一种业务全流程动态监测系统技术方案

本发明专利技术涉及业务监测技术领域，具体地说，涉及一种业务全流程动态监测系统。包括基础框架单元、识别路线单元、功能设计单元和应用服务单元；基础框架单元用于搭建系统框架并完善各类服务；识别路线单元用于对业务全流程进行识别分析；功能设计单元用于结合用户需求对系统进行功能设计和管理；应用服务单元用于通过扩展服务来完善系统的功能性。本发明专利技术设计使业务流程可视化，实现对业务系统相关人员操作行为的实时审计监测；其促进业务模式智能学习，并提供内网安全威胁预警能力和风险管控功能；具有自学习、自建模功能，无需过多人工干预，可以为违规事件提供告警和事后溯源，从而可以有效防范业务系统被恶意使用。效防范业务系统被恶意使用。效防范业务系统被恶意使用。

【技术实现步骤摘要】
一种业务全流程动态监测系统


[0001]本专利技术涉及业务监测
，具体地说，涉及一种业务全流程动态监测系统。

技术介绍

[0002]传统的网络信息安全主要关注的是网络边界安全，但是国内外的众多研究表明，80％的信息安全事件源自企业内部合法人员，因违规操作、恶意操作、误操作等引发的信息安全事件日益突出，不仅存在巨大的经济风险，还可能会带来严重的法律法规风险。当安全事件来自于业务操作行为、操作内容时，往往被淹没在海量的常规操作之中，从网络审计、数据库审计等IT审计中关联到业务操作流程几乎是一个不可完成的任务。常规的安全防护手段，如防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等基于已知特征或快照性记录技术的内容感知，对于大部分内部威胁无能为力。传统的解决内部威胁的方法是，通过将IPS、IDS和FW等设备的安全日志进行汇总，实现安全事件管理，提供统一的视图呈现收集自各个来源的数据并进行关联处理，以期望在海量的日志中发现内部威胁的蛛丝马迹。但是该种方法具备十分明显的缺点；如过程复杂，工作繁复艰巨、对威胁判断困难等。业务流程审计/监测是当前技术发展热点之一，若能以全流量监测技术为基础，对业务进行动态感知，进而实现对业务全流程的动态监测，则能更快速且更准确地发现以“人”为主导的内部威胁问题。然而，目前却没有可以实现这种方法的业务监测系统。

