业务审批的异常识别方法、装置、电子设备及存储介质与流程

1.本发明涉及信息安全技术领域，尤其涉及一种业务审批的异常识别方法、装置、电子设备及存储介质。


背景技术：

2.随着信息技术的发展，各种办公系统逐步完善，极大的方便了人们的工作，提高了工作效率。为了确保信息安全，规范业务审批流程中的监督和审批机制，办公系统建设过程往往要求实现职责分离，比如一个业务审批流程需要两个及以上的经手人，业务申请人不能是自己的业务审批人(复核人)，低职级员工不能作为高职级员工的业务审批人等。现有办公系统建设及审计过程，主要实现了同一个账号的角色或权限分离，避免同一账号拥有不兼容的角色或者权限，从而导致操作不规范或者业务审批流程缺乏监督。也就是，目前针对职责分离控制和审计的提案中，主要是针对单个用户的角色和权限进行职责分离的事前控制或事后审计。


技术实现要素：

3.有鉴于此，本发明实施例提供一种业务审批的异常识别方法、装置、电子设备及存储介质，能够发现多账号联合规避职责分离管控，从而避免多账号联合的异常审批行为。
4.为达到上述目的，本发明的技术方案是这样实现的：
5.一方面，本发明实施例提供一种业务审批的异常识别方法，所述异常识别方法包括：
6.获取待识别系统在设定时间内的多条审计组合；每条所述审计组合包括与业务申请人相关的第一审计指标以及与业务审批人相关的第二审计指标；
7.基于所述多条审计组合中的各所述第一审计指标和各所述第二审计指标获得业务审批人层次的第一特征矩阵和联合层次的第二特征矩阵；所述联合层次为业务申请人与业务审批人联合的层次；所述第一特征矩阵包括各第一映射对；所述第一映射对是所述多条审计组合中业务审批人与对应的第一行为指标组成；所述第二特征矩阵包含各第二映射对，所述第二映射对是所述多条审计组合中业务申请审批组合与对应的第二行为指标组成；
8.基于所述第一特征矩阵中所述各第一映射对构建第一异常检测模型；
9.在基于所述第一异常检测模型识别出所述第一特征矩阵中包含的第一业务审批人为异常业务审批人时，基于所述第二特征矩阵中所述各第二映射对和所述第一业务审批人对应的第一映射对构建第二异常检测模型；
10.基于所述第二异常检测模型识别所述第二特征矩阵中是否包含异常申请审批组合。
11.另一方面，本发明实施例提供一种业务审批的异常识别装置，所述异常识别装置包括：获取单元、获得单元、第一构建单元、第二构建单元和识别单元，其中；
12.所述获取单元，用于获取待识别系统在设定时间内的多条审计组合；每条所述审计组合包括与业务申请人相关的第一审计指标以及与业务审批人相关的第二审计指标；
13.所述获得单元，用于基于所述多条审计组合中的各所述第一审计指标和各所述第二审计指标获得业务审批人层次的第一特征矩阵和联合层次的第二特征矩阵；所述联合层次为业务申请人与业务审批人联合的层次；所述第一特征矩阵包括各第一映射对；所述第一映射对是所述多条审计组合中业务审批人与对应的第一行为指标组成；所述第二特征矩阵包含各第二映射对，所述第二映射对是所述多条审计组合中业务申请审批组合与对应的第二行为指标组成；
14.所述第一构建单元，用于基于所述第一特征矩阵中所述各第一映射对构建第一异常检测模型；
15.所述第二构建单元，用于在基于所述第一异常检测模型识别出所述第一特征矩阵中包含的第一业务审批人为异常业务审批人时，基于所述第二特征矩阵中所述各第二映射对和所述第一业务审批人对应的第一映射对构建第二异常检测模型；
16.所述识别单元，用于基于所述第二异常检测模型识别所述第二特征矩阵中是否包含异常申请审批组合。
17.第三方面，本发明实施例还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一所述方法的步骤。
18.第四方面，本发明实施例还提供一种电子设备，所述电子设备包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器用于运行所述计算机程序时，执上述任一项所述方法的步骤。
19.本发明实施例提供一种业务审批的异常识别方法、装置、电子设备及存储介质。其中，所述异常识别方法包括：获取待识别系统在设定时间内的多条审计组合；每条所述审计组合包括与业务申请人相关的第一审计指标以及与业务审批人相关的第二审计指标；基于所述多条审计组合中的各所述第一审计指标和各所述第二审计指标获得业务审批人层次的第一特征矩阵和联合层次的第二特征矩阵；所述联合层次为业务申请人与业务审批人联合的层次；所述第一特征矩阵包括各第一映射对；所述第一映射对是所述多条审计组合中业务审批人与对应的第一行为指标组成；所述第二特征矩阵包含各第二映射对，所述第二映射对是所述多条审计组合中业务申请审批组合与对应的第二行为指标组成；基于所述第一特征矩阵中所述各第一映射对构建第一异常检测模型；在基于所述第一异常检测模型识别出所述第一特征矩阵中包含的第一业务审批人为异常业务审批人时，基于所述第二特征矩阵中所述各第二映射对和所述第一业务审批人对应的第一映射对构建第二异常检测模型；基于所述第二异常检测模型识别所述第二特征矩阵中是否包含异常申请审批组合。本发明实施例提供的业务审批的异常识别方法及装置，通过获取审计组合中的业务审批人层次的第一特征矩阵和联合层次的第二特征矩阵，构建第一异常检测模型和第二异常检测模型，从而能够发现多账号联合规避职责分离管控，从而避免多账号联合的异常审批行为。
附图说明
20.图1为本发明实施例提供的一种业务审批的异常识别方法的业务审批流程示意图一；
21.图2为本发明实施例提供的一种业务审批的异常识别方法的业务审批流程示意图二；
22.图3为本发明实施例提供的一种业务审批的异常识别装置的结构示意图；
23.图4为本发明实施例提供的一种电子设备的硬件结构示意图。
具体实施方式
24.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对发明的具体技术方案做进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。
25.目前，随着信息技术的发展，各种办公系统逐步完善，极大的方便了人们的工作，提高了工作效率。为了确保信息安全，规范业务审批流程中的监督和审批机制，信息系统建设过程往往要求实现职责分离，比如一个业务审批流程需要两个及以上的经手人，业务申请人不能是自己的业务审批人(复核人)，低职级员工不能作为高职级员工的业务审批人等。现有系统建设及审计过程，主要实现了同一个账号的角色或权限分离，避免同一账号拥有不兼容的角色或者权限，从而导致操作不规范或者业务审批流程缺乏监督。
26.然而，目前针对职责分离控制和审计的提案中，主要是针对单个用户的角色和权限进行职责分离的事前控制或事后审计。比如，在申请号为cn201811376825.8的专利《面向内部攻击的动态访问控制方法》中，公开了面向内部攻击的动态访问控制框架，属于信息安全访问控制技术领域，包括：访问请求的提交，用户使能角色的计算、角色使能权限的计算、使能角色的选取，候选使能角色的约减、风险值的计算，利用环境模型，评估访问控制策略中环境约束的可满足性，实现对用户权限的动态调整，防止非法用户的访问，然后，根据策略约束和风险分析，约束合法用户的权限范围，避免恶意用户的内部攻击。本发明通过分析环境信息，策略约束，访问风险，实现了对访问请求的三重控制，能够及时阻止非法的和恶意的访问行为，更为有效的保护网络资源，保障系统安全高效的运行。再比如，在申请号为cn201910971219.9的专利《一种基于网络安全设备日志数据的用户账户滥用审计方法和系统》中，提供了一种基于网络安全设备日志数据的用户账户滥用审计方法和系统，步骤为：1)从网络安全设备用户日志等数据中提取特征；2)对特征进行预处理和数据分析，获得特征之间以及特征与用户行为之间的关系；3)根据用户特征构建基于单类支持向量机(ocsvm，one class support vector machine)算法的分类器模型；4)根据分类器模型对用户行为特征进行判别，以发现用户账户是否存在被滥用的风险；该专利所公开的基于网络安全设备日志数据的用户账户滥用审计方法和系统，结构简单、计算复杂度低，可有效减少用户日志中行为分析的计算资源开销，仅需网络安全设备自动记录的数据，具有实际应用的优势，提供了针对用户个人账户行为特征的建模化分析方法，同时对用户账户是否存在被滥用的风险进行了决策性判断。
27.基于上述两篇专利可以看出，现有审计方式存在以下几个方面的缺点：
28.1、现有技术主要针对同一账号的角色或权限进行职责分离进行系统控制，事后审计也从单个用户的行为特征出发，无法检测出利用多个账号规避职责分离管控的行为。
29.2、未结合业务审批流程数据，仅从日志数据出发，特征提取阶段的计算量很大，必须依赖大数据环境才能实现。
