基于业务过程模型挖掘的内部威胁检测系统及其检测方法与流程

本发明属于业务过程挖掘和网络安全技术领域，特别涉及一种基于业务过程模型挖掘的内部威胁检测系统及其检测方法。

背景技术：

信息技术的高速发展促进了信息系统在各类企业和组织中的广泛应用。然而，信息系统在为这些组织带来工作效率提升的同时，也引入了大量的安全漏洞，其中既有技术层面上的软硬件漏洞，也有来自于内部人员管理上的漏洞。相比于因软硬件漏洞招致的外部网络攻击，由于内部人员管理漏洞造成的内部威胁往往危害性更大，也更难被察觉。造成内部威胁的原因主要有以下几方面：第一，部分缺乏安全意识的员工在工作时可能做出违反安全规定的误操作；第二，部分员工在工作时为了自身方便、提高效率，故意绕过安全措施进行操作；第三，个别员工因受到他人利诱或对内采取报复行动，对机密信息进行外泄或破坏。总的来说，内部威胁是一个涉及到人为因素和系统因素的综合性问题，检测和防御内部威胁成为了企业或机构内部管理者面临的巨大挑战。

对企业和机构而言，各类业务活动是其日常运作过程中进行的主要活动，保证各项业务的顺利完成越来越成为管理者关注的重要问题。为提高工作效率，越来越多的企业和组织开始采用各类业务系统来完成业务活动。然而，大多数的业务系统在设计之初通常只考虑如何保证业务功能的正常实现，很少考虑业务活动的安全性，从而十分容易遭受来自内部人员的有意或无意的威胁，使业务系统出现异常，业务活动无法正常进行，情况严重时甚至会导致关键的业务数据遭到破坏和泄露。传统的内部威胁检测方法通常仅考虑人员行为的审计记录，未能将人员行为和业务活动结合起来进行建模，使得现有手段的威胁检测率有待提升。

技术实现要素：

为克服现有技术中的不足，本发明提供一种基于业务过程模型挖掘的内部威胁检测系统及其检测方法，从业务活动的角度，通过综合分析业务执行过程中出现的异常情况和业务执行者的异常工作行为，检测出公司或机构面临的内部威胁，有效保证公司或机构的利益。

按照本发明所提供的设计方案，一种基于业务过程模型挖掘的内部威胁检测系统，包含模型挖掘模块、异常检测模块及异常分析与威胁识别模块，其中，模型挖掘模块根据业务系统中各业务执行过程的事件日志进行业务过程模型挖掘，其中，业务过程模型包含业务控制流模型、业务性能模型及执行者行为模型；异常检测模块依据挖掘到的业务过程模型，检测业务运行过程中实时产生的事件日志中存在的逻辑异常、业务性能异常及执行者行为异常；异常分析与威胁识别模块针对异常检测模块的检测结果进行分析，识别出系统遭受的内部威胁并输出。

上述的，模型挖掘模块包含训练日志获取单元、业务控制流模型挖掘单元、业务性能模型挖掘单元及执行者行为模型挖掘单元，

其中，训练日志获取单元，通过将业务系统中各业务过程的事件日志根据所要挖掘的业务种类进行筛选，并通过指定合法的开始和结束事件对日志进行过滤，获取训练日志，训练日志信息包含该业务执行时产生的多个事件序列，各事件对应的任务名、时间戳、执行者、执行状态；

业务控制流模型挖掘单元利用训练日志进行业务控制流模型挖掘，业务控制流模型信息包含业务事件之间逻辑结构信息；

业务性能模型挖掘单元，根据业务控制流模型的业务事件逻辑结构和训练日志中各业务事件的时间戳，相邻事件之间的时间间隔t及各业务事件的出现次数n，对训练日志中的事件序列进行统计，得到关于时间间隔t的多集S_t及出现次数n的多集S_n，最后计算每个多集S_t及S_n中各元素的平均值和标准差，得到业务性能模型；

执行者行为模型挖掘单元，根据业务控制流模型中业务事件的逻辑结构和训练日志中各业务事件的执行者和操作信息，统计执行者的所属角色，各角色对应的任务集合，及任务集合内各任务单元的设备信息集合、文件信息集合、数据信息集合及操作内容信息集合，构建该执行者的树状行为模型。

