσης στο ιαδίκτυο...2-11 2.7.1 Συµπεριφορά χρηστών στο ιαδίκτυο...2-12 2.7.2 Κοστολόγηση δικτυακών υπηρεσιών...2-14 2.8 Καταγραφή δεδοµένων κλήσεων και ασφάλεια του δικτύου...2-17 2.9 Τα δεδοµένα της παρούσας διατριβής...2-19 Βιβλιογραφία...2-20 Κεφάλαιο 3...3-1 Επεξεργασία δεδοµένων και προστασία της ιδιωτικότητας...3-1 3.1 Γενικά...3-1 3.2 Νοµοθετικές παρεµβάσεις σχετικά µε την προστασία των προσωπικών δεδοµένων...3-5 3.2.1 Η Οδηγία 95/46/ΕΚ...3-7 3.2.2 Το ελληνικό νοµοθετικό πλαίσιο...3-8 3.3 Η προστασία της ιδιωτικότητας στις ΗΠΑ. ιαφορές µε την ΕΕ....3-9 3.4 Αντίλογος στην προστασία προσωπικών δεδοµένων. Αυτονοµία και απάτη 3-14 3.5 Προϋποθέσεις υπό τις οποίες επιτρέπεται η επεξεργασία προσωπικών δεδοµένων....3-15 3.5.1 Προστασία τηλεπικοινωνιακών δεδοµένων και ηλεκτρονικών επικοινωνιών...3-17 3.5.1.1 Ασφάλεια και καταγραφή...3-18 3.5.1.2 Επιτρεπτή χρήση από τους παρόχους. Χρεώσεις και µάρκετιγκ..3-19 3.6 Επίλογος...3-21 Βιβλιογραφία...3-21 Κεφάλαιο 4...4-1 Μαθηµατική θεµελίωση...4-1 4.1 Εισαγωγή...4-1 4.2 Χρονικές σειρές και στοχαστικές διαδικασίες...4-1 4.3 Κλασσικές µέθοδοι ανάλυσης χρονοσειρών...4-5 4.3.1 Εποχική αποσύνθεση (Classical Seasonal Decomposition - CSD)...4-5 4.3.2 Εκθετική εξοµάλυνση...4-6 4.3.3 Η µέθοδος S-ARIMA...4-9 4.3.3.1 Αυτοσυσχέτιση και Ανάλυση Εποχικότητας...4-11 4.3.3.2 Επιλογή βέλτιστου µοντέλου...4-13

vii 4.3.3.3 Πρόγνωση µελλοντικών τιµών µε τη µέθοδο ARIMA...4-13 4.4 Μέτρηση της ακρίβειας της πρόγνωσης...4-14 4.5 Ανάλυση παρεµβάσεων και διακοπτόµενες χρονοσειρές...4-16 4.5.1 Κανονικοποιηµένοι σωρείτες...4-18 4.5.2 Λοξότητα και Κύρτωση...4-18 4.5.3 κ-στατιστικές...4-19 4.5.4 Η ανισότητα Chebychev...4-21 4.6 Πιθανότητα και πιθανοφάνεια...4-22 4.6.1 Θεώρηµα Bayes...4-22 4.6.2 Εκτίµηση µέγιστης πιθανοφάνειας (maximum likelihood estimation)......4-24 4.6.2.1 Υπολογισµός διαστηµάτων εµπιστοσύνης...4-25 4.6.2.2 Σύγκριση και επιλογή µοντέλων µέγιστης πιθανοφάνειας...4-26 4.7 Finite Mixture Models...4-27 4.8 Ο αλγόριθµος ΕΜ (Expectation-Maximization)...4-29 4.9 Ανάλυση κύριων παραγόντων (principal component analysis)...4-31 4.10 Νευρωνικά δίκτυα...4-32 4.11 Οµαδοποίηση (clustering)...4-35 4.11.1 Μέθοδοι κατάτµησης (partitioning)...4-38 4.11.2 Ιεραρχικές µέθοδοι οµαδοποίησης (Hierarchical methods)...4-39 4.11.3 Απόσταση µεταξύ οµάδων...4-40 4.11.4 Χαρακτηριστικά των οµάδων...4-41 4.11.5 Κριτήρια ποιότητας της οµαδοποίησης...4-42 4.11.5.1 Σιλουέτες (silhouettes)...4-42 4.11.5.2 ενδρογράµµατα...4-43 4.12 έντρα αποφάσεων (decision trees)...4-44 Βιβλιογραφία...4-47 Κεφάλαιο 5...5-1 Ανάλυση τηλεπικοινωνιακών δεδοµένων σε µια διάσταση...5-1 5.1 Εισαγωγή...5-1 5.2 Ανάλυση συγκεντρωτικών δεδοµένων κλήσης...5-2 5.3 Σύγκριση µεθόδων...5-6 5.4 Συµπεράσµατα από την ανάλυση συγκεντρωτικών δεδοµένων κλήσης...5-10 5.5 Ανάλυση παρεµβάσεων...5-14

viii 5.5.1 Μεθοδολογική προσέγγιση...5-16 5.5.2 Αποτελέσµατα προσοµοιώσεων: Εξάρτηση από το µέγεθος της παρέµβασης και το µέγεθος του παραθύρου...5-20 5.5.3 Εφαρµογή σε πραγµατικά δεδοµένα: Ανίχνευση απάτης...5-27 5.6 Συµπεράσµατα κεφαλαίου...5-31 Βιβλιογραφία...5-33 Κεφάλαιο 6...6-1 Πολυµεταβλητή ανάλυση: εφαρµογή µεθόδων εξόρυξης δεδοµένων...6-1 6.1 Μοντελοποίηση χρηστών...6-1 6.2 Πορτραίτα χρηστών...6-3 6.3 Σύγκριση µεταξύ διαφορετικών χρηστών...6-5 6.3.1 Πειραµατικά αποτελέσµατα...6-8 6.4 Πορτραίτα χρηστών για την ανίχνευση απάτης...6-14 6.4.1 Ικανότητα των πορτραίτων στον εντοπισµό απάτης...6-16 6.5 Μάθηση χωρίς επίβλεψη Οµαδοποίηση...6-24 6.6 έντρα αποφάσεων εξαγωγή κανόνων...6-33 6.6.1 Στατιστικά µέτρα για τη σύγκριση αποτελεσµάτων...6-34 6.6.2 Τα δεδοµένα...6-35 6.6.3 Επιλογή παραµέτρων...6-37 6.6.4 Αποτελέσµατα επεξεργασίας µε δέντρα αποφάσεων...6-38 6.7 Εφαρµογή µεθόδων µετα-µάθησης...6-48 6.8 Συµπεράσµατα κεφαλαίου...6-51 Βιβλιογραφία...6-54 Κεφάλαιο 7...7-1 Κατασκευή έµπειρου συστήµατος...7-1 7.1 Γενικά...7-1 7.2 Ανάπτυξη έµπειρου συστήµατος για τον εντοπισµό απάτης στο περιβάλλον του ΤΚ του ΑΠΘ...7-4 7.2.1 Προδιαγραφές λειτουργίας....7-5 7.2.2 Περιβάλλον λειτουργίας του δικτύου Εξαγωγή κανόνων...7-7 7.2.3 οµή έµπειρου συστήµατος...7-11 7.2.4 Μετρήσεις...7-17 7.3 Συµπεράσµατα κεφαλαίου...7-19 Βιβλιογραφία...7-21

ix Κεφάλαιο 8...8-1 Επεκτάσεις των συστηµάτων και συστηµατική µελέτη υποδοµών µεταφοράς φωνής & δεδοµένων...8-1 8.1 Γενικά...8-1 8.2 Προκλήσεις και χαρακτηριστικά των τηλεπικοινωνιών της επόµενης γενιάς..8-3 8.3 Πορτραίτα χρηστών και διάθεση υπηρεσιών...8-7 8.3.1 Συστήµατα που κάνουν συστάσεις: µια εφαρµογή σε λειτουργία...8-9 8.4 Εντοπισµός απάτης στα δίκτυα επόµενης γενιάς...8-10 8.5 Σκέψεις για την πολιτική χρήσης των τηλεπικοινωνιών...8-15 8.6 Επίλογος κεφαλαίου...8-17 Βιβλιογραφία...8-18 Κεφάλαιο 9...9-1 Ανακεφαλαίωση συµπερασµάτων και προτάσεις για µελλοντική έρευνα...9-1 9.1 Προτάσεις και σκέψεις για µελλοντική έρευνα...9-3 ΠΑΡΑΡΤΗΜΑ Α...9-1

