第6期 王培超，等：基于门禁日志挖掘的内部威胁异常行为分析 ·787· 中，随着当前阈值的逐渐下降（即差值的逐渐提 〈p0P,P3o,Ps,Pz〉：当天的刷卡记录中只有从 升)，报警的异常行为序列越来越多，决策者可根据 办公室之间的刷卡记录，没有出现正门的刷卡记录。 图中结果来选定需要的阈值，为今后的异常行为发 〈P2,P32,P4,…,P4,P2,P2〉：平日刷卡记录 现提供标准。在不同支持度下，曲线的上升速度相 极少的P2在当天出现了大量的刷卡记录。 似，这是由于随着支持度的增加，计算得到的分数 传统的异常序列判别是通过精确匹配的方式， 整体增加的结果；同时，在差值为21左右的时候报 若当前行为序列与正常行为序列库中的所有记录均 警率曲线相对之前突然变陡，决策者可根据此设定 无法完全匹配，则当前行为序列被判定为异常。对 合理的分数阈值。在本实例中，决策者可考虑将支 于本数据来说，若通过传统方式来找到异常序列， 持度300、差值21时对应的阈值设定为今后的合理 直接将序列差异分数score,的最终得分不为0的序 分数阈值（即序列异常度分数阈值=55.35）。这里对 支持度为250、差值为4的情况下查找出的序列进 列判定为异常序列即可。从图4(e)中可以看出，在 行人为观察，部分结果如下所示。 不同支持度下，利用传统方法查找得到的报警率均 100 较高，对于一个正常运行的单位来说，这显然有悖 80 足册 于常识，有较高的误报率。因此，通过本文的方法， 40 =21.=4.667 可以对因精确匹配查找报警率高的序列集合提供有 20 效的异常序列判断依据。 10 15 20 2530 差值 5结束语 (a)支持度=200（最大分数=73.349） 100 针对门禁日志，本文没有像传统文章那样通过 80 精确匹配找出异常，而是提出了一种计算内部人员 X=21,=4.839 异常度分数的方法，并通过补充的时间规则对异常 20 数据进行良好判别，适用于对内部人员的行为序列 0 5 10 15 20 2530 异常度进行有效的定量刻画。实验表明，本文提出 差值 的序列异常度计算方法能够很好地对员工的路径行 (b)支持度=250（最大分数=74.890） 为异常度进行刻画，并可以根据依图像设定的阈值 100 80 将异常行为进行查找，面对有一定缺失的数据可以 有效减少由于精确匹配查找异常而造成的过高误报 % X=21,=4.516 率，这是对门禁日志数据的有效利用，也是防范内 部威胁的重要手段。在后续工作中，考虑对人员行 5 10 15 20 2530 差值 为进行更细粒度的分析，异常时间段的设置将个人 (⊙)支持度=300（最大分数=76.349） 的日常行为习惯考虑进去，并进一步利用贝叶斯网 100 络对异常进行推断。 80 60 X22,=5.806 参考文献： [山]杨荣秀.基于指纹识别技术的智能小区门禁系统的设计 10 15 20 2530 [.科技与企业，2016(5：88-90. 差值 (d支持度=350（最大分数=77.617） YANG Xiurong.Design of intelligent community access 100 control system based on fingerprint identification 80 technique[J].Technology and enterprise,2016(5):88-90. [2]李海青，孙哲南，谭铁牛，等.虹膜识别技术进展与发展趋 20 势U.信息安全研究，2016,2(1)40-43. 210230250270290310330350 LI Haiqing,SUN Zhenan,TAN Tieniu,et al.Progress and 支持度 trends in iris recognition[J].Journal of information security (e)精确匹配 research,2016,2(1):40-43 图4部门A报警率曲线 [3]FERRAIOLO D F,KUHN R.Role based access control Fig.4 Department A's curve of alarm rate [C]//Proceedings of the 15th NIST-NCSC National Com-中，随着当前阈值的逐渐下降（即差值的逐渐提 升），报警的异常行为序列越来越多，决策者可根据 图中结果来选定需要的阈值，为今后的异常行为发 现提供标准。