一种业务全流程动态监测系统的制作方法

1.本发明涉及业务监测技术领域，具体地说，涉及一种业务全流程动态监测系统。


背景技术：

2.传统的网络信息安全主要关注的是网络边界安全，但是国内外的众多研究表明，80％的信息安全事件源自企业内部合法人员，因违规操作、恶意操作、误操作等引发的信息安全事件日益突出，不仅存在巨大的经济风险，还可能会带来严重的法律法规风险。当安全事件来自于业务操作行为、操作内容时，往往被淹没在海量的常规操作之中，从网络审计、数据库审计等it审计中关联到业务操作流程几乎是一个不可完成的任务。常规的安全防护手段，如防火墙、入侵检测系统(ids)、入侵防御系统(ips)等基于已知特征或快照性记录技术的内容感知，对于大部分内部威胁无能为力。传统的解决内部威胁的方法是，通过将ips、ids和fw等设备的安全日志进行汇总，实现安全事件管理，提供统一的视图呈现收集自各个来源的数据并进行关联处理，以期望在海量的日志中发现内部威胁的蛛丝马迹。但是该种方法具备十分明显的缺点；如过程复杂，工作繁复艰巨、对威胁判断困难等。业务流程审计/监测是当前技术发展热点之一，若能以全流量监测技术为基础，对业务进行动态感知，进而实现对业务全流程的动态监测，则能更快速且更准确地发现以“人”为主导的内部威胁问题。然而，目前却没有可以实现这种方法的业务监测系统。


技术实现要素：

3.本发明的目的在于提供了一种业务全流程动态监测系统，以解决上述背景技术中提出的问题。
4.为实现上述技术问题的解决，本发明的目的之一在于，提供了一种业务全流程动态监测系统，包括
5.基础框架单元、识别路线单元、功能设计单元和应用服务单元；所述基础框架单元的信号输出端与所述识别路线单元的信号输入端连接，所述识别路线单元的信号输出端与所述功能设计单元的信号输入端连接，所述功能设计单元的信号输出端与所述应用服务单元的信号输入端连接；所述基础框架单元用于逐步搭建系统框架并在此基础上完善各类服务来支持系统运行；所述识别路线单元用于通过业务识别体系技术路线对业务全流程进行识别分析；所述功能设计单元用于结合用户需求对系统进行功能设计和管理；所述应用服务单元用于通过扩展服务来完善系统的功能性；
6.所述基础框架单元包括技术支持模块、框架模型模块、识别体系模块和感知监测模块；
7.所述识别路线单元包括业务克隆模块、业务映射模块、业务权重模块和违规检测模块；
8.所述功能设计单元包括资产监测模块、操作透视模块、风险测点模块和自定义监测模块；
9.所述应用服务单元包括学习识别模块、行为监测模块、风险管控模块和效果体现模块。
10.作为本技术方案的进一步改进，所述技术支持模块的信号输出端与所述框架模型模块的信号输入端连接，所述框架模型模块的信号输出端与所述识别体系模块的信号输入端连接，所述识别体系模块的信号输出端与所述感知监测模块的信号输入端连接；所述技术支持模块用于通过机器学习、网络流量分析、业务关联审计、大数据、全流量监测分析、行为分析等技术来作为支持系统运转的基础；所述框架模型模块用于以多种智能算法技术为基础构建由点到面、由单因素到多因素递进关联的业务全流程动态监测感知技术框架模型；所述识别体系模块用于在分析技术框架的基础上构建业务识别体系来对业务全流程进行识别分析；所述感知监测模块用于以业务识别体系为基础对业务流程进行动态感知、监测管理及工作量分配。
11.作为本技术方案的进一步改进，所述感知监测模块包括账号管理模块、业务梳理模块、业务建模模块和敏感检测模块；所述账号管理模块、所述业务梳理模块、所述业务建模模块与所述敏感检测模块依次通过以太网通讯连接且并列运行；所述账号管理模块用于对可供多人访问及进行操作的业务系统账号进行管理和监控；所述业务梳理模块用于对监管的业务全流程进行梳理归纳；所述业务建模模块用于基于行为识别的机器学习技术对业务人员日常操作进行行为记录，通过统计其办理频次、办理时间、涉及业务数据及办理逻辑等业务特征值智能测算出业务办理的常态化特征值，并据此建立常态模型以便自动完成模型的准确度评估和改进过程；所述敏感检测模块用于对被监测的业务系统全流程中存在的敏感信息进行深度检测。