Κεφάλαιο 1 ΕΙΣΑΓΩΓΗ Στην παρούσα διατριβή ασχολούµαστε µε το πρόβληµα της µοντελοποίησης της συµπεριφοράς χρηστών σε τηλεπικοινωνιακά δίκτυα µε στόχο τον εντοπισµό περιπτώσεων τηλεπικοινωνιακής απάτης. Η µοντελοποίηση των χρηστών γίνεται µε τη µορφή πορτραίτων και η επιλογή του καταλληλότερου είναι ένας από τους στόχους. Επειδή δεν είµαστε σε θέση να γνωρίζουµε τις ακριβείς προθέσεις των χρηστών, υποθέτουµε ότι αυτές αντανακλούνται στα δεδοµένα χρήσης του δικτύου. Τα πορτραίτα που κατασκευάζουµε µπορεί να είναι µονοδιάστατα ή πολυδιάστατα. Τα µονοδιάστατα πορτραίτα είναι στην ουσία χρονοσειρές στις οποίες η µεταβλητή είναι ένα από τα µεγέθη χρήσης του δικτύου από τον χρήστη (π.χ. αριθµός κλήσεων ανά µέρα, MByte πληροφορίας που κατέβασε σε µια µέρα, κ.ο.κ). Τα πολυδιάστατα αποτελούνται από περισσότερες µεταβλητές που µπορεί να είναι κάποια από τα δεδοµένα χρήσης του δικτύου χωρισµένα ανά προορισµό ή ανά ώρα της ηµέρας. Τα πορτραίτα αναλύονται µε µεθόδους από την στατιστική, την τεχνητή νοηµοσύνη και την περιοχή της εξόρυξης δεδοµένων. Απάτη είναι, γενικά, εκείνη η πράξη κατά την οποία ο απατεώνας αποδίδει ψεύτικες ιδιότητες σε άτοµο ή πράγµα µε σκοπό να κερδίσει κάποιου είδους πλεονέκτηµα. Συγκεκριµένα, στις τηλεπικοινωνίες απάτη είναι οποιαδήποτε ενέργεια δίνει πρόσβαση σε τηλεπικοινωνιακές υπηρεσίες για τις οποίες ο χρήστης δεν έχει σκοπό να πληρώσει. Η ανίχνευση απάτης είναι σηµαντική εφαρµογή, διότι οι πάροχοι τηλεπικοινωνιακών υπηρεσιών χάνουν ένα σηµαντικό ποσοστό των εσόδων τους εξαιτίας της. Εκτός από την ανίχνευση απάτης, η µοντελοποίηση των χρηστών στις

1-4 κεφάλαιο 1 τηλεπικοινωνίες έχει ένα ακόµα κίνητρο. Την κατανόηση της συµπεριφοράς των πελατών ώστε να προβλεφθεί η παροχή προσωποποιηµένων υπηρεσιών καθώς και η βελτίωση της λειτουργίας των παρόχων. ύο αντίθετες αλλά συµπληρωµατικές προσεγγίσεις χρησιµοποιούνται σε αυτή τη διατριβή. Η µια είναι η απόλυτη προσέγγιση κατά την οποία τυποποιείται η κανονική και η παράνοµη συµπεριφορά µέσω κανόνων, και ορίζονται κατώφλια τα οποία χρησιµοποιούνται για να κατατάξουν τη συµπεριφορά. Η άλλη είναι µια διαφορική προσέγγιση, κατά την οποία µοντελοποιείται η γνωστή συµπεριφορά του χρήστη και επιδιώκεται η ανίχνευση αποκλίσεων που ενδεχοµένως υποδεικνύουν απάτη. 1.1 Η έννοια της απάτης Όπως αναφέρθηκε, απάτη είναι γενικά εκείνη η πράξη κατά την οποία ο απατεώνας αποδίδει ψεύτικες ιδιότητες σε άτοµο ή πράγµα µε σκοπό να κερδίσει ένα άδικο πλεονέκτηµα. Με άλλα λόγια είναι εκείνη η πράξη που στόχο της έχει τον προσπορισµό κέρδους εξαπατώντας τρίτους. Οι παραδοσιακές µορφές οικονοµικής απάτης περιλαµβάνουν το ξέπλυµα βρώµικου χρήµατος και την παραχάραξη νοµισµάτων. Σήµερα, µε την εξέλιξη και το βαθµό διείσδυσης των ηλεκτρονικών επικοινωνιών στη ζωή και τις συναλλαγές των ανθρώπων έχουν εµφανιστεί νέες µορφές απάτης. Η τηλεπικοινωνιακή απάτη και οι εισβολές σε υπολογιστικά συστήµατα είναι χαρακτηριστικά παραδείγµατα. Όσο παλιές είναι οι µορφές απάτης τόσο παλιές είναι και οι προσπάθειες εντοπισµού και αποκάλυψής τους. Το περίφηµο «Εύρηκα!» του Αρχιµήδη αναφέρεται στην πρώτη αποκάλυψη απάτης που βασίστηκε σε πειραµατικά δεδοµένα. 1.2 Μορφές και εξέλιξη της απάτης στις τηλεπικοινωνίες Τηλεπικοινωνιακή απάτη είναι οποιαδήποτε ενέργεια µέσω της οποίας κάποιος αποκτά πρόσβαση σε τηλεπικοινωνιακές υπηρεσίες για τις οποίες δεν έχει σκοπό να πληρώσει, [1]. Βάσει αυτού του ορισµού η τηλεπικοινωνιακή απάτη περιλαµβάνει ενέργειες τόσο των εσωτερικών όσο και εξωτερικών χρηστών ενός δικτύου και µπορεί να ανιχνευθεί µόνον αφότου έχει συµβεί. Έτσι, είναι χρήσιµο να διαχωρίσουµε την αποτροπή από την ανίχνευση της απάτης, [2]. Οι µηχανισµοί αποτροπής της απάτης είναι όλα τα µέτρα που λαµβάνονται για να προστατευθούν τα συστήµατα από τη µη εξουσιοδοτηµένη χρήση. Οι συνδροµητικές κάρτες SIM (Subscriber Identity Module) των κινητών τηλεφώνων και τα ιδακτορική διατριβή Κωνσταντίνου Σ. Χειλά

Εισαγωγή 1-5 συνθηµατικά πρόσβασης σε ένα υπολογιστικό σύστηµα είναι παραδείγµατα προληπτικών µηχανισµών. Κανένας µηχανισµός αποτροπής δεν είναι τέλειος και συνήθως αποτελεί µια συµβιβαστική λύση µεταξύ της αποτελεσµατικότητας και της ευκολίας χρήσης. Από την άλλη µεριά, οι µηχανισµοί ανίχνευσης της απάτης έχουν σαν στόχο τον εντοπισµό της όσο πιο σύντοµα γίνεται, από τη στιγµή που συνέβη. Το πρόβληµα που πρέπει να αντιµετωπιστεί είναι η συνεχής εξέλιξη των µεθόδων απάτης. Ακόµα περισσότερο όταν µια µέθοδος εντοπισµού απάτης γίνει γνωστή οι δράστες αναπροσαρµόζουν τη στρατηγική τους ή δοκιµάζουν άλλες. Η εξέλιξη των µεθόδων ανίχνευσης, η ενηµέρωση για νέες µορφές απάτης καθώς και η σχετική ανταλλαγή ιδεών είναι περιορισµένες για δύο κυρίως λόγους. Ο πρώτος είναι ότι η λεπτοµερής περιγραφή των µεθόδων εντοπισµού απάτης βοηθά τους δράστες της να αποφεύγουν την ανίχνευση. Ο δεύτερος λόγος είναι ότι πολλές εταιρείες αποφεύγουν να δηµοσιοποιήσουν περιπτώσεις απάτης που έχουν εντοπίσει για να µη θιγεί το κύρος και η αξιοπιστία τους. Πρόληψη Ανίχνευση Αντίδραση Ανάνηψη Μη ανιχνευθείσες επιθέσεις Επιθέσεις Πληγέν σύστηµα Συναγερµοί ανάνηψη Μηχανισµοί αποτροπής Μηχανισµοί ανίχνευσης Ενεργά αντίµετρα Σχήµα 1-1. Αντίµετρα κατά της τηλεπικοινωνιακής απάτης Ένα ακόµα σηµαντικό εµπόδιο στην έρευνα κατά της απάτης είναι οι τεράστιες ποσότητες δεδοµένων που πρέπει να εξετάζονται. Τα δεδοµένα αυτά µπορεί να κυµαίνονται από µερικές δεκάδες χιλιάδες εγγραφές ανά µέρα για έναν οργανισµό µε 3 ή 4 χιλιάδες εργαζόµενους, µέχρι εκατοντάδες εκατοµµύρια εγγραφές για παρόχους που λειτουργούν σε εθνικό επίπεδο. Επίσης, σήµερα, ο όρος τηλεπικοινωνίες είναι