30.3、现有异常审计模型，未针对各账号的岗位或角色差异，构建差异化的模型；或者直接针对不同职责或岗位的账号，分场景构建模型，虽然提高了模型的准确率，但构建定制化模型，开发和维护工作量较大，且不同场景的数据无法共享。
31.针对上述问题，发现通过技术手段，有效识别信息系统业务审批流程过程中，同一自然人利用两个及以上具有不兼容权限的账号规避职责分离管控的异常行为，对于规范业务审批流程，保障信息安全至关重要。因此，本发明提出了一种结合业务审批流程数据和业务操作日志，审计发现多账号联合规避职责分离管控的方法及装置。基于此，本发明提出一种业务审批的异常识别方法，该方法结合业务数据和日志数据，分析处于同一业务审批流程上下游的不同账号的行为特征，审计发现联合两个及以上账号规避职责分离管控的异常行为。首先，通过探索具有审批关系账号间的行为特征，审计发现多账号联合规避职责分离的异常行为，可以发现系统管控范围外的业务审批人不严格按管理规定履职的违规行为；其次，基于业务数据挖掘账号间的审批关系，减少了计算量并提高了审批关系的准确性；最后，针对不同业务审批人，通过构建多层logistic回归模型，进行差异化的行为审计，更具有针对性，提高了结果的准确率，同时减少了对不同场景构建定制化审计模型的工作量。
32.下面结合附图详细说明本发明实施例提供的业务审批的异常方法。
33.如图1所示，其示出本发明实施例提供的一种业务审批的异常识别方法的业务审批流程示意图。在图1中，所述异常识别方法可以包括以下步骤：
34.s101：获取待识别系统在设定时间内的多条审计组合；每条所述审计组合包括与业务申请人相关的第一审计指标以及与业务审批人相关的第二审计指标。
35.需要说明的是，这里所述待识别系统可以为各种办公系统。所述设定时间可以设置为1个月内、1天内、1周内等等根据实际情况进行设置。
36.在一些实施例中，所述获取待识别系统在设定时间内的多条审计组合，可以包括：
37.从所述待识别系统的业务数据库获取所述设定时间内的第一关键基础信息；所述第一关键基础信息与业务审批流程相关；
38.从所述待识别系统的日志数据库获取所述设定时间内的第二关键基础信息；所述第二关键基础信息也与所述业务审批流程相关；
39.基于所述第一关键基础信息和所述第二关键基础信息获取所述待识别系统在所述设定时间内的多条审计组合。
40.需要说明的是，所述业务数据库存储有每个业务审批流程，其中，业务审批流程在所述业务数据库中以业务审批流程标识id、业务审批流程中每一个审批环节的业务申请人账号、业务审批人账号、业务申请时间、业务审批时间等相关的数据进行存储。基于此，在一些实施例中，所述从所述待识别系统的业务数据库获取所述设定时间内的第一关键基础信息，可以包括：以业务审批流程标识id为主键，从时间业务审批流程出发，提取出所述第一关键基础信息，其中所述第一关键基础信息包括但不限于业务审批流程标识id、处理时间、处理账号。所述处理时间包括业务申请人账号对应的业务申请时间和业务审批人账号对应的业务审批时间；所述处理账号包括业务申请人账号和业务审批人账号。
41.例如，在一个业务审批流程从提单到业务审批流程终止的完整审批业务审批流程中，该业务审批流程的各环节包括：a-》b-》c，即a完成申请提单，b首先对a的操作进行环节1审批通过后将业务审批流程提交至c，c在环节1的基础上进一步复核并进行环节2审批，该
业务审批流程结束。该业务审批流程包括两个环节。那么，基于该业务审批流程提取的第一关键信息可以包括：该业务审批流程的业务审批流程标识id1，环节1业务申请人(a)、环节1业务审批人(b)，环节1申请时间(即a的处理时间)，环节1审批时间(即b的处理时间)；以及业务审批流程id1，环节2业务申请人(b)、环节2业务审批人(c)，环节2申请时间(即b的处理时间)，环节2审批时间(即c的处理时间)。需要说明的是，对于一个包含多个审批环节的业务审批流程，其每一个审批环节均包含业务申请人和业务审批人，换句话说，对于一个包含多个审批环节的业务审批流程，在某些审批环节中的业务申请人可能是另一些审批环节的业务审批人，也就是说，具体是业务申请人还是业务审批人，要具体看是其该审批环节中扮演的角色。
42.在一些实施例中，所述从所述待识别系统的日志数据库获取所述设定时间内的第二关键基础信息，可以包括：以所述设定时间为筛选条件，从所述日志数据库中获取所述第二关键基础信息，所述第二关键基础信息包括但不限于操作账号、操作时间、ip地址、操作业务审批流程id。其中，所述操作账号包括业务审批人账号和业务申请人账号；所述操作时间与前述所述处理时间同义，仅是在不同数据库中的不同命名。所述操作业务审批流程id也即前述的业务审批流程标识id，仅是在不同数据库中的不同命名。
43.在一些实施例中，所述基于所述第一关键基础信息和所述第二关键基础信息获取所述待识别系统在所述设定时间内的多条审计组合，包括：
44.确定所述第一关键基础信息包含的一个或多个业务申请审批组合；每一个所述业务申请审批组合表征一个申请审批关系，可以包括：业务审批流程标识、业务申请人账号、业务申请时间、业务审批人账号、业务审批时间；
45.基于所述第二关键基础信息为每一个所述业务申请审批组合确定所述业务申请人账号对应的业务申请地址和所述业务审批人账号对应的业务审批地址；
46.基于每一个所述业务申请审批组合和每一个所述申请审批组合对应的所述业务申请地址、所述业务审批地址获取所述待识别系统在所述设定时间内的多条审计组合；
47.其中，所述多条审计组合中的每条审计组合包括与所述业务申请人相关的第一审计指标及与业务审批人相关的第二审计指标；所述第一审计指标包括业务申请人账号、业务申请时间、业务申请地址；所述第二审计指标包括业务审批人账号、业务审批时间以及业务审批地址。
48.需要说明的是，所述确定所述第一关键基础信息包含的一个或多个业务申请审批组合也就是从每一个业务审批流程中分析出申请审批关系，比如，在一个业务审批流程从提单到业务审批流程终止，该业务审批流程的审批路径为a-》b-》c,即a完成申请提单，b首先对a的操作进行环节1审批通过后将业务审批流程提交至c，c在环节1的基础上进一步复核并进行环节2审批，业务审批流程结束。该业务审批流程中可以抽取出2个申请审批组合，即：[业务审批流程标识id，环节1业务申请人(a)、环节1业务审批人(b)，环节1申请时间(即a的处理时间)，环节1审批时间(即b的处理时间)]，[业务审批流程标识id，环节2业务申请人(b)、环节2业务审批人(c)，环节2申请时间(即b的处理时间)，环节2审批时间(即c的处理时间)]。
[0049]
在获得每一个业务审批流程包含的业务申请审批组合后，基于所述第二关键基础信息为每一个所述业务申请审批组合确定所述业务申请人账号对应的业务申请地址和所
述业务审批人账号对应的业务审批地址，在一些实施例中，所述基于所述第二关键基础信息为每一个所述业务申请审批组合确定所述业务申请人账号对应的业务申请地址和所述业务审批人账号对应的业务审批地址，可以包括：以所述业务审批流程标识、所述业务申请人账号、所述业务申请时间、所述业务审批人账号、所述业务审批时间为关键词，在所述第二关键基础信息进行关联，以获得每一个所述申请审批组合中所述业务申请人账号对应的业务申请地址和所述业务审批人账号对应的业务审批地址。
[0050]
也即，以业务审批流程id、登陆所述待识别系统的账号、业务处理的时间为关联主键，从日志数据库中关联回填，形成业务审批流程id对应的每组申请审批关系中的申请ip地址、审批ip地址。最终基于每一个所述业务申请审批组合和每一个所述申请审批组合对应的所述业务申请地址、所述业务审批地址获取所述待识别系统在所述设定时间内的多条审计组合，每条审计组合包括：业务申请人、业务审批人、业务申请时间、业务审批时间、业务申请地址(比如，业务申请人账号登陆待识别系统的ip地址)、业务审批地址(比如，业务审批人登陆待识别系统的ip地址)，具体如下表1：
[0051]
表1审计组合的数据结构表
[0052][0053][0054]
s102：基于所述多条审计组合中的各所述第一审计指标和各所述第二审计指标获得业务审批人层次的第一特征矩阵和联合层次的第二特征矩阵；所述联合层次为业务申请人与业务审批人联合的层次；所述第一特征矩阵包括各第一映射对；所述第一映射对是所述多条审计组合中业务审批人与对应的第一行为指标组成；所述第二特征矩阵包含各第二映射对，所述第二映射对是所述多条审计组合中业务申请审批组合与对应的第二行为指标组成。
[0055]
在一些实施例中，基于所述多条审计组合中的各所述第一审计指标和各所述第二审计指标获得业务审批人层次的第一特征矩阵和联合层次的第二特征矩阵，可以包括：
[0056]
