CN106209893A - 基于业务过程模型挖掘的内部威胁检测系统及其检测方法 - Google Patents
基于业务过程模型挖掘的内部威胁检测系统及其检测方法 Download PDFInfo
- Publication number
- CN106209893A CN106209893A CN201610595380.7A CN201610595380A CN106209893A CN 106209893 A CN106209893 A CN 106209893A CN 201610595380 A CN201610595380 A CN 201610595380A CN 106209893 A CN106209893 A CN 106209893A
- Authority
- CN
- China
- Prior art keywords
- model
- event
- business
- executor
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/35—Clustering; Classification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本发明涉及一种基于业务过程模型挖掘的内部威胁检测系统及其检测方法,该检测系统包含模型挖掘模块、异常检测模块及异常分析模块,其中,模型挖掘模块根据业务系统中各业务事件的事件日志进行模型挖掘,获取业务控制流模型、业务性能模型及执行者行为模型;异常检测模块依据模型挖掘模块,检测业务活动实时运行过程产生的事件日志的逻辑异常、性能异常及行为异常;异常分析模块针对异常检测模块的检测结果进行解析,识别实施内部威胁的执行信息并输出。本发明构建一种基于业务过程模型挖掘的内部威胁检测方法,有效地检测业务执行过程中存在的内部威胁行为,为公司及各类组织机构防范内部威胁提供有力支撑,有效保证公司及机构的信息安全。
Description
技术领域
本发明属于业务过程挖掘和网络安全技术领域,特别涉及一种基于业务过程模型挖掘的内部威胁检测系统及其检测方法。
背景技术
信息技术的高速发展促进了信息系统在各类企业和组织中的广泛应用。然而,信息系统在为这些组织带来工作效率提升的同时,也引入了大量的安全漏洞,其中既有技术层面上的软硬件漏洞,也有来自于内部人员管理上的漏洞。相比于因软硬件漏洞招致的外部网络攻击,由于内部人员管理漏洞造成的内部威胁往往危害性更大,也更难被察觉。造成内部威胁的原因主要有以下几方面:第一,部分缺乏安全意识的员工在工作时可能做出违反安全规定的误操作;第二,部分员工在工作时为了自身方便、提高效率,故意绕过安全措施进行操作;第三,个别员工因受到他人利诱或对内采取报复行动,对机密信息进行外泄或破坏。总的来说,内部威胁是一个涉及到人为因素和系统因素的综合性问题,检测和防御内部威胁成为了企业或机构内部管理者面临的巨大挑战。
对企业和机构而言,各类业务活动是其日常运作过程中进行的主要活动,保证各项业务的顺利完成越来越成为管理者关注的重要问题。为提高工作效率,越来越多的企业和组织开始采用各类业务系统来完成业务活动。然而,大多数的业务系统在设计之初通常只考虑如何保证业务功能的正常实现,很少考虑业务活动的安全性,从而十分容易遭受来自内部人员的有意或无意的威胁,使业务系统出现异常,业务活动无法正常进行,情况严重时甚至会导致关键的业务数据遭到破坏和泄露。传统的内部威胁检测方法通常仅考虑人员行为的审计记录,未能将人员行为和业务活动结合起来进行建模,使得现有手段的威胁检测率有待提升。
发明内容
为克服现有技术中的不足,本发明提供一种基于业务过程模型挖掘的内部威胁检测系统及其检测方法,从业务活动的角度,通过综合分析业务执行过程中出现的异常情况和业务执行者的异常工作行为,检测出公司或机构面临的内部威胁,有效保证公司或机构的利益。
按照本发明所提供的设计方案,一种基于业务过程模型挖掘的内部威胁检测系统,包含模型挖掘模块、异常检测模块及异常分析与威胁识别模块,其中,模型挖掘模块根据业务系统中各业务执行过程的事件日志进行业务过程模型挖掘,其中,业务过程模型包含业务控制流模型、业务性能模型及执行者行为模型;异常检测模块依据挖掘到的业务过程模型,检测业务运行过程中实时产生的事件日志中存在的逻辑异常、业务性能异常及执行者行为异常;异常分析与威胁识别模块针对异常检测模块的检测结果进行分析,识别出系统遭受的内部威胁并输出。
上述的,模型挖掘模块包含训练日志获取单元、业务控制流模型挖掘单元、业务性能模型挖掘单元及执行者行为模型挖掘单元,
其中,训练日志获取单元,通过将业务系统中各业务过程的事件日志根据所要挖掘的业务种类进行筛选,并通过指定合法的开始和结束事件对日志进行过滤,获取训练日志,训练日志信息包含该业务执行时产生的多个事件序列,各事件对应的任务名、时间戳、执行者、执行状态;
业务控制流模型挖掘单元利用训练日志进行业务控制流模型挖掘,业务控制流模型信息包含业务事件之间逻辑结构信息;
业务性能模型挖掘单元,根据业务控制流模型的业务事件逻辑结构和训练日志中各业务事件的时间戳,相邻事件之间的时间间隔t及各业务事件的出现次数n,对训练日志中的事件序列进行统计,得到关于时间间隔t的多集St及出现次数n的多集Sn,最后计算每个多集St及Sn中各元素的平均值和标准差,得到业务性能模型;
执行者行为模型挖掘单元,根据业务控制流模型中业务事件的逻辑结构和训练日志中各业务事件的执行者和操作信息,统计执行者的所属角色,各角色对应的任务集合,及任务集合内各任务单元的设备信息集合、文件信息集合、数据信息集合及操作内容信息集合,构建该执行者的树状行为模型。
优选的,业务事件之间的逻辑结构是指业务事件之间的顺序结构、并行结构、选择结构、或迭代结构。
上述的,异常检测模块,包含操作行为异常检测单元、业务过程合规性检测单元,
其中,操作行为异常检测单元包含个体异常行为检测模块及离群异常行为检测模块,根据执行者行为模型计算其行为向量,个体异常行为检测模块通过比较实际行为向量与正常行为向量判定是否存在个体异常行为;离群异常行为检测模块,对同角色下各执行者行为向量进行同维处理,将各执行者操作集的并集作为新的操作集,并为各操作赋予权值,然后,通过凝聚层次聚类法对执行者行为向量进行聚类,判定是否存在离群异常行为;
