阵列13(2022)100120过程挖掘在网络安全和软件可靠性分析中的应用:系统性文献综述MartinMacaka,LukasDaubnera,MohammadrezaFaniSanib, BarboraBuhnovaaa信息学院,马萨里克大学,Botanická 68a,602 00 Brno,Czechiab德国亚琛RWTH-Aachen大学过程与数据科学讲座A R T I C L E I N F O保留字:过程挖掘网络安全软件可靠性系统性文献综述A B S T R A C T我们社会的数字化只有在安全可靠的软件系统管理正在进行的关键流程,即所谓的关键信息基础设施的情况下才有可能实现。了解事件和流程的相互依赖性对于网络安全和软件可靠性至关重要。解决这些挑战的一个有前途的方法是流程挖掘,这是一组旨在从流程中挖掘基本知识的技术,从而为数据解释和流程理解提供更多的视角和时间背景。然而,目前尚不清楚流程挖掘如何帮助并实际用于网络安全和可靠性。因此,在这项工作中,我们研究了流程挖掘在网络安全和软件可靠性方面的潜力,以分析和支持这些领域的研究工作。具体来说,我们收集了现有的流程挖掘应用程序,讨论了当前的趋势和有前途的研究方向,可用于解决当前的网络安全和软件可靠性挑战。为此,我们进行了系统的文献综述,涵盖了35个相关的研究方法,以研究目前如何将流程挖掘用于这些任务,以及该领域的研究差距和有前途的研究方向。这项工作是我们以前工作的延伸,以前的工作仅侧重于网络安全领域,基于对这两个领域的相对接近和类似目标的观察,其中一些方法往往重叠。1. 介绍现代社会数字化的进步推动了网络安全和软件可靠性在关键信息基础设施的各个领域中的作用,例如医疗保健或交通运输,其中潜在的问题可能导致伤害或生命损失。如今,有效的网络安全和软件可靠性保证的关键挑战是信息技术的实际快速发展,每天都出现新类型的威胁和前所未有的差异。虽然网络安全和软件可靠性都涉及不同的根本原因,但最终,它们在确保网络系统的可用性和完整性的最终目标上是重叠的。例如,成功的网络攻击或软件漏洞都可能导致系统不可用。同样,系统或其数据可能被恶意内部人员或意外误配置不适当地修改。因此,一个整体的方法必须考虑这两个领域的方面[2]。现有的网络安全和可靠性技术旨在发现和预防特定类型的问题,因此在适应新的威胁方面有困难[3,4]。此外,实际的安全性和可靠性威胁在复杂过程中随着时间的推移而发展,在复杂过程中,轻微的漏洞(例如,软件错误,认证空间的弱分离)结合人/操作员错误(例如,凭证泄漏)成为在其早期形成阶段具有挑战性的主要问题[5]。 因此,安全威胁的调查仍然主要是手动的[6],或者正在使用高度专业化的特定领域技术来解决,以减少误报[7,8]。实体的行为通常被编码到一个数学模型中,该模型可能难以操作、抽象或复杂,从而难以充分响应安全威胁[9]。流程挖掘[10]是一组可以解决上述挑战的技术。与传统的以数据为中心的方法(如数据挖掘)和以流程为中心的方法(如BPM分析)相比,流程挖掘在其分析中涉及数据和端到端流程[11,12],以获得最终结果[13,14]。例如,流程挖掘技术被设计用于检查流程何时以及如何偏离设计的∗通讯作者。电子邮件地址:macak@mail.muni.cz(M.Macak),daubner@mail.muni.cz(L.Daubner),fanisani@pads.rwth-aachen.de(M.Fani Sani),buhnova@mail.muni.cz(B.Buhnova)。https://doi.org/10.1016/j.array.2021.100120接收日期:2021年8月26日;接收日期:2021年11月18日;接受日期:2021年12月4日2021年12月22日在线提供2590-0056/© 2021作者。爱思唯尔公司出版这是CC BY许可下的开放获取文章(http://creativecommons.org/licenses/by/4.0/)。可在ScienceDirect上获得目录列表阵列期刊主页:www.elsevier.com/locate/arrayM. Macak等人阵列13(2022)1001202流程模型或瓶颈活动如何导致最终延迟一种服务/产品。此外,它被设计为通过从事件数据中提取知识(即,事件日志)。流程挖掘已经在许多领域证明是成功的,有助于完成具有挑战性的任务,如欺诈检测[15],机器人流程自动化[16]或学习分析[17]。