技术实现思路

[0003]本专利技术的目的在于提供了一种业务全流程动态监测系统，以解决上述
技术介绍
中提出的问题。
[0004]为实现上述技术问题的解决，本专利技术的目的之一在于，提供了一种业务全流程动态监测系统，包括
[0005]基础框架单元、识别路线单元、功能设计单元和应用服务单元；所述基础框架单元的信号输出端与所述识别路线单元的信号输入端连接，所述识别路线单元的信号输出端与所述功能设计单元的信号输入端连接，所述功能设计单元的信号输出端与所述应用服务单元的信号输入端连接；所述基础框架单元用于逐步搭建系统框架并在此基础上完善各类服务来支持系统运行；所述识别路线单元用于通过业务识别体系技术路线对业务全流程进行识别分析；所述功能设计单元用于结合用户需求对系统进行功能设计和管理；所述应用服务单元用于通过扩展服务来完善系统的功能性；
[0006]所述基础框架单元包括技术支持模块、框架模型模块、识别体系模块和感知监测模块；
[0007]所述识别路线单元包括业务克隆模块、业务映射模块、业务权重模块和违规检测模块；
[0008]所述功能设计单元包括资产监测模块、操作透视模块、风险测点模块和自定义监测模块；
[0009]所述应用服务单元包括学习识别模块、行为监测模块、风险管控模块和效果体现模块。
[0010]作为本技术方案的进一步改进，所述技术支持模块的信号输出端与所述框架模型模块的信号输入端连接，所述框架模型模块的信号输出端与所述识别体系模块的信号输入端连接，所述识别体系模块的信号输出端与所述感知监测模块的信号输入端连接；所述技术支持模块用于通过机器学习、网络流量分析、业务关联审计、大数据、全流量监测分析、行为分析等技术来作为支持系统运转的基础；所述框架模型模块用于以多种智能算法技术为基础构建由点到面、由单因素到多因素递进关联的业务全流程动态监测感知技术框架模型；所述识别体系模块用于在分析技术框架的基础上构建业务识别体系来对业务全流程进行识别分析；所述感知监测模块用于以业务识别体系为基础对业务流程进行动态感知、监测管理及工作量分配。
[0011]作为本技术方案的进一步改进，所述感知监测模块包括账号管理模块、业务梳理模块、业务建模模块和敏感检测模块；所述账号管理模块、所述业务梳理模块、所述业务建模模块与所述敏感检测模块依次通过以太网通讯连接且并列运行；所述账号管理模块用于对可供多人访问及进行操作的业务系统账号进行管理和监控；所述业务梳理模块用于对监管的业务全流程进行梳理归纳；所述业务建模模块用于基于行为识别的机器学习技术对业务人员日常操作进行行为记录，通过统计其办理频次、办理时间、涉及业务数据及办理逻辑等业务特征值智能测算出业务办理的常态化特征值，并据此建立常态模型以便自动完成模型的准确度评估和改进过程；所述敏感检测模块用于对被监测的业务系统全流程中存在的敏感信息进行深度检测。
[0012]其中，业务梳理的内容包括但不限于对企业信息化相关参与者(研发人员、软件外包公司、运维人员、审计人员和普通用户等所有能接触到业务系统的相关人员)进行业务操作行为审计，从业务流量中挖掘出用户的上下文信息，从中分辨出整个业务流程的各个步骤，并较为准确地实现对内部威胁的判断。
[0013]作为本技术方案的进一步改进，所述业务克隆模块的信号输出端与所述业务映射模块的信号输入端连接，所述业务映射模块的信号输出端与所述业务权重模块的信号输入端连接，所述业务权重模块的信号输出端与所述违规检测模块的信号输入端连接；所述业务克隆模块用于利用旁路镜像对不同用户访问web业务系统的流量进行全流量采集、还原，提取web业务系统交互的http请求序列，并通过对业务系统操作过程产生的网络流量进行逆向解析以还原各个http请求，再通过聚类分析将相关请求序列归为一个业务模块；所述业务映射模块用于以业务克隆为基础根据同一业务再不同办理人员的办理过程中出现并使用到的业务数据进行数据挖掘分析，对同一业务模块的http请求序列进行聚类分析、统计，通过正表达式、关键字等匹配数据流中出现过的业务数据类型、数量以计算出业务数据和业务模块的映射关系；所述业务权重模块用于根据业务系统类型、办理业务特点，将不同的业务模块根据功能的重要程度，使用业务权重算法，将涉及审批、金额、客户资料、业务流程的业务模块识别分类，进而计算出各个业务模块的权重值以为监测策略提供不同权重的监测对象；所述违规检测模块用于根据用户使用业务数据的频率、数量、时间、操作业务模块的重要程度，结合用户操作行为监测走势，并根据业务操作规范，用采集到的用户行为数据作为输入来判断其行为是否违规。
[0014]作为本技术方案的进一步改进，所述业务克隆模块中，对http请求序列进行聚类分析采用K
‑
Means均值聚类算法，该算法步骤如下：
[0015]Step1、选K个初始聚类中心(各聚类中心均分布在业务主线上)，Z
1I
，Z
2I
，∧Z
KI
，其中，(1,2，...，k)为寻找聚类中心的迭代运算的次序号；
[0016]Step2、逐个将需分类模式样本{X}按最小距离准则分配给K个聚类中心中的某一个Z
j(1)
；对所有的i≠j，j＝1，2，...，K，如果Z
1I
，Z
2I
，∧Z
KI
,则X∈S
jk
，其中，k为迭代运算的次序号，第一次迭代k＝1，S
j
表示第j个聚类，其聚类中心为Z
j
；