业务过程合规性检测单元对实时产生的事件日志进行合规性检测,其中,合规性检测包含业务过程性能异常检测及业务过程逻辑异常检测。
一种基于业务过程模型挖掘的内部威胁检测系统的检测方法,具体包含如下步骤:
步骤1、根据业务系统各业务事件的事件日志,根据业务种类进行过滤筛选,提出事件日志中与所挖掘业务种类无关的记录,并指定业务的开始事件和结束事件,得到训练日志,通过过程挖掘方法对训练日志进行业务控制流模型挖掘,并根据业务控制流模型及训练日志,通过统计分析方法分别进行业务性能模型挖掘及执行者行为模型挖掘,其中,业务控制流模型信息包含业务事件之间的逻辑结构信息,训练日志信息包含该业务事件执行时产生的多个事件序列,各事件对应的任务名、时间戳、执行者、执行状态;
步骤2、通过步骤1获得的业务控制流模型、业务性能模型及执行者行为模型,对业务执行过程中实时产生的事件日志进行异常行为检测及合规性检测,获取实时日志中存在的异常行为,其中,异常行为检测包含根据执行者行为模型计算行为向量BV进行个体异常行为检测及离群异常行为检测,合规性检查包含业务过程逻辑异常检测及业务过程性能异常检测,行为向量BV为执行者在执行业务事件时对设备进行的操作及其频率的多元组,具体表示为:BV(执行者,事件,设备) = (f(OP1), f(OP2), … , f(OPn)),其中,f(OPi)表示操作OPi的频率,并定义BV N 为正常执行者行为模型中的行为向量, BV E 为实际执行时的行为向量;
步骤3、对步骤2获取的异常行为进行分析,识别系统遭受的内部威胁并输出。
步骤1中通过统计分析方法进行业务性能模型挖掘包含如下内容:
步骤1.1.1、根据业务控制流模型中事件的逻辑结构及训练日志中事件序列对应的事件时间戳,统计各相邻业务事件之间的时间间隔t及各业务事件的出现次数n;
步骤1.1.2、对训练日志中的所有事件序列重复步骤1,得到各个邻接事件关于时间间隔t的多集时间间隔t的多集St及出现次数n的多集Sn;
步骤1.1.3、分别对每个多集St及多集Sn中各元素计算其平均值和标准差;
步骤1.1.4、将多集中的统计信息对应到业务控制流模型的对应业务事件或相邻业务事件,得到业务性能模型。
步骤1中通过统计分析方法进行执行者行为模型挖掘包含如下内容:
步骤1.2.1、根据业务控制流模型中事件的逻辑结构及训练日志中各业务事件的执行者信息和操作信息,统计该执行者的所属角色,各角色对应的任务集合,及任务集合内容任务单元的设备信息集合、文件信息集合、数据信息集合及操作内容信息集合;
步骤1.2.2、根据步骤1中的统计,构建执行者角色对应的树状行为模型;
步骤1.2.3、对训练日志中的所有业务事件序列,返回执行步骤1.2.1,按步骤迭代执行,若统计到操作信息在当前树状节点中不存在,则向该树状节点添加操作信息;
步骤1.2.4、对业务中的所有执行者,返回步骤1.2.1,按步骤迭代执行,为每个执行者建立对应的执行者行为模型
步骤2中的个体异常行为检测具体包含如下内容:比较实际行为向量BV E 与正常行为向量BV N ,若BV E 中存在BV N 中没有的操作OPi,或| BV E .f(OPi) –BV N .f(OPi) | > σ,则判定当前BV E 中存在个体异常行为,否则,当前BV E 中无个体异常行为,其中,σ为设置阈值。
步骤2中的离群异常行为检测具体包含如下内容:
步骤2.2.1、将同业务事件同设备同执行角色下的执行者行为向量做同维处理,将同执行者角色在同任务同设备上的操作的并集作为各相应执行者的操作集,对于每个执行者,将差异操作的频率置为0,其余频率保持不变,其中,差异操作为不属于该执行者角色的操作;
步骤2.2.2、为执行者行为向量的各个维度赋予权值,差异操作赋予权值wd,其余操作赋予权值wn,并对各行为向量进行两两配对,形成若干行为向量的向量对,其中wd > wn,且满足条件:当有n个差异操作,m个其余操作时,满足n* wd +m* wn =1;
步骤2.2.3、对同角色执行者的行为向量组合形成的所有向量对,计算欧式距离,得到对应的向量距离;
步骤2.2.4、通过凝聚层次聚类方法,对向量距离进行聚类,得到相应的类簇,对得到的类簇,计算其质心C及质心到BV E 的距离d(C, BV E ),其中,质心C为一个虚拟向量,其各维度的值为类簇中各向量相应维度值的平均值,d(C, BV E )为两者之间的欧氏距离;若d(C, BV E ) >η,则判定BV E 为离群异常行为向量,存在离群异常行为;否则,不存在离群异常行为,其中,η为事先设置的阈值。
步骤2中的业务过程逻辑异常检测及业务过程性能异常检测具体包含如下内容:
步骤2.3.1、将当前事件序列与业务控制流模型进行匹配,若业务控制流模型无法匹配当前的事件序列,则表明当前事件序列存在逻辑异常;
步骤2.3.2、将当前事件序列中的性能指标参数与业务性能模型中对应参数进行比对,性能指标参数包含相邻事件之间的时间间隔t E 和各事件的出现次数n E 的平均值,若当前事件序列中存在相邻事件,其时间间隔t E 与业务性能模型中对应的时间间隔t N 之间绝对值大于τ1,或当前事件序列中存在一个事件,其出现次数n E 与业务性能模型中对应事件的出现次数n N 之间绝对值大于τ2,则表明当前事件序列存在性能异常,其中,τ1和τ2为预先设定阈值。
本发明的有益效果:
1、本发明采用业务系统正常运行情况下记录的事件日志作为数据源进行业务过程模型挖掘,得到业务过程的控制流模型、性能模型和业务执行者的行为模型;然后以这些正常模型为基准,通过对业务系统在实际运行情况下产生的实时事件日志进行合规性检查和异常行为检测,发现其中存在的异常情况,并通过对异常情况的关联分析,识别实施内部威胁的恶意人员及其威胁行为,有效保证公司或机构的信息安全。
2、本发明以业务系统记录的事件日志为主要数据源,挖掘业务过程在控制流、性能和人员行为三个方面的模型,通过检测业务系统在实际运行过程中的异常情况和对异常结果的关联分析,发现组织机构存在的内部威胁,定位实施内部威胁的内部人员;现有的内部威胁检测技术仅考虑人员行为的审计记录,未能将人员行为融入到占组织机构日常工作主要部分的业务活动中进行综合分析,因此容易产生较高的漏报率,而本发明中基于业务事件日志来进行业务活动自身异常和业务执行者业务行为异常两方面的分析,使得分析角度更加多维全面,因此能够降低漏报率,提高内部威胁的检测率;本发明采用事件日志作为数据源,无需部署其他的入侵检测设备,对业务系统的正常运行不会带来太大影响;本发明基于业务过程模型挖掘技术,能够比事先人工建模的方式获得更为客观和多维的业务过程模型,降低了因模型的主观性过强导致的高误报率。