优选的，业务事件之间的逻辑结构是指业务事件之间的顺序结构、并行结构、选择结构、或迭代结构。

上述的，异常检测模块，包含操作行为异常检测单元、业务过程合规性检测单元，

其中，操作行为异常检测单元包含个体异常行为检测模块及离群异常行为检测模块，根据执行者行为模型计算其行为向量，个体异常行为检测模块通过比较实际行为向量与正常行为向量判定是否存在个体异常行为；离群异常行为检测模块，对同角色下各执行者行为向量进行同维处理，将各执行者操作集的并集作为新的操作集，并为各操作赋予权值，然后，通过凝聚层次聚类法对执行者行为向量进行聚类，判定是否存在离群异常行为；

业务过程合规性检测单元对实时产生的事件日志进行合规性检测，其中，合规性检测包含业务过程性能异常检测及业务过程逻辑异常检测。

一种基于业务过程模型挖掘的内部威胁检测系统的检测方法，具体包含如下步骤：

步骤1、根据业务系统各业务事件的事件日志，根据业务种类进行过滤筛选，提出事件日志中与所挖掘业务种类无关的记录，并指定业务的开始事件和结束事件，得到训练日志，通过过程挖掘方法对训练日志进行业务控制流模型挖掘，并根据业务控制流模型及训练日志，通过统计分析方法分别进行业务性能模型挖掘及执行者行为模型挖掘，其中，业务控制流模型信息包含业务事件之间的逻辑结构信息，训练日志信息包含该业务事件执行时产生的多个事件序列，各事件对应的任务名、时间戳、执行者、执行状态；

步骤2、通过步骤1获得的业务控制流模型、业务性能模型及执行者行为模型，对业务执行过程中实时产生的事件日志进行异常行为检测及合规性检测，获取实时日志中存在的异常行为，其中，异常行为检测包含根据执行者行为模型计算行为向量BV进行个体异常行为检测及离群异常行为检测，合规性检查包含业务过程逻辑异常检测及业务过程性能异常检测，行为向量BV为执行者在执行业务事件时对设备进行的操作及其频率的多元组，具体表示为：BV(执行者，事件，设备) = (f(OP₁)， f(OP₂)， … ， f(OP_n))，其中，f(OP_i)表示操作OP_i的频率，并定义BV_N为正常执行者行为模型中的行为向量， BV_E为实际执行时的行为向量；

步骤3、对步骤2获取的异常行为进行分析，识别系统遭受的内部威胁并输出。

步骤1中通过统计分析方法进行业务性能模型挖掘包含如下内容：

步骤1.1.1、根据业务控制流模型中事件的逻辑结构及训练日志中事件序列对应的事件时间戳，统计各相邻业务事件之间的时间间隔t及各业务事件的出现次数n；

步骤1.1.2、对训练日志中的所有事件序列重复步骤1，得到各个邻接事件关于时间间隔t的多集时间间隔t的多集S_t及出现次数n的多集S_n；

步骤1.1.3、分别对每个多集S_t及多集S_n中各元素计算其平均值和标准差；

步骤1.1.4、将多集中的统计信息对应到业务控制流模型的对应业务事件或相邻业务事件，得到业务性能模型。

步骤1中通过统计分析方法进行执行者行为模型挖掘包含如下内容：

步骤1.2.1、根据业务控制流模型中事件的逻辑结构及训练日志中各业务事件的执行者信息和操作信息，统计该执行者的所属角色，各角色对应的任务集合，及任务集合内容任务单元的设备信息集合、文件信息集合、数据信息集合及操作内容信息集合；

步骤1.2.2、根据步骤1中的统计，构建执行者角色对应的树状行为模型；

步骤1.2.3、对训练日志中的所有业务事件序列，返回执行步骤1.2.1，按步骤迭代执行，若统计到操作信息在当前树状节点中不存在，则向该树状节点添加操作信息；

步骤1.2.4、对业务中的所有执行者，返回步骤1.2.1，按步骤迭代执行，为每个执行者建立对应的执行者行为模型

步骤2中的个体异常行为检测具体包含如下内容：比较实际行为向量BV_E与正常行为向量BV_N，若BV_E中存在BV_N中没有的操作OP_i，或| BV_E.f(OP_i) –BV_N.f(OP_i) | > σ，则判定当前BV_E中存在个体异常行为，否则，当前BV_E中无个体异常行为，其中，σ为设置阈值。