此外,流程挖掘也在管理安全关键流程中受到青睐,例如在医疗保健中,它支持关键的医院流程和患者治疗[18]。在[19]中,解释了为什么流程挖掘可以 有助于高级分析,并提供了几个使用案例 在不同的领域。过程挖掘在类似领域(如软件工程[20]和机密性[21])中的循证优势和能力使其成为解决网络安全和软件可靠性分析挑战的有希望的候选者-使用其技术,我们可能能够更有效地检测意外行为[22],识别问题[23],检测偏差[24]或验证系统是否符合设计过程[25]。此外,它可能有能力提供系统中警报的概述,检测系统中的恶意软件,检测欺诈,验证用户行为或识别软件错误。这为进程挖掘带来了新的机遇,以推进网络安全和软件可靠性情况下的研究状态,这些情况下运行时系统行为的实际进程具有不确定性,需要基于系统中观察到的事件进行重构。目前,还没有全面系统的文献综述可以帮助研究人员和从业人员了解流程挖掘在这些特定情况下可以在哪里以及如何提供帮助本文旨在通过概述使用过程挖掘的研究方法来提高研究人员在网络安全和软件可靠性领域的努力,以实现网络安全和软件可靠性在各个领域和各种任务的目的。这些论文按其应用领域分组,以深入了解每个领域中流程挖掘使用的当前进展。我们确定了用于此目的的技术,连同它们的属性,并讨论了可能的研究方向,在这一领域的进一步进展。这是对我们之前研究的增强[26],该研究的范围仅限于网络安全领域。纳入的理由系统性文献综述中软件可靠性的一个重要方面是在进行原始综述时观察到这两个领域的相对接近性、技术重叠和相似目标。出于这个原因,我们的目标是探索更广泛的范围,因为这些技术可能会基于重叠而相互支持。此外,综合研究也应该为研究人员提供对该领域的更深入了解。本文件其余部分的结构如下。第二部分介绍了流程挖掘的背景知识。第3节概述了其他领域关于流程采矿的现有文献综述。然后,在第4节中,我们提出了研究问题并描述了我们的方法。第5节详细介绍了使用过程挖掘来确保网络安全,第6节重点介绍了过程挖掘在软件可靠性方面的应用。审查的结果和我们研究问题的答案在第7节。第8节讨论了对我们审查有效性的威胁。最后,第9节结束了本文。2. 背景过程挖掘技术已被证明在以下方面非常成功:(1)过程发现,其旨在从事件日志中找到底层过程的描述性模型,(2)一致性检查,即,监视和检查过程的实际执行是否符合 相应的设计(或发现)参考过程模型,以及(3)过程增强,基于相关事件数据改进和丰富过程模型[10]。进程发现能够找到表示事件日志中描述的进程的模型该模型必须符合四个质量标准-适应性,精确性,泛化性和简单性[10]。当模型只能重放事件日志中的少量跟踪时,它的适应度较低。当模型的精度很差时,这意味着它允许与日志中的行为非常不同的行为。另一方面,具有低泛化的模型仅允许日志中的行为。模型的简单性与模型是否能用最少的必要信息解释行为在[27]中首次讨论了过程发现,它描述了软件工程过程背景下的发现方法。与后来发表的一些技术类似[28,29],它仅限于顺序过程。处理事件并发的第一个发现算法之一是Alpha算法[30]。它从事件日志产生一个标记Petri网。后来,出现了许多其他算法,如Alpha算法的变体[31],启发式矿工[32],模糊矿工[33]和DecMiner [34]。一致性检查的目的是决定流程的执行是否符合相应的流程模型[35]。早期的一致性检查技术使用基于标记的重放来检测不合适的情况。 他们重播了1970年发生的一系列事件。一个Petri网,并基于它,产生了诊断[10]。 例如,Conventional [36]引入了两个指标:适应性和适当性。适应度度量流程模型可以从日志中重放跟踪的程度。 适当性衡量模型的简单性、精确性和通用性。 然而,基于令牌的方法通常不能提供令人满意的结果,因此引入了其他替代方案,如基于令牌的解决方案[37]。过程增强技术旨在使用从事件日志[10]中描述的过程中提取的信息来改进或扩展前向过程模型。当模型不能准确反映现实时,这一点很重要。过程改进的例子 是[38],其中作者修复了给定的模型,增加了其相对于给定事件日志的适应性。在过程扩展中,一个新的透视图被添加到过程模型中,比如组织或时间透视图。[39]中的方法使用了组织视角通过活动发起者的角色来增强模型另在[40]中,使用了时间视角3. 相关工作一些出版物对流程挖掘的使用进行了文献综述。这些评论通常是特定领域的,医疗保健[41,42]和教育[43]是最受欢迎的领域。