附图说明:
图1为本发明的基于业务过程模型挖掘的内部威胁检测系统结构框架示意图;
图2为本发明的基于业务过程模型挖掘的内部威胁检测系统的检测方法流程示意图;
图3为本发明的业务控制流模型挖掘流程图;
图4为本发明的业务性能模型和执行者行为模型挖掘示意图;
图5为执行者行为模型示意图;
图6为异常行为检测流程示意图。
具体实施方式:
下面结合附图和技术方案对本发明作进一步详细的说明,并通过优选的实施例详细说明本发明的实施方式,但本发明的实施方式并不限于此。
实施例一,参见图1所示,一种基于业务过程模型挖掘的内部威胁检测系统,包含模型挖掘模块、异常检测模块及异常分析与威胁识别模块,其中,模型挖掘模块根据业务系统中各业务执行过程的事件日志进行业务过程模型挖掘,其中,业务过程模型包含业务控制流模型、业务性能模型及执行者行为模型;异常检测模块依据挖掘到的业务过程模型,检测业务运行过程中实时产生的事件日志中存在的逻辑异常、业务性能异常及执行者行为异常;异常分析与威胁识别模块针对异常检测模块的检测结果进行分析,识别出系统遭受的内部威胁并输出。
采用业务系统正常运行情况下记录的事件日志作为数据源进行业务过程模型挖掘,得到业务过程的控制流模型、性能模型和业务执行者的行为模型;然后以这些正常模型为基准,通过对业务系统在实际运行情况下产生的实时事件日志进行合规性检查和异常行为检测,发现其中存在的异常情况,并通过对异常情况的关联分析,识别实施内部威胁的恶意人员及其威胁行为,有效保证公司或机构的信息安全。
实施例二,参见图1所示,与实施例一基本相同,不同之处在于: 模型挖掘模块包含训练日志获取单元、业务控制流模型挖掘单元、业务性能模型挖掘单元及执行者行为模型挖掘单元,
其中,训练日志获取单元,通过将业务系统中各业务过程的事件日志根据所要挖掘的业务种类进行筛选,并通过指定合法的开始和结束事件对日志进行过滤,获取训练日志,训练日志信息包含该业务执行时产生的多个事件序列,各事件对应的任务名、时间戳、执行者、执行状态;
业务控制流模型挖掘单元利用训练日志进行业务控制流模型挖掘,业务控制流模型信息包含业务事件之间逻辑结构信息;
业务性能模型挖掘单元,根据业务控制流模型的业务事件逻辑结构和训练日志中各业务事件的时间戳,相邻事件之间的时间间隔t及各业务事件的出现次数n,对训练日志中的事件序列进行统计,得到关于时间间隔t的多集St及出现次数n的多集Sn,最后计算每个多集St及Sn中各元素的平均值和标准差,得到业务性能模型;
执行者行为模型挖掘单元,根据业务控制流模型中业务事件的逻辑结构和训练日志中各业务事件的执行者和操作信息,统计执行者的所属角色,各角色对应的任务集合,及任务集合内各任务单元的设备信息集合、文件信息集合、数据信息集合及操作内容信息集合,构建该执行者的树状行为模型。
优选的,业务事件之间的逻辑结构是指业务事件之间的顺序结构、并行结构、选择结构、或迭代结构。
上述的,异常检测模块,包含操作行为异常检测单元、业务过程合规性检测单元,
其中,操作行为异常检测单元包含个体异常行为检测模块及离群异常行为检测模块,根据执行者行为模型计算其行为向量,个体异常行为检测模块通过比较实际行为向量与正常行为向量判定是否存在个体异常行为;离群异常行为检测模块,对同角色下各执行者行为向量进行同维处理,将各执行者操作集的并集作为新的操作集,并为各操作赋予权值,然后,通过凝聚层次聚类法对执行者行为向量进行聚类,判定是否存在离群异常行为;
业务过程合规性检测单元对实时产生的事件日志进行合规性检测,其中,合规性检测包含业务过程性能异常检测及业务过程逻辑异常检测。
实施例三,参见图2所示,一种基于业务过程模型挖掘的内部威胁检测系统的检测方法,具体包含如下步骤:
步骤1、根据业务系统各业务事件的事件日志,根据业务种类进行过滤筛选,提出事件日志中与所挖掘业务种类无关的记录,并指定业务的开始事件和结束事件,得到训练日志,通过过程挖掘方法对训练日志进行业务控制流模型挖掘,并根据业务控制流模型及训练日志,通过统计分析方法分别进行业务性能模型挖掘及执行者行为模型挖掘,其中,业务控制流模型信息包含业务事件之间的逻辑结构信息,训练日志信息包含该业务事件执行时产生的多个事件序列,各事件对应的任务名、时间戳、执行者、执行状态;
步骤2、通过步骤1获得的业务控制流模型、业务性能模型及执行者行为模型,对业务执行过程中实时产生的事件日志进行异常行为检测及合规性检测,获取实时日志中存在的异常行为,其中,异常行为检测包含根据执行者行为模型计算行为向量BV进行个体异常行为检测及离群异常行为检测,合规性检查包含业务过程逻辑异常检测及业务过程性能异常检测,行为向量BV为执行者在执行业务事件时对设备进行的操作及其频率的多元组,具体表示为:BV(执行者,事件,设备) = (f(OP1), f(OP2), … , f(OPn)),其中,f(OPi)表示操作OPi的频率,并定义BV N 为正常执行者行为模型中的行为向量, BV E 为实际执行时的行为向量;
步骤3、对步骤2获取的异常行为进行分析,识别系统遭受的内部威胁并输出。
实施例四,参见图1~6所示,一种基于业务过程模型挖掘的内部威胁检测系统的检测方法,
首先,根据业务系统各业务事件的事件日志,根据业务种类进行过滤筛选,提出事件日志中与所挖掘业务种类无关的记录,并指定业务的开始事件和结束事件,得到训练日志,通过过程挖掘方法对训练日志进行业务控制流模型挖掘,并根据业务控制流模型及训练日志,通过统计分析方法分别进行业务性能模型挖掘及执行者行为模型挖掘,其中,业务控制流模型信息包含业务事件之间的逻辑结构信息,训练日志信息包含该业务事件执行时产生的多个事件序列,各事件对应的任务名、时间戳、执行者、执行状态。
通过统计分析方法进行业务性能模型挖掘包含如下内容:
步骤1.1.1、根据业务控制流模型中事件的逻辑结构及训练日志中事件序列对应的事件时间戳,统计各相邻业务事件之间的时间间隔t及各业务事件的出现次数n;