1-6 κεφάλαιο 1 πιο ευρύς από ποτέ. Περιλαµβάνει συστήµατα τόσο σταθερής όσο και κινητής πρόσβασης, συστήµατα που βασίζονται σε παραδοσιακές τηλεπικοινωνιακές τεχνολογίες (PSTN, ISDN) αλλά και συστήµατα που χρησιµοποιούν ως πλατφόρµα τους το ιαδίκτυο. Η πληθώρα τεχνολογιών πρόσβασης και προσφερόµενων υπηρεσιών αλλά και ο ρυθµός εισόδου νέων εταιρειών στην αγορά µε αυξηµένες ανάγκες προσέλκυσης πελατών, καθιστά τον εντοπισµό απάτης ακόµα πιο δύσκολο. 1.2.1 Ιστορική εξέλιξη της τηλεπικοινωνιακής απάτης Η πρώτη µορφή τηλεπικοινωνιακής απάτης υφίσταται ακόµη και σήµερα. Πρόκειται για την παράλληλη σύνδεση καλωδίων από κάποιον τρίτο στο καλώδιο της παροχής ενός νόµιµου συνδροµητή. Με τον τρόπο αυτό ο τρίτος χρησιµοποιεί τη γραµµή του συνδροµητή για να κάνει και τα δικά του τηλεφωνήµατα. Η µέθοδος µπορεί να χρησιµοποιηθεί και για συνακρόαση καταγραφή συνοµιλιών. Από τεχνικής πλευράς το µόνο που απαιτείται είναι πρόσβαση σε κάποιο σηµείο του καλωδίου του συνδροµητή. Συνήθως, η πρόσβαση γίνεται στους τοπικούς κατανεµητές του δικτύου που βρίσκονται στις εισόδους των κτιρίων. Η παραπλάνηση του συστήµατος σηµατοδοσίας ( blue boxing ) είναι µια µέθοδος που χρησιµοποιήθηκε πολύ κατά τη διάρκεια της δεκαετίας του 70. Η πιο γνωστή ιστορία είναι αυτή του John Draper, ο οποίος χρησιµοποιούσε µια σφυρίχτρα που υπήρχε σαν δώρο µέσα σε κουτί δηµητριακών για να αρχικοποιεί τη γραµµή του τηλεφώνου και να σταµατάει την καταγραφή του τηλεφωνήµατος. Ο ήχος της σφυρίχτρας (2600Hz) ήταν ακριβώς ο τόνος σηµατοδοσίας του συστήµατος µέσω της οποίας τα κυκλώµατα της AT&T έµπαιναν σε κατάσταση «αναµονής» και έδιναν πρόσβαση σε εξωκείµενες γραµµές χωρίς καταγραφή κόστους. Τεχνικά η απάτη βασίστηκε στον τρόπο µετάδοσης τόσο της φωνής όσο και της σηµατοδοσίας από κοινό κανάλι (in-band signaling), [3]. Με παρόµοιες τεχνικές τροποποιούνταν η λειτουργία κοινόχρηστων τηλεφώνων τα οποία χρησιµοποιούνταν χωρίς χρέωση. Το φαινόµενο ήταν ιδιαίτερα έντονο σε πανεπιστηµιουπόλεις ανά τον κόσµο. Οι κλεµµένες πιστωτικές κάρτες και οι κωδικοί τους χρησιµοποιούνται ακόµη και σήµερα για κλήσεις. Παλιότερα η λειτουργία γίνονταν µέσω τηλεφωνητή ενώ σήµερα τα περισσότερα κοινόχρηστα καρτοτηλέφωνα δέχονται και πιστωτικές κάρτες. Οι αδυναµίες των τηλεφωνικών κέντρων µεγάλων εταιρειών χρησιµοποιούνται για τη κλήση µακρινών προορισµών. Η χρήση της γραµµής DISA (Direct Inward Systems ιδακτορική διατριβή Κωνσταντίνου Σ. Χειλά

Εισαγωγή 1-7 Access) που διαθέτουν τα τηλεφωνικά κέντρα δίνει σε κάποιον τη δυνατότητα να καλέσει µακρινούς προορισµούς είτε βρίσκεται εντός είτε εκτός της εταιρείας. Η ενεργοποίηση αυτής της δυνατότητας στα τηλεφωνικά κέντρα χωρίς προστασία δίνει τη δυνατότητα σε οποιονδήποτε να τη χρησιµοποιήσει. Τη δυνατότητα για πρόσβαση σε εξερχόµενα κυκλώµατα δίνουν και πολλά συστήµατα ταχυδροµείου φωνής τα οποία επίσης χρειάζονται προστασία (συνθηµατικά για την πρόσβαση ή απενεργοποίηση της δυνατότητας), [4]. Οι πρώτες γενιές κινητών τηλεφώνων ήταν πολύ επιρρεπείς σε τεχνικές επιθέσεις. Τα πρώτα συστήµατα δεν παρείχαν καµία κρυπτογράφηση κι έτσι ήταν ανοικτά σε συνακροάσεις. Μια άλλη τεχνική που χρησιµοποιήθηκε στις ΗΠΑ είναι το tumbling. Οι σειριακοί αριθµοί κλεµµένων ή µη συσκευών εναλλάσσονταν διαδοχικά σε ένα τερµατικό ώστε από τη µία να µην εντοπίζεται και από την άλλη να χρεώνεται η κλήση στους πραγµατικούς κατόχους των αριθµών. Ένας άλλος τρόπος επιβάρυνσης του νόµιµου συνδροµητή είναι ο κλωνισµός (cloning). Στον κλονισµό αντιγράφονται οι παράµετροι αυθεντικοποίησης ενός κινητού (η κάρτα SIM και ο σειριακός αριθµός της συσκευής) σε άλλες συσκευές τις οποίες το δίκτυο αντιλαµβάνεται σαν µία. Οι περιπτώσεις κλονισµού κινητών γνώρισαν µεγάλη έξαρση στις ΗΠΑ τη δεκαετία του 90, [5]. Οι υπηρεσίες που παρέχουν ηχογραφηµένα µηνύµατα πληροφορίας ή ζωντανές συζητήσεις (Premium Rate Services PRS) είναι άµεσα συνδεδεµένες µε περιπτώσεις απάτης. Οι υπηρεσίες αυτές (γνωστές στην Ελλάδα ως 090) κοστίζουν ακριβά κι ένα ποσοστό του κόστους αποδίδεται από τον φορέα αρχικοποίησης της κλήσης στον φορέα πάροχο τερµατισµού. Αν ο τελευταίος είναι ένα εικονικός πάροχος και είναι ο ίδιος που «προσφέρει» και την υπηρεσία, τότε µπορεί να έχει µεγάλα κέρδη από τα ποσοστά που του αναλογούν. Πολλές φορές η υποσχόµενη υπηρεσία δεν προσφέρεται καθόλου και στη θέση της υπάρχουν ηχογραφηµένα µηνύµατα και µουσική αναµονής µε στόχο να παραµείνει ο καλών συνδεδεµένος για περισσότερο χρόνο. Τέλος, η πιο νέα µορφή τηλεπικοινωνιακής απάτης είναι εκείνη που σχετίζεται µε τη σύναψη συµβάσεων µε πλαστά στοιχεία. Ονοµάζεται απάτη συµβολαίου ή συνδροµής και θα αναφερθούµε σε αυτήν παρακάτω.