基于所述多个审计组合中同一审计组合中的所述第一审计指标和所述第二审计指标确定所述同一审计组合中包含的业务申请时间与业务审批时间之间的时间间隔；以及确定所述同一审计组合中包含的业务申请地址与业务审批地址之间的地址相似度；
[0057]
确定所述多个审计组合中每一个所述同一审计组合对应的所述时间间隔及所述地址相似度；
[0058]
基于每一个所述时间间隔、每一个所述地址相似度和所述一个或多个业务申请审批组合获得所述业务审批人层次的第一特征矩阵。
[0059]
其中，所述第一特征矩阵为各第一映射对组成的二维矩阵，其中，所述第一映射对的第一维度代表业务审批人；所述第一映射对的第二维度代表所述第一行为指标。
[0060]
在一些实施例中，基于所述多条审计组合中的各所述第一审计指标和各所述第二审计指标获得联合层次的第二特征矩阵，可以包括：
[0061]
基于所述多个审计组合中同一审计组合中的所述第一审计指标和所述第二审计指标确定所述同一审计组合中包含的业务申请时间与业务审批时间之间的时间间隔；以及确定所述同一审计组合中包含的业务申请地址与业务审批地址之间的地址相似度；
[0062]
确定所述多个审计组合中每一个所述同一审计组合对应的所述时间间隔及所述地址相似度；
[0063]
基于每一个所述时间间隔和每一个所述地址相似度获得所述联合层次的第二特征矩阵。
[0064]
其中，所述第二特征矩阵为各第二映射对组成的三维矩阵；其中，所述第二映射对的第一维度代表业务审批人；所述第二映射对的第二维度代表业务申请人；所述第二映射对的第三维度代表第二行为指标。
[0065]
这里所要表达的是，基于所述多条审计组合中的各所述第一审计指标和各所述第二审计指标计算获得业务审批人层次的第一特征矩阵和联合层次的第二特征矩阵，具体计算步骤可以如下：
[0066]
首先，在每一个所述审计组合的数据结构为表1基础上，计算业务审批人i与业务申请人j的第k个业务审批流程中，业务审批时间与业务申请时间之间的间隔t
ijk
，即业务审批时间减去业务申请时间的差，单位为秒；业务申请ip地址与业务审批ip地址是否相同的衡量指标衡量指标
[0067]
如果在业务审批人i在所述设定时间内共完成业务申请人j的n次业务审批，则形成业务审批人i与业务申请人j的时间间隔序列t
ij
＝[t
ij1
,
ij2
,
…
,
ijn
和ip地址相似性指标序列r
ij
＝[r
ij1
,r
ij2
,
…
,r
ijn
。
[0068]
基于前述的计算，对于联合层次的第二特征矩阵的计算，可以包括：基于上述业务申请人、业务审批人、业务审批流程的时间间隔序列t
ij
和ip地址相似性指标序列r
ij
，计算业务审批人i与业务申请人j组合的时间间隔平均值x
ij1
，时间间隔标准差x
ij2
，ip地址相似度x
ij3
＝∑rijk/n。前述的计算的参数为该联合层次的第二行为指标，在该第二行为指标计算完成后，针对每个业务审批人，均有一个业务申请人集合，每个集合的元素数量为业务申请人个数，每个业务申请人业务审批人组合有3个第二行为指标。最终形成一个3维特征矩
阵x，也即第二特征矩阵，其中，第一维度代表业务审批人，第二维度为业务申请人，第三维度为具体指标。其中该具体指标为每一个业务申请审批组合对应的第二行为指标，所述第二行为指标也即是前述的ip地址相似度、时间间隔平均值、时间间隔标准差。其中，业务申请人、业务审批人以及对应的第二行为指标组成一个第二映射对。所述第二特征矩阵包含各第二映射对。
[0069]
对于业务审批人层次的第一特征矩阵的计算，一方面直接基于业务申请人业务审批人组合层次(联合层次)的第二特征矩阵中的各第二映射对，以业务审批人为主体进行聚合得到业务审批人的平均时间间隔y
i1
、时间间隔标准差y
i2
、平均ip地址相似度y
i3
、ip地址相似度标准差y
i4
；另一方面，基于前述获取的多个审计组合，计算每个业务审批人的日均在线小时数y
i5
、使用ip地址个数y
i6
、业务申请人个数y
i7
。
[0070]
其中，平均时间间隔y
i1
为第i个业务审批人权限内所有业务申请人组合的时间间隔平均值[x
i11
，x
i21
，...，x
in1
]的平均值；时间间隔标准差y
i2
为第i个业务审批人权限内所有业务申请人组合的时间间隔平均值[x
i11
，x
i21
，...，x
in1
]的标准差；平均ip地址相似度为y
i3
为第i个业务审批人对应的业务申请人组合的ip地址相似度[x
i13
，x
i23
，...，x
in3
]的平均值；ip地址相似度标准差y
i4
为第i个业务审批人对应的业务申请人组合的ip地址相似度[x
i13
，x
i23
，...，x
in3
]的标准差。
[0071]
日均在线小时数据y
i5
为第i个业务审批人周期内每天进行业务审批流程审批的不重复小时数的平均值；使用ip地址个数y
i6
为第i个业务审批人周期内使用过的不重复ip地址个数；业务申请人个数y
i7
为第i个业务审批人对应的业务申请人数量。
[0072]
最终形成一个2维特征矩阵y，也即第一特征矩阵，其中，第一维度代表业务审批人，第二维度为该层次的具体指标。这里的具体指标可以是指每一个业务审批人对应的第一行为指标；所述第一行为指标包括前述的业务审批人的平均时间间隔y
i1
、时间间隔标准差y
i2
、平均ip地址相似度y
i3
、ip地址相似度标准差y
i4
；以及业务审批人的日均在线小时数y
i5
、使用ip地址个数y
i6
、业务申请人个数y
i7
。
[0073]
需要说明的是，业务审批人层次的第一特征矩阵和联合层次的第二特征矩阵的计算可以同时进行，也可以不同时进行，也就是说，这里仅是为了节约计算时间，才说业务审批人层次的第一特征矩阵的计算与联合层次的第二特征矩阵有关，实际上，二者可以分别进行计算。
[0074]
s103：基于所述第一特征矩阵中所述各第一映射对构建第一异常检测模型。
[0075]
需要说明的是，基于前述描述，每一个第一映射对可以是业务审批人与其对应的第一特征行组成的一个坐标。这样，在一些实施例中，所述基于所述第一特征矩阵中所述各第一映射对构建第一异常检测模型，可以包括：
[0076]
利用特定检验算法基于所述各第一映射对构建所述第一异常检测模型，其中，所述特定检验算法为局部异常因子异常点检测和/或孤立森林异常点检测。
[0077]
需要说明的是，这里描述的是，利用局部异常因子(lof，local outlier factor)异常点检测和/或孤立森林(iforest)异常点检测等常用的异常检测算法构建第一异常检测模型。
[0078]
在得到所述第一异常检测模型后，在一些实施例中，所述方法还包括：在基于所述第一异常检测模型识别出所述第一特征矩阵中包含的第二业务审批人为正常业务审批人
时，识别业务审批流程结束。
[0079]
也即，基于所述第一异常检测模型判断所述第一特征矩阵中的业务审批人对应的第一行为指标是否具有异常，若没有异常，则判定该业务审批人为正常业务审批人，其拥有的账号也即是正常的审批账号。若有异常，则判定该业务审批人为异常业务审批人，其拥有的账号也即使异常的审批账号。也即，如果第一异常检测模型识别业务审批人不是异常行为主体，则识别该审批账号无异常，业务审批流程结束；如果第一异常检测模型识别业务审批人为异常行为主体，则进一步结合其业务审批人层次的第一特征矩阵的部分数据和业务申请人业务审批人组合层次(联合层次)的第二特征矩阵中的数据，构建多层logistic回归模型，进一步识别各业务申请人业务审批人组合是否属于异常组合。
[0080]
s104：在基于所述第一异常检测模型识别出所述第一特征矩阵中包含的第一业务审批人为异常业务审批人时，基于所述第二特征矩阵中所述各第二映射对和所述第一业务审批人对应的第一映射对构建第二异常检测模型；
[0081]
s105：基于所述第二异常检测模型识别所述第二特征矩阵中是否包含异常申请审批组合。
[0082]
在一些实施例中，所述第二异常检测模型为多层logistic回归模型，其中，所述多层logistic回归模型中的第一层基于所述各第二映射对进行构建；所述多层logistic回归模型中的第二层基于所述所述第一业务审批人对应的第一映射对进行构建；所述第一层受所述第二层的影响。
[0083]
在一些实施例中，所述方法还包括：
[0084]
在所述第二特征矩阵中包含异常申请审批组合时，获得所述第二特征矩阵中包含的所述异常申请审批组合和正常申请审批组合；
[0085]
基于所述异常申请审批组合、所述正常申请审批组合和所述第一业务审批人对应的第一映射对识别所述第一业务审批人对应的异常类型。
[0086]
需要说明的，所述logistic回归模型主要应用于具有层级结构的数据，如前述获得的业务审批人层次的第一行为指标和业务申请人业务审批人组合层次的第二行为指标，其中，低层级的结果(各业务申请人业务审批人组合的是否存在异常行为)受到高层级(不同业务审批人的行为特征，如在线小时数、ip地址总个数)和低层级(各业务申请人业务审批人组合的行为特征)指标的影响，并且不同的业务申请人业务审批人组合归属于不同的业务审批人。