12.其中，业务梳理的内容包括但不限于对企业信息化相关参与者(研发人员、软件外包公司、运维人员、审计人员和普通用户等所有能接触到业务系统的相关人员)进行业务操作行为审计，从业务流量中挖掘出用户的上下文信息，从中分辨出整个业务流程的各个步骤，并较为准确地实现对内部威胁的判断。
13.作为本技术方案的进一步改进，所述业务克隆模块的信号输出端与所述业务映射模块的信号输入端连接，所述业务映射模块的信号输出端与所述业务权重模块的信号输入端连接，所述业务权重模块的信号输出端与所述违规检测模块的信号输入端连接；所述业务克隆模块用于利用旁路镜像对不同用户访问web业务系统的流量进行全流量采集、还原，提取web业务系统交互的http请求序列，并通过对业务系统操作过程产生的网络流量进行逆向解析以还原各个http请求，再通过聚类分析将相关请求序列归为一个业务模块；所述业务映射模块用于以业务克隆为基础根据同一业务再不同办理人员的办理过程中出现并使用到的业务数据进行数据挖掘分析，对同一业务模块的http请求序列进行聚类分析、统计，通过正表达式、关键字等匹配数据流中出现过的业务数据类型、数量以计算出业务数据和业务模块的映射关系；所述业务权重模块用于根据业务系统类型、办理业务特点，将不同的业务模块根据功能的重要程度，使用业务权重算法，将涉及审批、金额、客户资料、业务流程的业务模块识别分类，进而计算出各个业务模块的权重值以为监测策略提供不同权重的监测对象；所述违规检测模块用于根据用户使用业务数据的频率、数量、时间、操作业务模块的重要程度，结合用户操作行为监测走势，并根据业务操作规范，用采集到的用户行为数据作为输入来判断其行为是否违规。
14.作为本技术方案的进一步改进，所述业务克隆模块中，对http请求序列进行聚类分析采用k-means均值聚类算法，该算法步骤如下：
15.step1、选k个初始聚类中心(各聚类中心均分布在业务主线上)，z
1i
，z
2i
，∧z
ki
，其中，(1,2，...，k)为寻找聚类中心的迭代运算的次序号；
16.step2、逐个将需分类模式样本{x}按最小距离准则分配给k个聚类中心中的某一个z
j(1)
；对所有的i≠j，j＝1，2，...，k，如果z
1i
，z
2i
，∧z
ki
,则x∈s
jk
，其中，k为迭代运算的次序号，第一次迭代k＝1，sj表示第j个聚类，其聚类中心为zj；
17.step3、计算各个聚类中心的新的向量值z
j(k 1)
，j＝1,2，...，k，求各聚类域中所包含样本的均值向量：
[0018][0019]
其中，nj为第j个聚类域sj中所包含的样本个数；
[0020]
其中，以均值向量作为新的聚类中心，可使如下聚类准则函数j最小：
[0021][0022]
step4、若z
j(k 1)
≠z
j(k 1)
，j＝1,2，...，k，则返回s2，将模式样本逐个重新分类，重复迭代运算；若z
j(k 1)
＝z
j(k 1)
，j＝1,2，...，k，则算法收敛，计算结束。
[0023]
作为本技术方案的进一步改进，所述业务映射模块中，关键词的提取采用textrank算法，其计算表达式为：
[0024][0025]
式中，vi表示某个网页，vj表示链接到vi的网页(即vi的入链)，s(vi)表示网页vi的pr值，in(vi)表示网页vi的所有入链的集合，out(vj)表示网页vj的所有出链的集合，d表示阻尼系数，s(vj)前面的分数指的是vj所有出链指向的网页应该瓜分vj的pr值，而w
ji
为权重项，用来表示两个节点之间的边连接有不同的重要程度；
[0026]
该算法用于关键词提取的算法如下：
[0027]
step1、把给定的文本t按照完整句子进行分割；
[0028]