步骤2中的离群异常行为检测具体包含如下内容：

步骤2.2.1、将同业务事件同设备同执行角色下的执行者行为向量做同维处理，将同执行者角色在同任务同设备上的操作的并集作为各相应执行者的操作集，对于每个执行者，将差异操作的频率置为0，其余频率保持不变，其中，差异操作为不属于该执行者角色的操作；

步骤2.2.2、为执行者行为向量的各个维度赋予权值，差异操作赋予权值w_d，其余操作赋予权值w_n，并对各行为向量进行两两配对，形成若干行为向量的向量对，其中w_d > w_n，且满足条件：当有n个差异操作，m个其余操作时，满足n* w_d +m* w_n =1；

步骤2.2.3、对同角色执行者的行为向量组合形成的所有向量对，计算欧式距离，得到对应的向量距离；

步骤2.2.4、通过凝聚层次聚类方法，对向量距离进行聚类，得到相应的类簇，对得到的类簇，计算其质心C及质心到BV_E的距离d(C, BV_E)，其中，质心C为一个虚拟向量，其各维度的值为类簇中各向量相应维度值的平均值，d(C, BV_E)为两者之间的欧氏距离；若d(C, BV_E) > η，则判定BV_E为离群异常行为向量，存在离群异常行为；否则，不存在离群异常行为，其中，η为事先设置的阈值。

步骤2中的业务过程逻辑异常检测及业务过程性能异常检测具体包含如下内容：

步骤2.3.1、将当前事件序列与业务控制流模型进行匹配，若业务控制流模型无法匹配当前的事件序列，则表明当前事件序列存在逻辑异常；

步骤2.3.2、将当前事件序列中的性能指标参数与业务性能模型中对应参数进行比对，性能指标参数包含相邻事件之间的时间间隔t_E和各事件的出现次数n_E的平均值，若当前事件序列中存在相邻事件，其时间间隔t_E与业务性能模型中对应的时间间隔t_N之间绝对值大于τ₁，或当前事件序列中存在一个事件，其出现次数n_E与业务性能模型中对应事件的出现次数n_N之间绝对值大于τ₂，则表明当前事件序列存在性能异常，其中，τ₁和τ₂为预先设定阈值。

本发明的有益效果：

1、本发明采用业务系统正常运行情况下记录的事件日志作为数据源进行业务过程模型挖掘，得到业务过程的控制流模型、性能模型和业务执行者的行为模型；然后以这些正常模型为基准，通过对业务系统在实际运行情况下产生的实时事件日志进行合规性检查和异常行为检测，发现其中存在的异常情况，并通过对异常情况的关联分析，识别实施内部威胁的恶意人员及其威胁行为，有效保证公司或机构的信息安全。

2、本发明以业务系统记录的事件日志为主要数据源，挖掘业务过程在控制流、性能和人员行为三个方面的模型，通过检测业务系统在实际运行过程中的异常情况和对异常结果的关联分析，发现组织机构存在的内部威胁，定位实施内部威胁的内部人员；现有的内部威胁检测技术仅考虑人员行为的审计记录，未能将人员行为融入到占组织机构日常工作主要部分的业务活动中进行综合分析，因此容易产生较高的漏报率，而本发明中基于业务事件日志来进行业务活动自身异常和业务执行者业务行为异常两方面的分析，使得分析角度更加多维全面，因此能够降低漏报率，提高内部威胁的检测率；本发明采用事件日志作为数据源，无需部署其他的入侵检测设备，对业务系统的正常运行不会带来太大影响；本发明基于业务过程模型挖掘技术，能够比事先人工建模的方式获得更为客观和多维的业务过程模型，降低了因模型的主观性过强导致的高误报率。

附图说明：

图1为本发明的基于业务过程模型挖掘的内部威胁检测系统结构框架示意图；

图2为本发明的基于业务过程模型挖掘的内部威胁检测系统的检测方法流程示意图；

图3为本发明的业务控制流模型挖掘流程图；

图4为本发明的业务性能模型和执行者行为模型挖掘示意图；

图5为执行者行为模型示意图；

图6为异常行为检测流程示意图。

具体实施方式：

下面结合附图和技术方案对本发明作进一步详细的说明，并通过优选的实施例详细说明本发明的实施方式，但本发明的实施方式并不限于此。

实施例一，参见图1所示，一种基于业务过程模型挖掘的内部威胁检测系统，包含模型挖掘模块、异常检测模块及异常分析与威胁识别模块，其中，模型挖掘模块根据业务系统中各业务执行过程的事件日志进行业务过程模型挖掘，其中，业务过程模型包含业务控制流模型、业务性能模型及执行者行为模型；异常检测模块依据挖掘到的业务过程模型，检测业务运行过程中实时产生的事件日志中存在的逻辑异常、业务性能异常及执行者行为异常；异常分析与威胁识别模块针对异常检测模块的检测结果进行分析，识别出系统遭受的内部威胁并输出。

采用业务系统正常运行情况下记录的事件日志作为数据源进行业务过程模型挖掘，得到业务过程的控制流模型、性能模型和业务执行者的行为模型；然后以这些正常模型为基准，通过对业务系统在实际运行情况下产生的实时事件日志进行合规性检查和异常行为检测，发现其中存在的异常情况，并通过对异常情况的关联分析，识别实施内部威胁的恶意人员及其威胁行为，有效保证公司或机构的信息安全。

实施例二，参见图1所示，与实施例一基本相同，不同之处在于： 模型挖掘模块包含训练日志获取单元、业务控制流模型挖掘单元、业务性能模型挖掘单元及执行者行为模型挖掘单元，

其中，训练日志获取单元，通过将业务系统中各业务过程的事件日志根据所要挖掘的业务种类进行筛选，并通过指定合法的开始和结束事件对日志进行过滤，获取训练日志，训练日志信息包含该业务执行时产生的多个事件序列，各事件对应的任务名、时间戳、执行者、执行状态；

业务控制流模型挖掘单元利用训练日志进行业务控制流模型挖掘，业务控制流模型信息包含业务事件之间逻辑结构信息；

业务性能模型挖掘单元，根据业务控制流模型的业务事件逻辑结构和训练日志中各业务事件的时间戳，相邻事件之间的时间间隔t及各业务事件的出现次数n，对训练日志中的事件序列进行统计，得到关于时间间隔t的多集S_t及出现次数n的多集S_n，最后计算每个多集S_t及S_n中各元素的平均值和标准差，得到业务性能模型；

执行者行为模型挖掘单元，根据业务控制流模型中业务事件的逻辑结构和训练日志中各业务事件的执行者和操作信息，统计执行者的所属角色，各角色对应的任务集合，及任务集合内各任务单元的设备信息集合、文件信息集合、数据信息集合及操作内容信息集合，构建该执行者的树状行为模型。

优选的，业务事件之间的逻辑结构是指业务事件之间的顺序结构、并行结构、选择结构、或迭代结构。

上述的，异常检测模块，包含操作行为异常检测单元、业务过程合规性检测单元，

其中，操作行为异常检测单元包含个体异常行为检测模块及离群异常行为检测模块，根据执行者行为模型计算其行为向量，个体异常行为检测模块通过比较实际行为向量与正常行为向量判定是否存在个体异常行为；离群异常行为检测模块，对同角色下各执行者行为向量进行同维处理，将各执行者操作集的并集作为新的操作集，并为各操作赋予权值，然后，通过凝聚层次聚类法对执行者行为向量进行聚类，判定是否存在离群异常行为；

业务过程合规性检测单元对实时产生的事件日志进行合规性检测，其中，合规性检测包含业务过程性能异常检测及业务过程逻辑异常检测。

实施例三，参见图2所示，一种基于业务过程模型挖掘的内部威胁检测系统的检测方法，具体包含如下步骤：

步骤1、根据业务系统各业务事件的事件日志，根据业务种类进行过滤筛选，提出事件日志中与所挖掘业务种类无关的记录，并指定业务的开始事件和结束事件，得到训练日志，通过过程挖掘方法对训练日志进行业务控制流模型挖掘，并根据业务控制流模型及训练日志，通过统计分析方法分别进行业务性能模型挖掘及执行者行为模型挖掘，其中，业务控制流模型信息包含业务事件之间的逻辑结构信息，训练日志信息包含该业务事件执行时产生的多个事件序列，各事件对应的任务名、时间戳、执行者、执行状态；

步骤2、通过步骤1获得的业务控制流模型、业务性能模型及执行者行为模型，对业务执行过程中实时产生的事件日志进行异常行为检测及合规性检测，获取实时日志中存在的异常行为，其中，异常行为检测包含根据执行者行为模型计算行为向量BV进行个体异常行为检测及离群异常行为检测，合规性检查包含业务过程逻辑异常检测及业务过程性能异常检测，行为向量BV为执行者在执行业务事件时对设备进行的操作及其频率的多元组，具体表示为：BV(执行者，事件，设备) = (f(OP₁)， f(OP₂)， … ， f(OP_n))，其中，f(OP_i)表示操作OP_i的频率，并定义BV_N为正常执行者行为模型中的行为向量， BV_E为实际执行时的行为向量；

步骤3、对步骤2获取的异常行为进行分析，识别系统遭受的内部威胁并输出。

实施例四，参见图1~6所示，一种基于业务过程模型挖掘的内部威胁检测系统的检测方法，

首先，根据业务系统各业务事件的事件日志，根据业务种类进行过滤筛选，提出事件日志中与所挖掘业务种类无关的记录，并指定业务的开始事件和结束事件，得到训练日志，通过过程挖掘方法对训练日志进行业务控制流模型挖掘，并根据业务控制流模型及训练日志，通过统计分析方法分别进行业务性能模型挖掘及执行者行为模型挖掘，其中，业务控制流模型信息包含业务事件之间的逻辑结构信息，训练日志信息包含该业务事件执行时产生的多个事件序列，各事件对应的任务名、时间戳、执行者、执行状态。

通过统计分析方法进行业务性能模型挖掘包含如下内容：

步骤1.1.1、根据业务控制流模型中事件的逻辑结构及训练日志中事件序列对应的事件时间戳，统计各相邻业务事件之间的时间间隔t及各业务事件的出现次数n；

步骤1.1.2、对训练日志中的所有事件序列重复步骤1，得到各个邻接事件关于时间间隔t的多集时间间隔t的多集S_t及出现次数n的多集S_n；

步骤1.1.3、分别对每个多集S_t及多集S_n中各元素计算其平均值和标准差；

步骤1.1.4、将多集中的统计信息对应到业务控制流模型的对应业务事件或相邻业务事件，得到业务性能模型。

通过统计分析方法进行执行者行为模型挖掘包含如下内容：

步骤1.2.1、根据业务控制流模型中事件的逻辑结构及训练日志中各业务事件的执行者信息和操作信息，统计该执行者的所属角色，各角色对应的任务集合，及任务集合内容任务单元的设备信息集合、文件信息集合、数据信息集合及操作内容信息集合；

步骤1.2.2、根据步骤1中的统计，构建执行者角色对应的树状行为模型；

步骤1.2.3、对训练日志中的所有业务事件序列，返回执行步骤1.2.1，按步骤迭代执行，若统计到操作信息在当前树状节点中不存在，则向该树状节点添加操作信息；

步骤1.2.4、对业务中的所有执行者，返回步骤1.2.1，按步骤迭代执行，为每个执行者建立对应的执行者行为模型。

然后，根据业务控制流模型、业务性能模型及执行者行为模型，对业务执行过程中实时产生的事件日志进行异常行为检测及合规性检测，获取实时日志中存在的异常行为，其中，异常行为检测包含根据执行者行为模型计算行为向量BV进行个体异常行为检测及离群异常行为检测，合规性检查包含业务过程逻辑异常检测及业务过程性能异常检测，行为向量BV为执行者在执行业务事件时对设备进行的操作及其频率的多元组，具体表示为：BV(执行者，事件，设备) = (f(OP₁)， f(OP₂)， … ， f(OP_n))，其中，f(OP_i)表示操作OP_i的频率，并定义BV_N为正常执行者行为模型中的行为向量， BV_E为实际执行时的行为向量；

个体异常行为检测具体包含如下内容：比较实际行为向量BV_E与正常行为向量BV_N，若BV_E中存在BV_N中没有的操作OP_i，或| BV_E.f(OP_i) –BV_N.f(OP_i) | > σ，则判定当前BV_E中存在异常行为，否则，当前BV_E中无个体异常行为，其中，σ为设置阈值。

离群异常行为检测具体包含如下内容：

步骤2.2.1、将同业务事件同设备同执行角色下的执行者行为向量做同维处理，将同执行者角色在同任务同设备上的操作的并集作为各相应执行者的操作集，对于每个执行者，将差异操作的频率置为0，其余频率保持不变，其中，差异操作为不属于该执行者角色的操作；

步骤2.2.2、为执行者行为向量的各个维度赋予权值，差异操作赋予权值w_d，其余操作赋予权值w_n，并对各行为向量进行两两配对，形成若干行为向量的向量对，其中w_d > w_n，且满足条件：当有n个差异操作，m个其余操作时，满足n* w_d +m* w_n =1；

步骤2.2.3、对同角色执行者的行为向量组合形成的所有向量对，计算欧式距离，得到对应的向量距离；

步骤2.2.4、通过凝聚层次聚类方法，对向量距离进行聚类，得到相应的类簇，对得到的类簇，计算其质心C及质心到BV_E的距离d(C, BV_E)，其中，质心C为一个虚拟向量，其各维度的值为类簇中各向量相应维度值的平均值，d(C, BV_E)为两者之间的欧氏距离；若d(C, BV_E) > η，则判定BV_E为离群异常行为向量，存在离群异常行为；否则，不存在离群异常行为，其中，η为事先设置的阈值。

业务逻辑异常是指业务活动的执行过程没有遵循正常的控制流结构；或由于各个事件之间的前驱后继关系无法满足而导致的业务活动异常暂停、终止，或返回错误结果，业务的逻辑异常表现为事件序列不能被正常控制流模型解析。

业务的性能异常是指业务活动的整体或某部分在时间和频率上与正常值的偏离程度超过阈值。

业务过程逻辑异常检测及业务过程性能异常检测具体包含如下内容：

步骤2.3.1、将当前事件序列与业务控制流模型进行匹配，若业务控制流模型无法匹配当前的事件序列，则表明当前事件序列存在逻辑异常；

步骤2.3.2、将当前事件序列中的性能指标参数与业务性能模型中对应参数进行比对，性能指标参数包含相邻事件之间的时间间隔t_E和各事件的出现次数n_E的平均值，若当前事件序列中存在相邻事件，其时间间隔t_E与业务性能模型中对应的时间间隔t_N之间绝对值大于τ₁，或当前事件序列中存在一个事件，其出现次数n_E与业务性能模型中对应事件的出现次数n_N之间绝对值大于τ₂，则表明当前事件序列存在性能异常，其中，τ₁和τ₂为预先设定阈值。

最后，对获取的异常行为进行分析，识别系统遭受的内部威胁并输出。

以业务系统记录的事件日志为主要数据源，挖掘业务过程在控制流、性能和人员行为三个方面的模型，通过检测业务系统在实际运行过程中的异常情况和对异常结果的关联分析，发现组织机构存在的内部威胁，定位实施内部威胁的内部人员；基于业务事件日志来进行业务活动自身异常和业务执行者业务行为异常两方面的分析，使得分析角度更加多维全面，降低漏报率，提高内部威胁的检测率；采用事件日志作为数据源，无需部署其他的入侵检测设备，对业务系统的正常运行不会带来太大影响；基于业务过程模型挖掘，比事先人工建模的方式获得更为客观和多维的业务过程模型，降低因模型的主观性过强导致的高误报率。

本发明不局限于上述具体实施方式，本领域技术人员还可据此做出多种变化，但任何与本发明等同或者类似的变化都应涵盖在本发明权利要求的范围内。