機器學習在用戶行為審計中的應用

摘要：該文通過分析運營商業務系統多年的用戶操作日志數據，運用機器學習技術揭示了各應用系統在業務操作中敏感數據操作風險、業務違規操作風險及審計漏洞。針對這些問題，提出了加強數據監控、深化業務關系分析及完善事后審查等建議。希望該文可以為相關企業在用戶行為審計工作中提供一定的參考，從而讓智能化審計能力更好地服務于審計工作，由此實現自動化、實時化愿景，通過多維度數據分析深化風險識別，構建風險預警模型，提升應對能力，提升審計風險管理水平。

關鍵詞：機器學習；行為審計；智能審計

doi：10.3969/J.ISSN.1672-7274.2024.10.049

中圖分類號：F 239；TP 181 文獻標志碼：B 文章編碼：1672-7274（2024）10-0-04

Application of Machine Learning in User Behavior Audit

Abstract： By analyzing the user operation log data of operator business system for many years， this paper uses machine learning technology to reveal the sensitive data operation risk， business violation operation risk and audit vulnerability of each application system in business operation. To solve these problems， some suggestions are put forward， such as strengthening data monitoring， deepening business relationship analysis and improving post-examination. It is hoped that this paper can provide some reference for relevant enterprises in user behavior audit， so that intelligent audit capability can better serve audit work， so as to realize the vision of automation and real-time， deepen risk identification through multidimensional data analysis， build risk early warning model to improve response ability， and improve audit risk management level.

Keywords： machine learning; behavior audit; intelligent audit

0 引言

數字化時代，隨著企業信息化程度的不斷加深，用戶行為數據已成為企業運營和安全管理中不可或缺的一部分。用戶行為審計作為監控和分析用戶活動、確保業務合規性和安全性的重要手段，正面臨著前所未有的挑戰。經對比分析可知，傳統的用戶行為審計方法往往依賴于日志分析、規則匹配等技術，然而這些方法在處理海量、高維、復雜的用戶行為數據時，卻難以準確捕捉異常行為模式，及時預警潛在風險[1]。

近年來，隨著人工智能技術的發展，機器學習憑借著能夠深入挖掘用戶行為數據中的隱藏規律和潛在風險在審計分析領域得到了一定范圍的應用。為進一步展示機器學習在用戶行為審計中的巨大潛力，本文以運營商某業務系統為例，將該業務系統全體用戶作為審計研究對象，探討機器學習在該機構用戶行為審計中的應用，并總結其運行思路，以期為更多企業在今后的數字化轉型中提供更為高效、精準的安全防護手段。

1 用戶操作的數據采集及處理

1.1 數據采集

經調研可知，當前該業務系統目前主要以敏感數據查詢和數據維護為主。而無論是哪種業務操作，都存在一定的敏感數據操作風險。本文針對敏感數據源的數據采集、分析、匯總，借助業務系統內部員工的系統操作日志進行數據采集并保障數據的完整性。

1.2 數據處理

1.2.1 批量業務操作識別

用戶數據處理的判斷依據是基于用戶操作行為的一致性和連續性，以及系統日志的變化情況。具體而言，當系統日志從A切換到B時，通常意味著用戶環境或操作場景發生了顯著變化。在這種變化下，如果用戶需要重新登錄，或者即使不需要登錄也需要花費較長時間（如1到2分鐘），產生的數據泄露等問題[2]。基于這一用戶操作原理，本文將用戶操作風險主要劃分為以下幾種。

（1）身份驗證風險：當用戶登錄某敏感系統從一個常用終端切換至另一個時，則存在身份驗證被繞過或假冒的風險，攻擊者可能利用這一時機，通過偽造身份或利用漏洞進行非法登錄。