step2、对于每个句子，进行分词和词性标注处理，并过滤掉停用词，只保留指定词性的单词，如名词、动词、形容词；
[0029]
step3、构建候选关键词图g＝(v,e)，其中v为节点集，由上一步生成的候选关键词组成，然后采用共现关系构造任意两点之间的边，两个节点之间存在边仅当他们对应的词汇在长度为k的窗口中共现，k表示窗口大小，即最多共现k个单词；
[0030]
step4、根据上述公式，迭代传播各节点的权重，直至收敛；
[0031]
step5、对节点权重进行倒序排序，从而得到最重要的t个单词，作为候选关键词；
[0032]
step6、由上一步得到最重要的t个单词，在原始文本中进行标记，若形成相邻词组，则组合成多词关键词。
[0033]
其中，d是用来克服上式中“d*”后面部分的固有权限用的：如果仅仅有求和的部分，那么上式将无法处理没有入链的网页的pr值，因为这时根据上式这些网页的pr值为0，
但实际情况却不是这样，所以加入了一个阻尼系数来确保每个网页都有一个大于0的pr值；根据实验的结果，在0.85的阻尼系数下，大于100多次迭代pr值就能收敛到一个稳定的值，而当阻尼系数接近1时，需要的迭代次数会陡然增加很多，且排序不稳定。
[0034]
作为本技术方案的进一步改进，所述业务权重模块中，采用和法来进行各业务模块的相对权重(权向量)的计算，其计算表达式为：
[0035][0036]
其中，和法的原理时对于一致性判断矩阵，每一列归一化后就是相应的权重；对于非一致性判断矩阵，每一列归一化后近似其相应的权重，再对这n个列向量求取算术平均值作为最后的权重
[0037]
进而，在实际中要求判断矩阵满足大体上的一致性，需进行一致性检验，一致性检验的步骤如下：
[0038]
第一步，计算一致性指标c.i.：
[0039][0040]
第二步，查表确定相应的平均随机一致性指标r.i.据判断矩阵不同阶数查下表，得到平均随机一致性指标r.i.；
[0041]
第三步，计算一致性比例c.r.并进行判断：
[0042][0043]
当c.r.＜0.1时，认为判断矩阵的一致性时可以接受的，当c.r.＞0.1时，认为判断矩阵不符合一致性要求，需要对该判断矩阵进行重新修正。
[0044]
其中，和法计算权向量后，只有通过一致性检验，才能说明判断矩阵在逻辑上时合理的，才能继续对结果进行分析。
[0045]
作为本技术方案的进一步改进，所述资产监测模块、所述操作透视模块、所述风险测点模块与所述自定义监测模块依次通过以太网通讯连接且并列运行；所述资产监测模块用于自动发现网络中所有与业务相关的服务器和网络设备，并识别其所承载的业务、上下线情况、ip地址、端口号等信息，自动梳理企业的业务资产，从而在业务快速变化的过程中实现企业资产的统一管理；所述操作透视模块用于根据办公业务流量中的请求、回应内容等信息进行分析，从业务请求报文中提取能够定位单一功能的请求特征，并通过特征的聚合分析来映射到系统各个业务模块；所述风险测点模块用于以高适应性个性化场景监测能力为基础，通过审计企业内网的各大信息安全风险点，发现业务流程中存在的违规行为，并将近期发生的所有异常行为进行关联分析以便审计监测更多潜在的信息安全风险点；所述自定义监测模块用于根据监测环境的实际情况，通过对业务数据交互涉及的操作和账号信息等的频率、时间、内容等关键信息进行灵活的策略设置，以构成为企业个性化打造侧监测防护场景来为业务系统提供适合自身特点的自动监测功能。
[0046]
其中，风险监测点包括信息安全风险和业务风险两类，信息安全风险监测点包括但不限于内网渗透风险、账号密码明文、弱口令风险、信息泄露风险、账号管理不当、密码暴力破解等，业务风险监测点包括但不限于业务操作越权、业务办理绕行、业务违规高频、业
务僵尸账号、业务账号复用、业务账号监测等。
[0047]
作为本技术方案的进一步改进，所述学习识别模块、行为监测模块、风险管控模块和效果体现模块；所述学习识别模块用于基于行为分析、机器学习及大数据技术，使系统具备自动识别业务模块、自主学习业务行为的能力，从而能够对业务流量中可能存在的风险行为进行智能识别；所述行为监测模块用于根据业务的梳理情况和业务系统办理业务的特点，设置相关的监测策略实现对业务系统相关人员的操作行为进行实时审计监测；所述风险管控模块用于通过对业务全流程的风险因素进行监测管控并通过多种预警方式，对业务操作全流程中违反业务流程基线的用户行为进行告警；所述效果体现模块用于对业务梳理结果和业务违规行为进行多维度的报表直观展现。
[0048]
其中，预警方式包括但不限于在系统截面上直观展示、手机短信、邮件等。
[0049]
其中，多维度报表支持每日风险统计、风险趋势图示、即时报告、定时报告和风险扫描报告等，管理员还可以利用报表自定义功能生成定制化的报表。
[0050]
本发明的目的之二在于，提供了一种业务全流程动态监测系统的运行方法，包括如下步骤：
[0051]
s1、先在系统平台构建并实现由点到面、由单因素到多因素递进关联的用户行为分析技术框架模型；
[0052]
s2、在技术框架基础上，基于技术学习技术、网路流量分析技术、业务关联审计技术、大数据等技术构建识别体系；
[0053]
s3、在识别系统中，通过业务克隆、业务映射及业务权重分配流程，实现对业务流程进行监测及违规检测的目的；
[0054]
s4、用户在系统平台中，按照自身及业务需求，对业务数据交互涉及的操作和账号信息等的频率、时间、内容等关键信息进行灵活设置，同时系统按设定需求对业务全流程中的各风险点进行实时监测，并在运行过程中提供业务资产监测和用户操作透视管理服务；
[0055]
s5、在识别系统基础上，根据以采用信息的共性和关联特性进行持续性学习的上下文感知为基础的约为动态感知，实现对业务系统的账号管理、业务梳理过程；
[0056]
s6、基于行为识别的机器学习技术建立业务流程常态化模型，以便系统在后续时间段逐渐自主完成模型的准确度评估和改进过程；
[0057]
s7、系统以业务梳理、建模、异常行为告警、敏感信息深度检测为基础，实现智能业务识别、业务风险管控的目的，并能够对非法/违规操作事件进行追踪、定位，并通过界面直接展示、邮件、手机信息等方式给用户提供预警提示；
[0058]
s8、系统定期将业务梳理结构和业务违规行为进行记录并通过多维度的报表形式展示反馈出来。
[0059]
本发明的目的之三在于，提供了一种业务全流程动态监测系统的运行装置，包括处理器、存储器以及存储在存储器中并在处理器上运行的计算机程序，处理器用于执行计算机程序时实现上述任一的业务全流程动态监测系统。
[0060]
本发明的目的之四在于，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述任一的业务全流程动态监测系统。
[0061]
与现有技术相比，本发明的有益效果：
[0062]
1.该业务全流程动态监测系统使业务流程可视化，并关注“人”的行为，从而实现对业务系统相关人员操作行为的实时审计监测；
[0063]
2.该业务全流程动态监测系统针对内网安全威胁进行可视化研究与应用，促进业务模式智能学习，并提供内网安全威胁预警能力和风险管控功能；
[0064]
3.该业务全流程动态监测系统具有自学习、自建模功能，无需过多人工干预，可以对非法操作事件、业务违规行为和信息安全隐患进行监测，将监测结果进行多维度的报表直观展现，并为违规事件提供告警和事后溯源，从而可以有效防范业务系统被恶意使用。
附图说明
[0065]
图1为本发明的技术框架基本逻辑框图；
[0066]
图2为本发明的整体系统装置结构图；
[0067]
图3为本发明的局部系统装置结构图之一；
[0068]
图4为本发明的局部系统装置结构图之二；
[0069]
图5为本发明的局部系统装置结构图之三；
[0070]
图6为本发明的局部系统装置结构图之四；
[0071]
图7为本发明的局部系统装置结构图之五；
[0072]
图8为本发明的示例性电子计算机产品结构示意图。
[0073]
图中各个标号意义为：
[0074]
100、基础框架单元；101、技术支持模块；102、框架模型模块；103、识别体系模块；104、感知监测模块；1041、账号管理模块；1042、业务梳理模块；1043、业务建模模块；1044、敏感检测模块；
[0075]
200、识别路线单元；201、业务克隆模块；202、业务映射模块；203、业务权重模块；204、违规检测模块；
[0076]
300、功能设计单元；301、资产监测模块；302、操作透视模块；303、风险测点模块；304、自定义监测模块；
[0077]
400、应用服务单元；401、学习识别模块；402、行为监测模块；403、风险管控模块；404、效果体现模块。
具体实施方式
[0078]
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0079]
实施例1
[0080]
如图1-图8所示，本实施例提供了一种业务全流程动态监测系统，包括
[0081]
基础框架单元100、识别路线单元200、功能设计单元300和应用服务单元400；基础框架单元100的信号输出端与识别路线单元200的信号输入端连接，识别路线单元200的信号输出端与功能设计单元300的信号输入端连接，功能设计单元300的信号输出端与应用服务单元400的信号输入端连接；基础框架单元100用于逐步搭建系统框架并在此基础上完善
各类服务来支持系统运行；识别路线单元200用于通过业务识别体系技术路线对业务全流程进行识别分析；功能设计单元300用于结合用户需求对系统进行功能设计和管理；应用服务单元400用于通过扩展服务来完善系统的功能性；
[0082]
基础框架单元100包括技术支持模块101、框架模型模块102、识别体系模块103和感知监测模块104；
[0083]
识别路线单元200包括业务克隆模块201、业务映射模块202、业务权重模块203和违规检测模块204；
[0084]
功能设计单元300包括资产监测模块301、操作透视模块302、风险测点模块303和自定义监测模块304；
[0085]
应用服务单元400包括学习识别模块401、行为监测模块402、风险管控模块403和效果体现模块404。
[0086]
本实施例中，技术支持模块101的信号输出端与框架模型模块102的信号输入端连接，框架模型模块102的信号输出端与识别体系模块103的信号输入端连接，识别体系模块103的信号输出端与感知监测模块104的信号输入端连接；技术支持模块101用于通过机器学习、网络流量分析、业务关联审计、大数据、全流量监测分析、行为分析等技术来作为支持系统运转的基础；框架模型模块102用于以多种智能算法技术为基础构建由点到面、由单因素到多因素递进关联的业务全流程动态监测感知技术框架模型；识别体系模块103用于在分析技术框架的基础上构建业务识别体系来对业务全流程进行识别分析；感知监测模块104用于以业务识别体系为基础对业务流程进行动态感知、监测管理及工作量分配。
[0087]
进一步地，感知监测模块104包括账号管理模块1041、业务梳理模块1042、业务建模模块1043和敏感检测模块1044；账号管理模块1041、业务梳理模块1042、业务建模模块1043与敏感检测模块1044依次通过以太网通讯连接且并列运行；账号管理模块1041用于对可供多人访问及进行操作的业务系统账号进行管理和监控；业务梳理模块1042用于对监管的业务全流程进行梳理归纳；业务建模模块1043用于基于行为识别的机器学习技术对业务人员日常操作进行行为记录，通过统计其办理频次、办理时间、涉及业务数据及办理逻辑等业务特征值智能测算出业务办理的常态化特征值，并据此建立常态模型以便自动完成模型的准确度评估和改进过程；敏感检测模块1044用于对被监测的业务系统全流程中存在的敏感信息进行深度检测。
