基于业务过程模型挖掘的内部威胁检测系统及其检测方法技术方案

本发明专利技术涉及一种基于业务过程模型挖掘的内部威胁检测系统及其检测方法，该检测系统包含模型挖掘模块、异常检测模块及异常分析模块，其中，模型挖掘模块根据业务系统中各业务事件的事件日志进行模型挖掘，获取业务控制流模型、业务性能模型及执行者行为模型；异常检测模块依据模型挖掘模块，检测业务活动实时运行过程产生的事件日志的逻辑异常、性能异常及行为异常；异常分析模块针对异常检测模块的检测结果进行解析，识别实施内部威胁的执行信息并输出。本发明专利技术构建一种基于业务过程模型挖掘的内部威胁检测方法，有效地检测业务执行过程中存在的内部威胁行为，为公司及各类组织机构防范内部威胁提供有力支撑，有效保证公司及机构的信息安全。

【技术实现步骤摘要】

本专利技术属于业务过程挖掘和网络安全
，特别涉及一种基于业务过程模型挖掘的内部威胁检测系统及其检测方法。
技术介绍
信息技术的高速发展促进了信息系统在各类企业和组织中的广泛应用。然而，信息系统在为这些组织带来工作效率提升的同时，也引入了大量的安全漏洞，其中既有技术层面上的软硬件漏洞，也有来自于内部人员管理上的漏洞。相比于因软硬件漏洞招致的外部网络攻击，由于内部人员管理漏洞造成的内部威胁往往危害性更大，也更难被察觉。造成内部威胁的原因主要有以下几方面：第一，部分缺乏安全意识的员工在工作时可能做出违反安全规定的误操作；第二，部分员工在工作时为了自身方便、提高效率，故意绕过安全措施进行操作；第三，个别员工因受到他人利诱或对内采取报复行动，对机密信息进行外泄或破坏。总的来说，内部威胁是一个涉及到人为因素和系统因素的综合性问题，检测和防御内部威胁成为了企业或机构内部管理者面临的巨大挑战。对企业和机构而言，各类业务活动是其日常运作过程中进行的主要活动，保证各项业务的顺利完成越来越成为管理者关注的重要问题。为提高工作效率，越来越多的企业和组织开始采用各类业务系统来完成业务活动。然而，大多数的业务系统在设计之初通常只考虑如何保证业务功能的正常实现，很少考虑业务活动的安全性，从而十分容易遭受来自内部人员的有意或无意的威胁，使业务系统出现异常，业务活动无法正常进行，情况严重时甚至会导致关键的业务数据遭到破坏和泄露。传统的内部威胁检测方法通常仅考虑人员行为的审计记录，未能将人员行为和业务活动结合起来进行建模，使得现有手段的威胁检测率有待提升。
技术实现思路
为克服现有技术中的不足，本专利技术提供一种基于业务过程模型挖掘的内部威胁检测系统及其检测方法，从业务活动的角度，通过综合分析业务执行过程中出现的异常情况和业务执行者的异常工作行为，检测出公司或机构面临的内部威胁，有效保证公司或机构的利益。按照本专利技术所提供的设计方案，一种基于业务过程模型挖掘的内部威胁检测系统，包含模型挖掘模块、异常检测模块及异常分析与威胁识别模块，其中，模型挖掘模块根据业务系统中各业务执行过程的事件日志进行业务过程模型挖掘，其中，业务过程模型包含业务控制流模型、业务性能模型及执行者行为模型；异常检测模块依据挖掘到的业务过程模型，检测业务运行过程中实时产生的事件日志中存在的逻辑异常、业务性能异常及执行者行为异常；异常分析与威胁识别模块针对异常检测模块的检测结果进行分析，识别出系统遭受的内部威胁并输出。上述的，模型挖掘模块包含训练日志获取单元、业务控制流模型挖掘单元、业务性能模型挖掘单元及执行者行为模型挖掘单元，其中，训练日志获取单元，通过将业务系统中各业务过程的事件日志根据所要挖掘的业务种类进行筛选，并通过指定合法的开始和结束事件对日志进行过滤，获取训练日志，训练日志信息包含该业务执行时产生的多个事件序列，各事件对应的任务名、时间戳、执行者、执行状态；业务控制流模型挖掘单元利用训练日志进行业务控制流模型挖掘，业务控制流模型信息包含业务事件之间逻辑结构信息；业务性能模型挖掘单元，根据业务控制流模型的业务事件逻辑结构和训练日志中各业务事件的时间戳，相邻事件之间的时间间隔t及各业务事件的出现次数n，对训练日志中的事件序列进行统计，得到关于时间间隔t的多集St及出现次数n的多集Sn，最后计算每个多集St及Sn中各元素的平均值和标准差，得到业务性能模型；执行者行为模型挖掘单元，根据业务控制流模型中业务事件的逻辑结构和训练日志中各业务事件的执行者和操作信息，统计执行者的所属角色，各角色对应的任务集合，及任务集合内各任务单元的设备信息集合、文件信息集合、数据信息集合及操作内容信息集合，构建该执行者的树状行为模型。