[0017]Step3、计算各个聚类中本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种业务全流程动态监测系统，其特征在于：包括基础框架单元(100)、识别路线单元(200)、功能设计单元(300)和应用服务单元(400)；所述基础框架单元(100)的信号输出端与所述识别路线单元(200)的信号输入端连接，所述识别路线单元(200)的信号输出端与所述功能设计单元(300)的信号输入端连接，所述功能设计单元(300)的信号输出端与所述应用服务单元(400)的信号输入端连接；所述基础框架单元(100)用于逐步搭建系统框架并在此基础上完善各类服务来支持系统运行；所述识别路线单元(200)用于通过业务识别体系技术路线对业务全流程进行识别分析；所述功能设计单元(300)用于结合用户需求对系统进行功能设计和管理；所述应用服务单元(400)用于通过扩展服务来完善系统的功能性；所述基础框架单元(100)包括技术支持模块(101)、框架模型模块(102)、识别体系模块(103)和感知监测模块(104)；所述识别路线单元(200)包括业务克隆模块(201)、业务映射模块(202)、业务权重模块(203)和违规检测模块(204)；所述功能设计单元(300)包括资产监测模块(301)、操作透视模块(302)、风险测点模块(303)和自定义监测模块(304)；所述应用服务单元(400)包括学习识别模块(401)、行为监测模块(402)、风险管控模块(403)和效果体现模块(404)。2.根据权利要求1所述的业务全流程动态监测系统，其特征在于：所述技术支持模块(101)的信号输出端与所述框架模型模块(102)的信号输入端连接，所述框架模型模块(102)的信号输出端与所述识别体系模块(103)的信号输入端连接，所述识别体系模块(103)的信号输出端与所述感知监测模块(104)的信号输入端连接；所述技术支持模块(101)用于通过机器学习、网络流量分析、业务关联审计、大数据、全流量监测分析、行为分析等技术来作为支持系统运转的基础；所述框架模型模块(102)用于以多种智能算法技术为基础构建由点到面、由单因素到多因素递进关联的业务全流程动态监测感知技术框架模型；所述识别体系模块(103)用于在分析技术框架的基础上构建业务识别体系来对业务全流程进行识别分析；所述感知监测模块(104)用于以业务识别体系为基础对业务流程进行动态感知、监测管理及工作量分配。3.根据权利要求2所述的业务全流程动态监测系统，其特征在于：所述感知监测模块(104)包括账号管理模块(1041)、业务梳理模块(1042)、业务建模模块(1043)和敏感检测模块(1044)；所述账号管理模块(1041)、所述业务梳理模块(1042)、所述业务建模模块(1043)与所述敏感检测模块(1044)依次通过以太网通讯连接且并列运行；所述账号管理模块(1041)用于对可供多人访问及进行操作的业务系统账号进行管理和监控；所述业务梳理模块(1042)用于对监管的业务全流程进行梳理归纳；所述业务建模模块(1043)用于基于行为识别的机器学习技术对业务人员日常操作进行行为记录，通过统计其办理频次、办理时间、涉及业务数据及办理逻辑等业务特征值智能测算出业务办理的常态化特征值，并据此建立常态模型以便自动完成模型的准确度评估和改进过程；所述敏感检测模块(1044)用于对被监测的业务系统全流程中存在的敏感信息进行深度检测，其中，业务梳理的内容包括但不限于对企业信息化相关参与者(研发人员、软件外包公司、运维人员、审计人员和普通用户等所有能接触到业务系统的相关人员)进行业务操作行为审计，从业务流量中挖掘出用户
的上下文信息，从中分辨出整个业务流程的各个步骤，并较为准确地实现对内部威胁的判断。4.根据权利要求1所述的业务全流程动态监测系统，其特征在于：所述业务克隆模块(201)的信号输出端与所述业务映射模块(202)的信号输入端连接，所述业务映射模块(202)的信号输出端与所述业务权重模块(203)的信号输入端连接，所述业务权重模块(203)的信号输出端与所述违规检测模块(204)的信号输入端连接；所述业务克隆模块(201)用于利用旁路镜像对不同用户访问web业务系统的流量进行全流量采集、还原，提取web业务系统交互的http请求序列，并通过对业务系统操作过程产生的网络流量进行逆向解析以还原各个http请求，再通过聚类分析将相关请求序列归为一个业务模块；所述业务映射模块(202)用于以业务克隆为基础根据同一业务再不同办理人员的办理过程中出现并使用到的业务数据进行数据挖掘分析，对同一业务模块的http请求序列进行聚类分析、统计，通过正表达式、关键字等匹配数据流中出现过的业务数据类型、数量以计算出业务数据和业务模块的映射关系；所述业务权重模块(203)用于根据业务系统类型、办理业务特点，将不同的业务模块根据功能的重要程度，使用业务权重算法，将涉及审批、金额、客户资料、业务流程的业务模块识别分类，进而计算出各个业务模块的权重值以为监测策略提供不同权重的监测对象；所述违规检测模块(204)用于根据用户使用业务数据的频率、数量、时间、操作业务模块的重要程度，结合用户操作行为监测走势，并根据业务操作规范，用采集到的用户行为数据作为输入来判断其行为是否违规。5.根据权利要求4所述的业务全流程动态监测系统，其特征在于：所述业务克隆模块(201)中，对http请求序列进行聚类分析采用K
‑
Means均值聚类算法，该算法步骤如下：Step1、选K个初始聚类中心(各聚类中心均分布在业务主线上)，Z
1I
，Z
2I
，∧Z
KI
，其中，(1,2，...，k)为寻找聚类中心的迭代运算的次序号；Step2、逐个将需分类模式样本{X}按最小距离准则分配给K个聚类中心中的某一个Z
j(1)
；对所有的i≠j，j＝1，2，...，K，如果Z
1I
，Z
2I
，∧Z
KI
,则X∈S
jk
，其中，k为迭代运算的次序号，第一次迭代k＝1，S
j
表示第j个聚类，其聚类中心为Z
j
；Step3、计算各个聚类中心的新的向量值Z
j(k+1)
，j＝1,2，...，K，求各聚类域中所包含样本的均值向量：其中，N
j
为第j个聚类域S
j
中所包含的样本个数；其中，以均值向量作为新的聚类中心，可使如下聚类准则函数J最小：Step4、若Z
j(k+1)
≠Z
j(k+1)
，j＝1,2，...，K，则返回S2，将模式样本逐个重新分类，重复迭代运算；若Z
j(k+1)
＝Z
j(k+1)
，j＝1,2，...，K，则算法收敛，计算结束。6.根据权利要求4所述的业务全流程动态监测系统，其特征在于：所述业务映射模块(202)中，关键词的提取采用TextRank算法，其计算表达式为：
...

【专利技术属性】
技术研发人员：王杭，秦丞，贺渝镔，田昊，高伟鹏，杨云红，刘敏，胡昌斌，宋庆，淡军，刘姜钧泰，张娟，张忠贤，
申请(专利权)人：云南电网有限责任公司昆明供电局，
类型：发明
国别省市：