本发明专利技术公开了一种基于工作流网模型的事件日志审计方法。基于合法模型和历史日志,以对事件日志的审计为目的,参照程序语言的分析方法,提出一种全新的事件日志审计方法,它可以针对块结构的过程模型,确定无回溯地进行日志审计。该方法包括以下步骤:(1)根据块结构模型的特点,分析日志审计中存在的问题;(2)针对这些问题,给出相应的解决方法,得到可进行确定无回溯日志审计的模型应满足的条件;(3)给出审计方法。与现有技术相比,本发明专利技术不再局限于概念模型,而是针对块结构过程模型,给出具体的日志审计方法;本发明专利技术给出了可进行确定无回溯日志审计模型应满足的条件;给出了具体的审计算法,满足条件的模型可以高效地进行日志的审计。
【技术实现步骤摘要】
本专利技术涉及一种。
技术介绍
近年来,业务过程的执行情况被各种过程感知信息系统(Process-Aware InformationSystems,PAISs)记录下来。这些系统在对过程进行不同程度追踪的同时,记 录下了大量可供分析的数据。这些数据为过程挖掘的兴起提供了基础和依据。当前过程挖 掘的发展呈现出以下几个特点:(1)过程运行的各种信息以多种方式记录下来,如事件日 志、数据库、数据仓库、审计跟踪、事务日志等;(2)随着业务过程的日益复杂,附加在过程 上的各种规则也越来越多,这些规则可能来自企业外部,如法律或行业的规定,也可能来自 企业内部,如各股东或管理人员的要求。在这种情况下,根据记录的各种信息来判断过程的 执行是否符合现有规则,也就是过程审计,成为过程挖掘的重要研究内容。 过程审计(processaudit)和对齐(alignment)是过程挖掘合规性检查 (comformancechecking)阶段的工作。现有的合规性检查工作,根据待检查事件日志的完 成情况,主要分为两大类:(1)前向检查:根据已有规则,对未完成的实例进行指导和预测, 使其符合已有模型;(2)后向检查:对已经成为历史的事件日志进行分析,判断其与合法模 型(dejuremodels)是否一致并分析出现偏差的原因。其中,后向检查是当前合规性检查 工作的研究重点,多以过程模型与事件日志对齐的方式出现,以找到模型与日志的最优对 齐为目的。同时,根据是否区分活动在整个过程中的重要性程度,分为基于移动(move)步 数的最优校对和基于耗费的最优对齐。 虽然许多研究工作将重点放在了过程对齐上,但在某些领域,如司法或经济领域, 合法模型已经制定,此时研究的重点不应是衡量模型与日志的吻合程度,而应是判断模型 与事件日志是否完全拟合,即依照过程模型对日志进行审计。过程审计,有狭义和广义两方 面的定义。狭义的过程审计和过程对齐共同构成过程的合规性检查。合规性检查通过比较 历史事件日志和过程模型,来定位日志和模型之间的偏差,并量化日志与模型之间的符合 程度。它一方面验证过程挖掘算法的质量,另一方面可以修正模型,使之符合现实世界。其 中,过程审计的功能是发现并定位日志和模型之间的偏差,确认日志与过程模型是否完全 吻合。广义的过程审计工作,将事件日志中的事件与模型进行关联,即将事件日志在模型 上重放,发现日志与模型之间的偏差,进而发现违背过程的相关规则。具体来讲,广义过程 审计除狭义上的过程审计外,还包括:(1)将未完成的过程实例与合法模型相比较,检测出 偏差并给出预警;(2)将事实模型(defactomodels)与合法模型相比较,即间接地进行事 件日志与模型的比较;(3)根据比较结果,将"好的行为"包含进合法模型,从而改善合法模 型。广义的审计方法可以从控制流、组织和时间等不同角度对事件日志进行审计。其中,控 制流结构是审计的第一步,也是审计的重点。因此,根据合法模型,从控制流角度对日志进 行审计,是当前亟待解决的问题。但当前对过程模型审计的研究还多停留在概念模型阶段, 虽从宏观上给出了审计中存在的问题,但未分析模型的结构特点,也没有具体的审计方法。
