[发明专利]基于工作流网模型的事件日志审计方法

摘要

本发明公开了一种基于工作流网模型的事件日志审计方法。基于合法模型和历史日志，以对事件日志的审计为目的，参照程序语言的分析方法，提出一种全新的事件日志审计方法，它可以针对块结构的过程模型，确定无回溯地进行日志审计。该方法包括以下步骤：(1)根据块结构模型的特点，分析日志审计中存在的问题；(2)针对这些问题，给出相应的解决方法，得到可进行确定无回溯日志审计的模型应满足的条件；(3)给出审计方法。与现有技术相比，本发明不再局限于概念模型，而是针对块结构过程模型，给出具体的日志审计方法；本发明给出了可进行确定无回溯日志审计模型应满足的条件；给出了具体的审计算法，满足条件的模型可以高效地进行日志的审计。

主权项

基于工作流网模型的事件日志审计方法，其特征在于，包括如下步骤：a事件日志和过程模型的定义定义活动、日志和迹令Σ是过程中所有活动的集合；事件e是活动的一次出现；业务过程的一次运行称为实例，其运行记录称作迹，迹t是事件的一个可空序列，即t∈Σ^*；而事件日志L是迹的有限非空多重集，即L∈B(Σ^*)；定义Petri网Petri网定义为三元组PN＝(P,T；F)，其中：(1)P是库所的有限集；(2)T是变迁的有限集，且(3)是P和T之间的弧集，称作流关系；(4)dom(F)∪cod(F)＝P∪T其中：$dom\left(F\right)=\{x\&Element;P\&cup;T|\&Exists;y\&Element;P\&cup;T:(x,y)\&Element;F\},$$cod\left(F\right)=\{y\&Element;P\&cup;T|\&Exists;x\&Element;P\&cup;T:(x,y)\&Element;F\};$定义工作流网令(P,T；F)为一个Petri网，当它满足以下条件时，称其为工作流网WorkFlow nets，简记为WF‑nets：(1)包含且仅包含一个输入库所i且^·i为(2)包含且仅包含一个输出库所o且o^·为(3)强连通性：则～N＝(P,T∪{t}，F∪{o,t}∪{t,i})是强连通的；定义块结构工作流网块结构工作流网N为一工作流网，表示为N＝(N₁,N₂,…,N_m)，且其子网N_i(1≤i≤m)为工作流网；块结构工作流网的集合记作NS；块结构工作流网的过程模型用过程树的方式表示如下：定义过程树过程树是块结构工作流网的抽象表示形式；令Σ为活动集合，为操作符集合，符号表示默活动；则过程树形式化定义为：(1)a是一棵过程树，其中a∈Σ∪{τ}；(2)令M₁,…,M_n(n>0)为过程树，为一个操作符，则为一棵过程树；其中，中包含的标准操作符有：顺序→，并发∧，选择×，和循环在循环中，第一棵子树是循环体部分，其它子树是重做部分；过程树的语义描述为过程树的语言：定义过程树M的语言为定义过程树的语言，除语言中的标准符号：连接(·)，选择(|)和闭包(*)外，另引入符号ψ来表示能够保持偏序关系的迹交叉；令A(M)表示过程树M中活动的集合，则有同时，过程树语言中的每一个元素称为过程树的句子；若N为一块结构工作流网表示的过程模型，M为其过程树，A(M)为模型过程树M中活动的集合；L为过程模型的事件日志，迹t∈L，A(L)表示事件日志包含活动的集合，则日志审计定义如下：定义日志审计令事件日志在过程树中进行重放，即将过程树与日志进行逐个活动的匹配，日志审计中的一步用(x,y)对来表示，则：(1)若x∈A(M)，y∈A(L)且有x＝y，则称(x,y)为同步移动；(2)若x＝τ且y∈A(L)则称(x,y)为待定移动；(3)若x∈A(M)，y∈A(L)，且x≠y，则称(x,y)为异常移动；如果审计过程的每一步均为同步或待定移动，直至过程树遍历完成和事件日志结束，则称日志审计成功；否则，称日志审计失败；定义过程树的首活动集FirAct对一棵过程树M，其首活动集FirAct(M)表示为：各过程树FirAct的构造方法如下：重复使用下面的规则，直到每棵过程树的FirAct不再增大为止：(1)FirAct(τ)＝{ε}；(2)若过程树M为a，则FirAct(M)＝{a}；(3)若M＝×(M₁,…,M_n)，则特别地，对所有i(1≤i≤n)，若ε∈FirAct(M_i)，则ε∈FirAct(M)；(4)若M＝→(M₁,…,M_n)，则FirAct(M)除包含FirAct(M₁)中的所有非ε元素外，若对于任意j，1≤j≤i