在[18]中,Garcia等人采用了一般的多领域系统文献综述来绘制流程挖掘的应用。他们确定了流程挖掘的19个应用领域,并根据发表论文的数量对其进行了排序。对于前六个领域,即,医疗保健、ICT、制造业、教育、金融和物流,他们描述了流程挖掘的主要贡献。由于安全在各领域中排在第八位,因此没有讨论其贡献的细节。此外,根本没有考虑可靠性。在医疗保健领域,Kurniati et al.[41]对过程挖掘在肿瘤学中的使用进行了此外,Williams等人[42]回顾了过程挖掘在初级保健中的应用,Yang和Su [44]回顾了临床路径过程挖掘技术的研究。最后,Rojas等人[45]对流程挖掘在医疗保健领域的应用进行了更全面的文献综述在教育领域,Bogarin等人。[43]回顾了利用过程挖掘分析教育过程的出版物。在安全领域,目前还没有对流程挖掘的全面审查。这方面的一些工作可以M. Macak等人阵列13(2022)1001203参考文献3表1审查方案摘要。IEEEXplore 33ScienceDirect 272研究问题作为第一步,制定了以下研究问题。它们指导检索、纳入和排除标准以及结果评估RQ1:流程挖掘的研究方向是什么?初始安全文件初始可靠性文件SpringerLink 350ACMDL 97科学网Scopus 79共计860IEEEXplore 28ScienceDirect 835SpringerLink 524ACMDL 274Web ofScience 62Scopus 110共计1833用于确保网络安全和软件可靠性?网络安全和软件可靠性方面通常在更广泛的应用领域中考虑,例如网络,银行或关键基础设施。目标是确定在过程挖掘中利用或积极研究的研究方向,以确保网络安全和软件可靠性。RQ2:使用哪些流程挖掘技术和方法来确保网络安全和软件可靠性?流程挖掘本身是不同技术的集合,可以以多种方式使用例如,分析过去和Uniquepapers 1967第一阶段-标题摘要121第二阶段-全文30滚雪球论文谷歌搜索2Security 25可靠性10共计35个在Leitner和Rinderle-Ma [46]的综述中可以找到,该综述关注过程感知信息系统(PAIS)中的安全性,然而,过程挖掘只是考虑的许多方法之一。此外,由于审查涵盖了1993年至2012年的成果,因此缺少许多最近的方法。在[47]中,Kelemen提供了一个概述 在公共部门领域中使用流程挖掘进行安全,发布于2000年至2016年。在此基础上,作者提出了一系列在已确定的研究论文中占主导地位的主题,以及面临的挑战和未来的研究方向。然而,该文件只考虑了公共部门领域(明确地在的入选标准)。因此,我们的工作是对我们以前的研究的增强[26],该研究的范围仅限于网络安全领域,通过更广泛的研究继续这一研究路径,包括最近的出版物和更广泛的领域。除了关注过程挖掘的调查外,还有许多关于网络安全或软件可靠性特定方面的调查。然而,他们往往专注于特定的领域或技术[48此外,对现有网络安全调查的概述[52]不包括对过程挖掘的关注由于缺乏对过程挖掘用于网络安全和软件可靠性的全面系统的文献综述,很难理解过程挖掘在哪里以及如何帮助研究人员和从业者。在不同的研究方向中,这些任务的过程挖掘应用程序的重点是要考虑的一个重要方面。此外,没有现有的评论涵盖的过程挖掘在软件可靠性的应用,这使得本文提出的系统的文献综述的一个有价值的补充,目前的最先进的。4. 方法这项研究的目的是回顾最近的网络安全和软件可靠性研究,采用过程挖掘。为此,我们根据Kitchenham和Charters系统性文献综述指南制定了一项策略来指导本研究[53]。这包括对当前文献的数字图书馆搜索、滚雪球和手动搜索。在审查中,我们首先单独考虑网络安全和软件可靠性,并在后期阶段将其合并。我们的审查方法如图1所示,以及每个搜索和处理阶段的结果。包含出版物数量的审查方案总结见表1呈现事件。目标是确定那些通常用于网络安全和软件可靠性,那些不是,和那些很少考虑。将前两个研究问题的结果与典型的流程挖掘研究趋势进行比较可以提供有价值的见解。具体而言,重点放在所使用的技术,目标周期,使用的专家知识,和自动化的分析。RQ3:在使用过程挖掘来实现网络安全和软件可靠性方面,目前存在哪些差距和可能的研究方向? 最后一个目标是将前两个研究问题的结果结合起来,以评估研究人员的机会和从业人员的可用方法。主要是与一般的流程开采相比。