步骤1.1.2、对训练日志中的所有事件序列重复步骤1,得到各个邻接事件关于时间间隔t的多集时间间隔t的多集St及出现次数n的多集Sn;
步骤1.1.3、分别对每个多集St及多集Sn中各元素计算其平均值和标准差;
步骤1.1.4、将多集中的统计信息对应到业务控制流模型的对应业务事件或相邻业务事件,得到业务性能模型。
通过统计分析方法进行执行者行为模型挖掘包含如下内容:
步骤1.2.1、根据业务控制流模型中事件的逻辑结构及训练日志中各业务事件的执行者信息和操作信息,统计该执行者的所属角色,各角色对应的任务集合,及任务集合内容任务单元的设备信息集合、文件信息集合、数据信息集合及操作内容信息集合;
步骤1.2.2、根据步骤1中的统计,构建执行者角色对应的树状行为模型;
步骤1.2.3、对训练日志中的所有业务事件序列,返回执行步骤1.2.1,按步骤迭代执行,若统计到操作信息在当前树状节点中不存在,则向该树状节点添加操作信息;
步骤1.2.4、对业务中的所有执行者,返回步骤1.2.1,按步骤迭代执行,为每个执行者建立对应的执行者行为模型。
然后,根据业务控制流模型、业务性能模型及执行者行为模型,对业务执行过程中实时产生的事件日志进行异常行为检测及合规性检测,获取实时日志中存在的异常行为,其中,异常行为检测包含根据执行者行为模型计算行为向量BV进行个体异常行为检测及离群异常行为检测,合规性检查包含业务过程逻辑异常检测及业务过程性能异常检测,行为向量BV为执行者在执行业务事件时对设备进行的操作及其频率的多元组,具体表示为:BV(执行者,事件,设备) = (f(OP1), f(OP2), … , f(OPn)),其中,f(OPi)表示操作OPi的频率,并定义BV N 为正常执行者行为模型中的行为向量, BV E 为实际执行时的行为向量;
个体异常行为检测具体包含如下内容:比较实际行为向量BV E 与正常行为向量BV N ,若BV E 中存在BV N 中没有的操作OPi,或| BV E .f(OPi) –BV N .f(OPi) | > σ,则判定当前BV E 中存在异常行为,否则,当前BV E 中无个体异常行为,其中,σ为设置阈值。
离群异常行为检测具体包含如下内容:
步骤2.2.1、将同业务事件同设备同执行角色下的执行者行为向量做同维处理,将同执行者角色在同任务同设备上的操作的并集作为各相应执行者的操作集,对于每个执行者,将差异操作的频率置为0,其余频率保持不变,其中,差异操作为不属于该执行者角色的操作;
步骤2.2.2、为执行者行为向量的各个维度赋予权值,差异操作赋予权值wd,其余操作赋予权值wn,并对各行为向量进行两两配对,形成若干行为向量的向量对,其中wd > wn,且满足条件:当有n个差异操作,m个其余操作时,满足n* wd +m* wn =1;
步骤2.2.3、对同角色执行者的行为向量组合形成的所有向量对,计算欧式距离,得到对应的向量距离;
步骤2.2.4、通过凝聚层次聚类方法,对向量距离进行聚类,得到相应的类簇,对得到的类簇,计算其质心C及质心到BV E 的距离d(C, BV E ),其中,质心C为一个虚拟向量,其各维度的值为类簇中各向量相应维度值的平均值,d(C, BV E )为两者之间的欧氏距离;若d(C, BV E ) >η,则判定BV E 为离群异常行为向量,存在离群异常行为;否则,不存在离群异常行为,其中,η为事先设置的阈值。
业务逻辑异常是指业务活动的执行过程没有遵循正常的控制流结构;或由于各个事件之间的前驱后继关系无法满足而导致的业务活动异常暂停、终止,或返回错误结果,业务的逻辑异常表现为事件序列不能被正常控制流模型解析。
业务的性能异常是指业务活动的整体或某部分在时间和频率上与正常值的偏离程度超过阈值。
业务过程逻辑异常检测及业务过程性能异常检测具体包含如下内容:
步骤2.3.1、将当前事件序列与业务控制流模型进行匹配,若业务控制流模型无法匹配当前的事件序列,则表明当前事件序列存在逻辑异常;
步骤2.3.2、将当前事件序列中的性能指标参数与业务性能模型中对应参数进行比对,性能指标参数包含相邻事件之间的时间间隔t E 和各事件的出现次数n E 的平均值,若当前事件序列中存在相邻事件,其时间间隔t E 与业务性能模型中对应的时间间隔t N 之间绝对值大于τ1,或当前事件序列中存在一个事件,其出现次数n E 与业务性能模型中对应事件的出现次数n N 之间绝对值大于τ2,则表明当前事件序列存在性能异常,其中,τ1和τ2为预先设定阈值。
最后,对获取的异常行为进行分析,识别系统遭受的内部威胁并输出。
以业务系统记录的事件日志为主要数据源,挖掘业务过程在控制流、性能和人员行为三个方面的模型,通过检测业务系统在实际运行过程中的异常情况和对异常结果的关联分析,发现组织机构存在的内部威胁,定位实施内部威胁的内部人员;基于业务事件日志来进行业务活动自身异常和业务执行者业务行为异常两方面的分析,使得分析角度更加多维全面,降低漏报率,提高内部威胁的检测率;采用事件日志作为数据源,无需部署其他的入侵检测设备,对业务系统的正常运行不会带来太大影响;基于业务过程模型挖掘,比事先人工建模的方式获得更为客观和多维的业务过程模型,降低因模型的主观性过强导致的高误报率。
本发明不局限于上述具体实施方式,本领域技术人员还可据此做出多种变化,但任何与本发明等同或者类似的变化都应涵盖在本发明权利要求的范围内。
Claims (10)
1.一种基于业务过程模型挖掘的内部威胁检测系统,其特征在于:包含模型挖掘模块、异常检测模块及异常分析与威胁识别模块,其中,模型挖掘模块根据业务系统中各业务执行过程的事件日志进行业务过程模型挖掘,其中,业务过程模型包含业务控制流模型、业务性能模型及执行者行为模型;异常检测模块依据挖掘到的业务过程模型,检测业务运行过程中实时产生的事件日志中存在的逻辑异常、业务性能异常及执行者行为异常;异常分析与威胁识别模块针对异常检测模块的检测结果进行分析,识别出系统遭受的内部威胁并输出。
2.根据权利要求1所述的基于业务过程模型挖掘的内部威胁检测系统,其特征在于:模型挖掘模块包含训练日志获取单元、业务控制流模型挖掘单元、业务性能模型挖掘单元及执行者行为模型挖掘单元,
