[发明专利]一种基于业务操作组合发现异常操作行为的方法和装置

权利要求书

1.一种基于业务操作组合发现异常操作行为的方法，其特征在于：包括以下步骤：

步骤A：提取业务操作和受理日志的历史数据；

步骤B：对历史数据基于业务对象和操作时间间隔进行排序构建操作序列；

步骤C：剔除操作序列中业务层面罕见的正常操作，生成操作组合；

步骤D：针对指定业务操作类型筛选相关的操作组合；

步骤E：利用关联规则提取操作组合中的异常项，发现异常操作行为及对应的操作人员。

2.根据权利要求1所述的一种基于业务操作组合发现异常操作行为的方法，其特征在于：步骤B中构建操作序列的方法包括以下步骤：

步骤i：以一定周期将业务操作和受理的记录按业务对象分组，按操作时间排序；

步骤ii：依次比较相邻的两条记录，如果业务对象相同且操作记录之间的时间间隔不大于阈值，则将这两条记录添加到同一个会话中，如果业务对象不同，或者操作记录之间的时间间隔大于阈值，则将两条记录添加到两个会话中；遍历所有记录，得到会话数据；

步骤iii：整理每个会话中的操作和受理记录对应的业务操作，得到每个会话对应的操作序列。

3.根据权利要求1所述的一种基于业务操作组合发现异常操作行为的方法，其特征在于：步骤E中的关联规则衡量指标包括支持度、置信度和提升度，支持度和置信度小于阈值，且提升度大于阈值的操作组合为异常项。

4.根据权利要求3所述的一种基于业务操作组合发现异常操作行为的方法，其特征在于：所述支持度Support(X,Y)表示同时包含序列X和Y的会话在总会话里出现的概率，公式为：

Support(X,Y)＝P(X,Y)/P(I)＝num(X∩Y)/num(I)

其中，I表示所有会话的集合，P(X,Y)表示同时包含序列X和Y的会话发生的概率，P(I)表示会话I发生的概率，数值为1；num(X∩Y)表示同时包括序列X和Y的会话的数量，num(I)表示会话总数。

5.根据权利要求4所述的一种基于业务操作组合发现异常操作行为的方法，其特征在于：所述置信度Confidence(X→Y)表示在操作行为X发生的情况下，发生操作行为Y的概率，公式为：

Confidence(X→Y)＝P(Y|X)＝P(X,Y)/P(X)＝num(X∩Y)/num(X)

P(Y|X)表示在X发生的情况下，Y发生的概率，P(X)和num(X)分别表示会话X发生的概率和数量。

6.根据权利要求5所述的一种基于业务操作组合发现异常操作行为的方法，其特征在于：所述提升度Lift(X→Y)表示含有X的情况下，同时含有Y的概率，与Y发生的概率之比；公式为：

Lift(X→Y)＝P(Y|X)/P(Y)

如果提升度大于1，则表明操作行为X与操作行为Y存在正相关性，提升度小于1，则操作行为X与操作行为Y存在负相关性，提升度等于1表明没有相关性，即相互独立。

7.一种基于业务操作组合发现异常操作行为的装置，其特征在于：包括

数据获取模块：提取业务操作和受理日志的历史数据；

操作序列构建模块：对历史数据基于业务对象和操作时间间隔进行排序构建操作序列；

正常操作排除模块：剔除操作序列中业务层面罕见的正常操作，生成操作组合；

筛选模块：针对指定业务操作类型筛选相关的操作组合；

异常发现模块：利用关联规则提取操作组合中的异常项，发现异常操作行为及对应的操作人员。