为了建立一个基本的论文集,我们在几个数字图书馆中进行了搜索,特别是IEEE Xplore,1Elsevier ScienceDirect,2Springer Link,3ACM Digital Library,4Web of Science,5和Scopus。6检索仅限于过去六年(2014年至2020年)的最新研究此外,我们只考虑用英语写的论文。搜索分为两部分。一个是网络安全,一个是软件可靠性。做出这个决定的原因是,虽然这两个域有许多相似的目标,但它们的社区可能不同。无论如何划分,搜索结果都将在我们审查方法的后续阶段合并,以便我们利用差异和协同作用。用于搜索数字库的搜索字符串如清单1(网络安全)和清单2(软件可靠性)所示。清单1: 网络安全搜索字符串(“procesmining“)AND(网络安全或安全)清单2: 软件可靠性(“procesmining“)AND(可靠性或可靠性或可用性或坚固性或弹性)此后,所有收集的论文进一步分组和删除重复。将两次检索的结果合并,因为我们发现大约27%的论文同时被网络安全和软件可靠性检索字符串或多个主要来源所覆盖。筛选收集的主要论文集包含大量与本文献范围无关的论文1 https://ieeexplore.ieee.org/。2 https://www.sciencedirect.com/。3 https://link.springer.com/。4 https://dl.acm.org/。5 https://webofknowledge.com/。6https://www.scopus.com/。过滤纸M. Macak等人阵列13(2022)1001204图1.一、 审查策略和每 个 阶 段 的出版物数 量 。审查.因此,下一阶段是从收集中过滤掉假阳性结果。筛选集合有两个步骤。在第一步中,唯一考虑的参数是论文标题、摘要、关键词和结论。这些论文都是按主题标注的,是网络安全或软件可靠性。第二步是阅读全文以确认或纠正标签。任何重新贴标均由另一名团队成员以独立意见确认。为了保持过滤的公平性,制定了几个纳入和排除标准。如果符合一个或多个排除标准,则会导致论文被丢弃。文件保存,如果 并且只有当它符合至少一个包含标准时。否则它既不符合也不符合,它被丢弃。此外,如果同一作者的多篇论文直接相关(即,后续行动相同的想法,但不是一个新的主题),只有最近或最保持广泛入选标准是:• 处理网络攻击、恶意软件、欺诈、故障或错误的检测、分析、建模、恢复或避免;• 重点关注网络安全相关流程;• 针对软件系统的可靠性• 与有关网络安全或软件可靠性的异常行为有关。排除标准是工作:• 不使用进程挖掘;• 不认为软件系统是该方法的主要目标;• 仅关注可靠的性能/有效性;• 不是完整的论文(即,仅仅是一个主旨摘要、章节片段或百科全书文章)。每个过滤步骤都由不同的研究人员完成。如果有任何疑问,论文将由两名研究人员进行标记和讨论,以达成共识。为了进一步避免筛选过程中的偏差,另一位研究者将第一阶段筛选出的10%的论文样本复活。滚雪球最后一个阶段是滚雪球, 包括在第二步骤过滤之后保留的论文所引用的论文。每一篇滚雪球式的论文都根据纳入和排除标准进行了考虑,并在2014年至2020年的限制范围内,并且是英文撰写的条件使用Google Scholar等搜索引擎进行人工非系统性检索,进一步补充了最终论文集。7在咨询领域专家后,还增加了其他论文。然而,即使是这些论文也符合纳入和排除标准。7 https://scholar.google.com/。网络安全分类。我们将考虑网络安全的论文分类为代表研究方向的聚类,这些聚类基于其标题、摘要和可能的全文(如果有歧义)中使用的关键字。确定的研究方向及其关键词是工业控制系统的安全性(ICS,SCADA,智能电网),智能手机的安全性(手机,手机,Android),Web应用程序安全性(Web,信息系统,网站),网络流量安全性(DNS,IDS),攻击检查(攻击检查,识别,提取,ob-tail),离群用户行为(离群值,行为)和欺诈检测(欺诈检测)。对于包含来自多个方向的关键词的论文,我们将其分类为被认为是主要方向的方向的论文。可靠性分类。对于可靠性分类,我们使用了与文献综述的网络安全部分相同的原则。论文根据标题和摘要中使用的关键词进行分类。如果没有明确说明方向,我们将研究手头文件的更广泛背景。已识别的方向和用于其分类的关键字已识别的方向和用于其分类的关键字是质量保证(bug,缺陷,测试)和错误检测(故障,错误,运行时,监控,审计)。