[0088]
其中，业务梳理的内容包括但不限于对企业信息化相关参与者(研发人员、软件外包公司、运维人员、审计人员和普通用户等所有能接触到业务系统的相关人员)进行业务操作行为审计，从业务流量中挖掘出用户的上下文信息，从中分辨出整个业务流程的各个步骤，并较为准确地实现对内部威胁的判断。
[0089]
本实施例中，业务克隆模块201的信号输出端与业务映射模块202的信号输入端连接，业务映射模块202的信号输出端与业务权重模块203的信号输入端连接，业务权重模块203的信号输出端与违规检测模块204的信号输入端连接；业务克隆模块201用于利用旁路镜像对不同用户访问web业务系统的流量进行全流量采集、还原，提取web业务系统交互的http请求序列，并通过对业务系统操作过程产生的网络流量进行逆向解析以还原各个http请求，再通过聚类分析将相关请求序列归为一个业务模块；业务映射模块202用于以业务克隆为基础根据同一业务再不同办理人员的办理过程中出现并使用到的业务数据进行数据
挖掘分析，对同一业务模块的http请求序列进行聚类分析、统计，通过正表达式、关键字等匹配数据流中出现过的业务数据类型、数量以计算出业务数据和业务模块的映射关系；业务权重模块203用于根据业务系统类型、办理业务特点，将不同的业务模块根据功能的重要程度，使用业务权重算法，将涉及审批、金额、客户资料、业务流程的业务模块识别分类，进而计算出各个业务模块的权重值以为监测策略提供不同权重的监测对象；违规检测模块204用于根据用户使用业务数据的频率、数量、时间、操作业务模块的重要程度，结合用户操作行为监测走势，并根据业务操作规范，用采集到的用户行为数据作为输入来判断其行为是否违规。
[0090]
具体地，业务克隆模块201中，对http请求序列进行聚类分析采用k-means均值聚类算法，该算法步骤如下：
[0091]
step1、选k个初始聚类中心(各聚类中心均分布在业务主线上)，z
1i
，z
2i
，∧z
ki
，其中，(1,2，...，k)为寻找聚类中心的迭代运算的次序号；
[0092]
step2、逐个将需分类模式样本{x}按最小距离准则分配给k个聚类中心中的某一个z
j(1)
；对所有的i≠j，j＝1，2，...，k，如果z
1i
，z
2i
，∧z
ki
,则x∈s
jk
，其中，k为迭代运算的次序号，第一次迭代k＝1，sj表示第j个聚类，其聚类中心为zj；
[0093]
step3、计算各个聚类中心的新的向量值z
j(k 1)
，j＝1,2，...，k，求各聚类域中所包含样本的均值向量：
[0094][0095]
其中，nj为第j个聚类域sj中所包含的样本个数；
[0096]
其中，以均值向量作为新的聚类中心，可使如下聚类准则函数j最小：
[0097][0098]
step4、若z
j(k 1)
≠z
j(k 1)
，j＝1,2，...，k，则返回s2，将模式样本逐个重新分类，重复迭代运算；若z
j(k 1)
＝z
j(k 1)
，j＝1,2，...，k，则算法收敛，计算结束。
[0099]
具体地，业务映射模块202中，关键词的提取采用textrank算法，其计算表达式为：
[0100][0101]
式中，vi表示某个网页，vj表示链接到vi的网页(即vi的入链)，s(vi)表示网页vi的pr值，in(vi)表示网页vi的所有入链的集合，out(vj)表示网页vj的所有出链的集合，d表示阻尼系数，s(vj)前面的分数指的是vj所有出链指向的网页应该瓜分vj的pr值，而w
ji
为权重项，用来表示两个节点之间的边连接有不同的重要程度；
[0102]
该算法用于关键词提取的算法如下：
[0103]
step1、把给定的文本t按照完整句子进行分割；
[0104]
step2、对于每个句子，进行分词和词性标注处理，并过滤掉停用词，只保留指定词性的单词，如名词、动词、形容词；
[0105]
step3、构建候选关键词图g＝(v,e)，其中v为节点集，由上一步生成的候选关键词组成，然后采用共现关系构造任意两点之间的边，两个节点之间存在边仅当他们对应的词
汇在长度为k的窗口中共现，k表示窗口大小，即最多共现k个单词；
[0106]
step4、根据上述公式，迭代传播各节点的权重，直至收敛；
[0107]
step5、对节点权重进行倒序排序，从而得到最重要的t个单词，作为候选关键词；
[0108]
step6、由上一步得到最重要的t个单词，在原始文本中进行标记，若形成相邻词组，则组合成多词关键词。
[0109]
其中，d是用来克服上式中“d*”后面部分的固有权限用的：如果仅仅有求和的部分，那么上式将无法处理没有入链的网页的pr值，因为这时根据上式这些网页的pr值为0，但实际情况却不是这样，所以加入了一个阻尼系数来确保每个网页都有一个大于0的pr值；根据实验的结果，在0.85的阻尼系数下，大于100多次迭代pr值就能收敛到一个稳定的值，而当阻尼系数接近1时，需要的迭代次数会陡然增加很多，且排序不稳定。
[0110]
具体地，业务权重模块203中，采用和法来进行各业务模块的相对权重(权向量)的计算，其计算表达式为：
[0111][0112]
其中，和法的原理时对于一致性判断矩阵，每一列归一化后就是相应的权重；对于非一致性判断矩阵，每一列归一化后近似其相应的权重，再对这n个列向量求取算术平均值作为最后的权重
[0113]
进而，在实际中要求判断矩阵满足大体上的一致性，需进行一致性检验，一致性检验的步骤如下：
[0114]
第一步，计算一致性指标c.i.：
[0115][0116]
第二步，查表确定相应的平均随机一致性指标r.i.据判断矩阵不同阶数查下表，得到平均随机一致性指标r.i.；
[0117]
第三步，计算一致性比例c.r.并进行判断：
[0118][0119]
当c.r.＜0.1时，认为判断矩阵的一致性时可以接受的，当c.r.＞0.1时，认为判断矩阵不符合一致性要求，需要对该判断矩阵进行重新修正。
[0120]
其中，和法计算权向量后，只有通过一致性检验，才能说明判断矩阵在逻辑上时合理的，才能继续对结果进行分析。
[0121]
本实施例中，资产监测模块301、操作透视模块302、风险测点模块303与自定义监测模块304依次通过以太网通讯连接且并列运行；资产监测模块301用于自动发现网络中所有与业务相关的服务器和网络设备，并识别其所承载的业务、上下线情况、ip地址、端口号等信息，自动梳理企业的业务资产，从而在业务快速变化的过程中实现企业资产的统一管理；操作透视模块302用于根据办公业务流量中的请求、回应内容等信息进行分析，从业务请求报文中提取能够定位单一功能的请求特征，并通过特征的聚合分析来映射到系统各个业务模块；风险测点模块303用于以高适应性个性化场景监测能力为基础，通过审计企业内网的各大信息安全风险点，发现业务流程中存在的违规行为，并将近期发生的所有异常行
为进行关联分析以便审计监测更多潜在的信息安全风险点；自定义监测模块304用于根据监测环境的实际情况，通过对业务数据交互涉及的操作和账号信息等的频率、时间、内容等关键信息进行灵活的策略设置，以构成为企业个性化打造侧监测防护场景来为业务系统提供适合自身特点的自动监测功能。
[0122]
其中，风险监测点包括信息安全风险和业务风险两类，信息安全风险监测点包括但不限于内网渗透风险、账号密码明文、弱口令风险、信息泄露风险、账号管理不当、密码暴力破解等，业务风险监测点包括但不限于业务操作越权、业务办理绕行、业务违规高频、业务僵尸账号、业务账号复用、业务账号监测等。
[0123]
本实施例中，学习识别模块401、行为监测模块402、风险管控模块403和效果体现模块404；学习识别模块401用于基于行为分析、机器学习及大数据技术，使系统具备自动识别业务模块、自主学习业务行为的能力，从而能够对业务流量中可能存在的风险行为进行智能识别；行为监测模块402用于根据业务的梳理情况和业务系统办理业务的特点，设置相关的监测策略实现对业务系统相关人员的操作行为进行实时审计监测；风险管控模块403用于通过对业务全流程的风险因素进行监测管控并通过多种预警方式，对业务操作全流程中违反业务流程基线的用户行为进行告警；效果体现模块404用于对业务梳理结果和业务违规行为进行多维度的报表直观展现。
[0124]
其中，预警方式包括但不限于在系统截面上直观展示、手机短信、邮件等。
[0125]
其中，多维度报表支持每日风险统计、风险趋势图示、即时报告、定时报告和风险扫描报告等，管理员还可以利用报表自定义功能生成定制化的报表。
[0126]
本实施例还提供了一种业务全流程动态监测系统的运行方法，包括如下步骤：
[0127]
s1、先在系统平台构建并实现由点到面、由单因素到多因素递进关联的用户行为分析技术框架模型；
[0128]
s2、在技术框架基础上，基于技术学习技术、网路流量分析技术、业务关联审计技术、大数据等技术构建识别体系；
[0129]
s3、在识别系统中，通过业务克隆、业务映射及业务权重分配流程，实现对业务流程进行监测及违规检测的目的；
[0130]
s4、用户在系统平台中，按照自身及业务需求，对业务数据交互涉及的操作和账号信息等的频率、时间、内容等关键信息进行灵活设置，同时系统按设定需求对业务全流程中的各风险点进行实时监测，并在运行过程中提供业务资产监测和用户操作透视管理服务；
[0131]
s5、在识别系统基础上，根据以采用信息的共性和关联特性进行持续性学习的上下文感知为基础的约为动态感知，实现对业务系统的账号管理、业务梳理过程；
[0132]
s6、基于行为识别的机器学习技术建立业务流程常态化模型，以便系统在后续时间段逐渐自主完成模型的准确度评估和改进过程；
[0133]
s7、系统以业务梳理、建模、异常行为告警、敏感信息深度检测为基础，实现智能业务识别、业务风险管控的目的，并能够对非法/违规操作事件进行追踪、定位，并通过界面直接展示、邮件、手机信息等方式给用户提供预警提示；
[0134]
s8、系统定期将业务梳理结构和业务违规行为进行记录并通过多维度的报表形式展示反馈出来。
[0135]
如图8所示，本实施例还提供了一种业务全流程动态监测系统的运行装置，该装置
包括处理器、存储器以及存储在存储器中并在处理器上运行的计算机程序。
[0136]
处理器包括一个或一个以上处理核心，处理器通过总线与处理器相连，存储器用于存储程序指令，处理器执行存储器中的程序指令时实现上述的业务全流程动态监测系统。
[0137]
可选的，存储器可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随时存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。
[0138]
此外，本发明还提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现上述的业务全流程动态监测系统。
[0139]
可选的，本发明还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述各方面业务全流程动态监测系统。
[0140]
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，程序可以存储于计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
[0141]
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的仅为本发明的优选例，并不用来限制本发明，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。