（2）數據泄露風險：用戶登錄敏感系統進行上傳或下載數據等操作，往往需要一定的時間，此過程中數據容易被攻擊者盜取或篡改，進而導致敏感數據在傳輸或存儲過程中泄露。

（3）會話劫持風險：在系統日志切換過程中，如果會話管理不當，攻擊者可能利用會話標識符（如Session ID）劫持用戶的會話，從而控制用戶賬號進行非法操作。

（4）操作異常風險：用戶操作行為的突然變化，如頻繁切換系統日志、操作異常等，也可能是內部欺詐或外部攻擊的征兆。

因此，本文將基于機器學習技術，將審計數據按照用戶操作劃分，并根據用戶操作連續性對數據進行編號分組。

1.2.2 構建用戶關系

經調研可知，用戶之間的關系十分錯綜復雜，他們既有直接的關系，如上下級關系、同事關系等，同事也有間接的關系，如通過共同行為、操作記錄等建立的關聯。因此在業務系統審計中，識別和理解用戶之間的這些關系對于發現潛在的風險和違規行為至關重要。

本文以該業務系統某一年典型審計案例為例，在第三季度，審計團隊發現了一批敏感數據，這些數據顯示某些用戶頻繁地進行數據修改、保存、查詢操作，且這些操作與他們的日常業務活動不符。進一步分析發現，這些用戶之間存在著大量的同時操作記錄，這表明他們之間很可能建立了某種緊密的聯系。為了更清晰地展示用戶之間的關系，本文基于機器學習技術，對用戶操作數據進行分組和編號，如表1所示。本文通過比較用戶工號、操作時間、系統日志等信息，將具有相似操作行為的用戶劃分一組并賦予組號，旨在更為直觀地觀察哪些用戶之間存在緊密聯系，以及他們之間的操作行為是否具有一致性或連續性。

由表1可知，根據第一組數據（組號為1），在節點A、B、C之間構建關系，形成第一組關系圖。首先，這里節點A和B都涉及了頻繁信息修改的操作，而節點C則涉及敏感信息查詢操作，盡管操作類型不完全相同，但由于它們在同一組內，因此本文認為節點A、B、C之間存在一定的關聯；其次，根據第二組數據（組號為2），在節點C、B、D之間構建關系，形成第二組關系圖。在這一組中，節點C和D都涉及敏感信息查詢的操作，而節點B則再次出現在了頻繁信息修改操作中。這進一步強化了節點B與其他用戶之間的關聯，尤其是與節點C的關聯，因為C同時出現在了兩個組中；最后，將這兩組關系合并后，由此得到如圖1所示的一個新的關系。在這個圖中，節點B和C之間由于同時出現在了兩個組中，因此它們之間的權重為2，這表明節點B和C之間的關系確實比它們與其他節點的關系更加緊密。這種緊密關系可能暗示著節點B和C之間有著某種共同的業務活動或利益關聯，需要進一步通過審計和調查來確認。

基于思路，本文在SQLServer數據庫中對該業務系統的全部數據進行梳理統計，并借助Python的NetworkX包在FR布局算法下進行可視化展示，得出圖2完整用戶關系圖。

需要說明的是，圖2中實線表示邊的權重大于2，而虛線則表示邊的權重小于等于2。

2 基于機器學習的客戶關系分析

2.1 樣本訓練

為更好地識別及分析用戶操作數據中的敏感數據，提取了業務系統一年的歷史資料，由此構建了一套基于當年年度的歷史資料的回歸模型，并以過去10年的系統操作日志為研究對象，進行了滑動交叉驗證的樣本訓練，其過程如圖3所示。

2.2 數據降噪

為進一步減少數據中的噪聲和異常值，提高模型的準確性和可靠性，本文首先通過數據清洗步驟，識別并去除了那些明顯不符合邏輯或業務規則的數據記錄，如時間戳錯誤、數據異常（如修改、查詢過于頻繁）等。其次，本文又應用基于統計學的數據平滑技術，計算了每個特征字段（如修改、查詢時間等）的均值、標準差等統計量，并根據這些統計量設定了合理的閾值范圍[3]。對于超出這些閾值的數據點，本文采用平滑處理的方法，如平均值替代、中位數替代或回歸預測值替代，以減少其對整體數據集的負面影響。最后，為了進一步提高數據質量，本文還采用了聚類分析的方法，通過將數據集中的樣本劃分為若干個群組，使得同一群組內的樣本之間具有較高的相似性，而不同群組間的樣本則具有較大的差異性。其目的不僅可以減少噪聲數據對模型的影響，而且還可以更好地理解用戶行為的多樣性和復雜性。如圖4所示。

