CN113807452B - 一种基于注意力机制的业务过程异常检测方法 - Google Patents

Abstract

本发明公开了一种基于注意力机制的业务过程异常检测方法，该方法从多个数据源中收集数据组成事件日志；从控制流和数据流视角在业务过程的事件日志中挖掘出控制流和数据流特征，构造过程特征数据集；基于注意力机制构建预测模型；使用过程特征数据集作为输入数据训练预测模型；根据过程实例实际发生的结果和预测的结果进行对比，以此计算异常分数；基于异常比率的梯度，自适应地计算异常评分阈值。使用异常评分与异常评分阈值进行比较，以此判断异常是否发生，并定位异常的来源。该方法可以准确地检测出过程感知信息系统中业务过程运行实例的事件及其属性异常，并可以定位引发异常的具体事件属性，对提高业务过程的运行平稳性有重要作用。

Description

一种基于注意力机制的业务过程异常检测方法

技术领域

本发明涉及业务过程管理技术领域，具体涉及一种基于注意力机制的业务过程异常检测方法。

背景技术

目前过程感知信息系统(Process aware information system，PAIS)被广泛地应用于各行各业以处理大量业务过程。在PAIS运行过程中，业务过程可能发生异常情况。异常包括可预期异常(如资源不可用，业务过程超时等)和不可预期异常。异常发生会使业务过程偏离预定目标，给用户带来不可预料的损失。例如，对未核查征信信息的用户放贷、已发货的网购订单被退款等。当异常发生时，尽早发现它并及时采取相应措施可以减少或避免损失。业务过程异常检测技术能帮助管理者及时发现业务过程中潜在的执行风险进而采取相应的处理措施。从实现上说，业务过程异常检测是PAIS必须支持的功能。

不确定性和多变性是现代企业的业务过程的内在特点。传统的基于过程模型和规则约束的异常检测方法已经无法满足柔性业务过程管理技术的需要。de Lima Bezerra等人使用过程挖掘算法从事件日志中挖掘出过程模型，进而通过检查过程模型与事件日志的一致性来检测业务过程异常。该方法可以检测业务过程的控制流异常；由于没有利用事件的属性信息，因此不能检测事件属性异常。并且挖掘高质量的过程模型依赖一个无噪声的事件日志，其维护成本高且较难实现。

等人使用业务过程的状态概率图进行异常检测。状态概率图中的顶点代表事件或属性，有向边代表业务过程的状态转移。使用统计方法对边赋予权值以表示此状态转移的概率，根据状态概率图对业务过程进行端到端地分析，极小概率的事件或事件属性的状态转移被认为异常。该方法适用于有噪声的事件日志，可以检测事件属性异常；不足之处是因使用固定的顺序检测事件属性，而引入了对某些事件属性的偏好。

Nolle等人提出基于重构事件序列的业务过程异常检测方法，通过使用业务过程的事件序列作为输入数据训练一个自编码器以重构该序列。自编码器对正常事件序列和异常事件序列的重构误差不同，使用重构误差的平均值作为异常阈值；重构误差大于此阈值的序列被认定为异常序列。该方法能成功检测出业务过程事件日志中的控制流异常；不足之处是只能检测业务过程的案例级别的异常。在此基础上，Nolle等人在自编码器的输入中加入了数据流。该方法可以检测业务过程中的数据流异常，并且可以检测业务过程属性级别的异常，提高了异常检测的准确性；但没有考虑事件的时间属性。为了解决以上问题，Nolle等人提出了基于深度神经网络，并考虑事件时间属性的多变量异常检测方法BINet。该方法使用长短期记忆神经网络(LSTM)构建预测过程实例的下一事件概率的模型，使用预测误差进行异常检测，并使用“肘方法”确定异常检测阈值。该方法进一步提高了异常检测的准确性，不足之处是无法处理事件序列的长距离的依赖。

