企业信息系统用户异常行为预测方法研究

崔融融

（大同煤炭职业技术学院，山西 运城 037003）

在企业信息系统的运行过程中，用户的异常行为不仅会影响系统中正常用户的行为模式，同时，还会影响整个系统的稳定运行。当前，随着企业系统的应用逐渐深入，用户的异常行为造成的威胁程度也逐渐加剧，严重者甚至会影响到用户的工作质量及效率，造成较大的经济损失，并威胁整个企业的稳定、安全及发展。近年来，企业违规金额损失事故时常发生，最主要的原因是内部员工在使用企业信息系统的过程中存在异常行为，并且这一部分比例占所有导致企业违规金额损失事故行为超过一半。因此，针对这一问题，相关领域的研究人员对此开展了更加深入的研究，并且这一问题也逐渐成为业界和学术界广泛关注的热点。企业信息系统在运行的过程中，主要运行模式是通过利用日志将系统内用户的行为数据进行记录，并通过捕捉或分析的方式对用户可能存在的异常行为进行判断。当前，常见的预测方法包括基于规则或基于数据驱动的方法，但这两种方法在实际应用中逐渐无法满足数据呈指数上升的日志分析需要。基于此，本文进行了企业信息系统用户异常行为预测方法探究。

一、企业信息系统用户异常行为预测方法设计

1.构建系统用户异常行为特征模型

为了确保本文设计的企业信息系统用户异常行为预测方法在实际应用中更加有效，需要结合具体企业运行情境，选择出能够帮助后期预测训练和识别的用户异常行为特征。同时，考虑到数据获取和处理时的多种可能性，本文采用用户个体属性特征作为模型核心结构。表1为本文系统用户异常行为特征模型。

表1 系统用户异常行为特征模型

根据表1中的内容，将每一位企业信息系统当中的用户都按照上述模型层次进行划分，并对其相关数据进行分类，按照来源引入到不同模型层次当中，以此构建系统用户异常行为特征模型。

2.划分用户异常行为类型

在对企业信息系统当中的用户异常行为进行预测时，首先需要对其行为进行分类和界定，考虑到针对企业而言，用户异常行为还会造成不利后果，本文从用户认知特征的角度，对用户异常行为进行划分；其次，为了确保划分后的用户异常行为能够更加贴切地实现对用户行为的描述，本文还将基于时间和地点对上述构建的系统用户异常行为特征模型的应用层异常行为进行界定。

综合上述论述，将用户异常行为类型划分为无意产生、基于规则以及基于知识三个不同分类。其中第一种类型表示为未按照计划执行动作的用户异常行为，通常情况下不存在推出时间；第二种类型表示为在用户行为产生时，规则被错误应用的类型，通常情况下为非正常时间登录或未在规定地点登录；第三种类型表示为用户的思维模式或知识储备不足错误造成的异常行为，通常情况下会超出合理操作的时间范围。

当第一种用户异常行为产生时，企业信息系统当中的退出时间t会丢失，此时在操作记录当中t∈∅；当第二种用户异常行为产生时，企业信息系统的正常工作时间应当为Tin-△T~Tout-△T，其中Tin表示为在企业信息系统中用户行为开始时间；Tout-表示为在企业信息系统中用户行为结束时间；当第三种用户异常行为产生时，可将阈值F作为确定的区间条件，当用户异常行为产生的时间在该阈值范围内时，则说明不存在用户异常行为，反之同理。

3.模型预测训练

由于在实际应用中，企业信息系统用户行为数据量巨大，因此，预测过程更加复杂，为了进一步提高预测结果的准确性，本文引入机器学习技术，建立本文上述构建的系统用户异常行为特征模型到更高层次语义特征之间的映射，并结合深度神经网络实现对模型的预测训练。首先，在深度神经网络输入层当中设定某企业信息系统已知存在用户异常行为数据量的85%数据作为训练集，将其余15%数据集作为预测集；其次，按照公式（1）对数据集进行归一化处理：

公式（1）中，'ne表示为经过归一化处理后的用户异常行为数据特征，ne表示为未经过归一化处理后的用户异常行为数据特征，nδ表示为深度神经网络特征平均值，nα表示为深度神经网络特征标准差；最后，完成对数据集的归一化处理后，利用遗忘门结构层对细胞状态进行决策，并通过读取上一层得到的输出结果和当前企业信息系统中用户的行为时间对比，对用户在下一时刻出现异常行为进行预测。

二、对比实验

根据本文上述论述，完成对企业信息系统用户异常行为预测方法的理论设计，为进一步验证该方法在实际应用中的效果，将该预测方法与传统基于规则的用户异常行为预测方法应用到相同的实验环境当中，完成如下对比实验。

本文选择以某企业作为实验环境，将该企业的信息系统近几年运行数据作为实验依托，该企业业务运行十分复杂，因此，选用该企业作为本文实验环境获取到的实验样本具有一定代表性。同时，该企业使用信息系统时间已经长达10年，因此，具有良好的应用基础，能够为本文实验提供更加可靠的实验数据，以此能够进一步实现更加可行的预测方法应用效果研究。对于该企业而言，在信息系统运行的过程中，用户若出现异常行为，则会对该企业造成严重的损失，基于这一问题，该企业急需一种能够实现对其用户异常行为预测的方法，因此，为本文研究提供了良好的实验案例条件。表2为该企业信息系统部分原始数据记录表。

表2 业信息系统部分原始数据记录表

表2专用TPS表示为事务处理模块；DSS表示为决策支持模块。根据表2中记录格式，在该企业信息系统当中提取共152630条数据，并通过系统自动完成噪声处理、不一致数据处理、重复数据处理等操作，获取到150000条日志数据。为了确保实验结果的准确性，本文设置在150000条日志数据当中共包含了存在用户异常行为的150条数据，将其平均分配到日志数据集当中，将前50000条日志数据作为训练样本，分别利用两种预测方法对之后100000条日志数据进行预测，并将实验结果绘制成如图1所示。

图1 两种预测方法实验结果对比表

根据图1中两条变化曲线可以看出，本文提出的预测方法在应用到该企业信息系统环境当中，能够实现对用户异常行为数据的全部正确预测。而传统预测方法随着日志数据总量的不断增加，正确预测用户异常行为数据量逐渐减少。因此，通过对比实验证明，本文提出的企业信息系统用户异常行为预测方法在实际应用中能够达到更高精度的预测结果，为企业信息系统安全、稳定运行提供保障。

三、结语

针对当前用户异常行为对企业信息系统中带来的问题，本文进行了针对用户异常行为的预测方法设计探究。本文提出了一种全新的预测方法，将其应用于实际能够有效解决用户异常行为造成的企业运行事故问题。但因研究时间有限，本文提出的预测方法仍然具有一定的局限性，需要在未来对其进行进一步的扩展和完善。例如，针对不同用户异常行为可能会造成的后果并没有进行细分，在未来的研究中将针对不同用户异常行为进行细化分析，从而进一步提高本文预测方法的适用性。