其中,训练日志获取单元,通过将业务系统中各业务过程的事件日志根据所要挖掘的业务种类进行筛选,并通过指定合法的开始和结束事件对日志进行过滤,获取训练日志,训练日志信息包含该业务执行时产生的多个事件序列,各事件对应的任务名、时间戳、执行者、执行状态;
业务控制流模型挖掘单元利用训练日志进行业务控制流模型挖掘,业务控制流模型信息包含业务事件之间逻辑结构信息;
业务性能模型挖掘单元,根据业务控制流模型的业务事件逻辑结构和训练日志中各业务事件的时间戳,相邻事件之间的时间间隔t及各业务事件的出现次数n,对训练日志中的事件序列进行统计,得到关于时间间隔t的多集St及出现次数n的多集Sn,最后计算每个多集St及Sn中各元素的平均值和标准差,得到业务性能模型;
执行者行为模型挖掘单元,根据业务控制流模型中业务事件的逻辑结构和训练日志中各业务事件的执行者和操作信息,统计执行者的所属角色,各角色对应的任务集合,及任务集合内各任务单元的设备信息集合、文件信息集合、数据信息集合及操作内容信息集合,构建该执行者的树状行为模型。
3.根据权利要求2所述的基于业务过程模型挖掘的内部威胁检测系统,其特征在于:业务事件之间的逻辑结构是指业务事件之间的顺序结构、并行结构、选择结构、或迭代结构。
4.根据权利要求1所述的基于业务过程模型挖掘的内部威胁检测系统,其特征在于:异常检测模块,包含操作行为异常检测单元、业务过程合规性检测单元,
其中,操作行为异常检测单元包含个体异常行为检测模块及离群异常行为检测模块,根据执行者行为模型计算其行为向量,个体异常行为检测模块通过比较实际行为向量与正常行为向量判定是否存在个体异常行为;离群异常行为检测模块,对同角色下各执行者行为向量进行同维处理,将各执行者操作集的并集作为新的操作集,并为各操作赋予权值,然后,通过凝聚层次聚类法对执行者行为向量进行聚类,判定是否存在离群异常行为;
业务过程合规性检测单元对实时产生的事件日志进行合规性检测,其中,合规性检测包含业务过程性能异常检测及业务过程逻辑异常检测。
5.一种基于权利要求1所述的基于业务过程模型挖掘的内部威胁检测系统的内部威胁检测方法,具体包含如下步骤:
步骤1、根据业务系统各业务事件的事件日志,根据业务种类进行过滤筛选,提出事件日志中与所挖掘业务种类无关的记录,并指定业务的开始事件和结束事件,得到训练日志,通过过程挖掘方法对训练日志进行业务控制流模型挖掘,并根据业务控制流模型及训练日志,通过统计分析方法分别进行业务性能模型挖掘及执行者行为模型挖掘,其中,业务控制流模型信息包含业务事件之间的逻辑结构信息,训练日志信息包含该业务事件执行时产生的多个事件序列,各事件对应的任务名、时间戳、执行者、执行状态;
步骤2、通过步骤1获得的业务控制流模型、业务性能模型及执行者行为模型,对业务执行过程中实时产生的事件日志进行异常行为检测及合规性检测,获取实时日志中存在的异常行为,其中,异常行为检测包含根据执行者行为模型计算行为向量BV进行个体异常行为检测及离群异常行为检测,合规性检查包含业务过程逻辑异常检测及业务过程性能异常检测,行为向量BV为执行者在执行业务事件时对设备进行的操作及其频率的多元组,具体表示为:BV(执行者,事件,设备) = (f(OP1), f(OP2), … , f(OPn)),其中,f(OPi)表示操作OPi的频率,并定义BV N 为正常执行者行为模型中的行为向量, BV E 为实际执行时的行为向量;
步骤3、对步骤2获取的异常行为进行分析,识别系统遭受的内部威胁并输出。
6.根据权利要求5所述的内部威胁检测方法,其特征在于:步骤1中通过统计分析方法进行业务性能模型挖掘包含如下内容:
步骤1.1.1、根据业务控制流模型中事件的逻辑结构及训练日志中事件序列对应的事件时间戳,统计各相邻业务事件之间的时间间隔t及各业务事件的出现次数n;
步骤1.1.2、对训练日志中的所有事件序列重复步骤1,得到各个邻接事件关于时间间隔t的多集时间间隔t的多集St及出现次数n的多集Sn;
步骤1.1.3、分别对每个多集St及多集Sn中各元素计算其平均值和标准差;
步骤1.1.4、将多集中的统计信息对应到业务控制流模型的对应业务事件或相邻业务事件,得到业务性能模型。
7.根据权利要求5所述的内部威胁检测方法,其特征在于:步骤1中通过统计分析方法进行执行者行为模型挖掘包含如下内容:
步骤1.2.1、根据业务控制流模型中事件的逻辑结构及训练日志中各业务事件的执行者信息和操作信息,统计该执行者的所属角色,各角色对应的任务集合,及任务集合内容任务单元的设备信息集合、文件信息集合、数据信息集合及操作内容信息集合;
步骤1.2.2、根据步骤1中的统计,构建执行者角色对应的树状行为模型;
步骤1.2.3、对训练日志中的所有业务事件序列,返回执行步骤1.2.1,按步骤迭代执行,若统计到操作信息在当前树状节点中不存在,则向该树状节点添加操作信息;
步骤1.2.4、对业务中的所有执行者,返回步骤1.2.1,按步骤迭代执行,为每个执行者建立对应的执行者行为模型。
8.根据权利要求5所述的内部威胁检测方法,其特征在于:所述步骤2中的个体异常行为检测具体包含如下内容:比较实际行为向量BV E 与正常行为向量BV N ,若BV E 中存在BV N 中没有的操作OPi,或| BV E .f(OPi) –BV N .f(OPi) | > σ,则判定当前BV E 中存在个体异常行为,否则,当前BV E 中无个体异常行为,其中,σ为设置阈值。
9.根据权利要求5所述的内部威胁检测方法,其特征在于:所述步骤2中的离群异常行为检测具体包含如下内容:
步骤2.2.1、将同业务事件同设备同执行角色下的执行者行为向量做同维处理,将同执行者角色在同任务同设备上的操作的并集作为各相应执行者的操作集,对于每个执行者,将差异操作的频率置为0,其余频率保持不变,其中,差异操作为不属于该执行者角色的操作;
步骤2.2.2、为执行者行为向量的各个维度赋予权值,差异操作赋予权值wd,其余操作赋予权值wn,并对各行为向量进行两两配对,形成若干行为向量的向量对,其中wd > wn,且满足条件:当有n个差异操作,m个其余操作时,满足n* wd +m* wn =1;
步骤2.2.3、对同角色执行者的行为向量形成的所有向量对,计算欧式距离,得到对应的向量距离;