鉴于Transformer模型的注意力机制能够捕获长距离端到端的依赖关系，具有很强的特征提取能力，本发明选用Transformer模型从事件日志中提取业务过程特征构建业务过程的预测模型用于异常检测。针对不依赖过程模型进行异常检测这一需求，本发明提出了一种基于注意力机制的业务过程异常检测方法。

发明内容

针对不依赖过程模型进行异常检测这一需求，本发明提供一种基于注意力机制的业务过程异常检测方法，该方法无需从事件日志中挖掘过程模型，无需领域知识，并无需对事件日志数据进行手动标记，可以更准确地检测出业务过程实例的事件及其属性异常，并可以定位引发异常的具体事件属性。

实现本发明目的的技术方案是：

一种基于注意力机制的业务过程异常检测方法，包括如下步骤：

1)从过程感知信息系统中的多个数据源中收集数据，组成事件日志，事件日志用于记录业务过程的执行过程的信息集合，由业务过程的活动执行轨迹组成，活动执行的轨迹也被称为案例；

2)利用事件日志中的控制流特征和数据流特征，从事件属性粒度提取过程信息，使用事件的离散属性进行异常检测，对事件的离散属性进行编码，构造过程特征数据集；具体是：使用事件的活动名作为事件的第一个属性代表业务过程的控制流特征，使用其他离散属性作为数据流特征；由于每个案例的事件序列的长度可能存在不同，为了保证数据集中各案例长度相等，在事件序列较短的案例末尾添加<pad>进行填充；

3)基于Transformer模型构建业务过程一下事件及其属性的预测模型，预测模型包括控制流预测模块和数据流预测模块，分别用于预测活动名属性和非活动名属性，Transformer模型使用编码-解码构架，根据注意力机制的不同训练Transformer模型，得到不同的输入和输出模式，所述的注意力机制包括如下注意力策略：

3-1)关注控制流信息，以此来预测事件及其属性；

3-2)同时关注控制流信息和数据流信息，以此来预测事件及其属性；

3-3)同时关注控制流信息和数据流信息，以此来预测事件及其属性，并且在预测其他属性时，额外关注预测目标事件的活动名；

4)计算业务流程属性的异常评分s，使用实际发生的事件属性和预测模型预测事件及其属性发生的概率分布P计算事件及其属性的异常评分；

5)使用自适应地确定事件属性的异常评分阈值的方法，应对过程感知系统中业务过程的不同场景，

5-1)首先，根据事件属性的异常评分s确定异常评分阈值的范围：最小值τ_min与最大值τ_max；将异常评分阈值的取值区间设为[τ_min,τ_max]，在区间中构造一个大小为k的候选异常评分阈值集合T；

5-2)计算T中每个异常评分阈值的异常比率，当异常比率为某属性的异常评分集合S的阈值为τ_i∈T时，被判定为异常的属性值个数占该属性的全部属性值个数的比率；

5-3)使用差分法计算得到异常比率梯度的近似值，确定异常比率r梯度趋近于0的区间(|r′(s,τ)|＜ε)；

5-4)在5-3)步骤得到的异常比率变化很小的区间中，选择异常评分阈值τ最大的区间作为候选阈值区间，选择候选阈值区间的平均值作为所确定的自适应阈值；

6)根据步骤4)计算得到的异常评分s，判定该事件或属性是否异常，使用如下判定函数进行判定，判定函数的表达式为：

公式(1)中，s为当前过程实例事件属性的异常评分，τ为步骤5)中计算得到的异常评分阈值，用于判断异常是否发生；当f_thre(s,τ)＝0时，表示该事件属性正常；当f_thre(s,τ)＝1时，表示该事件属性异常。

步骤4)中，所述的异常评分，其计算方法是在概率分布P中，找到属性值，满足发生概率高于实际发生的属性值的概率，将这些属性值的概率求和得到异常评分s，异常评分s的计算公式如下为：

公式(2)中，P为预测的概率分布，v_t为实际发生的属性值，p_t为在概率分布P中实际发生属性值的概率，通过概率分布到达将预测模型和异常判断的过程解耦。

步骤5)中，所述的自适应地确定事件属性的异常评分阈值的方法，是对每个属性设定单独的异常评分阈值，进行异常检测。自适应地确定事件属性的异常评分阈值，无需依赖于用户手动设置的异常阈值或根据经验将其设定为某个常数。

有益效果：本发明提供的基于注意力机制的业务流程异常检测方法，该方法有如下优点：

(1)本发明提出一种无需从事件日志中挖掘过程模型，无需领域知识，并无需对事件日志数据进行手动标记的业务过程异常检测方法。

(2)设计一种使用异常比率的梯度来自适应地计算的异常评分阈值的方法，以应对不同场景下的业务过程异常检测。

(3)设计3种不同的注意力策略，关注业务过程的不同视角进行业务过程实例的下一事件预测。

(4)构建一个不但可以检测当前业务过程实例的事件属性级别异常，而且能够捕获异常来源的异常检测模型。

附图说明

图1为基于注意力机制的业务过程异常检测方法的流程图；

图2为基于注意力机制的业务过程异常检测方法的总体框架；

图3为活动名属性预测模型的示例；

图4为业务过程预测模型的总体框架；

图5为注意力策略1示例图；

图6为注意力策略2示例图；

图7为注意力策略3示例图；

图8为预测模块与异常检测模块的解耦示意图；

图9为自适应异常评分阈值h示例图；

图10为不同的检测级别示例图。

具体实施方式

下面结合附图和实施例对本发明内容做进一步阐述，但不是对本发明的限定。

实施例1：

如图1所示，一种基于注意力机制的业务过程异常检测方法，包括如下步骤：

1)从多个数据源中收集数据，组成事件日志。事件日志是PAIS用于记录业务过程的执行过程的信息集合，一般由业务过程的执行轨迹组成。

2)本发明从事件属性粒度提取过程信息，使用事件的离散属性进行异常检测，例如执行用户、组织部门等属性。对事件的离散属性使用独热编码方式进行编码，构造过程特征数据集。

使用事件的活动名作为事件的第一个属性代表业务过程的控制流特征，使用其他离散属性作为数据流特征。由于每个案例的事件序列的长度可能不同，为了保证数据集中各案例长度相等，在较短的案例末尾添加<pad>进行填充。

例如，假设某个案例其事件序列为case＝<e₁,e₂,e₃,e₄>，其中事件为e_i＝(c_i,d_i ¹,d_i ²)，e_i代表案例的事件序列中第i个事件，c_i代表第i个事件的活动名属性，d_i ¹,d_i ²代表第i个事件的其他属性；此案例的事件序列长度为4，假设数据集中事件序列最大长度为5，在案例末尾添加<pad>进行填充，则这个案例可以表示为：

3)基于Transformer模型构建业务过程一下事件及其属性的预测模型，预测模型的总体架构如图4所示，预测模型包括控制流预测模块和数据流预测模块，分别用于预测活动名属性和非活动名属性，活动名属性的预测模型的结构示例如图3所示，Transformer模型使用编码-解码构架，事件的每个属性都单独使用编码器进行特征提取，同样地，每个属性使用单独的解码器预测下一事件此属性的概率分布，编码器和解码器都使用可堆叠的注意力层和全连接层；根据注意力机制的不同训练Transformer模型，得到不同的输入和输出模式，不同的Transformer注意力头可以关注事件编码的不同子空间，可以更加灵活地调整预测模型的注意力策略；不同的注意力策略会对业务过程异常判定结果产生影响，3种不同的注意力策略，关注业务过程的不同视角以适应不同的业务场景，如图5、图6、图7所示，3种不同的注意力策略为：

3-1)关注控制流信息，以此来预测事件及其属性；

3-2)同时关注控制流信息和数据流信息，以此来预测事件及其属性；

3-3)同时关注控制流信息和数据流信息，以此来预测事件及其属性，并且在预测其他属性时，额外关注预测目标事件的活动名；

4)计算异常评分需要使用预测模型的结果，即事件属性的属性值概率分布P。在概率分布P中，找到属性值，满足发生概率高于实际发生的属性值的概率，将这些属性值的概率求和得到异常评分s；具体是在概率分布P中，找到属性值，满足发生概率高于实际发生的属性值的概率，将这些属性值的概率求和得到异常评分s，如下述公式(2)所示，其中P为预测的概率分布，v_t为实际发生的属性值，p_t为在概率分布P中实际发生属性值的概率，通过概率分布到达将预测模型和异常判断的过程解耦，如图8所示。

5)大多数业务过程异常检测算法依赖于用户手动设置的异常阈值，或根据经验将其设定为某个常数；本实施例采用一种自适应地确定事件属性的异常评分阈值的方法，以应对过程感知系统中业务过程的不同场景，具体为：

5-1)根据事件属性的异常评分s确定异常评分阈值的范围，从而确定它的最小值τ_min与最大值τ_max；若评分阈值取值τ_max，则所有属性值都会被判定为正常，若评分阈值取值τ_min，则所有属性值都会被判定为异常；则将异常评分阈值的取值区间设为[τ_min,τ_max]，在其中构造一个大小为k的候选异常评分阈值集合T，如下公式(4)所示：

5-2)针对数据集中某个事件属性，其异常比率为：某属性的异常评分集合S的阈值为τ_i∈T时，被判定为异常的属性值个数占该属性的全部属性值个数的比率，如下公式(5)所示，其中s_jk表示异常评分集合中第j个案例的第k事件此属性的属性值的异常评分，C为案例的集合，K为案例的最大事件序列长度，N为数据集中非填充事件的个数。特别地，设定r(s,τ_min)＝1、r(s,τ_max)＝0。

5-3)基于方向梯度直方图进行目标检测方法，建立基于异常比率梯度的自适应评分阈值确定方法，使用差分法计算得到异常比率梯度的近似值，若异常评分阈值τ_i∈T，则设异常比率梯度数值的近似值如下公式(6)所示：

所述的基于异常比率梯度的自适应阈值确定方法，具体实现如算法1所示：

该方法的示例如图9所示，横轴为代表阈值τ，纵轴为不同阈值情况的异常比率、召回率、准确率对应的值，竖线h所相交的横轴点为最终确定的阈值，实现步骤如下。首先，确定异常比率r数值变化很小的一段区间，即异常比率梯度趋近于0的区间(|r′(s,τ)|＜ε)。其中，ε是一个很小的值，本方法设ε为异常比率r的平均值的一半，如算法1的第5行。这样可以得到3个评分阈值区间，即图9中3个灰色区域所覆盖的横轴区间。然后，选择异常评分阈值τ最大的区间作为候选阈值区间，即横轴的0.8附近的区间；最后，选择候选阈值区间的平均值作为所确定的自适应阈值τ＝0.78。

6)根据步骤4)，可以计算出实际发生事件的属性对应的异常评分s，为了判定该事件或属性是否异常，使用如下公式(1)所示的判定函数进行判定：

在公式(1)中，s为当前过程实例事件属性的异常评分，τ为步骤5)自适应计算得到的异常评分阈值；当f_thre(s,τ)＝0时，表示该事件属性正常；当f_thre(s,τ)＝1时，表示该事件属性异常。由于不同属性的取值个数|V_a|可能不同，且每种属性的预测难度不同，所以需要为每个属性设定独立的阈值。

通过以上6个步骤，构建一个无需过程模型，无需领域知识，并无需对事件日志数据进行手动标记且能够捕获属性级别异常来源的异常检测模型。属性级别异常检测如图10所示。

Claims (3)

1.一种基于注意力机制的业务过程异常检测方法，其特征在于，包括如下步骤：

1)从过程感知信息系统中的多个数据源中收集数据，组成事件日志，事件日志用于记录业务过程的执行过程的信息集合，由业务过程的活动执行轨迹组成，活动执行的轨迹也被称为案例；

2)利用事件日志中的控制流特征和数据流特征，从事件属性粒度提取过程信息，使用事件的离散属性进行异常检测，对事件的离散属性进行编码，构造过程特征数据集；具体是：使用事件的活动名作为事件的第一个属性代表业务过程的控制流特征，使用其他离散属性作为数据流特征；对于事件序列长度的案例，在事件序列较短的案例末尾添加<pad>进行填充；

3)基于Transformer模型构建业务过程一下事件及其属性的预测模型，利用过程特征数据集作为输入数据训练预测模型；预测模型包括控制流预测模块和数据流预测模块，分别用于预测活动名属性和非活动名属性，Transformer模型使用编码-解码构架，根据注意力机制的不同训练Transformer模型，得到不同的输入和输出模式，所述的注意力机制包括如下注意力策略：

3-1)关注控制流信息，以此来预测事件及其属性；

3-2)同时关注控制流信息和数据流信息，以此来预测事件及其属性；

3-3)同时关注控制流信息和数据流信息，以此来预测事件及其属性，并且在预测其他属性时，额外关注预测目标事件的活动名；

4)计算业务流程属性的异常评分s，使用实际发生的事件属性和预测模型预测事件及其属性发生的概率分布P计算事件及其属性的异常评分；

5)使用自适应地确定事件属性的异常评分阈值的方法，应对过程感知系统中业务过程的不同场景，其中异常评分阈值的计算方法为：

5-1)首先，根据事件属性的异常评分s确定异常评分阈值的范围：最小值τ_min与最大值τ_max；将异常评分阈值的取值区间设为[τ_min,τ_max]，在区间中构造一个大小为k的候选异常评分阈值集合T；

5-2)计算T中每个异常评分阈值的异常比率，当异常比率为某属性的异常评分集合S的阈值为τ_i∈T时，被判定为异常的属性值个数占该属性的全部属性值个数的比率；

5-3)使用差分法计算得到异常比率梯度的近似值，确定异常比率r梯度趋近于0的区间(|r′(s,τ)|＜ε)；

5-4)在5-3)步骤得到的异常比率区间中，选择异常评分阈值τ最大的区间作为候选阈值区间，选择候选阈值区间的平均值作为所确定的自适应阈值；

6)根据步骤4)计算得到的异常评分s，判定该事件或属性是否异常，使用如下判定函数进行判定，判定函数的表达式为：

公式(1)中，s为当前过程实例事件属性的异常评分，τ为异常评分阈值，用于判断异常是否发生；当f_thre(s,τ)＝0时，表示该事件属性正常；当f_thre(s,τ)＝1时，表示该事件属性异常。

2.根据权利要求1所述的一种基于注意力机制的业务过程异常检测方法，其特征在于，步骤4)中，所述的异常评分，其计算方法是在概率分布P中，找到属性值，满足发生概率高于实际发生的属性值的概率，将这些属性值的概率求和得到异常评分s，异常评分s的计算公式如下为：

公式(2)中，P为预测的概率分布，v_t为实际发生的属性值，p_t为在概率分布P中实际发生属性值的概率，通过概率分布到达将预测模型和异常判断的过程解耦。

3.根据权利要求1所述的一种基于注意力机制的业务过程异常检测方法，其特征在于，步骤5)中，所述的自适应地确定事件属性的异常评分阈值的方法，是对每个属性设定单独的异常评分阈值，进行异常检测，自适应地确定事件属性的异常评分阈值，无需依赖于用户手动设置的异常阈值或根据经验将其设定为某个常数。