优选的，业务事件之间的逻辑结构是指业务事件之间的顺序结构、并行结构、选择结构、或迭代结构。上述的，异常检测模块，包含操作行为异常检测单元、业务过程合规性检测单元，其中，操作行为异常检测单元包含个体异常行为检测模块及离群异常行为检测模块，根据执行者行为模型计算其行为向量，个体异常行为检测模块通过比较实际行为向量与正常行为向量判定是否存在个体异常行为；离群异常行为检测模块，对同角色下各执行者行为向量进行同维处理，将各执行者操作集的并集作为新的操作集，并为各操作赋予权值，然后，通过凝聚层次聚类法对执行者行为向量进行聚类，判定是否存在离群异常行为；业务过程合规性检测单元对实时产生的事件日志进行合规性检测，其中，合规性检测包含业务过程性能异常检测及业务过程逻辑异常检测。一种基于业务过程模型挖掘的内部威胁检测系统的检测方法，具体包含如下步骤：步骤1、根据业务系统各业务事件的事件日志，根据业务种类进行过滤筛选，提出事件日志中与所挖掘业务种类无关的记录，并指定业务的开始事件和结束事件，得到训练日志，通过过程挖掘方法对训练日志进行业务控制流模型挖掘，并根据业务控制流模型及训练日志，通过统计分析方法分别进行业务性能模型挖掘及执行者行为模型挖掘，其中，业务控制流模型信息包含业务事件之间的逻辑结构信息，训练日志信息包含该业务事件执行时产生的多个事件序列，各事件对应的任务名、时间戳、执行者、执行状态；步骤2、通过步骤1获得的业务控制流模型、业务性能模型及执行者行为模型，对业务执行过程中实时产生的事件日志进行异常行为检测及合规性检测，获取实时日志中存在的异常行为，其中，异常行为检测包含根据执行者行为模型计算行为向量BV进行个体异常行为检测及离群异常行为检测，合规性检查包含业务过程逻辑异常检测及业务过程性能异常检测，行为向量BV为执行者在执行业务事件时对设备进行的操作及其频率的多元组，具体表示为：BV(执行者，事件，设备) = (f(OP1)， f(OP2)， … ， f(OPn))，其中，f(OPi)表示操作OPi的频率，并定义BVN为正常执行者行为模型中的行为向量， BVE为实际执行时的行为向量；步骤3、对步骤2获取的异常行为进行分析，识别系统遭受的内部威胁并输出。步骤1中通过统计分析方法进行业务性能模型挖掘包含如下内容：步骤1.1.1、根据业务控制流模型中事件的逻辑结构及训练日志中事件序列对应的事件时间戳，统计各相邻业务事件之间的时间间隔t及各业务事件的出现次数n；步骤1.1.2、对训练日志中的所有事件序列重复步骤1，得到各个邻接事件关于时间间隔t的多集时间间隔t的多集St及出现次数n的多集Sn；步骤1.1.3、分别对每个多集St及多集Sn中各元素计算其平均值和标准差；步骤1.1.4、将多集中的统计信息对应到业务控制流模型的对应业务事件或相邻业务事件，得到业务性能模型。步骤1中通过统计分析方法进行执行者行为模型挖掘包含如下内容：步骤1.2.1、根据业务控制流模型中事件的逻辑结构及训练日志中各业务事件的执行者信息和操作信息，统计该执行者的所属角色，各角色对应的任务集合，及任务集合内容任务单元的设备信息集合、文件信息集合、数据信息集合及操作内容信息集合；步骤1.2.2、根据步骤1中的统计，构建执行者角色对应的树状行为模型；步骤1.2.3、对训练日志中的所有业务事件序列，返回执行步骤1.2.1，按步骤迭代执行，若统计到操作信息在当前树状节点中不存在，则向该树状节点添加操作信息；步骤本文档来自技高网...

