Algoritmos de Detecção de Anomalias em Logs de Sistemas Baseados em Processos de Negócios

BEZERRA, Fábio de Lima

January 2011

Nowadays, many business processes are supported by information systems (e.g. WfMS, CRM, ERP, SCM, etc.). Many of these systems have a strong characteristic of coordination of activities defined in the business processes, mainly for ensuring that these activities are performed as specified in the process model. However, there are domains that demand more flexible systems, for example, hospital and health domains, whose behavior can vary for each patient. Such domains of applications require an information system in which the business processes are weakly defined, supporting more flexible and dynamic executions. For example, the execution of some common activities may be violated, or some unusual activity may be enforced for execution. Therefore, in domains of applications in which the systems support a high levei of flexibility the business processes are susceptible to exceptional or even fraudulent executions. Thus, the provision of flexibility can not be considered without improving the security issues, since there is clearly a trade-off between flexibility and security requirements. Therefore, it is necessary to develop a mechanism to allow the combination of these two requirements in a system, that is, a mechanism that promotes a balance between flexibility and security. This thesis aims to design, implement and evaluate methods for detecting anomalies in logs of process-aware information systems, that is, the development of methods to find out which process instances may be an anomalous execution. Thus, when incorporating a method for detecting anomalies in such systems, it would be possible to offer a flexible and safer execution environment, since the system is also able to identify anomalous executions, which could be a simple exception or a harmful fraud attempt. Thus, the study of methods for detecting anomalous events will fill an area largely unexplored by the community of process mining, which has been mainly interested in understanding the common behavior in business processes. Furthermore, although this thesis does not discuss the meaning of an anomalous instance, the methods and algorithms presented here are important because they allow us to identify those instances. / Atualmente há uma variedade de sistemas que apoiam processos de negócio (ex. WfMS, CRM, ERP, SCM, etc.). Muitos desses sistemas possuem uma forte característica de coordenação das atividades dos processos de negócios, garantindo que essas atividades sejam executadas como especificadas no modelo de processo. Entretanto, há domínios com maior necessidade de flexibilidade na execução desses processos, por exemplo, em atendimento hospitalar, cuja conduta pode variar para cada paciente. Essa característica desses domínios demanda o desenvolvimento de sistemas orientados a processos fracamente definidos, ou com execução mais flexível. Nesses domínios, a execução de algumas atividades comuns pode ser violada, ou a execução de uma atividade "incomum" pode ser necessária, ou seja, tais processos são suscetíveis a execuções excepcionais ou mesmo fraudulentas. Assim, o provimento de flexibilidade não pode ser considerado sem melhorar as questões relacionadas à segurança, pois flexibilidade e segurança são requisitos claramente conflitantes. Portanto, é necessário desenvolver mecanismos ou métodos que permitam a conjugação desses dois requisitos em um mesmo sistema, promovendo um balanço entre flexibilidade e segurança. Esta tese tem por objetivo projetar, implementar e avaliar métodos de detecção de anomalias em logs de sistemas de apoio a processos de negócios, ou seja, o desenvolvimento de métodos utilizados para descobrir quais instâncias de processo podem ser uma execução anômala. Desta forma, através da integração de um método de detecção de anomalias com um sistema de apoio a processos de negócio, tais sistemas poderão oferecer um ambiente de execução flexível, mas capaz de identificar execuções anômalas que podem indicar desde uma execução excepcional, até uma tentativa de fraude. Assim, o estudo de métodos de detecção de eventos anômalos vem preencher um espaço pouco explorado pela comunidade de process mining, que tem demonstrado maior interesse em entender o comportamento comum em processos de negócios. Entretanto, apesar desta tese não discutir o significado das instâncias anômalas, os métodos de detecção apresentados aqui são importantes porque permitem selecionar essas instâncias.

Anomalias - Algoritmos de detecção

Sistemas - Log - processos de negócios

Anomalias - Computação

Detecção de Anomalias - Computação