步骤2.2.4、通过凝聚层次聚类方法,对向量距离进行聚类,得到相应的类簇,对得到的类簇,计算其质心C及质心到BV E 的距离d(C, BV E ),其中,质心C为一个虚拟向量,其各维度的值为类簇中各向量相应维度值的平均值,d(C, BV E )为两者之间的欧氏距离;若d(C, BV E ) >η,则判定BV E 为离群异常行为向量,存在离群异常行为;否则,不存在离群异常行为,其中,η为事先设置的阈值。
10.根据权利要求5所述的内部威胁检测方法,其特征在于:所述步骤2中的业务过程逻辑异常检测及业务过程性能异常检测具体包含如下内容:
步骤2.3.1、将当前事件序列与业务控制流模型进行匹配,若业务控制流模型无法匹配当前的事件序列,则表明当前事件序列存在逻辑异常;
步骤2.3.2、将当前事件序列中的性能指标参数与业务性能模型中对应参数进行比对,性能指标参数包含相邻事件之间的时间间隔t E 和各事件的出现次数n E 的平均值,若当前事件序列中存在相邻事件,其时间间隔t E 与业务性能模型中对应的时间间隔t N 之间绝对值大于τ1,或当前事件序列中存在一个事件,其出现次数n E 与业务性能模型中对应事件的出现次数n N 之间绝对值大于τ2,则表明当前事件序列存在性能异常,其中,τ1和τ2为预先设定阈值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610595380.7A CN106209893B (zh) | 2016-07-27 | 2016-07-27 | 基于业务过程模型挖掘的内部威胁检测系统及其检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610595380.7A CN106209893B (zh) | 2016-07-27 | 2016-07-27 | 基于业务过程模型挖掘的内部威胁检测系统及其检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106209893A true CN106209893A (zh) | 2016-12-07 |
CN106209893B CN106209893B (zh) | 2019-03-19 |
Family
ID=57495102
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610595380.7A Active CN106209893B (zh) | 2016-07-27 | 2016-07-27 | 基于业务过程模型挖掘的内部威胁检测系统及其检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106209893B (zh) |
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107204991A (zh) * | 2017-07-06 | 2017-09-26 | 深信服科技股份有限公司 | 一种服务器异常检测方法及系统 |
CN108268988A (zh) * | 2016-12-30 | 2018-07-10 | 航天信息股份有限公司 | 一种粮食收购业务管理方法及系统 |
CN108512806A (zh) * | 2017-02-24 | 2018-09-07 | 中国移动通信集团公司 | 一种基于虚拟环境的操作行为分析方法及服务器 |
CN108616529A (zh) * | 2018-04-24 | 2018-10-02 | 成都信息工程大学 | 一种基于业务流的异常检测方法及系统 |
CN108920356A (zh) * | 2018-05-31 | 2018-11-30 | 长安大学 | 一种基于任务执行轨迹模型的感知节点异常检测方法 |
CN108984774A (zh) * | 2018-07-24 | 2018-12-11 | 安徽理工大学 | 一种基于后继关系的行为块过程挖掘方法 |
CN109286605A (zh) * | 2017-07-21 | 2019-01-29 | 中国移动通信集团甘肃有限公司 | 一种基于大数据的业务行为路径监控方法及装置 |
CN109347827A (zh) * | 2018-10-22 | 2019-02-15 | 东软集团股份有限公司 | 网络攻击行为预测的方法、装置、设备及存储介质 |
CN109450864A (zh) * | 2018-10-17 | 2019-03-08 | 国网河北省电力有限公司电力科学研究院 | 一种安全检测方法、装置和系统 |
CN109597706A (zh) * | 2018-09-29 | 2019-04-09 | 阿里巴巴集团控股有限公司 | 一种核对差异数据的检测方法、装置及系统 |
CN110493264A (zh) * | 2019-09-18 | 2019-11-22 | 北京工业大学 | 一种基于内网实体关系与行为链的内部威胁发现方法 |
CN110515365A (zh) * | 2019-07-29 | 2019-11-29 | 电子科技大学 | 一种基于过程挖掘的工控系统异常行为分析方法 |
CN111258624A (zh) * | 2020-01-13 | 2020-06-09 | 上海交通大学 | 开源软件开发中Issue解决时间的预测方法及系统 |
CN111597549A (zh) * | 2020-04-17 | 2020-08-28 | 国网浙江省电力有限公司湖州供电公司 | 一种基于大数据的网络安全行为识别方法及系统 |
CN111931172A (zh) * | 2020-08-13 | 2020-11-13 | 中国工商银行股份有限公司 | 一种金融系统业务流程异常预警方法及装置 |
CN112364284A (zh) * | 2020-11-23 | 2021-02-12 | 北京八分量信息科技有限公司 | 基于上下文进行异常侦测的方法、装置及相关产品 |
CN113807452A (zh) * | 2021-09-23 | 2021-12-17 | 桂林电子科技大学 | 一种基于注意力机制的业务过程异常检测方法 |