【技术保护点】
一种基于业务过程模型挖掘的内部威胁检测系统，其特征在于：包含模型挖掘模块、异常检测模块及异常分析与威胁识别模块，其中，模型挖掘模块根据业务系统中各业务执行过程的事件日志进行业务过程模型挖掘，其中，业务过程模型包含业务控制流模型、业务性能模型及执行者行为模型；异常检测模块依据挖掘到的业务过程模型，检测业务运行过程中实时产生的事件日志中存在的逻辑异常、业务性能异常及执行者行为异常；异常分析与威胁识别模块针对异常检测模块的检测结果进行分析，识别出系统遭受的内部威胁并输出。

【技术特征摘要】
1.一种基于业务过程模型挖掘的内部威胁检测系统，其特征在于：包含模型挖掘模块、异常检测模块及异常分析与威胁识别模块，其中，模型挖掘模块根据业务系统中各业务执行过程的事件日志进行业务过程模型挖掘，其中，业务过程模型包含业务控制流模型、业务性能模型及执行者行为模型；异常检测模块依据挖掘到的业务过程模型，检测业务运行过程中实时产生的事件日志中存在的逻辑异常、业务性能异常及执行者行为异常；异常分析与威胁识别模块针对异常检测模块的检测结果进行分析，识别出系统遭受的内部威胁并输出。2.根据权利要求1所述的基于业务过程模型挖掘的内部威胁检测系统，其特征在于：模型挖掘模块包含训练日志获取单元、业务控制流模型挖掘单元、业务性能模型挖掘单元及执行者行为模型挖掘单元，其中，训练日志获取单元，通过将业务系统中各业务过程的事件日志根据所要挖掘的业务种类进行筛选，并通过指定合法的开始和结束事件对日志进行过滤，获取训练日志，训练日志信息包含该业务执行时产生的多个事件序列，各事件对应的任务名、时间戳、执行者、执行状态；业务控制流模型挖掘单元利用训练日志进行业务控制流模型挖掘，业务控制流模型信息包含业务事件之间逻辑结构信息；业务性能模型挖掘单元，根据业务控制流模型的业务事件逻辑结构和训练日志中各业务事件的时间戳，相邻事件之间的时间间隔t及各业务事件的出现次数n，对训练日志中的事件序列进行统计，得到关于时间间隔t的多集St及出现次数n的多集Sn，最后计算每个多集St及Sn中各元素的平均值和标准差，得到业务性能模型；执行者行为模型挖掘单元，根据业务控制流模型中业务事件的逻辑结构和训练日志中各业务事件的执行者和操作信息，统计执行者的所属角色，各角色对应的任务集合，及任务集合内各任务单元的设备信息集合、文件信息集合、数据信息集合及操作内容信息集合，构建该执行者的树状行为模型。3.根据权利要求2所述的基于业务过程模型挖掘的内部威胁检测系统，其特征在于：业务事件之间的逻辑结构是指业务事件之间的顺序结构、并行结构、选择结构、或迭代结构。4.根据权利要求1所述的基于业务过程模型挖掘的内部威胁检测系统，其特征在于：异常检测模块，包含操作行为异常检测单元、业务过程合规性检测单元，其中，操作行为异常检测单元包含个体异常行为检测模块及离群异常行为检测模块，根据执行者行为模型计算其行为向量，个体异常行为检测模块通过比较实际行为向量与正常行为向量判定是否存在个体异常行为；离群异常行为检测模块，对同角色下各执行者行为向量进行同维处理，将各执行者操作集的并集作为新的操作集，并为各操作赋予权值，然后，通过凝聚层次聚类法对执行者行为向量进行聚类，判定是否存在离群异常行为；业务过程合规性检测单元对实时产生的事件日志进行合规性检测，其中，合规性检测包含业务过程性能异常检测及业务过程逻辑异常检测。5.一种基于权利要求1所述的基于业务过程模型挖掘的内部威胁检测系统的内部威胁检测方法，具体包含如下步骤：步骤1、根据业务系统各业务事件的事件日志，根据业务种类进行过滤筛选，提出事件日志中与所挖掘业务种类无关的记录，并指定业务的开始事件和结束事件，得到训练日志，通过过程挖掘方法对训练日志进行业务控制流模型挖掘，并根据业务控制流模型及训练日志，通过统计分析方法分别进行业务性能模型挖掘及执行者行为模型挖掘，其中，业务控制流模型信息包含业务事件之间的逻辑结构信息，训练日志信息包含该业务事件执行时产生的多个事件序列，各事件对应的任务名、时间戳、执行者、执行状态；步骤2、通过步骤1获得的业务控制流模型、业务性能模型及执行者行为模型，对业务执行过程中实时产生的事件日志进行异常行为检测及合规性检测，获取实时日志中存在的异常行为，其中，异常行为检测包含根据执行者行为模型计算行为向量BV进行个体异常行为检测及离群异常行为检测，合规性检查包含业务过程逻辑异常检测及业务过程性能异常检测，行为向量BV为执行者在执行业务事件时对设备进行的操作及其频率的多元组，具体表示为：BV(执行者，事件，设备) = (f(OP1)， f(OP2)， … ， f(OPn))，其中，f(OPi)表示操作OPi的频率，并定义BVN为正常执行者行...

【专利技术属性】
技术研发人员：郭渊博，朱泰铭，马骏，琚安康，王宸东，张琦，丁文博，
申请(专利权)人：中国人民解放军信息工程大学，
类型：发明
国别省市：河南;41