[0087]
该多层logistic回归模型将不同层次的变量信息和随机误差考虑进来，提高模型的精准性。
[0088]
其中，多层logistic回归模型的设定如下：
[0089]
第一层公式：
[0090]
其中，pij表示第i个业务审批人与其权限下的第j个业务申请人之间的行为属于联合规避职责分离的概率，x
ij1
为业务申请人i与业务审批人j组合的第一个行为特征——时间间隔平均值，x
ij2
为业务申请人i与业务审批人j组合的第二个行为特征——时间间隔标准差，x
ij3
为业务申请人i与业务审批人j组合的第三个行为特征——ip地址相似度。这3个特征均属于低层次的指标。
[0091]
第二层公式：
[0092]
β
0i
＝γ
00
+γ
01yi5
+γ
02yi6
+γ
03yi7
+μ
0i
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(2)
[0093]
β
1i
＝γ
10
+γ
11yi5
+γ
12yi6
+γ
13yi7
+μ
1i
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(3)
[0094]
β
2i
＝γ
20
+γ
21yi5
+γ
22yi6
+γ
23yi7
+μ
2i
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(4)
[0095]
β
3i
＝γ
30
+γ
31yi5
+γ
32yi6
+γ
33yi7
+μ
3i
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(5)
[0096]
其中y
i5
(业务审批人i的日均在线小时数)、y
i6
(业务审批人i使用的ip地址个数)、y
i7
(业务审批人i权限下的业务申请人个数)为单位i的高层次变量。
[0097]
多层logistic回归模型中，将传统的第一层固定截距和第一层固定斜率，替换为第一层随机截距和随机斜率。与第一层随机系数相对应的是几个第二层方程，在这些方程中，第一层随机回归系数变成了应变量。
[0098]
这里，多层logistic回归模型通过两个步骤进行估计：第一步，分别在每个低层观察单位(即业务申请人业务审批人组合)中进行第一层的回归运算，即同样的回归模型(公式1)针对n个业务审批人运行n次，产生n组回归系数，组成n个第一层截距和斜率的数据集。第二步，将第一层随机回归系数看作是高层变量(y
i5
、y
i6
、y
i7
)的函数，生成第二层方程或宏观模型(公式2-公式5)。该多层logistic回归模型的应用，将常规logistic中的固定效应模型替换为随机效应模型，拟合得到各业务审批人的行为特征对异常结果的影响各不相同，这个过程考虑了各业务审批人实际情况的差异。
[0099]
在本发明实施例中，经多层logistic回归模型拟合，将每个业务申请人业务审批人组合识别为正常组合(不存在联合多账号规避职责分离管控的行为)和异常组合(存在联合多账号规避职责分离管控的行为)。
[0100]
进一步的，在基于所述多层logistic回归模型获得所述第二特征矩阵中包含的所述异常申请审批组合和正常申请审批组合后，在一些实施例中，基于所述异常申请审批组合、所述正常申请审批组合和所述第一业务审批人对应的第一映射对识别所述第一业务审批人对应的异常类型，其中，如果一个业务审批人与其50％及以上的业务申请人存在异常组合，则该第一审批人对应的账号最终异常类型为审批账号共用；如果一个业务审批人与其50％以下的业务申请人存在异常组合，则该第一审批人对应的账号的最终异常类型为审批账号公开给部分业务申请人；如果一个业务审批人与其权限内的所有业务申请人均属于正常组合，则该第一审批人对应的账号的最终类型为正常审批账号。
[0101]
在一些实施例中，所述异常识别方法还包括：并将异常组合反馈至异常业务申请人业务审批人组合收集子模块，更新该标签库，充实模型标签库，不断提高审计模型的准确率。
[0102]
在一些实施例中，所述异常识别方法还包括：基于所述第一业务审批人对应的异常类型确定对所述第一业务审批人的处理操作，其中，所述处理操作包括以下至少之一：提醒、账号锁定。
[0103]
也即：这里描述的是针对审计模型模块发现的异常审批账号，分场景进行不同的处置。针对所有异常审批账号(审批账号共用、审计账号公开给部分业务申请人)，都向业务审批人账号的所有者发送通知信息，对其宣贯将账号交给业务申请人自行审批属违规行为，从思想根源上杜绝后续相关违规事项(也即提醒)；如果业务审批人账号最近周期的异常类型为审批账号共用，则同时对该业务审批人账号进行加锁处置，加锁期间该账号无法
进行业务审批(也即账号锁定)。
[0104]
在一些实施例中，所述所述异常识别方法还包括：
[0105]
获取多个所述设定时间内的所述异常申请审批组合；
[0106]
累计同一所述异常申请审批组合的次数；
[0107]
在所述次数大于设定阈值时，阻断所述同一异常申请审批组合中业务申请人的业务审批申请，直到所述同一异常申请审批组合中的业务审批人提交满足要求的相关材料后，再继续为所述同一异常申请审批组合中的业务申请人进行业务审批。
[0108]
这里描述的是，如果业务审批人对应的审批人账号最近周期的异常类型为审批账号公开给部分业务申请人，且特定账号组合(也就是同一异常申请审批组合)在近10个周期内(多个所述设定时间)的异常标识次数大于3(设定阈值的一种实施例)，则对该业务审批人异常账号组合中的业务申请人的业务申请进行阻断，由业务审批人提供相关材料进行解锁后，才能继续针对该业务申请人进行业务审批；如果业务审批人账号最近周期的异常类型为审批账号公开给部分业务申请人，且特定账号组合在近半年内的异常标识次数小于或等于3，则对该异常账号组合的后续操作进行重点监控，如果已发现的异常账号组合后续申请审批过程中，出现ip地址相似度、时间间隔异常情况，直接从系统管理层面拒绝该审批账号对账号组合中的申请账号此次业务申请的审批操作进行拒绝，从技术上阻断一人使用多账号规避职责分离的违规行为。
[0109]
本发明实施例提供的业务审批的异常识别方法，通过获取审计组合中的业务审批人层次的第一特征矩阵和联合层次的第二特征矩阵，构建第一异常检测模型和第二异常检测模型，从而能够发现多账号联合规避职责分离管控，从而避免多账号联合的异常审批行为。
[0110]
为了理解本发明，如图2所示，其示出本发明实施例提供的另一种业务审计的异常识别方法的业务审批流程示意图二。
[0111]
在图2中，所述业务审计的异常识别方法被分为以下几个模块完成该异常识别：数据采集模块、特征计算模块、审计模型模块和异常处理模块，其中；数据采集模块分别从业务数据库和操作日志数据库中抽取关键的基础数据；特征计算模块融合业务审批流程数据、操作日志数据，分别从业务申请人与业务审批人组合、业务审批人两个主体，计算两个层级的行为特征；审计模型模块基于特征计算模块生成的特征数据，首先构建业务审批人层次的异常检测模型，然后针对异常业务审批人的低层级行为特征进一步构建申多层logistic回归模型，输出模型输出异常业务申请人业务审批人账号组合；异常处置模块，主要对发现的异常业务审批人账号进行处置。
[0112]
各模块是如何工作的，具体来说，数据采集模块，分别从业务数据库和日志数据库中，提取关键基础数据信息。业务数据库提取的关键基础数据信息包括但不限于业务审批流程id、处理时间、处理账号，并以业务审批流程id为线索，分析出各业务审批流程过程中各账号间的审批关系，抽取出业务审批流程id、业务申请人、业务审批人、申请时间、审批时间等信息。例如，在一个业务审批流程从提单到业务审批流程终止，业务审批流程路径为a-》b-》c,即a完成申请提单，b首先对a的操作进行环节1审批通过后将业务审批流程提交至c，c在环节1的基础上进一步复核并进行环节2审批，业务审批流程结束。该业务审批流程中，可以抽取出2个申请审批组合，即：[业务审批流程id，环节1业务申请人(a)、环节1业务审批
人(b)，环节1申请时间(即a的处理时间)，环节1审批时间(即b的处理时间)]，[业务审批流程id，环节2业务申请人(b)、环节2业务审批人(c)，环节2申请时间(即b的处理时间)，环节2审批时间(即c的处理时间)]。
[0113]
日志数据库中提取的关键信息，包括但不限于操作账号、操作时间、ip地址、操作业务审批流程id。
[0114]