1-8 κεφάλαιο 1 1.2.2 Κατηγορίες τηλεπικοινωνιακής απάτης Η τηλεπικοινωνιακή απάτη έχει µερικά χαρακτηριστικά που την κάνουν ιδιαίτερα ελκυστική στους επίδοξους απατεώνες. Το κύριο χαρακτηριστικό είναι ότι ο κίνδυνος εντοπισµού είναι µικρός. Αυτό συµβαίνει επειδή όλες οι ενέργειες γίνονται από µακριά και η τοπολογία και το µέγεθος των δικτύων κάνουν τη διαδικασία εντοπισµού χρονοβόρα και ακριβή. Από την άλλη είτε δεν απαιτείται καθόλου εξοπλισµός ή αυτός είναι πολύ φτηνός. Για παράδειγµα, απλά η γνώση ενός κωδικού πρόσβασης, που µπορεί να αποκτηθεί και µε µεθόδους κοινωνικής µηχανικής (social engineering), καθιστά εφικτή την εκτέλεση απάτης. Τέλος, το προϊόν της επίθεσης, δηλαδή ένα τηλεφώνηµα, είναι άµεσα µετατρέψιµο σε χρήµα. Η παράνοµη πώληση του παράνοµα αποκτηθέντα χρόνου πρόσβασης σε τηλεπικοινωνιακά συστήµατα είναι µεγάλη επιχείρηση, [6]. Αναφέρονται τέσσερις κύριες υποκατηγορίες τηλεπικοινωνιακής απάτης, η τεχνική απάτη (technical fraud), η απάτη συµβολαίου (contractual fraud), η απάτη µε µορφή πειρατείας (hacking fraud), και η διαδικαστική απάτη (procedural fraud), [1]. Η τεχνική απάτη αφορά σε επιθέσεις σε αδύναµα σηµεία ενός συστήµατος. Απαιτεί ειδικές τεχνικές γνώσεις από τον επιτιθέµενο. Από τη στιγµή που ένα αδύναµο σηµείο ενός συστήµατος αποκαλυφθεί η γνώση διαχέεται γρήγορα και σε εκείνους που δεν έχουν την κατάλληλη τεχνική εµπειρία. Παράδειγµα τεχνικής απάτης είναι ο κλωνισµός των κινητών τηλεφώνων. Είναι χαρακτηριστικό παράδειγµα τεχνολογίας η οποία όταν βρίσκεται στα πρώτα στάδια ανάπτυξής της παρουσιάζει κενά ασφάλειας που µπορεί να χρησιµοποιήσει κάποιος παράνοµα. Μια από τις µεθόδους ανίχνευσής της είναι ο έλεγχος για ταυτόχρονα τηλεφωνήµατα ή για τηλεφωνήµατα που γίνονται από περιοχές τόσο αποµακρυσµένες ώστε να είναι αδύνατο να µεταφερθεί ο χρήστης από την µια στην άλλη µέσα στο χρονικό διάστηµα που χωρίζει τις κλήσεις. Η µέθοδος είναι γνωστή ως παγίδα ταχύτητας (velocity trap). Η απάτη συµβολαίου ή συνδροµής αναφέρεται σε εκείνες τις περιπτώσεις που κάποιος γίνεται συνδροµητής σε µια υπηρεσία, συνήθως µε πλαστή ταυτότητα, για την οποία δεν προτίθεται να πληρώσει. Η ανίχνευση της απάτης µπορεί να γίνει µόνο µετά τη λήξη της περιόδου εξόφλησης του σχετικού λογαριασµού. Στην κατηγορία αυτή εκτός από τις περιπτώσεις ατόµων που γίνονται συνδροµητές κινητών και δεν πληρώνουν ποτέ µέχρι τη διακοπή του συµβολαίου, ανήκουν και σύγχρονες µορφές απάτης που εκµεταλλεύονται τους οικονοµικούς διακανονισµούς µεταξύ παρόχων καθώς και τις θεσµικές και διαδικαστικές διαφορές που ελέγχουν το καθεστώς ιδακτορική διατριβή Κωνσταντίνου Σ. Χειλά

Εισαγωγή 1-9 αδειοδότησης από χώρα σε χώρα. Οι διακρατικές συµφωνίες καθορίζουν ποσοστά επί του κόστους των κλήσεων τα οποία αποδίδονται στον φορέα τερµατισµού της κλήσης. Αν αυτός είναι ένας εικονικός φορέας σε µια χώρα µε χαλαρό σύστηµα αδειοδότησης µπορεί να δηµιουργήσει κέρδος από τον τερµατισµό εικονικών κλήσεων που προέρχονται από το εξωτερικό της. Η απάτη συµβολαίου είναι η πιο «µοντέρνα» και ταχύτατα εξελισσόµενη περίπτωση απάτης, [7]. Η απάτη πειρατείας αναφέρεται σε εκείνες τις περιπτώσεις όπου ο απατεώνας αποκτά πρόσβαση στο δίκτυο µιας εταιρείας και πουλά πόρους της εταιρείας σε τρίτους. Χαρακτηριστική περίπτωση είναι ο εντοπισµός των εξερχόµενων γραµµών ενός δικτύου και η παροχή πρόσβασης σε ακριβές κλήσεις µέσω αυτών σε τρίτους. Αντίστοιχη είναι η περίπτωση πώλησης υπολογιστικής ισχύος από τους υπολογιστές ενός οργανισµού. Μια συχνή περίπτωση µικρο-απάτης είναι η εξής. Τα ιδιωτικά δίκτυα εταιρειών και οργανισµών συνήθως επιτρέπουν στο προσωπικό τους τη δωρεάν πρόσβαση σε αστικά τηλεφωνήµατα. Ο εργαζόµενος καλεί δύο φίλους ή συγγενείς και χρησιµοποιώντας την υπηρεσία της τηλε-διάσκεψης τους βάζει σε συνοµιλία χρεώνοντας την εταιρεία. Μια άλλη περίπτωση είναι εκείνη που ο υπάλληλος χρησιµοποιεί την παροχή δωρεάν κλήσεων καθώς και τον υπολογιστή του γραφείου του ώστε να έχει δωρεάν πρόσβαση στο ιαδίκτυο από το σπίτι του. Η διαδικαστική απάτη σχετίζεται µε επιθέσεις στις αδυναµίες των διαδικασιών τις επιχείρησης µε στόχο την πρόσβαση στο σύστηµα. Έτσι, κάποιος µπορεί να παραποιήσει παραστατικά ενεργοποίησης λογαριασµών και να καρπωθεί την υπηρεσία κατά τη διάρκεια του χρόνου επεξεργασίας τους. Στη βιβλιογραφικά αναφορά, [8], παρουσιάζονται δώδεκα διαφορετικές περιπτώσεις τηλεπικοινωνιακής απάτης. Στο ίδιο άρθρο παρουσιάζεται και το νοµικό καθεστώς που αφορά τόσο στην ίδια την απάτη όσο και στα συστήµατα ανίχνευσής της. Η προστασία του απορρήτου των επικοινωνιών και της έρευνας καθώς και η προστασία της ιδιωτικότητας των χρηστών είναι τα σηµαντικότερα στοιχεία που αναφέρονται. Η εµπειρία έχει δείξει πως υπάρχουν και άλλες παραλλαγές ή συνδυασµοί τους. Ένα παράδειγµα είναι όταν κάποιος γίνει συνδροµητής σε µια υπηρεσία χωρίς να σκοπεύει να πληρώσει (απάτη συµβολαίου) και µετά πουλάει την υπηρεσία σε τρίτους (απάτη πειρατείας). Μια ακόµα χαρακτηριστική περίπτωση τηλεπικοινωνιακής απάτης, και αυτή που παρατηρείται συχνότερα στο περιβάλλον από το οποία αντλήθηκαν τα δεδοµένα που χρησιµοποιούνται σε αυτή τη διατριβή, είναι η υπερτιθέµενη απάτη (superimposed