‑1，则若FirAct(M_j)中都包含ε元素，则将FirAct(M_i)中所有非ε元素加入到FirAct(M)中；若ε∈FirAct(M_i)(1≤i≤n)，则ε∈FirAct(M)；(5)若M＝∧(M₁,…,M_n)，则特别地，若ε∈FirAct(M_i)(1≤i≤n)，则ε∈FirAct(M)；(6)若则FirAct(M)＝FirAct(M₁)；若过程树M＝×(M₁,…,M_n)的某些子过程树的FirAct有交集{a}，则将M改写为M＝×(aM₁′,…,aM_n1′,M_n1+1…,M_n)，其中，M_n1+1…,M_n不以a为首活动，则M＝×(M₁,…,M_n)表示为：M＝×(→(a,M′),M_n1+1…,M_n)，其中：M′＝×(M₁′,…,M_n1′)经过反复提取公共左因子，使所有过程树的各子过程树的首活动集互不相交；b工作流网表示的过程模型进行确定无回溯日志审计的条件(1)对任一根为选择(×)的过程树，其子过程树的各个首活动集FirAct之间应互不相交，即若M＝×(M₁,…,M_n)，则FirAct(M_i)∩FirAct(M_j)＝φ，i≠j；(2)若对过程树的某棵子树M，若ε∈FirAct(M)，则需要FirAct(M)∩FolAct(M)＝φ；记满足以上条件的块结构工作流网的集合为BN；下面给出过程树M的FolAct定义及构造方法定义过程树的FolAct令M₁为过程树M的子树，且有则FolAct(M₁)＝{a|M＝>…M₁·<a>…}；特殊地，若则令由此，当需要用M₁匹配活动a时，此时但ε∈FirAct(M₁)，当a∈FolAct(M₁)时，令M₁自动匹配，而由FolAct(M₁)来匹配a；FolAct集的构造方法如下：若模型的过程树为T，M为T的子树或自身，则对M的子过程树M_i，其FolAct(M_i)的构造方法是连续使用以下规则，直至每个FolAct不再增大为止：(1)对过程树T，令(2)若M＝×(M₁,…,M_n)，则将FolAct(M)中的所有非ε元素加入至FolAct(M_i)；(3)若M＝→(M₁,…,M_n)，则将FirAct(M_i+1)中的所有非ε元素加入到FolAct(M_i)中，若ε∈FirAct(M_i+1)，则将FirAct(M_i+2)中的所有非ε元素加入到FolAct(M_i)中；若对任意j，i+1≤j≤k(i+1≤k≤n‑1)，均有ε∈FirAct(M_j)，则将FirAct(M_k+1)中的非ε元素加入到FolAct(M_i)中；特殊地，当i+1≤j≤n中均有ε∈FirAct(M_j)时，则将FolAct(M)中的元素加入到FolAct(M_i)中；(4)若则分i＝1和2≤i≤n两种情况进行分析：若i＝1，则将FirAct(M_j)(2≤j≤n)中的非ε元素和FolAct(M)中的元素加入到FolAct(M_i)中；若2≤i≤n,则FolAct(M_i)等于FirAct(M₁)；(5)若M＝∧(M₁,…,M_n)，采用FolAct(M)中元素与a相匹配；c确定无回溯日志审计方法已知过程树M和迹t，其中，M无回溯；用栈来存储过程树，用活动串表示事件日志中的迹t和结束符号首先将结束符号和过程树开始符号入栈stack，同时将标记LABEL设为true，然后将栈顶元素依次与迹中活动相比较：若栈顶元素与迹中活动同为结束符号时，将LABEL记为FALSE，则日志审计成功；若栈顶元素与迹中活动构成同步移动，则继续向前匹配；若过程树或迹只有一个结束，审计失败；若根据分析表AnaTab，需用过程树M匹配a，即其内容为时，则调用Processmatch过程继续匹配，重复以上步骤，直到得到审计结果；其中，AnaTab(M,a):当过程树M面临活动a时，其分析表中的值；Processmatch(M,a)：过程树与活动a的匹配过程；判断迹t是否完全符合过程树M：1:将符号和过程树M入栈；2:读入迹t中元素并放入a中；3:将标记LABEL赋为True；4:当LABEL为真时，重复5‑10；5:弹出栈顶元素并放入X中；6:如果栈顶元素的根为活动且为a，则读入a，否则返回False；7:否则若X＝a且为则LABEL赋值为False，否则返回False；8:否则若分析表中AnaTab(M,a)为则9:调用$\mathrm{Pr}ocessmatch(M\&CirclePlus;(M_1,...,M_n),a);$10:否则返回False；11:返回True，停止，表明审计成功。