免疫进化ERP系统日志持续审计的研究.docVIP

免疫进化ERP系统日志持续审计的研究 　　一、免疫进化ERP系统日志持续审计理论分析 　　一般的ERP系统中，都会有系统日志功能，在系统日志中，会记录用户在ERP系统中的具体操作情况，同一个ERP系统的系统日志在数据格式上是统一的，通过将企业员工的操作行为与相似或相同岗位的操作规范进行比较分析，发现用户的异常操作行为。基于免疫进化的ERP系统日志持续审计借鉴人类的免疫系统原理，将不同岗位的用户行为操作规范预设为不同的审计规则，通过对ERP系统中的系统日志信息进行实时检查和过滤，进而监听用户对ERP系统的操作使用情况，对比预设的审计规则和自学习到的用户使用习惯，发现系统日志异常情况和审计证据，从而明确和规范员工对ERP系统的操作行为，以降低用户舞弊行为发生的可能。这种审计模式，与人类的“免疫系统”一样，具有免疫防御、免疫自稳和免疫监视三种基本功能，能自我预防，抵御外来风险，促进ERP系统安全、健康地运行。 　　ERP系统在运行过程中存在着诸多影响ERP系统安全的风险因素，如产供销业务数据和财务数据的修改删除操作、单据信息的更改操作等，通过对以往ERP系统运行过程中产生的系统日志进行风险原因分析，可以查找引起各种风险的用户异常操作行为模式，将ERP系统在运行过程中用户的各种异常操作行为模式组成的集合称为初始抗体基因库。从抗体基因库中随机选择一些基因（用户异常操作行为模式）进行交换或重新组合，分析引起ERP系统风险的具体表现形式、产生原因及其相关的防范策略，使之形成初始抗体，由于基因的选择具有很大的随机性与不确定性，初始抗体在与ERP系统日志里的用户操作行为进行匹配时，有可能会将ERP系统日志里的用户正常操作行为误认为异常的操作行为（用户对ERP系统的舞弊操作行为），为避免这种情况的发生，初始抗体必须经过一个负选择筛选过程，在负选择筛选过程中，初始抗体接触到ERP系统日志里大量的用户正常操作行为，如果初始抗体能够与ERP系统日志里任何一种用户正常操作行为匹配成功，那么说明该初始抗体是无效的抗体。反之，如果初始抗体没有与ERP系统日志里的任何一种用户正常操作行为成功匹配，那么该初始抗体被称为有效的成熟抗体，成熟抗体能够识别相似或相近的用户异常操作行为。借鉴人类的免疫系统，在ERP系统日志审计过程中，如果成熟抗体在给定的有限时间内能够与ERP系统日志里数量超过某一阈值的用户异常操作行为匹配成功，那么成熟抗体就会产生应答反应（称为启动）；反之，该抗体没有产生应答反应，说明是无效的抗体。用户在ERP系统的操作过程中，当抗体产生应答反应后，如果同一种用户对ERP系统的异常操作行为再次出现时，引起的免疫效应比初次更强、抗体的亲和度更高，并称这种现象为免疫记忆。此时，产生应答的抗体会进行自身复制，产生多个复制抗体（称为“记忆抗体”），这些记忆抗体比普通的抗体具有较小的启动阈值和较长的生命周期，可以加速对以前出现过的用户异常操作行为进行的检测过程，从而保证了审计的低消耗和自适应性。 　　二、免疫进化ERP系统日志持续审计系统框架设计 　　免疫进化ERP系统日志持续审计系统框架设计的构思：借鉴人类的免疫系统原理，构造初始抗体基因，初始抗体基因可以通过对已知的用户操作行为方式的学习获得，通常是从海量的用户对ERP系统的操作行为记录中抽取最能表达用户对ERP系统操作的异常特征的属性集合来进进行编码。抗体基因库中储存的是用于生成抗体的基因。由于企业中不同岗位的员工具有不同的角色和操作权限，在ERP系统中，这些不同的操作权限控制都是依赖具体的账户与角色展开的，不同的员工在进行ERP系统具体业务的操作过程中，所有的具体操作行为都会记录在系统日志中。在实际的ERP系统日志审计过程中，通过对ERP系统日志的预处理等过程（如数据清理、数据变换、数据归约等），将捕获到的用户对ERP系统的操作行为按操作类型等不同标准进行分组，映射为与抗体基因相同形式的编码，然后根据与抗体基因的匹配来判断用户对ERP系统的异常操作行为。 　　其一，免疫进化ERP系统日志持续审计系统目标。基于免疫进化的ERP系统日志持续审计系统的目标是借鉴人类的免疫系统原理，通过对企业ERP系统用户行为日志数据进行持续监控分析，发现日志异常和审计证据，从而对ERP系统的用户操作行为进行规范，降低用户舞弊行为发生的可能，实现ERP系统及其业务数据、财务数据等有关数据的可靠性、完整性和有效性，提高ERP系统的整体免疫能力，在一定程度上保障ERP系统的安全性。 　　其二，免疫进化ERP系统日志持续审计系统的框架设计。根据基于免疫进化的ERP系统日志持续审计系统的设计构思和目标，设计了一个如图1所示的基于免疫进化的ERP系统日志持续审计框架。基于免疫进化的ERP系统日志持续审计框架中，日志数据采集