基于业务数据库和日志数据库中的信息，以业务审批流程id、账号、时间为关联主键，从日志数据库中关联回填，形成业务审批流程id对应的每组申请审批关系中的申请ip地址、审批ip地址。最终输出预处理后的数据结构包括：业务申请人、业务审批人、申请时间、审批时间、申请ip地址、审批ip地址，具体如前述的表1。
[0115]
总的来说，数据采集模块先从业务数据库中抽取申请审批关系，再与日志数据库相关信息进行关联，相对于传统日志审计从海量日志数据中基于操作序列探索申请审批关系，减少计算量的同时，提高了审批关系提取结果的准确性。
[0116]
特征计算模块的主要功能，是基于数据采集模块的输出结果，按指定周期(默认为1个月，可根据业务需要自行配置，如1天，1周等)分别计算业务申请人业务审批人组合层次、业务审批人层次的第一行为指标。
[0117]
首先，在数据采集模块的输出结果表1基础上，计算业务审批人i与业务申请人j的第k个业务审批流程中，审批时间与申请时间之间的间隔t
ijk
，即审批时间减去申请时间的差，单位为秒；申请ip地址与审批ip地址是否相同的衡量指标
[0118]
如果在业务审批人i在所述设定时间内共完成业务申请人j的n次业务审批，则形成业务审批人i与业务申请人j的时间间隔序列t
ij
＝[t
ij1
，t
ij2
，...，t
ijn
]和ip地址相似性指标序列r
ij
＝[r
ij1
，r
ij2
，...，r
ijn
]。
[0119]
1、业务申请人业务审批人组合层次特征矩阵的计算
[0120]
基于上述业务申请人、业务审批人、业务审批流程的时间间隔序列t
ij
和ip地址相似性指标序列r
ij
，计算业务审批人i与业务申请人j组合的时间间隔平均值x
ij1
，时间间隔标准差x
ij2
，ip地址相似度x
ij3
＝∑rijk/n。
[0121]
该层次特征计算完成后，针对每个业务审批人，均有一个业务申请人集合，每个集合的元素数量为业务申请人个数，每个业务申请人业务审批人组合有3个特征指标。最终形成一个3维特征矩阵x，第一维度代表业务审批人，第二维度为业务申请人，第三维度为具体指标(也即第二行为指标)。
[0122]
2、业务审批人层次特征矩阵的计算
[0123]
业务审批人层次的特征，一方面直接基于业务申请人业务审批人组合层次的特征，以业务审批人为主体进行聚合得到业务审批人的平均时间间隔y
i1
、时间间隔标准差y
i2
、平均ip地址相似度y
i3
、ip地址相似度标准差y
i4
；另一方面，基于数据采集模块的输出，计算每个业务审批人的日均在线小时数y
i5
、小使用ip地址个数y
i6
、业务申请人个数y
i7
。
[0124]
其中，平均时间间隔y
i1
为第i个业务审批人权限内所有业务申请人组合的时间间隔平均值[x
i11
，x
i21
，...，x
in1
]的平均值；时间间隔标准差y
i2
为第i个业务审批人权限内所有业务申请人组合的时间间隔平均值[x
i11
，x
i21
，...，x
in1
]的标准差；平均ip地址相似度为y
i3
为第i个业务审批人对应的业务申请人组合的ip地址相似度[x
i13
，x
i23
，...，x
in3
]的平均值；
ip地址相似度标准差y
i4
为第i个业务审批人对应的业务申请人组合的ip地址相似度[x
i13
，x
i23
，...，x
in3
]的标准差。
[0125]
日均在线小时数据y
i5
为第i个业务审批人周期内每天进行业务审批流程审批的不重复小时数的平均值；使用ip地址个数y
i6
为第i个业务审批人周期内使用过的不重复ip地址个数；业务申请人个数y
i7
为第i个业务审批人对应的业务申请人数量。
[0126]
最终形成一个2维特征矩阵y，第一维度代表业务审批人，第二维度为该层次的具体指标(也即第一行为指标)。
[0127]
审计模型模块的主要功能，是基于特征计算模块输出的指标，分别构建业务审批人层次(高层次)和业务申请人业务审批人组合层次(低层次)的分析模型，最终识别存在异常的业务审批人账号，并进一步细分类异常的类型为审批账号共用异常(即业务审批人将审批账号公开给其权限范围内50％及以上的业务申请人自行完成业务审批)、审批账号公开给部分业务申请人异常(审批账号委托给其权限范围内50％以下的部分业务申请人，代为完成相关业务审批工作)。
[0128]
首先，基于特征计算模块输出的业务审批人层次的特征矩阵y，构建异常检测模型，该异常检测模型根据实际数据探索lof、iforest等常用的异常检测算法的融合，根据实际数据场景调整融合算法的权重及参数。基于异常检测模型，判断业务审批人的行为特征整体上是否具有异常性。如果异常检测模型识别业务审批人不是异常行为主体，则识别该审批账号无异常，业务审批流程结束；如果异常检测模型识别业务审批人为异常行为主体，则进一步结合其业务审批人层次的部分特征和业务申请人业务审批人组合层次的特征，构建多层logistic回归模型，识别各业务申请人业务审批人组合是否属于异常组合。
[0129]
多层logistic回归模型主要应用于具有层级结构的数据，如特征计算模块输出的业务审批人层次的第一行为指标和业务申请人业务审批人组合层次的第二行为指标，其中低层级的结果(各业务申请人业务审批人组合的是否存在异常行为)受到高层级(不同业务审批人的行为特征，如在线小时数、ip地址总个数)和低层级(各业务申请人业务审批人组合的行为特征)指标的影响，并且不同的业务申请人业务审批人组合归属于不同的业务审批人。
[0130]
该多层logistic回归模型将不同层次的变量信息和随机误差考虑进来，提高模型的精准性。
[0131]
多层logistic回归模型的设定如下：
[0132]
第一层公式：
[0133]
其中，pij表示第i个业务审批人与其权限下的第j个业务申请人之间的行为属于联合规避职责分离的概率，x
ij1
为业务申请人i与业务审批人j组合的第一个行为特征——时间间隔平均值，x
ij2
为业务申请人i与业务审批人j组合的第二个行为特征——时间间隔标准差，x
ij3
为业务申请人i与业务审批人j组合的第三个行为特征——ip地址相似度。这3个特征均属于低层次的指标。
[0134]
第二层公式：
[0135]
β
0i
＝γ
00
+γ
01yi5
+γ
02yi6
+y
03yi7
+μ
0i
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(2)
[0136]
β
1i
＝γ
10
+γ
11yi5
+γ
12yi6
+γ
13yi7
+μ
1i
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(3)
[0137]
β
2i
＝γ
20
+γ
21yi5
+γ
22yi6
+γ
23yi7
+μ
2i
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(4)
[0138]
β
3i
＝γ
30
+γ
31yi5
+γ
32yi6
+γ
33yi7
+μ
3i
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(5)
[0139]
其中y
i5
(业务审批人i的日均在线小时数)、y
i6
(业务审批人i使用的ip地址个数)、y
i7
(业务审批人i权限下的业务申请人个数)为单位i的高层次变量。
[0140]
多层logistic回归模型中，将传统的第一层固定截距和第一层固定斜率，替换为第一层随机截距和随机斜率。与第一层随机系数相对应的是几个第二层方程，在这些方程中，第一层随机回归系数变成了应变量。
[0141]
多层logistic回归模型通过两个步骤进行估计：第一步，分别在每个低层观察单位(即业务申请人业务审批人组合)中进行第一层的回归运算，即同样的回归模型(公式1)针对n个业务审批人运行n次，产生n组回归系数，组成n个第一层截距和斜率的数据集。第二步，将第一层随机回归系数看作是高层变量(y
i5
、y
i6
、y
i7
)的函数，生成第二层方程或宏观模型(公式2-公式5)。
[0142]
多层logistic回归模型的应用，将常规logistic中的固定效应模型替换为随机效应模型，拟合得到各业务审批人的行为特征对异常结果的影响各不相同，这个过程考虑了各业务审批人实际情况的差异。
[0143]
经多层logistic回归模型拟合，将每个业务申请人业务审批人组合识别为正常组合(不存在联合多账号规避职责分离管控的行为)和异常组合(存在联合多账号规避职责分离管控的行为)，并将异常组合反馈至异常业务申请人业务审批人组合收集子模块，更新该标签库，充实模型标签库，不断提高审计模型的准确率。
[0144]
针对多个周期内多层logistic回归模型的分类结果，累计各个异常账号组合的异常标识次数n。
[0145]