技术实现思路
针对现有技术中存在的上述技术问题,本专利技术提出了一种基于工作流网模型的事 件日志审计方法,其采用如下技术方案: ,包括如下步骤: a事件日志和过程模型的定义 定义活动、日志和迹 令2是过程中所有活动的集合;事件e是活动的一次出现;业务过程的一次运行 称为实例,其运行记录称作迹,迹t是事件的一个可空序列,即tG2%而事件日志L是迹 的有限非空多重集,即LGB( 2 〇; 定义Petri网 Petri网定义为三元组PN= (P,T;F),其中: (I)P是库所的有限集; 定义工作流网 令(P,T;F)为一个Petri网,当它满足以下条件时,称其为工作流网WorkFlow nets,简记为WF-nets: (1)包含且仅包含一个输入库所i且'i为0; (2)包含且仅包含一个输出库所〇且〇'为0; (3)强连通性:細TV则~N= (P,TU{t},FU{〇,t}U{t,i})是强连通的; 定义块结构工作流网 块结构工作流网N为一工作流网,可表示为N= (N1,N2,…,Nni),且其子网 N1 (1彡i彡m)为工作流网;块结构工作流网的集合记作NS; 块结构工作流网的过程模型用过程树的方式来表示如下: 定义过程树 过程树是块结构工作流网的抽象表示形式;令2为活动集合,为操作符集合, 符号Hf表示默活动;则过程树形式化定义为: (I)a是一棵过程树,其中aG5:U{T}; (2)令1,…,Mn(n>0)为过程树,?为一个操作符,贝(M1,…,Mn)为一棵过程树; 其中,?中包含的标准操作符有:顺序一,并发A,选择X,和循环CN在循环3中, 第一棵子树是循环体部分,其它子树是重做部分;过程树的语义描述为过程树的语言: 定义过程树M的语言 为定义过程树的语言,除语言中的标准符号:连接(?),选择(I)和闭包(*)外, 另引入符号也来表示能够保持偏序关系的迹交叉; 令A(M)表示过程树M中活动的集合,则有J(M) 同时,过程树语言中的每 一个元素称为过程树的句子; 若N为一块结构工作流网表示的过程模型,M为其过程树,A(M)为模型过程树M中 活动的集合;L为过程模型的事件日志,迹tGL,A(L)表示事件日志包含活动的集合,则日 志审计定义如下: 定义日志审计 令事件日志在过程树中进行重放,即将过程树与日志进行逐个活动的匹配,日志 审计中的一步用(x,y)对来表示,贝Ij: (1)若XGA(M),yGA(L)且有X=y,则称(X,y)为同步移动; (2)若X=T且yGA(L)贝Ij称(X,y)为待定移动; (3)若XGA(M),yGA(L),且X辛y,则称(X,y)为异常移动; 如果审计过程的每一步均为同步或待定移动,直至过程树遍历完成和事件日志结 束,则称日志审计成功;否则,称日志审计失败; 定义过程树的首活动集FirAct 对一棵过程树M,其首活动集FirAct(M)表示为:FirAct(M) = {a|M= ,aG2Ue};各过程树FirAct的构造方法如下: 重复使用下面的规则,直到每棵过程树的FirAct不再增大为止: (I)FirAct(x) = {e}; (2)若过程树M为a,则FirAct(M) = {a}; (6)若M= 则FirAct(M) =FirAct(M1); 若过程树M=X(M1,…,Mn)的某些子过程树的FirAct有交集{a},则将M改写为M =\(&1/,一,&1^41+1-,1〇,其中4 1+1-4不以&为首活动,则1=\(11,一,1〇 表示为 :1=\(-(&,1'),1"1+1~,1〇,其中:1'=\(1 1',~,1"1') 经过反复提取公共左因子,使所有过程树的各子过程树的首活动集互不相交; b工作流网表示的过程模型进行确定无回溯日志审计的条件 (1)对任一根为选择(X)的过程树,其子过程树的各个首活动集FirAct之间应互 不相交,即若M=X(M1,…,Mn),则FirAct(Mi)HFir本文档来自技高网...