CN113918937A (zh) * | 2021-09-10 | 2022-01-11 | 广州博依特智能信息科技有限公司 | 一种基于大数据的非法事件识别方法及系统 |
CN114356642A (zh) * | 2022-03-11 | 2022-04-15 | 军事科学院系统工程研究院网络信息研究所 | 一种基于流程挖掘的异常事件自动诊断方法和系统 |
US11314561B2 (en) | 2020-03-11 | 2022-04-26 | UiPath, Inc. | Bottleneck detection for processes |
CN115329900A (zh) * | 2022-10-12 | 2022-11-11 | 北京安帝科技有限公司 | 面向海量工控网络日志数据的异常事件挖掘方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104376365A (zh) * | 2014-11-28 | 2015-02-25 | 国家电网公司 | 一种基于关联规则挖掘的信息系统运行规则库的构造方法 |
CN105095491A (zh) * | 2015-08-18 | 2015-11-25 | 山东科技大学 | 基于Petri网基本结构的过程模型修复方法 |
CN105376193A (zh) * | 2014-08-15 | 2016-03-02 | 中国电信股份有限公司 | 安全事件的智能关联分析方法与装置 |
-
2016
- 2016-07-27 CN CN201610595380.7A patent/CN106209893B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105376193A (zh) * | 2014-08-15 | 2016-03-02 | 中国电信股份有限公司 | 安全事件的智能关联分析方法与装置 |
CN104376365A (zh) * | 2014-11-28 | 2015-02-25 | 国家电网公司 | 一种基于关联规则挖掘的信息系统运行规则库的构造方法 |
CN105095491A (zh) * | 2015-08-18 | 2015-11-25 | 山东科技大学 | 基于Petri网基本结构的过程模型修复方法 |
Non-Patent Citations (1)
Title |
---|
赵卫东等: ""流程挖掘在流程优化中的应用"", 《计算机集成制造系统》 * |
Cited By (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108268988A (zh) * | 2016-12-30 | 2018-07-10 | 航天信息股份有限公司 | 一种粮食收购业务管理方法及系统 |
CN108268988B (zh) * | 2016-12-30 | 2022-06-10 | 航天信息股份有限公司 | 一种粮食收购业务管理方法及系统 |
CN108512806A (zh) * | 2017-02-24 | 2018-09-07 | 中国移动通信集团公司 | 一种基于虚拟环境的操作行为分析方法及服务器 |
CN107204991A (zh) * | 2017-07-06 | 2017-09-26 | 深信服科技股份有限公司 | 一种服务器异常检测方法及系统 |
CN109286605A (zh) * | 2017-07-21 | 2019-01-29 | 中国移动通信集团甘肃有限公司 | 一种基于大数据的业务行为路径监控方法及装置 |
CN109286605B (zh) * | 2017-07-21 | 2020-12-08 | 中国移动通信集团甘肃有限公司 | 一种基于大数据的业务行为路径监控方法及装置 |
CN108616529A (zh) * | 2018-04-24 | 2018-10-02 | 成都信息工程大学 | 一种基于业务流的异常检测方法及系统 |
CN108616529B (zh) * | 2018-04-24 | 2021-01-29 | 成都信息工程大学 | 一种基于业务流的异常检测方法及系统 |
CN108920356A (zh) * | 2018-05-31 | 2018-11-30 | 长安大学 | 一种基于任务执行轨迹模型的感知节点异常检测方法 |
CN108920356B (zh) * | 2018-05-31 | 2021-07-27 | 长安大学 | 一种基于任务执行轨迹模型的感知节点异常检测方法 |
CN108984774A (zh) * | 2018-07-24 | 2018-12-11 | 安徽理工大学 | 一种基于后继关系的行为块过程挖掘方法 |
CN109597706B (zh) * | 2018-09-29 | 2023-06-02 | 创新先进技术有限公司 | 一种核对差异数据的检测方法、装置及系统 |
CN109597706A (zh) * | 2018-09-29 | 2019-04-09 | 阿里巴巴集团控股有限公司 | 一种核对差异数据的检测方法、装置及系统 |
CN109450864A (zh) * | 2018-10-17 | 2019-03-08 | 国网河北省电力有限公司电力科学研究院 | 一种安全检测方法、装置和系统 |
CN109347827A (zh) * | 2018-10-22 | 2019-02-15 | 东软集团股份有限公司 | 网络攻击行为预测的方法、装置、设备及存储介质 |
CN110515365B (zh) * | 2019-07-29 | 2021-07-06 | 电子科技大学 | 一种基于过程挖掘的工控系统异常行为分析方法 |
CN110515365A (zh) * | 2019-07-29 | 2019-11-29 | 电子科技大学 | 一种基于过程挖掘的工控系统异常行为分析方法 |
CN110493264A (zh) * | 2019-09-18 | 2019-11-22 | 北京工业大学 | 一种基于内网实体关系与行为链的内部威胁发现方法 |
CN110493264B (zh) * | 2019-09-18 | 2021-12-24 | 北京工业大学 | 一种基于内网实体关系与行为链的内部威胁发现方法 |