5. 流程挖掘用于网络安全与流程挖掘的一般用法类似[10],大多数网络安全论文中发现的一项研究是使用过程挖掘来分析过去的事件。 然而,一些论文对实时事件进行在线分析。一些论文使用自动分析,即,所设计或发现的过程模型用于进一步分析。另一方面,一些方法依赖于手动分析,例如,一个人可视地分析所发现的模型。我们发现了许多用例,主要是关于网络攻击的检测。在大多数论文,专家知识的应用。只有少数论文没有利用在分析中[23,65]。表2列出了所有经过审查的研究论文。它显示在哪些研究方向的过程挖掘方法,主要目标期的分析,使用类型的过程挖掘(过程发现,一致性检查,过程增强),以及所提出的技术是否需要专家知识,这可能会影响其可用性。它还包含有关模型分析类型的信息:是手动执行还是自动执行。此外,表3还包含了已找到的论文中流程挖掘的用例在下文中,我们讨论了在个别确定的研究方向中使用过程挖掘进行网络安全M. Macak等人阵列13(2022)1001205表2审查中包含的网络安全和软件可靠性论文论文类别研究方向目标周期PM类型a专家知识模型分析[54]ICS自动通过PD验证的网络安全[55]ICS自动通过PDCC认证的网络安全[56]智能手机的网络安全自动[57]智能手机的网络安全自动[58]智能手机的网络安全自动通过PDCC认证[22]网络安全网络流量安全过去PD手动[59]网络安全网络流量安全过去PD手动[60]网络安全网络流量安全当前PDCC两者[61]网络安全Web应用程序安全自动通过PD验证[62]网络安全Web应用程序安全自动通过PDCC认证[63]网络安全Web应用程序安全手动通过PDPE认证[24]网络安全Web应用程序安全过去PD CCPE手动安装[64]网络安全攻击检查手动通过PD检查[65]网络安全攻击检测自动通过PD验证[66]网络安全攻击检查手动通过PD检查[67]网络安全异常用户行为检测过去的PDCC和两者[9]网络安全异常用户行为检测Past PD手动检测[68]网络安全异常用户行为检测自动呈现PD CCPE[69]网络安全离群用户行为检测自动呈现CC警告[70]网络安全异常用户行为检测自动通过CC认证[23]网络安全异常用户行为检测自动通过CC PE认证[71]网络安全欺诈检测过去现在CC自动[72]网络安全欺诈检测过去现在CC自动[73]网络安全欺诈检测自动通过PDCC认证[74]网络安全欺诈检测手动通过PD验证[75]可靠性质量保证自动通过CC认证[76]可靠性质量保证自动通过PE认证[77]可靠性质量保证过去PD手动检查[25]可靠性错误检测自动呈现CC模式[78]可靠性错误检测过去现在PDCC自动[79]可靠性错误检测手动通过PD验证[80]可靠性错误检测过去现在PDCC自动[81]可靠性错误检测自动呈现CC模式[82]可靠性错误检测自动通过PD验证[83]可靠性错误检测手动通过PD验证一个PD-进程发现,CC-一致性检查,PE-进程增强。5.1. 工业控制系统的安全工业控制系统(ICS)存在于制造、运输和能源等关键领域,负责生产、监测和控制。当然,这些领域的安全性至关重要,因为成功的攻击可能会造成重大的金钱损失、物理损坏或伤害。这些领域通常与关键基础设施一词搭配使用,强调对可靠性的广泛需求。具体来说,Bernardi等人[54]研究了从智能电表读数中检测能源使用中的异常行为。他们根据专业知识将阅读材料分为几个层次。然后,他们使用流程挖掘,通过查看能源使用水平的变化来发现客户随时间的行为他们在相同长度的几个周期内执行进程发现输出是一系列在更长时间内随时间演化的图形。因此,在这个序列中,他们可以相互比较图表,并找到具有潜在安全影响的异常时段使用了两种相似性度量,即,汉明距离和余弦相似性[84]。除了进程发现,Myers等人[85]在他们的工作中应用了一致性检查方法。 他们首先研究了过程挖掘发现算法在工业控制系统中检测网络攻击的适用性。为此,他们通过创建可用模型的能力、准确性和简单性来比较五种算法,然后通过一致性检查,通过比较检测到的异常情况的数量、跟踪适应度和时间来评估最合适的进程发现算法。因此,他们认为具有完美适应度的归纳矿工是这方面最合适的算法。基于这篇论文,在他们后来的工作[55]中,他们介绍了一种识别ICS和SCADA中异常的方法设备日志。这种方法进行了评估的案例研究表明,过程挖掘可以成功地用于检测网络攻击和异常使用一致性检查在这个领域。