进一步，如果一个业务审批人与其50％及以上的业务申请人存在异常组合，则该审批账号的最终异常类型为审批账号共用；如果一个业务审批人与其50％以下的业务申请人存在异常组合，则该审批账号的最终异常类型为审批账号公开给部分业务申请人；如果一个业务审批人与其权限内的所有业务申请人均属于正常组合，则该审批账号的最终类型为正常审批账号。
[0146]
审计模型模块，结合异常检测模型和多层模型完成异常审计，首先异常检测模型从业务审批人层次(高层次)得出业务审批人行为特征是否存在异常的结论，在此基础上进一步针对申请业务审批人组合构建统一且根据组合所属业务审批人的高层行为特征拟合差异化的多层logistic回归模型。异常检测模型和多层logistic回归模型的融合，在减少审计模型整体计算量的同时，可提高审计模型结果的准确性，并可以输出业务审批人和申请业务审批人组合两个层次的异常结果，丰富了审计结果的层次。
[0147]
异常处置模块的主要功能，是针对审计模型模块发现的异常审批账号，分场景进行不同的处置。
[0148]
针对所有异常审批账号(审批账号共用、审计账号公开给部分业务申请人)，都向业务审批人账号的所有者发送通知信息，对其宣贯将账号交给业务申请人自行审批属违规行为，从思想根源上杜绝后续相关违规事项；
[0149]
如果业务审批人账号最近周期的异常类型为审批账号共用，则同时对该业务审批人账号进行加锁处置，加锁期间该账号无法进行业务审批。
[0150]
如果业务审批人账号最近周期的异常类型为审批账号公开给部分业务申请人，且特定账号组合在近10个周期内的异常标识次数大于3，则对该业务审批人异常账号组合中的业务申请人的业务申请进行阻断，由业务审批人提供相关材料进行解锁后，才能继续针对该业务申请人进行业务审批；
[0151]
如果业务审批人账号最近周期的异常类型为审批账号公开给部分业务申请人，且特定账号组合在近半年内的异常标识次数小于或等于3，则对该异常账号组合的后续操作进行重点监控，如果已发现的异常账号组合后续申请审批过程中，出现ip地址相似度、时间间隔异常情况，直接从系统管理层面拒绝该审批账号对账号组合中的申请账号此次业务申请的审批操作进行拒绝，从技术上阻断一人使用多账号规避职责分离的违规行为。
[0152]
总的来说，该业务审查的异常识别业务审批流程可以是前述各个模块结合，完成多账号联合规避职责分离管控的业务识别及处置功能。具体地：
[0153]
首先通过数据采集模型，从业务数据库和日志数据库中抽取一定周期内(默认为1个月，可根据业务需要自行配置，如1天，1周等)(也即所述设定时间内)的基础数据；
[0154]
然后基于数据采集模块的输出，利用特征计算模块，完成高层行为指标和低层行为指标的计算；
[0155]
接着基于特征计算模块的输出，利用审计模型模块，分别拟合高层的异常检测模型和多层logistic分类模型，输出异常的账号组合；
[0156]
最后，结合审计模型模块识别的异常账号组合，利用异常处置模块，一方面通知业务审批人，对其宣贯将账号交给业务申请人自行审批属违规行为，从思想根源上杜绝后续相关违规事项；另一方面，针对业务审批人账号不同的异常类型及账号组合的异常标识次数，采取不同类型的处置方法。
[0157]
本发明从业务数据库和日志数据库提取基础数据，分别构建业务申请人业务审批人层次、业务审批人层次的行为特征模型，再结合异常检测模型和多层logistic回归模型进行融合，准确识别出业务过程联合多账号规避职责分离管控的违规行为，最终通过异常处理模型完成模型结果的闭环管理。
[0158]
与已有的相关专利主要针对单个账号拥有不相容权限或越权操作的行为进行识别和管控，无法发现并管控形式上合规但业务上不合规的利用多个账号规避职责分离管控的行为。并且在针对单账号权限和行为管控和审计过程，构建的模型未对账号的类型进行区分，或通过不同场景构建定制化模型来区分，增加了模型的开发及运维成本。相比，本技术提案的技术优点主要表现在以下几个方面：1、提出了一种识别形式上合规但业务上不合规的利用多个账号规避职责分离管控的审计方法和装置。2、结合业务数据库挖掘申请审批关系，相对常规的日志异常审计，提高了审批关系识别的准确性和效率。3、构建高低两个层次的行为特征，并在此基础上构建多层logistic回归模型，可同时利用全体数据针对不同的业务审批人构建差异化的审计模型，可根据高层行为特征拟合差异化的审计模型，模型更具针对性，审计结果准确率得到提升。4、融合高层次的异常检测模型和多层次的分类模型对异常行为进行审计，整体上减小审计模型计算量的同时，进一步提高审计结果的准确性。5、审计结果通知账号拥有人，同时针对业务审批人不同的异常类型和账号组合异常次数，采取不同的账号申请审批业务审批流程阻断机制，实现了审计结果的闭环管理和异常行为的事前阻断机制。
[0159]
基于相同的发明构思，如图3所示，本发明实施例还提供一种业务审批的异常识别装置，所述异常识别装置30包括：获取单元301、获得单元302、第一构建单元303、第二构建单元304和识别单元305，其中；
[0160]
所述获取单元301，用于获取待识别系统在设定时间内的多条审计组合；每条所述审计组合包括与业务申请人相关的第一审计指标以及与业务审批人相关的第二审计指标；
[0161]
所述获得单元302，用于基于所述多条审计组合中的各所述第一审计指标和各所述第二审计指标获得业务审批人层次的第一特征矩阵和联合层次的第二特征矩阵；所述联合层次为业务申请人与业务审批人联合的层次；所述第一特征矩阵包括各第一映射对；所述第一映射对是所述多条审计组合中业务审批人与对应的第一行为指标组成；所述第二特征矩阵包含各第二映射对，所述第二映射对是所述多条审计组合中业务申请审批组合与对应的第二行为指标组成；
[0162]
所述第一构建单元303，基于所述第一特征矩阵中所述各第一映射对构建第一异常检测模型；
[0163]
所述第二构建单元304，用于在基于所述第一异常检测模型识别出所述第一特征矩阵中包含的第一业务审批人为异常业务审批人时，基于所述第二特征矩阵中所述各第二映射对和所述第一业务审批人对应的第一映射对构建第二异常检测模型；
[0164]
所述识别单元305，用于基于所述第二异常检测模型识别所述第二特征矩阵中是否包含异常申请审批组合。
[0165]
在一些实施例中，所述获取单元包括第一获取子单元、第二获取子单元和第三获取子单元，其中；
[0166]
所述第一获取子单元，用于从所述待识别系统的业务数据库获取所述设定时间内的第一关键基础信息；所述第一关键基础信息与业务审批流程相关；
[0167]
所述第二获取子单元，用于从所述待识别系统的日志数据库获取所述设定时间内的第二关键基础信息；所述第二关键基础信息也与所述业务审批流程相关；
[0168]
所述第三获取子单元，用于基于所述第一关键基础信息和所述第二关键基础信息获取所述待识别系统在所述设定时间内的多条审计组合。
[0169]
在一些实施例中，所述第三获取子单元，具体用于：确定所述第一关键基础信息包含的一个或多个业务申请审批组合；每一个所述业务申请审批组合表征一个申请审批关系，包括：业务审批流程标识、业务申请人账号、业务申请时间、业务审批人账号、业务审批时间；基于所述第二关键基础信息为每一个所述业务申请审批组合确定所述业务申请人账号对应的业务申请地址和所述业务审批人账号对应的业务审批地址；基于每一个所述业务申请审批组合和每一个所述申请审批组合对应的所述业务申请地址、所述业务审批地址获取所述待识别系统在所述设定时间内的多条审计组合；其中，所述多条审计组合中的每条审计组合包括与所述业务申请人相关的第一审计指标及与业务审批人相关的第二审计指标；所述第一审计指标包括业务申请人账号、业务申请时间、业务申请地址；所述第二审计指标包括业务审批人账号、业务审批时间以及业务审批地址。
[0170]
所述第三获取单元，还具体用于：以所述业务审批流程标识、所述业务申请人账号、所述业务申请时间、所述业务审批人账号、所述业务审批时间为关键词，在所述第二关键基础信息进行关联，以获得每一个所述申请审批组合中所述业务申请人账号对应的业务
申请地址和所述业务审批人账号对应的业务审批地址。
[0171]
在一些实施例中，所述获得单元，具体用于：基于所述多个审计组合中同一审计组合中的所述第一审计指标和所述第二审计指标确定所述同一审计组合中包含的业务申请时间与业务审批时间之间的时间间隔；以及确定所述同一审计组合中包含的业务申请地址与业务审批地址之间的地址相似度；确定所述多个审计组合中每一个所述同一审计组合对应的所述时间间隔及所述地址相似度；基于每一个所述时间间隔、每一个所述地址相似度和所述一个或多个业务申请审批组合获得所述业务审批人层次的第一特征矩阵。
[0172]