1-10 κεφάλαιο 1 fraud). Σε αυτή ο απατεώνας χρησιµοποιεί τον κωδικό πρόσβασης ενός νόµιµου χρήστη επιβαρύνοντας το λογαριασµό του. Από την οπτική της χρήσης της υπηρεσίας ο κλωνισµός κινητών είναι ουσιαστικά µια περίπτωση υπερτιθέµενης απάτης. Αντίθετα µε ό,τι θα περίµενε κανείς, οι προπληρωµένες υπηρεσίες είναι επίσης ένας σηµαντικός στόχος των απατεώνων. Σε πρώτη µατιά οι προπληρωµένες υπηρεσίες, π.χ. καρτοκινητά, εξασφαλίζουν στην εταιρεία πάροχο πως τα τέλη χρήσης της υπηρεσίας έχουν πληρωθεί πριν τη χρήση της. Η υπηρεσίες αυτές έχουν, όµως, ένα σηµαντικό δέλεαρ για τον επίδοξο απατεώνα, την ανωνυµία του χρήστη. Αν κάποιος µπορεί να εισβάλει στους µεταγωγείς του παροχέα και να επέµβει στις ρυθµίσεις, τότε έχει τη δυνατότητα να προσθέτει πιστωτικές µονάδες σε µια προπληρωµένη υπηρεσία, να εισάγει συγκεκριµένους προορισµούς κλήσης σε λίστες µε αριθµούς πρώτης ανάγκης (που συνήθως δεν χρεώνονται), ή ακόµα να αντιστρέψει τη διαδικασία αφαίρεσης µονάδων που γίνεται µετά από κάθε κλήση και να κάνει την προπληρωµένη υπηρεσία να συµπεριφέρεται σαν υπηρεσία συµβολαίου. Η Ένωση για τον Έλεγχο Τηλεπικοινωνιακής Απάτης (Communications Fraud Control Association - CFCA), µε έδρα το Φοίνιξ των ΗΠΑ, ανακοίνωσε τα αποτελέσµατα µιας παγκόσµιας έρευνας που διεξήγαγε το 2003. Σύµφωνα µε αυτή οι απώλειες των εταιρειών εξαιτίας περιπτώσεων απάτης εκτιµώνται στην περιοχή των 35 40 εκατοµµυρίων δολαρίων ΗΠΑ. Επανάληψη της έρευνας το 2005 έδειξε αύξηση αυτών των µεγεθών της τάξης του 52%. Τα ποσά αντιστοιχούν στο 5% των εσόδων των εταιρειών. Το 85% των εταιρειών που συµµετείχαν ανέφεραν µεγέθυνση του προβλήµατος, ενώ το 65% ανέφερε περιστατικά απάτης στις ίδιες. Τέλος, όπως αναφέρεται στην έρευνα, το 47,5% των περιπτώσεων απάτης αφορούσαν σε απάτες συµβολαίου, κλοπής ταυτότητας και συνέβησαν σε ιδιωτικά τηλεφωνικά κέντρα και συστήµατα ταχυδροµείου φωνής, [9]. Στην ίδια έρευνα η τηλεπικοινωνιακή απάτη συνδέεται στενά µε τη χρηµατοδότηση τροµοκρατικών οργανώσεων ανά τον κόσµο. 1.3 Προηγούµενη έρευνα Από όσα αναφέρθηκαν µέχρι τώρα συνάγεται ότι οι περιπτώσεις απάτης στις τηλεπικοινωνίες µπορούν να χαρακτηριστούν από σενάρια απάτης που σχετίζονται µε το πώς απέκτησε ο απατεώνας την πρόσβαση στο δίκτυο. Μέθοδοι ανίχνευσης που σχεδιάστηκαν για να εντοπίζουν ένα συγκεκριµένο σενάριο είναι πιθανόν να αποτύχουν στον εντοπισµό άλλων. Για παράδειγµα, οι παγίδες ταχύτητας που ιδακτορική διατριβή Κωνσταντίνου Σ. Χειλά

Εισαγωγή 1-11 σχεδιάστηκαν για να εντοπίζουν κλωνισµένα κινητά δεν είναι σε θέση να ανιχνεύσουν περιπτώσεις απάτης συµβολαίου. Έτσι, το ενδιαφέρον στρέφεται από τη χρήση εξειδικευµένων µεθόδων, στη χρήση µεθόδων που βασίζονται στην ανάλυση της δραστηριότητας του χρήστη. Αυτές οι µέθοδοι χωρίζονται σε δύο κύριες κατηγορίες. Την απόλυτη ανάλυση όπου επιδιώκεται η εύρεση των ορίων µεταξύ νόµιµης και παράνοµης συµπεριφοράς, και τη διαφορική ανάλυση όπου επιδιώκεται ο εντοπισµός αλλαγών στη συµπεριφορά. Και στις δύο περιπτώσεις η ανάλυση επιτυγχάνεται µε τη χρήση στατιστικών και πιθανοτικών µοντέλων, νευρωνικών δικτύων και συστηµάτων που βασίζονται σε κανόνες. Παρακάτω παρατίθεται εν συντοµία και µε χρονολογική σειρά η βιβλιογραφία που είναι σχετική µε τον εντοπισµό τηλεπικοινωνιακής απάτης, αλλά και µε άλλα θέµατα που σχετίζονται µε το αντικείµενο αυτής της διατριβής όπως η µοντελοποίηση χρηστών. Το 1993, οι Davis και Goyal, [5], επιλέγουν να αναλύσουν κάθε χρήστη χωριστά χρησιµοποιώντας εκτός από εξατοµικευµένα και κάποια γενικά κριτήρια, όπως η κλήση ύποπτων προορισµών. Ένας από τους προβληµατισµούς που τίθενται είναι ποια πρέπει να είναι η ισχύς των συναγερµών ώστε να αιτιολογεί τον έλεγχο από έναν αναλυτή. Ο Barson και οι συνεργάτες του χρησιµοποίησαν νευρωνικά δίκτυα για την ανίχνευση ακραίας συµπεριφοράς. Αν και αναφέρουν επίδοση της τάξης του 92,5%, αυτή δεν µπορεί να αξιολογηθεί διότι χρησιµοποίησαν αποκλειστικά προσοµοιωµένα δεδοµένα, [10]. Στην αναφορά [11] χρησιµοποιούνται τεχνικές µάθησης χωρίς επίβλεψη για την κατασκευή βραχυπρόθεσµων και µακρυπρόθεσµων πορτραίτων χρηστών τα οποία συγκρίνονται µεταξύ τους για την διακρίβωση αποκλίσεων. Νευρωνικά δίκτυα ευθείας τροφοδότησης χρησιµοποιούνται στην αναφορά [12] της οποίας οι συγγραφείς κριτικάρουν τη χρήση κατωφλίων ακραίας συµπεριφοράς µε το σκεπτικό ότι αν πρόκειται για νόµιµους χρήστες τότε αυτοί είναι οι καλύτεροι πελάτες του παρόχου. Οι ερευνητικές οµάδες των δύο προηγούµενων αναφορών συνεργάζονται στην ανάπτυξη ενός συστήµατος ανίχνευσης απάτης που περιγράφεται στη [13]. Μια σύγκριση των πιθανοτικών µεθόδων µε εκείνες που χρησιµοποιούν κανόνες δίνεται στην αναφορά [14], ενώ µέλη της ίδιας ερευνητικής οµάδας παρουσιάζουν µια µέθοδο ανίχνευσης απάτης στο περιβάλλον κινητής τηλεφωνίας µε τη χρήση hierarchical regime-switching models, [15]. Το 1999, οι Fawcett και Provost, [16], χρησιµοποίησαν ένα συνδυασµό µεθόδων για να ανιχνεύσουν απάτη. Κατασκεύασαν ένα σύστηµα εκµάθησης κανόνων για να

1-12 κεφάλαιο 1 εντοπίσουν δείκτες απάτης µέσα από σχετικές βάσεις δεδοµένων. Οι δείκτες χρησιµοποιήθηκαν για την κατασκευή πορτραίτων τα οποία τροφοδοτούνται σε ένα σύστηµα που συνδυάζει πορτραίτα συµπεριφοράς. Οι έξοδοι αυτού του συστήµατος συνδυάζονται µεταξύ τους µέσω ενός εκπαιδευόµενου γραµµικού µοντέλου ώστε να παράγονται συναγερµοί. Στο ίδιο συνέδριο, όπου παρουσιάστηκε η προηγούµενη εργασία, ο Rosset και οι συνεργάτες του αναφέρουν ενθαρρυντικά αποτελέσµατα από τη χρήση κανόνων που εξάγονται µε µια παραλλαγή του αλγορίθµου C4.5, [17], ενώ οι Adomavicius και Tuzhilin παρουσιάζουν µια µεθοδολογία κατασκευής πορτραίτων χρηστών µε στόχο όµως την χρήση τους στην προσωπικοποίηση εφαρµογών, [18]. Η χρήση υπερτιθέµενων πιθανοτικών µοντέλων για την µοντελοποίηση συναλλαγών και κατ επέκταση για τη µοντελοποίηση χρηστών είναι το αντικείµενο της αναφοράς [20]. Στο ίδιο άρθρο προτείνεται και η κατάλληλη οπτική απόδοση των πορτραίτων των χρηστών. Με στόχο την παραγωγή πορτραίτων χρηστών που να έχουν τη µορφή «υπογραφών» συµπεριφοράς, οι Lambert και Pinheiro, χρησιµοποιούν τεχνικές εξόρυξης δεδοµένων, [21]. Μια παρουσίαση των στατιστικών µεθόδων που χρησιµοποιούνται για τη µοντελοποίηση χρηστών µαζί µε µια συζήτηση για τον τρόπο που πρέπει να αξιολογείται η επίδοση και τα αποτελέσµατα της κάθε µιας δίνεται στην αναφορά [22]. Μια επιθεώρηση των στατιστικών µεθόδων ανίχνευσης απάτης, η οποία συνοδεύεται και από τα σχόλια ερευνητών µε διαρκή ενασχόληση µε το αντικείµενο, γίνεται στην βιβλιογραφική αναφορά [23]. Πιο πρόσφατη και σύντοµη επιθεώρηση µεθόδων ανίχνευσης απάτης βρίσκεται στο [24], ενώ, τέλος, ο Phua και οι συνεργάτες του, [25], κάνουν µια εκτενή επιθεώρηση τόσο του αντικειµένου όσο και της έρευνας που έχει γίνει µέχρι και το 2005 και καταλήγουν πως η ανίχνευση απάτης µπορεί να ωφεληθεί από την ανταλλαγή ιδεών µε γειτονικές ερευνητικές περιοχές όπως η εξόρυξη κειµένων και οι αντιτροµοκρατικές τεχνικές αν και προσπάθειες µεταφοράς των µεθόδων δεν ήταν πάντα επιτυχείς, [26]. 1.4 Περιπτώσεις απάτης σε συναφείς περιοχές Οι µορφές απάτης που απασχολούν σήµερα την οικονοµία εµφανίζονται σε διάφορες περιοχές. Χαρακτηριστικά αναφέρονται οι απάτες µε πιστωτικές κάρτες, οι απάτες σε συναλλαγές µέσω ιαδικτύου, απάτες στις ασφάλειες και στον τοµέα της υγείας, το ξέπλυµα χρήµατος, οι εισβολές σε υπολογιστικά συστήµατα, οι τηλεπικοινωνιακή απάτη, η απάτες συνδροµών και η κλοπή ταυτότητας. Πολλές από αυτές ιδακτορική διατριβή Κωνσταντίνου Σ. Χειλά