令人惊讶的是,在这个方向上没有发现很多工作。所有识别方法都利用对过去事件的自动分析,但技术和用例有很大差异。很明显,流程挖掘在这方面确实有帮助。但目前覆盖面不足。在这个方向上的未来研究可以改进当前的用例,或者扩展流程挖掘在其他用例中的使用5.2. 智能手机的安全智能手机是在接近最终用户的独特环境中运行的无处不在的设备,具有影响用户隐私(数据泄露)或财务影响(信用卡盗窃)的安全问题。 类似于ICS方向[54],在这方面,进程挖掘方法通过比较发现的模型来关注恶意软件检测[56,57]。此外,通过一致性检查来处理检测特定攻击[58]。智能手机应用程序中的恶意软件检测和恶意软件分析方法由Bernardi等人提出。[56]。它应用对系统调用跟踪的过程挖掘来表征应用程序的行为。作者定义了系统调用执行指纹(SEF),其中包含行为模型. 该行为模型是由December声明性约束语言[86]表示的系统调用之间的一组声明性约束。 SEF被用作恶意软件检测的指纹,因此为了检测恶意软件,他们计算已知恶意软件家族的SEF。然后将这些SEF与所检查的应用程序的SEF进行比较。这种方法可以根据这种比较来识别恶意行为。它是在10种恶意软件M. Macak等人阵列13(2022)1001206表3论文的使用案例包括在审查中纸张使用案例[54]完整性攻击检测[55]检测网络攻击[56]恶意软件检测[57]恶意软件检测[58]攻击检测[22]第二十二话[59]警报可视化[60]攻击痕迹[61]执行安全政策[62]检测社交网络上的异常行为[63]检测攻击和新行为[24]第二十四话[64]攻击过程[65]勒索软件检测[66]攻击向量识别[67]内幕 威胁检测[9]异常行为[68]篡改数据[69]自动解决问题[70]安全关键偏差检测[23]不符合用户行为的检测[71]痕迹分类[72]检测安全漏洞和欺诈[73]基于流程的欺诈检测[74]欺诈检测[75]诊断服务实现[76]隔离和复制故障作为测试用例[77]验收测试中的缺陷检测[25]第二十五话[78]在滚动升级期间检测故障[79]演化软件[80]应用程序故障[81]监控正确的配置[82]监测工作流程复原力[83]智能合约执行家庭它还被证明可以用于恶意软件跟踪,因为它可以识别同一恶意软件家族的变体。 他们还对转换后的数据集进行了评估,在那里他们进行了当前的反恶意软件混淆。他们的方法大大减少了这种情况下的假阴性数量Cimino等人还进行了系统发育分析和恶意软件家族检测[57]。在这项工作中,过程发现被用来获得时态逻辑公式,用于形式化模型验证。将发现的流程模型的每条路径转换为时态逻辑公式。这种方法也进行了评估,并确认为智能手机应用程序中的这个问题提供了一个有效的解决方案来自Android设备活动日志的进程数据也被Hluchy和Habala [58]用于进程挖掘分析,他们除了进程发现之外还应用了一致性检查。 从电话记录中,他们选择了操作系统生成的有关特定执行操作、浏览器历史记录和网络连接日志的信息。然后,他们进行了一次攻击,其中用户激活了恶意URL,这导致通过已知的脆弱性及其发现的模型下载个人用户数据。所使用的一致性检查技术考虑此过程模型,用于从检查的智能手机日志中离线检测该攻击。这种方法引起了许多误报,他们认为这是由于攻击的简单性和Android日志的低质量这一方向的所有方法都涉及对过去事件的自动分析。值得注意的是,在两种方法中有一种有趣的声明性方法[56,57],这可以归因于智能手机使用中的多种选择。这得到了第三项工作[58]的进一步支持,其中重点模型涵盖恶意使用,而不是更传统的非恶意使用。它表明,过程挖掘巧妙地利用现有的数据,但方法的数量是令人惊讶的低,在论文中讨论的广泛的可用数据。5.3. 网络流量安全在这个方向上,重点放在网络流量数据上,这是安全分析的主要数据源之一。对于过程挖掘,过程发现技术在已发现的论文中占主导地位。它通常与手动分析配对,其中发现的可视化模型由指定的专家进行分析[22,59]。值得注意的是,一种方法执行实时进程发现,用于全局攻击模型的可视化和攻击分类的一致性检查[60]。Bustos-Jiménez等人[22]提出了一种检测DNS操作中意外行为的方法。他们的重点是检测DNS服务器上的垃圾邮件攻击。该方法从DNS日志中构建与进程挖掘兼容的事件日志。他们直观地比较了从包含垃圾邮件攻击的数据集和没有垃圾邮件攻击的数据集发现的模型。根据这种对比,他们能够识别出这种类型的攻击。