所述获得单元，具体用于：基于所述多个审计组合中同一审计组合中的所述第一审计指标和所述第二审计指标确定所述同一审计组合中包含的业务申请时间与业务审批时间之间的时间间隔；以及确定所述同一审计组合中包含的业务申请地址与业务审批地址之间的地址相似度；确定所述多个审计组合中每一个所述同一审计组合对应的所述时间间隔及所述地址相似度；基于每一个所述时间间隔和每一个所述地址相似度获得所述联合层次的第二特征矩阵。
[0173]
在一些实施例中，所述第一特征矩阵为各第一映射对组成的二维矩阵，其中，所述第一映射对的第一维度代表业务审批人；所述第一映射对的第二维度代表所述第一行为指标；
[0174]
所述第二特征矩阵为各第二映射对组成的三维矩阵；其中，所述第二映射对的第一维度代表业务审批人；所述第二映射对的第二维度代表业务申请人；所述第二映射对的第三维度代表第二行为指标。
[0175]
在一些实施例中，所述第一构建单元，具体用于：利用特定检验算法基于所述各第一映射对构建所述第一异常检测模型，其中，所述特定检验算法为局部异常因子异常点检测和/或孤立森林异常点检测。
[0176]
在一些实施例中，所述第二异常检测模型为多层logistic回归模型，其中，所述多层logistic回归模型中的第一层基于所述各第二映射对进行构建；所述多层logistic回归模型中的第二层基于所述所述第一业务审批人对应的第一映射对进行构建；所述第一层受所述第二层的影响。
[0177]
在一些实施例中，所述异常识别装置还包括：结束单元，用于在基于所述第一异常检测模型识别出所述第一特征矩阵中包含的第二业务审批人为正常业务审批人时，识别业务审批流程结束。
[0178]
在一些实施例中，所述异常识别装置还包括：分类单元，用于在所述第二特征矩阵中包含异常申请审批组合时，获得所述第二特征矩阵中包含的所述异常申请审批组合和正常申请审批组合；基于所述异常申请审批组合、所述正常申请审批组合和所述第一业务审批人对应的第一映射对识别所述第一业务审批人对应的异常类型。
[0179]
在一些实施例中，所述异常识别装置还包括确定单元，用于基于所述第一业务审批人对应的异常类型确定对所述第一业务审批人的处理操作，其中，所述处理操作包括以下至少之一：提醒、账号锁定。
[0180]
在一些实施例中，所述异常识别装置还包括累计单元，用于获取多个所述设定时间内的所述异常申请审批组合；
[0181]
累计同一所述异常申请审批组合的次数；
[0182]
在所述次数大于设定阈值时，阻断所述同一异常申请审批组合中业务申请人的业务审批申请，直到所述同一异常申请审批组合中的业务审批人提交满足要求的相关材料后，再继续为所述同一异常申请审批组合中的业务申请人进行业务审批。
[0183]
本发明实施例提供的业务审批的异常识别装置与前述的异常识别方法属于同样的发明构思，前述对于异常识别方法的描述在此也适用，不再一一赘述。
[0184]
本发明实施例还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序处理器被处理器执行时实现上述方法实施例的步骤，而前述的可读存储介质包括：移动存储设备、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0185]
本发明实施例还提供一种电子设备，所述电子设备包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器用于运行所述计算机程序时，执行存储在存储器中的上述方法实施例的步骤。
[0186]
图4为本发明实施例报文处理装置的一种硬件结构示意图，该电子设备40包括：至少一个处理器401、存储器402，可选的，电子设备40还可进一步包括至少一个通信接口403，电子设备40中的各个组件通过总线系统404耦合在一起，可理解，总线系统404用于实现这些组件之间的连接通信。总线系统404除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图4中将各种总线都标为总线系统404。
[0187]
可以理解，存储器402可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(rom，read only memory)、可编程只读存储器(prom，programmable read-only memory)、可擦除可编程只读存储器(eprom，erasable programmable read-only memory)、电可擦除可编程只读存储器(eeprom，electrically erasable programmable read-only memory)、磁性随机存取存储器(fram，ferromagnetic random access memory)、快闪存储器(flash memory)、磁表面存储器、光盘、或只读光盘(cd-rom，compact disc read-only memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(ram，random access memory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(sram，static random access memory)、同步静态随机存取存储器(ssram，synchronous static random access memory)、动态随机存取存储器(dram，dynamic random access memory)、同步动态随机存取存储器(sdram，synchronous dynamic random access memory)、双倍数据速率同步动态随机存取存储器(ddrsdram，double data rate synchronous dynamic random access memory)、增强型同步动态随机存取存储器(esdram，enhanced synchronous dynamic random access memory)、同步连接动态随机存取存储器(sldram，synclink dynamic random access memory)、直接内存总线随机存取存储器(drram，direct rambus random access memory)。本发明实施例描述的存储器402旨在包括但不限于这些和任意其它适合类型的存储器。
[0188]
本发明实施例中的存储器402用于存储各种类型的数据以支持电子设备40的操作。这些数据的示例包括：用于在电子设备40上操作的任何计算机程序，如基于所述多条审计组合中的各所述第一审计指标和各所述第二审计指标获得业务审批人层次的第一特征矩阵和联合层次的第二特征矩阵的过程等，实现本发明实施例方法的程序可以包含在存储
器402中。
[0189]
上述本发明实施例揭示的方法可以应用于处理器401中，或者由处理器401实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(dsp，digital signal processor)，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成前述方法的步骤。
[0190]
在示例性实施例中，电子设备40可以被一个或多个应用专用集成电路(asic，application specific integrated circuit)、dsp、可编程逻辑器件(pld，programmable logic device)、复杂可编程逻辑器件(cpld，complex programmable logic device)、现场可编程门阵列(fpga，field-programmable gate array)、通用处理器、控制器、微控制器(mcu，micro controller unit)、微处理器(microprocessor)、或其他电子元件实现，用于执行上述方法。
[0191]
在本发明所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。另外，在本发明各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
[0192]
以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

技术特征：