在不同支持度下，曲线的上升速度相 似，这是由于随着支持度的增加，计算得到的分数 整体增加的结果；同时，在差值为 21 左右的时候报 警率曲线相对之前突然变陡，决策者可根据此设定 合理的分数阈值。在本实例中，决策者可考虑将支 持度 300、差值 21 时对应的阈值设定为今后的合理 分数阈值（即序列异常度分数阈值=55.35）。这里对 支持度为 250、差值为 4 的情况下查找出的序列进 行人为观察，部分结果如下所示。 〈p0，p32，p30，p48，p32〉：当天的刷卡记录中只有从 办公室之间的刷卡记录，没有出现正门的刷卡记录。 〈 p32，p32，p4，…，p48，p32，p32〉：平日刷卡记录 极少的 p32 在当天出现了大量的刷卡记录。 传统的异常序列判别是通过精确匹配的方式， 若当前行为序列与正常行为序列库中的所有记录均 无法完全匹配，则当前行为序列被判定为异常。对 于本数据来说，若通过传统方式来找到异常序列， 直接将序列差异分数 score1 的最终得分不为 0 的序 列判定为异常序列即可。从图 4（e）中可以看出，在 不同支持度下，利用传统方法查找得到的报警率均 较高，对于一个正常运行的单位来说，这显然有悖 于常识，有较高的误报率。因此，通过本文的方法， 可以对因精确匹配查找报警率高的序列集合提供有 效的异常序列判断依据。 5 结束语 针对门禁日志，本文没有像传统文章那样通过 精确匹配找出异常，而是提出了一种计算内部人员 异常度分数的方法，并通过补充的时间规则对异常 数据进行良好判别，适用于对内部人员的行为序列 异常度进行有效的定量刻画。实验表明，本文提出 的序列异常度计算方法能够很好地对员工的路径行 为异常度进行刻画，并可以根据依图像设定的阈值 将异常行为进行查找，面对有一定缺失的数据可以 有效减少由于精确匹配查找异常而造成的过高误报 率，这是对门禁日志数据的有效利用，也是防范内 部威胁的重要手段。在后续工作中，考虑对人员行 为进行更细粒度的分析，异常时间段的设置将个人 的日常行为习惯考虑进去，并进一步利用贝叶斯网 络对异常进行推断。 参考文献： 杨荣秀. 基于指纹识别技术的智能小区门禁系统的设计 [J]. 科技与企业, 2016(5): 88–90. YANG Xiurong. Design of intelligent community access control system based on fingerprint identification technique[J]. Technology and enterprise, 2016(5): 88–90. [1] 李海青, 孙哲南, 谭铁牛, 等. 虹膜识别技术进展与发展趋 势[J]. 信息安全研究, 2016, 2(1): 40–43. LI Haiqing, SUN Zhenan, TAN Tieniu, et al. Progress and trends in iris recognition[J]. Journal of information security research, 2016, 2(1): 40–43. [2] FERRAIOLO D F, KUHN R. Role based access control [C]//Proceedings of the 15th NIST-NCSC National Com- [3] ጚը 0 5 15 20 25 10 100 ៑䂒⢳/% 20 40 60 80 X=21, Y=4.667 (a) ᩛᠭᏒ=200 (ᰬ๓ܲ᪜=73.349) ጚը ៑䂒⢳/% 0 5 15 20 25 10 X=21, Y=4.839 20 40 60 80 100 (b) ᩛᠭᏒ=250 (ᰬ๓ܲ᪜=74.890) ጚը ៑䂒⢳/% X=21, Y=4.516 0 5 15 20 25 10 20 40 60 80 100 (c) ᩛᠭᏒ=300 (ᰬ๓ܲ᪜=76.349) X=22, Y=5.806 ጚը ៑䂒⢳/% 0 5 15 20 25 10 20 40 60 80 100 (d) ᩛᠭᏒ=350 (ᰬ๓ܲ᪜=77.617) 210 230 250 270 290 310 330 30 30 30 30 350 0 20 40 60 80 100 ៑䂒⢳/% (e) ㇪⶚ࡥ䙹 ᩛᠭᏒ 图 4 部门 A 报警率曲线 Fig. 4 Department A’s curve of alarm rate 第 6 期 王培超，等：基于门禁日志挖掘的内部威胁异常行为分析 ·787·