另一种使用可视化分析的方法是由Al- varenga等人提出的。[59],他们将过程挖掘发现技术应用于入侵检测系统的警报日志,以创建可视化模型。复杂和大型事件日志使用分层聚类进行聚类,以提供更好的用户友好的可视化。该方法应有助于手动评估入侵检测系统发出的警报。他们在一所大学的警报数据集Coltelese等人的方法。[60]是该类别中唯一一种实时执行分析他们的目标是过滤需要由安全运营商处理的物联网攻击数量,同时为他们提供使用在线流程发现自动更新的全局攻击模型过滤是通过一致性检查完成的,一致性检查输出传入攻击跟踪与全局攻击模型的适应度。如果适应度值较低,这意味着该攻击是新的,则将该攻击发送给安全操作员进行检查。在他们的方法中,他们假设作为输入,他们有攻击的痕迹,所以他们不处理攻击检测。在网络流量安全方面,一般采用人工分析的方法。一个可能的解释是,网络流量是复杂的,因此需要认知技能的过程分析,或者因为在这方面的研究还不成熟。另一方面,一种方法[60]实时执行模型的自动分析,进一步包括一致性检查。仅这一结果就显示了网络流量领域的可能性,并应激发进一步的研究,重点关注不同的攻击类型和协议,并考虑到自动化5.4. Web应用程序安全该研究方向包括专注于信息系统、社交网络网站或其他网络应用安全的出版物,其中安全漏洞可能导致服务中断或严重数据泄露。我们观察到多种方法结合了流程挖掘方法,甚至在利用自动[61,62]和手动[24,63]分析的方法之间进行了划分。在[62]中,作者提出了检测社交网络网站中异常用户行为的方法,以防止网络犯罪。首先,他们发现了一个正常的用户行为模型,使用遗传过程挖掘。然后,通过一致性检查来识别用户的异常行为。他们对Facebook社区进行了案例研究。Compagna等人[61]提出了一个名为Aegis的工具,通过强制执行安全策略来提高Web应用程序的安全性。该工具使用流程挖掘来发现目标应用程序的工作流模型。这些模型是从与Web应用程序交互时发生的用户操作集合中获得的。 因此,需要首先模拟真实用户的预见行为。在进程发现之后,该工具的用户还可以指定其他策略,M. Macak等人阵列13(2022)1001207比如授权限制然后将模型转换为可达性图,该图表示Web应用程序工作流的所有可能的有效执行。使用这种方法,一个运行时监视器合成。此监视器由用户和Web应用程序之间的代理使用。根据其输出,代理将用户请求转发到应用程序或丢弃它们。Web应用程序的安全性,特别是Web信息系统的安全性,也被Bernardi等人[63]所考虑,他们提出了一种提高这些系统安全性的方法。这种方法利用了流程挖掘和模型驱动工程。首先,他们用统一建模语言指定系统行为,并自动生成形式化模型。同时,对获取的系统日志进行预处理,得到事件日志,为流程挖掘技术提供依据。为了识别偏差,他们使用ProM [87]可视化。这些偏差被过滤,并根据模糊挖掘发现技术的输出[33],它们可以被分类为攻击或新行为。在这种情况下,分类器是HTTP请求代码。该方法已应用于一个网络信息系统中的出版物管理与之前的工作类似,Zerbino等人[24]提出了一种过程挖掘方法,他们手动检测偏差。在这种情况下,它被用于审计信息系统,他们使用迪斯科工具[88]。首先,他们从历史数据中发现了一个过程模型。使用Disco,这个模型可以自动地用其他视角来丰富,比如时间或组织视角。通过该工具他们提到了流程挖掘相对于其他审计方法的优势Web应用程序安全方向包含几种方法,所有方法都利用进程发现,但通常与其他技术相结合。值得注意的是,过程增强的利用率更高[24,63],主要是关于时间观点,但仅用于手动分析。这个方向展示了网络安全中各种各样的流程挖掘用途,促使人们将这些想法用于不同的领域。5.5. 攻击检查攻击方向检查包括检查特定攻击是如何执行的,支持更好的理解并防止未来的攻击。在这个方向上,发现的论文只利用过程发现技术分析过去的事件。Viticchie等人[64]使用进程挖掘来调查对具有不同保护级别的小型应用程序的攻击过程,这是作为实验进行的。每个参与者都填写了描述他们攻击策略的报告。 对这些文本进行注释,并在注释的痕迹上使用过程发现。发现的模型用于找出攻击过程,成功和不成功的攻击过程之间的差异,以及该过程是否受到应用软件中使用的保护级别的Macak等人[66]也检查了攻击,但观点不同。这项工作的重点是无意的内部攻击向量识别。进程发现应用于模拟游戏平台产生的事件日志中,为玩家模拟工作环境。