Εισαγωγή 1-13 αλληλεπικαλύπτονται και σε κάθε περίπτωση ο τρόπος διερεύνησής τους είναι κοινός γίνεται µε την ανάλυση των δεδοµένων που παράγονται κατά την αλληλεπίδραση του απατεώνα ή του νόµιµου χρήστη µε το κάθε σύστηµα. Η προσπάθεια να ενταχθούν διαφορετικά πεδία, όπως οι εισβολές σε υπολογιστικά συστήµατα, η ανίχνευση απάτης, ο έλεγχος κίνησης και λειτουργίας των δικτύων και ο έλεγχος της κίνησης σε οµάδες ειδήσεων (news-groups), µέσα σε ένα κοινό πλαίσιο αναδεικνύει τις οµοιότητες και τις διαφορές. Οι Fawcett και Provost, [26], δίνουν το όνοµα έλεγχος δραστηριότητας (activity monitoring) σε µια νέα περιοχή προβληµάτων, όπου στόχος είναι η έγκαιρη ανίχνευση ενδιαφέρουσας δραστηριότητας από παρατηρήσεις σε οντότητες µέσα σε έναν πληθυσµό. 1.4.1 Ανίχνευση εισβολών σε υπολογιστικά συστήµατα Ο στόχος της ανίχνευσης εισβολών (intrusion detection) σε υπολογιστικά συστήµατα είναι η ανίχνευση µη εξουσιοδοτηµένης πρόσβασης σε υπολογιστικά συστήµατα. Οι προσεγγίσεις στο πρόβληµα κατατάσσονται σε δύο γενικές κατηγορίες µεθόδων, την ανίχνευση ανωµαλιών (anomaly detection) και την ανίχνευση κατάχρησης (misuse detection). Με την ανίχνευση ανωµαλιών διερευνάται η ύπαρξη αποκλίσεων από τη συνηθισµένη χρήση του συστήµατος. Κατά την ανίχνευση κατάχρησης συγκρίνονται τα µοτίβα χρήσης του συστήµατος µε γνωστές τεχνικές υπονόµευσης της ασφάλειας υπολογιστικών συστηµάτων, [28]. Από τις πρώτες εργασίες στο αντικείµενο είναι εκείνες του Anderson, [29], και του Denning, [30]. Στις εργασίες αυτές, που θέτουν το θεµέλιο της κατοπινότερης έρευνας, χρησιµοποιούνται οι εγγραφές ελέγχου και τα αρχεία ηµερολογίου των υπολογιστικών συστηµάτων καθώς και η κίνηση του δικτύου. Ο Lunt συνδυάζει τεχνικές που ανήκουν και στις δύο κύριες κατηγορίες στοχεύοντας στην αναίρεση των µειονεκτηµάτων της κάθε µιας, [31]. Αρκετές εργασίες χρησιµοποιούν νευρωνικά δίκτυα για την ανίχνευση εισβολών. Σε άλλες επιδιώκεται η ταξινόµηση της συµπεριφοράς σε κανονική ή σε εισβολή, [32], ενώ σε άλλες επιδιώκεται η εκµάθηση της συµπεριφοράς των χρηστών ώστε να αναγνωρίζεται η νοµιµότητα της, [33]. Στην αναφορά [34] συγκρίνεται η τρέχουσα συµπεριφορά του χρήστη µε την ιστορική του συµπεριφορά και προτείνονται τρόποι και µέτρα σύγκρισης. Η χρήση στατιστικών µοντέλων και πολυµεταβλητών ταξινοµητών µε εφαρµογή σε ασύρµατα ad-hoc δίκτυα προτείνεται στην αναφορά [35], ενώ η οµαδοποίηση της συµπεριφοράς του κάθε χρήστη προτείνεται στην αναφορά [36]. Είναι χαρακτηριστικό ότι σε αυτή την προσέγγιση, όπως και σε

1-14 κεφάλαιο 1 προηγούµενες χρησιµοποιούνται πάρα πολλές, συγκεκριµένα 86, παράµετροι συµπεριφοράς. Ένα θέµα που υποκινεί έντονη ερευνητική δραστηριότητα τα τελευταία χρόνια είναι η κατασκευή έξυπνων συστηµάτων για τον εντοπισµό ενοχλητικών ηλεκτρονικών µηνυµάτων (spam). Οι κυριότερες τακτικές προσέγγισης του προβλήµατος είναι µε πιθανοτικά µοντέλα και νευρωνικά δίκτυα ευθείας τροφοδότησης, [37]. Η περιοχή έχει να επιδείξει και µια από τις πιο καινοτόµες προτάσεις για την αντιµετώπιση της απάτης η οποία χρησιµοποιεί στοιχεία από τη θεωρία παιγνίων, [38]. Σε πρώτη ανάγνωση το πρόβληµα της ανίχνευσης εισβολών σε υπολογιστικά συστήµατα φαίνεται να µοιάζει πολύ µε το πρόβληµα της ανίχνευσης απάτης σε τηλεπικοινωνιακά δίκτυα. Παρόλα αυτά, όπως φαίνεται και από τα συµπεράσµατα της αναφοράς [26], δεν πρέπει να θεωρείται δεδοµένη η επιτυχής µεταφορά συστηµάτων από τη µια περιοχή στην άλλη. 1.4.2 Απάτη µε πιστωτικές κάρτες Η ανίχνευση απάτης µε πιστωτικές κάρτες έχει δύο σηµαντικά χαρακτηριστικά. Το χρονικό περιθώριο για την απόφαση είναι πολύ στενό και ο όγκος των συναλλαγών τεράστιος. Το πρόβληµα έχει προσεγγιστεί µε χρήση έµπειρων συστηµάτων, [35], µε χρήση νευρωνικών δικτύων [40], [41], µε τεχνικές εξόρυξης δεδοµένων, [42], ή µε τη χρήση µεθόδων µετα-µάθησης που συνδυάζουν τα αποτελέσµατα διαφορετικών ταξινοµητών, [43]. Μια πολύ ενδιαφέρουσα εργασία η οποία χρησιµοποιεί δεδοµένα χρήσης πιστωτικών καρτών αλλά δίνει έµφαση στην κατασκευή πορτραίτων χρηστών βρίσκεται στην αναφορά [44]. Η κύρια διαφορά µεταξύ της ανίχνευσης τηλεπικοινωνιακής απάτης και απάτης µε πιστωτικές κάρτες είναι ότι στη δεύτερη το σύστηµα πρέπει να αποφασίσει αν θα επιτρέψει την συναλλαγή πριν να γίνει. Τα δεδοµένα της συναλλαγής και του χρήστη είναι διαθέσιµα πριν την επικύρωσή της. Αντίθετα, στα τηλεπικοινωνιακά συστήµατα τα δεδοµένα που αφορούν στην αλληλεπίδραση µε το σύστηµα είναι, συνήθως, διαθέσιµα µετά το πέρας της. 1.4.3 ιερεύνηση απάτης σε άλλες περιοχές Στο σύνολό τους σχεδόν, οι περιπτώσεις απάτης έχουν σα στόχο τους το οικονοµικό όφελος. Έτσι, δεν είναι περίεργο που ένα µέρος της σχετικής έρευνας αφορά στην ανίχνευση απάτης και σε περιοχές της οικονοµίας όπως οι ασφάλειες, η διοίκηση, η διαχείριση κινδύνου αλλά και η υγεία. Ο Glaskow, 1997, µελετά τον κίνδυνο στην ασφαλιστική βιοµηχανία τον οποίο και διαιρεί σε δύο κατηγορίες, τον κίνδυνο σαν ιδακτορική διατριβή Κωνσταντίνου Σ. Χειλά