1.一种业务审批的异常识别方法，其特征在于，所述异常识别方法包括：获取待识别系统在设定时间内的多条审计组合；每条所述审计组合包括与业务申请人相关的第一审计指标以及与业务审批人相关的第二审计指标；基于所述多条审计组合中的各所述第一审计指标和各所述第二审计指标获得业务审批人层次的第一特征矩阵和联合层次的第二特征矩阵；所述联合层次为业务申请人与业务审批人联合的层次；所述第一特征矩阵包括各第一映射对；所述第一映射对是所述多条审计组合中业务审批人与对应的第一行为指标组成；所述第二特征矩阵包含各第二映射对，所述第二映射对是所述多条审计组合中业务申请审批组合与对应的第二行为指标组成；基于所述第一特征矩阵中所述各第一映射对构建第一异常检测模型；在基于所述第一异常检测模型识别出所述第一特征矩阵中包含的第一业务审批人为异常业务审批人时，基于所述第二特征矩阵中所述各第二映射对和所述第一业务审批人对应的第一映射对构建第二异常检测模型；基于所述第二异常检测模型识别所述第二特征矩阵中是否包含异常申请审批组合。2.根据权利要求1所述的异常识别方法，其特征在于，所述获取待识别系统在设定时间内的多条审计组合，包括：从所述待识别系统的业务数据库获取所述设定时间内的第一关键基础信息；所述第一关键基础信息与业务审批流程相关；从所述待识别系统的日志数据库获取所述设定时间内的第二关键基础信息；所述第二关键基础信息也与所述业务审批流程相关；基于所述第一关键基础信息和所述第二关键基础信息获取所述待识别系统在所述设定时间内的多条审计组合。3.根据权利要求2所述的异常识别方法，其特征在于，所述基于所述第一关键基础信息和所述第二关键基础信息获取所述待识别系统在所述设定时间内的多条审计组合，包括：确定所述第一关键基础信息包含的一个或多个业务申请审批组合；每一个所述业务申请审批组合表征一个申请审批关系，包括：业务审批流程标识、业务申请人账号、业务申请时间、业务审批人账号、业务审批时间；基于所述第二关键基础信息为每一个所述业务申请审批组合确定所述业务申请人账号对应的业务申请地址和所述业务审批人账号对应的业务审批地址；基于每一个所述业务申请审批组合和每一个所述申请审批组合对应的所述业务申请地址、所述业务审批地址获取所述待识别系统在所述设定时间内的多条审计组合；其中，所述多条审计组合中的每条审计组合包括与业务申请人相关的第一审计指标及与业务审批人相关的第二审计指标；所述第一审计指标包括业务申请人账号、业务申请时间、业务申请地址；所述第二审计指标包括业务审批人账号、业务审批时间以及业务审批地址。4.根据权利要求3所述的异常识别方法，其特征在于，所述基于所述第二关键基础信息为每一个所述业务申请审批组合确定所述业务申请人账号对应的业务申请地址和所述业务审批人账号对应的业务审批地址，包括：以所述业务审批流程标识、所述业务申请人账号、所述业务申请时间、所述业务审批人账号、所述业务审批时间为关键词，在所述第二关键基础信息进行关联，以获得每一个所述
申请审批组合中所述业务申请人账号对应的业务申请地址和所述业务审批人账号对应的业务审批地址。5.根据权利要求3所述的异常识别方法，其特征在于，所述基于所述多条审计组合中的各所述第一审计指标和各所述第二审计指标获得业务审批人层次的第一特征矩阵，包括：基于所述多个审计组合中同一审计组合中的所述第一审计指标和所述第二审计指标确定所述同一审计组合中包含的业务申请时间与业务审批时间之间的时间间隔；以及确定所述同一审计组合中包含的业务申请地址与业务审批地址之间的地址相似度；确定所述多个审计组合中每一个所述同一审计组合对应的所述时间间隔及所述地址相似度；基于每一个所述时间间隔、每一个所述地址相似度和所述一个或多个业务申请审批组合获得所述业务审批人层次的第一特征矩阵。6.根据权利要求5所述的异常识别方法，其特征在于，基于所述多条审计组合中的各所述第一审计指标和各所述第二审计指标获得联合层次的第二特征矩阵，包括：基于所述多个审计组合中同一审计组合中的所述第一审计指标和所述第二审计指标确定所述同一审计组合中包含的业务申请时间与业务审批时间之间的时间间隔；以及确定所述同一审计组合中包含的业务申请地址与业务审批地址之间的地址相似度；确定所述多个审计组合中每一个所述同一审计组合对应的所述时间间隔及所述地址相似度；基于每一个所述时间间隔和每一个所述地址相似度获得所述联合层次的第二特征矩阵。7.根据权利要求5所述的异常识别方法，其特征在于，所述第一特征矩阵为各第一映射对组成的二维矩阵，其中，所述第一映射对的第一维度代表业务审批人；所述第一映射对的第二维度代表所述第一行为指标；所述第二特征矩阵为各第二映射对组成的三维矩阵；其中，所述第二映射对的第一维度代表业务审批人；所述第二映射对的第二维度代表业务申请人；所述第二映射对的第三维度代表第二行为指标。8.根据权利要求5所述的异常识别方法，其特征在于，所述基于所述第一特征矩阵中所述各第一映射对构建第一异常检测模型，包括：利用特定检验算法基于所述各第一映射对构建所述第一异常检测模型，其中，所述特定检验算法为局部异常因子异常点检测和/或孤立森林异常点检测。9.根据权利要求8所述的异常识别方法，其特征在于，所述第二异常检测模型为多层logistic回归模型，其中，所述多层logistic回归模型中的第一层基于所述各第二映射对进行构建；所述多层logistic回归模型中的第二层基于所述所述第一业务审批人对应的第一映射对进行构建；所述第一层受所述第二层的影响。10.根据权利要求1所述的异常识别方法，其特征在于，所述方法还包括：在基于所述第一异常检测模型识别出所述第一特征矩阵中包含的第二业务审批人为正常业务审批人时，识别业务审批流程结束。11.根据权利要求1所述的方法，其特征在于，所述方法还包括：在所述第二特征矩阵中包含异常申请审批组合时，获得所述第二特征矩阵中包含的所
述异常申请审批组合和正常申请审批组合；基于所述异常申请审批组合、所述正常申请审批组合和所述第一业务审批人对应的第一映射对识别所述第一业务审批人对应的异常类型。12.根据权利要求11所述的异常识别方法，其特征在于，所述异常识别方法还包括：基于所述第一业务审批人对应的异常类型确定对所述第一业务审批人的处理操作，其中，所述处理操作包括以下至少之一：提醒、账号锁定。13.根据权利要求12所述的异常识别方法，其特征在于，所述所述异常识别方法还包括：获取多个所述设定时间内的所述异常申请审批组合；累计同一所述异常申请审批组合的次数；在所述次数大于设定阈值时，阻断所述同一异常申请审批组合中业务申请人的业务审批申请，直到所述同一异常申请审批组合中的业务审批人提交满足要求的相关材料后，再继续为所述同一异常申请审批组合中的业务申请人进行业务审批。14.一种业务审批的异常识别装置，其特征在于，所述异常识别装置包括：获取单元、获得单元、第一构建单元、第二构建单元和识别单元，其中；所述获取单元，用于获取待识别系统在设定时间内的多条审计组合；每条所述审计组合包括与业务申请人相关的第一审计指标以及与业务审批人相关的第二审计指标；所述获得单元，用于基于所述多条审计组合中的各所述第一审计指标和各所述第二审计指标获得业务审批人层次的第一特征矩阵和联合层次的第二特征矩阵；所述联合层次为业务申请人与业务审批人联合的层次；所述第一特征矩阵包括各第一映射对；所述第一映射对是所述多条审计组合中业务审批人与对应的第一行为指标组成；所述第二特征矩阵包含各第二映射对，所述第二映射对是所述多条审计组合中业务申请审批组合与对应的第二行为指标组成；所述第一构建单元，用于基于所述第一特征矩阵中所述各第一映射对构建第一异常检测模型；所述第二构建单元，用于在基于所述第一异常检测模型识别出所述第一特征矩阵中包含的第一业务审批人为异常业务审批人时，基于所述第二特征矩阵中所述各第二映射对和所述第一业务审批人对应的第一映射对构建第二异常检测模型；所述识别单元，用于基于所述第二异常检测模型识别所述第二特征矩阵中是否包含异常申请审批组合。15.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至13任一项所述方法的步骤。16.一种电子设备，其特征在于，所述电子设备包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器用于运行所述计算机程序时，执行权利要求1至13任一项所述方法的步骤。

技术总结
为了解决多账号联合规避职责分离管控，本发明提供一种业务审批的异常识别方法、装置、电子设备及存储介质。其中方法包括：获取待识别系统在设定时间内的多条审计组合；基于所述多条审计组合中的各所述第一审计指标和各所述第二审计指标获得业务审批人层次的第一特征矩阵和联合层次的第二特征矩阵；基于所述第一特征矩阵中所述各第一映射对构建第一异常检测模型；基于所述第二特征矩阵中所述各第二映射对和所述第一业务审批人对应的第一映射对构建第二异常检测模型；基于所述第二异常检测模型识别所述第二特征矩阵中是否包含异常申请审批组合。采用本发明提供的异常识别方法，能够解决多账号联合规避职责分离管控的问题。题。题。


技术研发人员：高家凤
受保护的技术使用者：中国移动通信集团有限公司
技术研发日：2022.01.06
技术公布日：2023/7/20