2.3 關系分析

在剖析客戶關系圖時，雖然圖4基于多個獨立聯通子圖揭示了“客戶團伙”的清晰界限，簡化了初步識別的過程。但面對完整用戶關系圖的復雜場景，必然會將多個團伙因人員眾多或偶然性關聯而交織在一起。因此為應對這一挑戰，本文引入了社區發現算法，旨在提升模型在復雜網絡中的適用性和準確性。如圖5所示，基于社區發現算法的機器學習技術，能夠有效識別網絡中具有高度內聚性和相似性的節點集合，即“社區”或“團伙”。

在眾多社區發現算法中，筆者發現經過多輪實驗與測試，其中的標簽傳播算法（Label Propagation Algorithm，LPA）不僅操作簡單高效，而且易于實現且能夠處理好大規模網絡數據，因此，本文通過應用LPA算法對原有的獨立團伙進行識別，以期可以解析那些因復雜關聯而難以區分的節點群。最終，經算法通過運行后，對屬于同一團伙的客戶進行了顏色編碼標注，得出了如圖6所示結果。其中，節點最多的聯通子圖內的團伙識別尤為清晰，提供了直觀的團伙結構視圖。

3 人工核查的審計成果分析

完成團伙識別后，筆者對該業務系統日志中存在敏感操作數據較多的人員進行抽取，并基于全部用戶關系進行劃分后的關系圖進行重點核查，進而得到了如圖7所示的團伙作案結果。

通過本次審計，發現第三季度的個人業務操作中存在多起敏感數據，并基于這些數據進行了調研，最終確實發現了存在審計問題的不良事件，涉及敏感數據泄露。通過此次基于機器學習的用戶行為審計，筆者協助該機構責令相關部門整改，很好地規避了數據泄露事件發生。

4 結束語

本文通過對運營商業務系統一年的歷史操作日志數據進行深入分析，特別是在用戶操作數據采集、處理及用戶關系分析的基礎上，發現了該機構在業務操作中存在的幾大問題：一是部分用戶在操作過程中存在頻繁修改信息和查詢敏感信息的行為，增加了敏感數據的風險；二是該機構存在多個員工利用復雜關系網絡進行批量化業務操作行為，這些行為嚴重造成了數據泄露風險，并可能對業務系統敏感數據造成重大損失；三是部分數據修改及查詢行為實際是企業所為，但名義上卻由個人承擔，這表明業務操作及檢查存在嚴重漏洞，未能及時發現并阻止此類違規行為。據此，本文通過數字審計有效排查了數據數據泄露風險。

而在未來的審計工作中，建議該機構以及更多類似業務系統需要加強數據監控與分析，通過建立更加完善的數據采集與處理機制，利用先進的機器學習技術實時監控用戶操作行為，繼續優化用戶關系分析模型，提高團伙識別和復雜關系網絡解析能力，確保敏感數據用途的真實性和合規性，提高風險應對的效率。通過平臺的廣泛應用，或是結合大數據、云計算等先進技術，實現多維度、多層次的數據分析，發現更多隱藏的風險和問題，為審計工作提供更加全面的支持。

參考文獻

[1] 崔景洋，陳振國，田立勤，等．基于機器學習的用戶與實體行為分析技術綜述[J]．計算機工程，2022，48（2）：15-30．

[2] 郭迅華，吳鼎，衛強，等．機器學習與用戶行為中的偏差問題：知偏識正的洞察[J]．管理世界，2023，39（5）：145-159．

[3] 吳勇，方君，王尚純，等．基于機器學習模型的審計應用：內涵，模式與風險[J]．中國注冊會計師，2021（9）：34-40．