CN111258624A (zh) * | 2020-01-13 | 2020-06-09 | 上海交通大学 | 开源软件开发中Issue解决时间的预测方法及系统 |
US11836536B2 (en) | 2020-03-11 | 2023-12-05 | UiPath, Inc. | Bottleneck detection for processes |
US11314561B2 (en) | 2020-03-11 | 2022-04-26 | UiPath, Inc. | Bottleneck detection for processes |
CN111597549A (zh) * | 2020-04-17 | 2020-08-28 | 国网浙江省电力有限公司湖州供电公司 | 一种基于大数据的网络安全行为识别方法及系统 |
CN111931172B (zh) * | 2020-08-13 | 2023-10-20 | 中国工商银行股份有限公司 | 一种金融系统业务流程异常预警方法及装置 |
CN111931172A (zh) * | 2020-08-13 | 2020-11-13 | 中国工商银行股份有限公司 | 一种金融系统业务流程异常预警方法及装置 |
CN112364284A (zh) * | 2020-11-23 | 2021-02-12 | 北京八分量信息科技有限公司 | 基于上下文进行异常侦测的方法、装置及相关产品 |
CN112364284B (zh) * | 2020-11-23 | 2024-01-30 | 北京八分量信息科技有限公司 | 基于上下文进行异常侦测的方法、装置及相关产品 |
CN113918937A (zh) * | 2021-09-10 | 2022-01-11 | 广州博依特智能信息科技有限公司 | 一种基于大数据的非法事件识别方法及系统 |
CN113807452A (zh) * | 2021-09-23 | 2021-12-17 | 桂林电子科技大学 | 一种基于注意力机制的业务过程异常检测方法 |
CN113807452B (zh) * | 2021-09-23 | 2024-04-19 | 桂林电子科技大学 | 一种基于注意力机制的业务过程异常检测方法 |
CN114356642A (zh) * | 2022-03-11 | 2022-04-15 | 军事科学院系统工程研究院网络信息研究所 | 一种基于流程挖掘的异常事件自动诊断方法和系统 |
CN115329900A (zh) * | 2022-10-12 | 2022-11-11 | 北京安帝科技有限公司 | 面向海量工控网络日志数据的异常事件挖掘方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN106209893B (zh) | 2019-03-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106209893A (zh) | 基于业务过程模型挖掘的内部威胁检测系统及其检测方法 | |
CN108009040A (zh) | 一种确定故障根因的方法、系统和计算机可读存储介质 | |
CN101803337B (zh) | 入侵检测方法和系统 | |
Lee et al. | Mining in a data-flow environment: Experience in network intrusion detection | |
CN107196910A (zh) | 基于大数据分析的威胁预警监测系统、方法及部署架构 | |
CN104268085B (zh) | 一种基于属性提取的软件漏洞挖掘系统及方法 | |
CN106371986A (zh) | 一种日志处理运维监控系统 | |
CN108200030A (zh) | 恶意流量的检测方法、系统、装置及计算机可读存储介质 | |
CN106375339A (zh) | 基于事件滑动窗口的攻击模式检测方法 | |
CN110351260A (zh) | 一种内网攻击预警方法、装置及存储介质 | |
CN102768638B (zh) | 基于状态转移图的软件行为可信性检测方法 | |
Zhong et al. | Automate cybersecurity data triage by leveraging human analysts' cognitive process | |
Zhong et al. | Learning from experts’ experience: toward automated cyber security data triage | |
CN106383768A (zh) | 基于移动设备操作行为的监管分析系统及其方法 | |
CN112839039B (zh) | 一种网络威胁事件攻击场景交互式自动还原方法 | |
CN116680704B (zh) | 一种用于客户端的数据安全防护方法及系统 | |
CN101252440B (zh) | 基于固有子序列模式分解的网络入侵检测方法 | |
KR102041545B1 (ko) | 딥러닝 모델을 이용한 이벤트 예측 기반의 이벤트 모니터링 방법, 이벤트 모니터링 시스템 및 컴퓨터 프로그램 | |
CN107506408A (zh) | 对海量事件分布式关联匹配的方法及系统 | |
CN114553596A (zh) | 适用于网络安全的多维度安全情况实时展现方法及系统 | |
CN114357459A (zh) | 一种面向区块链系统的信息安全检测方法 | |
CN101834847A (zh) | 基于多移动代理和数据挖掘技术的网络入侵防御系统 | |
CN115221509A (zh) | 一种基于5w1h账号的认证行为画像方法 | |
CN111898133A (zh) | 一种基于自动化的渗透测试装置和方法 | |
Zhang et al. | Hybrid intrusion detection based on data mining |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |