崔融融

（大同煤炭職業(yè)技術學院，山西 運城 037003）

在企業(yè)信息系統(tǒng)的運行過程中，用戶的異常行為不僅會影響系統(tǒng)中正常用戶的行為模式，同時，還會影響整個系統(tǒng)的穩(wěn)定運行。當前，隨著企業(yè)系統(tǒng)的應用逐漸深入，用戶的異常行為造成的威脅程度也逐漸加劇，嚴重者甚至會影響到用戶的工作質量及效率，造成較大的經(jīng)濟損失，并威脅整個企業(yè)的穩(wěn)定、安全及發(fā)展。近年來，企業(yè)違規(guī)金額損失事故時常發(fā)生，最主要的原因是內部員工在使用企業(yè)信息系統(tǒng)的過程中存在異常行為，并且這一部分比例占所有導致企業(yè)違規(guī)金額損失事故行為超過一半。因此，針對這一問題，相關領域的研究人員對此開展了更加深入的研究，并且這一問題也逐漸成為業(yè)界和學術界廣泛關注的熱點。企業(yè)信息系統(tǒng)在運行的過程中，主要運行模式是通過利用日志將系統(tǒng)內用戶的行為數(shù)據(jù)進行記錄，并通過捕捉或分析的方式對用戶可能存在的異常行為進行判斷。當前，常見的預測方法包括基于規(guī)則或基于數(shù)據(jù)驅動的方法，但這兩種方法在實際應用中逐漸無法滿足數(shù)據(jù)呈指數(shù)上升的日志分析需要。基于此，本文進行了企業(yè)信息系統(tǒng)用戶異常行為預測方法探究。

一、企業(yè)信息系統(tǒng)用戶異常行為預測方法設計

1.構建系統(tǒng)用戶異常行為特征模型

為了確保本文設計的企業(yè)信息系統(tǒng)用戶異常行為預測方法在實際應用中更加有效，需要結合具體企業(yè)運行情境，選擇出能夠幫助后期預測訓練和識別的用戶異常行為特征。同時，考慮到數(shù)據(jù)獲取和處理時的多種可能性，本文采用用戶個體屬性特征作為模型核心結構。表1為本文系統(tǒng)用戶異常行為特征模型。

表1 系統(tǒng)用戶異常行為特征模型

根據(jù)表1中的內容，將每一位企業(yè)信息系統(tǒng)當中的用戶都按照上述模型層次進行劃分，并對其相關數(shù)據(jù)進行分類，按照來源引入到不同模型層次當中，以此構建系統(tǒng)用戶異常行為特征模型。

2.劃分用戶異常行為類型

在對企業(yè)信息系統(tǒng)當中的用戶異常行為進行預測時，首先需要對其行為進行分類和界定，考慮到針對企業(yè)而言，用戶異常行為還會造成不利后果，本文從用戶認知特征的角度，對用戶異常行為進行劃分；其次，為了確保劃分后的用戶異常行為能夠更加貼切地實現(xiàn)對用戶行為的描述，本文還將基于時間和地點對上述構建的系統(tǒng)用戶異常行為特征模型的應用層異常行為進行界定。

綜合上述論述，將用戶異常行為類型劃分為無意產(chǎn)生、基于規(guī)則以及基于知識三個不同分類。其中第一種類型表示為未按照計劃執(zhí)行動作的用戶異常行為，通常情況下不存在推出時間；第二種類型表示為在用戶行為產(chǎn)生時，規(guī)則被錯誤應用的類型，通常情況下為非正常時間登錄或未在規(guī)定地點登錄；第三種類型表示為用戶的思維模式或知識儲備不足錯誤造成的異常行為，通常情況下會超出合理操作的時間范圍。

當?shù)谝环N用戶異常行為產(chǎn)生時，企業(yè)信息系統(tǒng)當中的退出時間t會丟失，此時在操作記錄當中t∈?；當?shù)诙N用戶異常行為產(chǎn)生時，企業(yè)信息系統(tǒng)的正常工作時間應當為Tin-△T~Tout-△T，其中Tin表示為在企業(yè)信息系統(tǒng)中用戶行為開始時間；Tout-表示為在企業(yè)信息系統(tǒng)中用戶行為結束時間；當?shù)谌N用戶異常行為產(chǎn)生時，可將閾值F作為確定的區(qū)間條件，當用戶異常行為產(chǎn)生的時間在該閾值范圍內時，則說明不存在用戶異常行為，反之同理。

3.模型預測訓練

由于在實際應用中，企業(yè)信息系統(tǒng)用戶行為數(shù)據(jù)量巨大，因此，預測過程更加復雜，為了進一步提高預測結果的準確性，本文引入機器學習技術，建立本文上述構建的系統(tǒng)用戶異常行為特征模型到更高層次語義特征之間的映射，并結合深度神經(jīng)網(wǎng)絡實現(xiàn)對模型的預測訓練。首先，在深度神經(jīng)網(wǎng)絡輸入層當中設定某企業(yè)信息系統(tǒng)已知存在用戶異常行為數(shù)據(jù)量的85%數(shù)據(jù)作為訓練集，將其余15%數(shù)據(jù)集作為預測集；其次，按照公式（1）對數(shù)據(jù)集進行歸一化處理：

公式（1）中，'ne表示為經(jīng)過歸一化處理后的用戶異常行為數(shù)據(jù)特征，ne表示為未經(jīng)過歸一化處理后的用戶異常行為數(shù)據(jù)特征，nδ表示為深度神經(jīng)網(wǎng)絡特征平均值，nα表示為深度神經(jīng)網(wǎng)絡特征標準差；最后，完成對數(shù)據(jù)集的歸一化處理后，利用遺忘門結構層對細胞狀態(tài)進行決策，并通過讀取上一層得到的輸出結果和當前企業(yè)信息系統(tǒng)中用戶的行為時間對比，對用戶在下一時刻出現(xiàn)異常行為進行預測。

二、對比實驗

根據(jù)本文上述論述，完成對企業(yè)信息系統(tǒng)用戶異常行為預測方法的理論設計，為進一步驗證該方法在實際應用中的效果，將該預測方法與傳統(tǒng)基于規(guī)則的用戶異常行為預測方法應用到相同的實驗環(huán)境當中，完成如下對比實驗。

本文選擇以某企業(yè)作為實驗環(huán)境，將該企業(yè)的信息系統(tǒng)近幾年運行數(shù)據(jù)作為實驗依托，該企業(yè)業(yè)務運行十分復雜，因此，選用該企業(yè)作為本文實驗環(huán)境獲取到的實驗樣本具有一定代表性。同時，該企業(yè)使用信息系統(tǒng)時間已經(jīng)長達10年，因此，具有良好的應用基礎，能夠為本文實驗提供更加可靠的實驗數(shù)據(jù)，以此能夠進一步實現(xiàn)更加可行的預測方法應用效果研究。對于該企業(yè)而言，在信息系統(tǒng)運行的過程中，用戶若出現(xiàn)異常行為，則會對該企業(yè)造成嚴重的損失，基于這一問題，該企業(yè)急需一種能夠實現(xiàn)對其用戶異常行為預測的方法，因此，為本文研究提供了良好的實驗案例條件。表2為該企業(yè)信息系統(tǒng)部分原始數(shù)據(jù)記錄表。

表2 業(yè)信息系統(tǒng)部分原始數(shù)據(jù)記錄表

表2專用TPS表示為事務處理模塊；DSS表示為決策支持模塊。根據(jù)表2中記錄格式，在該企業(yè)信息系統(tǒng)當中提取共152630條數(shù)據(jù)，并通過系統(tǒng)自動完成噪聲處理、不一致數(shù)據(jù)處理、重復數(shù)據(jù)處理等操作，獲取到150000條日志數(shù)據(jù)。為了確保實驗結果的準確性，本文設置在150000條日志數(shù)據(jù)當中共包含了存在用戶異常行為的150條數(shù)據(jù)，將其平均分配到日志數(shù)據(jù)集當中，將前50000條日志數(shù)據(jù)作為訓練樣本，分別利用兩種預測方法對之后100000條日志數(shù)據(jù)進行預測，并將實驗結果繪制成如圖1所示。

圖1 兩種預測方法實驗結果對比表

根據(jù)圖1中兩條變化曲線可以看出，本文提出的預測方法在應用到該企業(yè)信息系統(tǒng)環(huán)境當中，能夠實現(xiàn)對用戶異常行為數(shù)據(jù)的全部正確預測。而傳統(tǒng)預測方法隨著日志數(shù)據(jù)總量的不斷增加，正確預測用戶異常行為數(shù)據(jù)量逐漸減少。因此，通過對比實驗證明，本文提出的企業(yè)信息系統(tǒng)用戶異常行為預測方法在實際應用中能夠達到更高精度的預測結果，為企業(yè)信息系統(tǒng)安全、穩(wěn)定運行提供保障。

三、結語

針對當前用戶異常行為對企業(yè)信息系統(tǒng)中帶來的問題，本文進行了針對用戶異常行為的預測方法設計探究。本文提出了一種全新的預測方法，將其應用于實際能夠有效解決用戶異常行為造成的企業(yè)運行事故問題。但因研究時間有限，本文提出的預測方法仍然具有一定的局限性，需要在未來對其進行進一步的擴展和完善。例如，針對不同用戶異常行為可能會造成的后果并沒有進行細分，在未來的研究中將針對不同用戶異常行為進行細化分析，從而進一步提高本文預測方法的適用性。