Εισαγωγή 1-15 αναπόσπαστο κοµµάτι της δουλειάς και τον κίνδυνο από απάτη, [45], ενώ ο Phua και οι συνεργάτες του παρουσιάζουν µια εφαρµογή µε τεχνικές µετα-µάθησης για την ανίχνευση απάτης στις ασφάλειες αυτοκινήτων [46]. Ο Jensen, [47], παρουσιάζει µια εφαρµογή µεθόδων τεχνητής νοηµοσύνης στην ανίχνευση ξεπλύµατος χρήµατος, ενώ ο Schuerman, [48], και ο Barney, [49], ασχολούνται µε τη διαχείριση κινδύνου στην οικονοµία και τις απάτες στο εµπόριο αντίστοιχα. Ο Allen ασχολείται µε την οπτική αναπαράσταση οικονοµικών συναλλαγών ώστε να διευκολύνει την παραπέρα εξέτασή τους από έναν ειδικό, [50]. Για την περίπτωση απάτης στην υγεία έχουν χρησιµοποιηθεί συστήµατα βασισµένα στη γνώση, [51], καθώς και νευρωνικά δίκτυα για την οµαδοποίηση πορτραίτων ιατρών που σχετίζονται ή όχι µε περιπτώσεις απάτης, [52]. Τέλος, οι τεχνικές που χρησιµοποιούνται από τους επιτήδειους για την κλοπή ή /και την παραποίηση ταυτότητας όπως και οι επιπτώσεις τις ενέργειας αυτής στο θύµα συζητιούνται από τον Hinde στο [53]. Η κλοπή ταυτότητας σχετίζεται µε όλες τις περιπτώσεις απάτης. 1.5 Το κίνητρο και η συµβολή της παρούσας διατριβής Το να εντοπίσει κανείς µια περίπτωση τηλεπικοινωνιακής απάτης µέσα στο πλήθος των κλήσεων που γίνονται είναι σαν να ψάχνει µια βελόνα στα άχυρα. Υπάρχουν ωστόσο διαφορές που κάνουν την εύρεση της βελόνας πιο εύκολη. Η βελόνα δεν µοιάζει πολύ µε άχυρο, τα άχυρα είναι γενικά όλα ίδια µεταξύ τους και, το σηµαντικότερο, ούτε η βελόνα ούτε τα άχυρα µεταβάλλονται µε το χρόνο. Ακόµα το γεγονός πως η απάτη πρέπει να εντοπιστεί έγκαιρα και πως το όλο πρόβληµα εµπλέκει στοιχεία από την πολυπλοκότητα της ανθρώπινης συµπεριφοράς, κάνει την ανίχνευση απάτης ένα αρκετά προκλητικό και ενδιαφέρον πρόβληµα. Από την πλευρά της οικονοµίας και της βιοµηχανίας των τηλεπικοινωνιών η ανίχνευση απάτης είναι σηµαντική εφαρµογή, διότι οι εταιρείες και οι πάροχοι τηλεπικοινωνιακών υπηρεσιών χάνουν ένα σηµαντικό ποσοστό των εσόδων τους εξαιτίας της. Εκτός από την ανίχνευση απάτης, η µοντελοποίηση και ο χαρακτηρισµός των χρηστών στις τηλεπικοινωνίες έχει ακόµα σαν κίνητρο την κατανόηση της συµπεριφοράς των πελατών µε στόχο την παροχή προσωποποιηµένων υπηρεσιών και τη βελτίωση της λειτουργίας των παρόχων. Στην παρούσα διατριβή αντιµετωπίζεται το πρόβληµα της κατάλληλης µοντελοποίησης των χρηστών ώστε να χαρακτηριστεί τόσο η συλλογική όσο και η ατοµική συµπεριφορά τους. Τόσο η ευρετική του προβλήµατος όσο και οι

1-16 κεφάλαιο 1 πειραµατισµοί και τα συµπεράσµατα βασίστηκαν σε πραγµατικά και όχι σε προσοµοιωµένα δεδοµένα. Βασική προϋπόθεση που τίθεται είναι η προστασία της ιδιωτικότητας και αποφεύγεται η χρήση προσωπικών δεδοµένων. Το γεγονός αυτό περιορίζει δραµατικά τον χώρο των εισόδων του προβλήµατος. Έτσι, σε αντίθεση µε άλλες προσεγγίσεις χρησιµοποιείται ένας ελάχιστος αριθµός παραµέτρων για την κατασκευή των πορτραίτων των χρηστών. Τα πορτραίτα που προτείνονται συντάσσονται αρχικά µε κριτήρια κοινής λογικής αλλά χρησιµοποιώντας και την ειδική γνώση του προβλήµατος. Μετά τη κατασκευή των πορτραίτων προτείνεται µια µέθοδος σύγκρισής τους, ελέγχεται η ικανότητά τους στον χαρακτηρισµό των χρηστών και επιλέγεται το καταλληλότερο. Με αυτή τη λογική η αρχική προσέγγιση στο πρόβληµα είναι µια διαφορική προσέγγιση ανά χρήστη. Τα συµπεράσµατα συνδυάζονται µε µεθόδους εξόρυξης δεδοµένων και µετα-µάθησης ώστε να γενικευτούν τα αποτελέσµατα και να εξαχθούν κανόνες για τον διαχωρισµό περιπτώσεων νόµιµης χρήσης και απάτης. Έτσι, χρησιµοποιούνται παράλληλα µέθοδοι απόλυτης και διαφορικής ανάλυσης. Τέλος, οι µέθοδοι συνδυάζονται σε ένα έµπειρο σύστηµα για την ανάλυση των λογαριασµών και την ανίχνευση απάτης. Επίσης, στη διατριβή προτείνεται η χρήση µεθόδων ανάλυσης παρεµβάσεων σε χρονοσειρές ως µια µέθοδος εντοπισµού αλλαγών στη συµπεριφορά. Συµπληρωµατικά, προτείνεται και µια νέα µέθοδος εντοπισµού παρεµβάσεων σε χρονοσειρές η οποία χρησιµοποιεί στατιστικά ανώτερης τάξης. Αν και το κύριο αντικείµενο αυτής της διατριβής είναι ο χαρακτηρισµός των χρηστών ενός τηλεπικοινωνιακού δικτύου µε στόχο τη διάγνωση περιπτώσεων απάτης, οι µέθοδοι που χρησιµοποιούνται για την κατασκευή των πορτραίτων και την ταξινόµηση των περιπτώσεων έχουν ευρύτερη εφαρµογή. Ενδιαφέρουσες εφαρµογές είναι η κατασκευή πορτραίτων για τη διερεύνηση των προτιµήσεων των χρηστών κατά την πλοήγησή τους στο ιαδίκτυο ή για τον εντοπισµό της αγοραστικής τους συνήθειας. Επίσης, σηµαντική είναι η µοντελοποίηση των χρηστών και η κατασκευή πορτραίτων που θα επιτρέπουν την εξατοµικευµένη παροχή διαδικτυακών και τηλεπικοινωνιακών υπηρεσιών, [54]. Στην περίπτωση αυτή κρίνεται σηµαντική η συµµετοχή των ίδιων των χρηστών στην κατασκευή των πορτραίτων που τους αφορούν. ιδακτορική διατριβή Κωνσταντίνου Σ. Χειλά

Εισαγωγή 1-17 Βιβλιογραφία [1] P. Gosset and M. Hyland, Classification, detection and prosecution of fraud in mobile networks, Proceedings of ACTS Mobile Summit, Sorrento, Italy, June 1999. [2] R. J. Bolton and D. J Hand, Statistical fraud detection: a review, Statistical Science, vol. 17, no. 3, 2002. pp. 235 255 [3] Sherr, M., Cronin, E., Clark, S., and Blaze M. "Signaling Vulnerabilities in Wiretapping Systems," IEEE Security & Privacy, vol. 3, no. 6, November/December 2005, pp. 13-25. [4] National Institute of Standards and Technology. PBX Vulnerability Analysis: Finding Holes in Your PBX Before Someone Else Does. Special publication 800-24, June 2000. Προσβάσιµο στη δικτυακή διεύθυνση: http://www.csrc.nist.gov/publications/nistpubs/800-24/sp800-24pbx.pdf. [5] Davis, A., and Goyal, S. Management of cellular fraud: Knowledge-based detection, classification and prevention. In Thirteenth International Conference on Artificial Intelligence, Expert Systems and Natural Language. 1993. [6] Hoath P. Telecoms fraud, the gory details. Computer Fraud & Security, January 1998. pp 10 14. [7] O Shea, D. Beating the bugs: Telecom fraud. Telephony, vol. 232, no. 3, 1997. p24. ικτυακή πρόσβαση [30-9-2006]: http://telephonyonline.com/mag/ telecom_beating_bugs_no/ [8] ACTS ACo95, project ASPeCT: Legal aspects of fraud detection, AC095/KUL/W26/DS/P/25/2, July 1998. [9] Communications Fraud Control Association. http://cfca.org. [10] Barson, P., S. Field, N. Davey, G. McAskie, and R. Frank. The detection of fraud in mobile phone networks. Neural Network World, vol. 6, no. 4, 1996. pp 477 484. [11] Burge, P. and J. Shawe-Taylor. Detecting cellular fraud using adaptive prototypes. In Proceedings of AAAI-97 Workshop on AI Approaches to Fraud Detection & Risk Management, 1997. pp. 9 13. [12] Moreau, Y., and J. Vandewalle. Detection of mobile phone fraud using supervised neural networks: A first prototype. In International Conference on Artificial Neural Networks Proceedings (ICANN 97), 1997. pp. 1065 1070.