该领域的另一种方法旨在检查和检测勒索软件。Bahrani和Bidgly [65]从无害的应用程序和勒索软件家族创建了事件日志。这些日志包含三类注册表事件。然后,对于每个软件,他们发现了一个过程模型,并从每个过程模型中,他们展示了每个转换的频率。然后,分类算法可以使用这些数据来识别应用软件中的勒索软件。因此,使用这种方法不需要专业知识。对于攻击检测,所有发现的方法都使用进程发现来分析过去的攻击。在一项工作中进行了自动分析[65],但没有任何专业知识。这可能表明,可能难以将专家知识转移到自动系统中以进行攻击的过程感知分析。这方面的未来研究可以通过专家知识转移来解决这个问题5.6. 离群用户行为检测异常用户行为检测的动机是发现可疑的用户活动,这可能是恶意的性质。所发现的方法可以分为两大类:利用专家知识的方法[9,67在这些研究方法中, 不结合专家知识,我们可以看到两个主要方法。他们要么将安全性作为主要目标[23],要么将重点放在过滤离群值以获得更好的流程模型[89,90]。 请注意,后者并不包括在我们的文献综述作为他们的主要重点 不是网络安全。通过多种方法对过程挖掘安全潜力进行了探索。Genga和Zannone[9]设计了一种使用流程挖掘进行行为分析的方法,并将其应用于真实的事件日志,而Macak等人[67]则专注于组织内部人员的流程挖掘行为分析这两种方法都提出了一组挑战的过程挖掘应用程序的安全性基于他们的经验,例如,处理数据收集、预处理以及选择适当的分析特征和技术。Li等人。[68]提出了一种基于令牌的在线监控框架,用于不同部门中协作子流程之间的流程交互。根据业务需求,通过检测外部数据篡改(例如,通过Internet)来确保流程安全。在这个框架中,他们使用的策略基于任务的输入的预检查和输出的后检查。为了挖掘全局交互过程模型,他们采用了基于工作流网的跨组织工作流。它可以表示一个全局的工作流过程,其中包括局部的工作流过程和一个交互结构.为了发现局部进程,他们使用了递归算法,但为了挖掘它们之间的交互位置,他们不得不调整该算法,并将其命名为递归 *。最后,他们通过互动场所将本地过程结合起来。非期望行为的监视和检测基于令牌重放一致性检查方法。在Salnitri等人提出的方法中也采用了一致性检查技术。[70]以识别流程执行中的安全偏差。该方法在某金融机构的贷款管理过程中得到了应用它的目标是自动分析过程执行,并使用一致性检查来识别与先前定义的过程模型的然后,它根据预定义的安全策略确定哪些偏差是安全关键的,并将其可视化。对于业务流程和安全策略的定义然而,为了实现一致性检查步骤,他们将流程模型转换在这一步之后,发现的偏差被转换回SecBPMN2建模语言。他们的方法得到了STS工具的扩展版本的完全支持,STS工具是一种有助于维护社会技术系统高水平安全的软件[91]。Talamo和Arcieri还提出了一种在线分析系统[69]。它用于分布式业务流程的运营支持,这些流程处理敏感数据并需要高级别的安全性,并具有实时合规性检查。该系统使用验证树来处理数据、检测异常并创建报告。自动化流程验证和故障排除功能与IT服务台业务相集成。所以,在这种情况下, 不是通过检测不期望的行为来改善,而是通过减少M. Macak等人阵列13(2022)1001208由于自动解决用户问题,服务台中的人工干预。有几篇论文正在检测过程中的异常值。然而,在这篇文献综述中,我们排除了那些在他们提出的方法中没有将安全性作为主要目标的人。Alizadeh等人[23]提出了一种审计方法,该方法结合了数据和流程视角,通过一致性检查来检测不符合要求的用户行为。这种方法可以识别以前未发现的偏差。在这个方向上,一致性检查是普遍的,强调其在离群行为检测的有效性。此外,除了一种方法[23]之外,所有方法都使用专家知识进行分析。值得注意的是,尽管这个研究方向是发现的最大的一个,但有各种各样的用例和技术。 原因是用户行为可能非常不可预测, 这是一个复杂的过程,但与此同时,它可能对网络安全非常有害。这种变异性表明了未来研究的潜力因为这些方法还没有过时。5.7. 欺诈检测欺诈检测是一个专门的研究方向,旨在检测实体的虚假伪装。典型的例子是不寻常的过程,违反 规则或政策。 在网络安全背景下利用过程挖掘的方法倾向于使用专家知识进行一致性检查。Fazzinga等人[92]提出了一种方法,用于将事件日志跟踪在线和离线分类为潜在的安全漏洞。他们创建了一个安
我的内容管理
展开