【技术保护点】
基于工作流网模型的事件日志审计方法,其特征在于,包括如下步骤:a事件日志和过程模型的定义定义活动、日志和迹令Σ是过程中所有活动的集合;事件e是活动的一次出现;业务过程的一次运行称为实例,其运行记录称作迹,迹t是事件的一个可空序列,即t∈Σ*;而事件日志L是迹的有限非空多重集,即L∈B(Σ*);定义Petri网Petri网定义为三元组PN=(P,T;F),其中:(1)P是库所的有限集;(2)T是变迁的有限集,且(3)是P和T之间的弧集,称作流关系;(4)dom(F)∪cod(F)=P∪T其中:dom(F)={x∈P∪T|∃y∈P∪T:(x,y)∈F},]]>cod(F)={y∈P∪T|∃x∈P∪T:(x,y)∈F};]]>定义工作流网令(P,T;F)为一个Petri网,当它满足以下条件时,称其为工作流网WorkFlow nets,简记为WF‑nets:(1)包含且仅包含一个输入库所i且·i为(2)包含且仅包含一个输出库所o且o·为(3)强连通性:则~N=(P,T∪{t},F∪{o,t}∪{t,i})是强连通的;定义块结构工作流网块结构工作流网N为一工作流网,表示为N=(N1,N2,…,Nm),且其子网Ni(1≤i≤m)为工作流网;块结构工作流网的集合记作NS;块结构工作流网的过程模型用过程树的方式表示如下:定义过程树过程树是块结构工作流网的抽象表示形式;令Σ为活动集合,为操作符集合,符号表示默活动;则过程树形式化定义为:(1)a是一棵过程树,其中a∈Σ∪{τ};(2)令M1,…,Mn(n>0)为过程树,为一个操作符,则为一棵过程树;其中,中包含的标准操作符有:顺序→,并发∧,选择×,和循环在循环中,第一棵子树是循环体部分,其它子树是重做部分;过程树的语义描述为过程树的语言:定义过程树M的语言为定义过程树的语言,除语言中的标准符号:连接(·),选择(|)和闭包(*)外,另引入符号ψ来表示能够保持偏序关系的迹交叉;令A(M)表示过程树M中活动的集合,则有同时,过程树语言中的每一个元素称为过程树的句子;若N为一块结构工作流网表示的过程模型,M为其过程树,A(M)为模型过程树M中活动的集合;L为过程模型的事件日志,迹t∈L,A(L)表示事件日志包含活动的集合,则日志审计定义如下:定义日志审计令事件日志在过程树中进行重放,即将过程树与日志进行逐个活动的匹配,日志审计中的一步用(x,y)对来表示,则:(1)若x∈A(M),y∈A(L)且有x=y,则称(x,y)为同步移动;(2)若x=τ且y∈A(L)则称(x,y)为待定移动;(3)若x∈A(M),y∈A(L),且x≠y,则称(x,y)为异常移动;如果审计过程的每一步均为同步或待定移动,直至过程树遍历完成和事件日志结束,则称日志审计成功;否则,称日志审计失败;定义过程树的首活动集FirAct对一棵过程树M,其首活动集FirAct(M)表示为:各过程树FirAct的构造方法如下:重复使用下面的规则,直到每棵过程树的FirAct不再增大为止:(1)FirAct(τ)={ε};(2)若过程树M为a,则FirAct(M)={a};(3)若M=×(M1,…,Mn),则特别地,对所有i(1≤i≤n),若ε∈FirAct(Mi),则ε∈FirAct(M);(4)若M=→(M1,…,Mn),则FirAct(M)除包含FirAct(M1)中的所有非ε元素外,若对于任意j,1≤j≤i‑1,则若FirAct(Mj)中都包含ε元素,则将FirAct(Mi)中所有非ε元素加入到FirAct(M)中;若ε∈FirAct(Mi)(1≤i≤n),则ε∈FirAct(M);(5)若M=∧(M1,…,Mn),则特别地,若ε∈FirAct(Mi)(1≤i≤n),则ε∈FirAct(M);(6)若则FirAct(M)=FirAct(M1);若过程树M=×(M1,…,Mn)的某些子过程树的FirAct有交集{a},则将M改写为M=×(aM1′,…,aMn1′,Mn1+1…,Mn),其中,Mn1+1…,Mn不以a为首活动,则M=×(M1,…,Mn)表示为:M=×(→(a,M′),Mn1+1…,Mn),其中:M′=×(M1′,…,Mn1′)经过反复提取公共左因子,使所有过程树的各子过程树的首活动集互不相交;b工作流网表示的过程模型进行确定无回溯日志审计的条件(1)对任一根为选择(×)的过程树,其子过程树的各个首活动集FirAct之间应互不相交,即若M=×(M1,…,Mn),则FirAct(Mi)∩FirAct(Mj)=φ,i≠j;(2)若对过程树的某棵子树M,若ε∈FirAct(...
【技术特征摘要】
【专利技术属性】
技术研发人员:杜玉越,李洪霞,于淑霞,刘伟,
申请(专利权)人:山东科技大学,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。