1-18 κεφάλαιο 1 [13] Moreau, Y., B. Preenel, P. Burge, J. Shawe-Taylor, C. Stoermann, and C. Cooke. Novel techniques for fraud detection in mobile telecommunication networks. In Proceedings of ACTS Mobile Telecommunications Summit, Granada, Spain. 1996. [14] Taniguchi, M., M. Haft, J. Hollmen, and V. Tresp. Fraud detection in communication networks using neural and probabilistic methods. In Proceedings of the 1998 IEEE International Conference in Acoustics, Speech and Signal Processing (ICASSP 98), Volume II, 1998, pp. 1241 1244. [15] Hollmen, J. and V. Tresp. Call-based fraud detection in mobile communication networks using a hierarchical regime-switching model. In M. Kearns, S. Solla, and D. Cohn (Eds.), Advances in Neural Information Processing Systems 11: Proceedings of the 1998 Conference (NIPS 11), 1999, pp. 889 895. MIT Press. [16] Fawcett, T. and F. Provost. Adaptive fraud detection. Journal of Data Mining and Knowledge Discovery, vol. 1, no. 3, 1997, pp 291 316. [17] Rosset, S., U. Murad, E. Neumann, Y. Idan, and G. Pinkas. Discovery of fraud rules in telecommunications Challenges and solutions. In S. Chaudhuri and D. Madigan (Eds.), Proceedings of the Fifth ACM SIGKDD International Conference on Knowledge Discovery and Data Mining, San Diego, CA, USA, 1999. pp 409 413. [18] Adomavicius, G., and A. Tuzhilin. User profiling in personalization applications through rule discovery and validation. In S. Chaudhuri and D. Madigan (Eds.), Proceedings of the Fifth ACM SIGKDD International Conference on Knowledge Discovery and Data Mining, San Diego, CA, USA, 1999. pp 377 381. [19] Cahill, M. H., D. Lambert, J. C. Pinheiro, and D. X. Sun. Detecting Fraud in the Real World. Ιn Handbook of Massive Datasets, Kluwer Academic Publishers, 2002. pp 911 930. Επίσης διαθέσιµο στη δικτυακή διεύθυνση: http://cm.belllabs.com/cm/ms/departments/sia/jcp/pub.html [20] Cadez, I., P. Smyth, and H. Mannila. Probabilistic modeling of transaction data with applications to profiling, visualization and prediction. Proceedings of the Seventh ACM SIGKDD International Conference on Knowledge Discovery and Data Mining, San Fransisco, CA, USA, 2001. pp 37 46. [21] Lambert, D., and J. C. Pinheiro. Mining a stream of transactions for customer patterns. Proceedings of the Seventh ACM SIGKDD International Conference ιδακτορική διατριβή Κωνσταντίνου Σ. Χειλά

Εισαγωγή 1-19 on Knowledge Discovery and Data Mining, San Fransisco, CA, USA, 2001. pp 305 310. [22] Zuckerman, I., and D. W. Albrecht. Predictive statistical models for user modeling. User Modeling and User-Adapted Interaction, vol. 11, 2001, pp 5 18. [23] Bolton, R. J., and D. J. Hand. Statistical fraud detection: a review. Statistical Science, vol. 17, no. 3, 2002, pp 235 255. [24] Kou, Y., Ch. T. Lu, S. Sirwongwattana, and Y. P. Huan. Survey of fraud detection techniques. Proceedings of the IEEE International Conference on Networking Sensing and Control, Taipei, Taiwan, 2004, pp 749 753. [25] Phua, C., V. Lee, K. Smith, and R. Gayler. A comprehensive survey of data mining-based fraud detection research. 2005. [26] Fawcett, T., and F. Provost. Activity monitoring: Noticing interesting changes in behavior. In S. Chaudhuri and D. Madigan (Eds.), Proceedings of the Fifth ACM SIGKDD International Conference on Knowledge Discovery and Data Mining, San Diego, CA, USA, 1999. pp 53 62. [27] Hinde St. Identity theft & fraud. Computer Fraud & Security. June 2005. pp 18 20. [28] Kumar, S. Classification and detection of computer intrusions. Ph. D. thesis, Purdue University. 1995. [29] Anderson, J. P. Computer security threat monitoring and surveillance. Technical report, James P. Anderson Co. 1980. [30] Denning, D. E. An intrusion-detection model. IEEE Transactions on Software Engineering, SE-13, 1987. pp 222 232. [31] Lunt, T. F. IDES: An intelligent system for detecting intruders. In Proceedings of the Symposium on Computer Security (CS 90), Rome, Italy, 1990. pp. 110 121. [32] Tan, K. The application of neural networks to UNIX computer security. In 1995 IEEE International Conference on Neural Networks, IEEE Press. 1995. pp. 476 481. [33] Ryan, J., M.-J. Ling, and R. Miikkulainen. Intrusion detection with neural networks. In Proceedings of AAAI-97 Workshop on AI Approaches to Fraud Detection & Risk Management, AAAI Press. 1997. pp. 72 77.

1-20 κεφάλαιο 1 [34] Lane, T. and C. E. Brodley. Sequence matching and learning in anomaly detection for computer security. Proceedings of AAAI-97 Workshop on AI Approaches to Fraud Detection & Risk Management, 1997, pp. 43 49. [35] Manikopoulos, C., and S. Papavassiliou. Network intrusion and fault detection: A statistical anomaly approach. IEEE Communications Magazine, October 2002, pp 76 82. [36] Oh, S. H., and W. S. Lee. An anomaly intrusion detection method by clustering normal user behavior. Computers & Security, vol. 22, no. 7, 2003, pp 596 612. [37] Yoshida, K., Adachi, F., Washio, T., Motoda, H., Homma, T., Nakashima, A., Fujikawa, H. & Yamazaki, K. Density-Based Spam Detector. Proceedings of the ACM SIGKDD 04, 2004, pp 486-493. [38] Dalvi, N., Domingos, P., Mausam, Sanghai, P. & Verma, D. Adversarial Classification. Proceedings of the ACM SIGKDD 04, 2004, pp 99-108. [39] Leonard, K. J. Detecting credit card fraud using expert systems. Computers and Industrial Engineering, vol. 25(1 4), 1993. pp 103 106. [40] Ghosh, S. and D. L. Reilly. Credit card fraud detection with a neural network. In Proceedings of the Twenty-Seventh Hawaii International Conference on System Sciences. IEEE Computer Society Press. 1994. pp. 621 630. [41] Dorronsoro, J. R., F. Ginel, C. S anchez, and C. S. Cruz. Neural fraud detection in credit card operations. IEEE Transactions on Neural Networks, vol.8 no. 4, 1997. pp 827 834. [42] Aleskerov, E., B. Freisleben, and B. Rao. CARDWATCH: A neural networkb ased database mining system for credit card fraud detection. In Proceedings of the IEEE/IAFE 1997 Conference on Computational Intelligence for Financial Engineering (CIFEr). 1997. pp. 220 226. [43] Stolfo, S. J., D. W. Fan, W. Lee, and A. L. Prodromidis. Credit card fraud detection using meta-learning: Issues and initial results. In Proceedings of AAAI-97 Workshop on AI Approaches to Fraud Detection & Risk Management, 1997. pp. 83 90. [44] Kokkinaki, A. I. On atypical database transactions: identification of probable fraud using machine learning for user profiling. Proceedings of IEEE Knowledge and Data Engineering Exchange Workshop. 1997. pp 107-113. ιδακτορική διατριβή Κωνσταντίνου Σ. Χειλά