第6期 王培超,等:基于门禁日志挖掘的内部威胁异常行为分析 ·787· 中,随着当前阈值的逐渐下降(即差值的逐渐提 〈p0P,P3o,Ps,Pz〉:当天的刷卡记录中只有从 升),报警的异常行为序列越来越多,决策者可根据 办公室之间的刷卡记录,没有出现正门的刷卡记录。 图中结果来选定需要的阈值,为今后的异常行为发 〈P2,P32,P4,…,P4,P2,P2〉:平日刷卡记录 现提供标准。在不同支持度下,曲线的上升速度相 极少的P2在当天出现了大量的刷卡记录。 似,这是由于随着支持度的增加,计算得到的分数 传统的异常序列判别是通过精确匹配的方式, 整体增加的结果;同时,在差值为21左右的时候报 若当前行为序列与正常行为序列库中的所有记录均 警率曲线相对之前突然变陡,决策者可根据此设定 无法完全匹配,则当前行为序列被判定为异常。对 合理的分数阈值。在本实例中,决策者可考虑将支 于本数据来说,若通过传统方式来找到异常序列, 持度300、差值21时对应的阈值设定为今后的合理 直接将序列差异分数score,的最终得分不为0的序 分数阈值(即序列异常度分数阈值=55.35)。这里对 支持度为250、差值为4的情况下查找出的序列进 列判定为异常序列即可。从图4(e)中可以看出,在 行人为观察,部分结果如下所示。 不同支持度下,利用传统方法查找得到的报警率均 100 较高,对于一个正常运行的单位来说,这显然有悖 80 足册 于常识,有较高的误报率。因此,通过本文的方法, 40 =21.=4.667 可以对因精确匹配查找报警率高的序列集合提供有 20 效的异常序列判断依据。 10 15 20 2530 差值 5结束语 (a)支持度=200(最大分数=73.349) 100 针对门禁日志,本文没有像传统文章那样通过 80 精确匹配找出异常,而是提出了一种计算内部人员 X=21,=4.839 异常度分数的方法,并通过补充的时间规则对异常 20 数据进行良好判别,适用于对内部人员的行为序列 0 5 10 15 20 2530 异常度进行有效的定量刻画。实验表明,本文提出 差值 的序列异常度计算方法能够很好地对员工的路径行 (b)支持度=250(最大分数=74.890) 为异常度进行刻画,并可以根据依图像设定的阈值 100 80 将异常行为进行查找,面对有一定缺失的数据可以 有效减少由于精确匹配查找异常而造成的过高误报 % X=21,=4.516 率,这是对门禁日志数据的有效利用,也是防范内 部威胁的重要手段。在后续工作中,考虑对人员行 5 10 15 20 2530 差值 为进行更细粒度的分析,异常时间段的设置将个人 (⊙)支持度=300(最大分数=76.349) 的日常行为习惯考虑进去,并进一步利用贝叶斯网 100 络对异常进行推断。 80 60 X22,=5.806 参考文献: [山]杨荣秀.基于指纹识别技术的智能小区门禁系统的设计 10 15 20 2530 [.科技与企业,2016(5:88-90. 差值 (d支持度=350(最大分数=77.617) YANG Xiurong.Design of intelligent community access 100 control system based on fingerprint identification 80 technique[J].Technology and enterprise,2016(5):88-90. [2]李海青,孙哲南,谭铁牛,等.虹膜识别技术进展与发展趋 20 势U.信息安全研究,2016,2(1)40-43. 210230250270290310330350 LI Haiqing,SUN Zhenan,TAN Tieniu,et al.Progress and 支持度 trends in iris recognition[J].Journal of information security (e)精确匹配 research,2016,2(1):40-43 图4部门A报警率曲线 [3]FERRAIOLO D F,KUHN R.Role based access control Fig.4 Department A's curve of alarm rate [C]//Proceedings of the 15th NIST-NCSC National Com-中,随着当前阈值的逐渐下降(即差值的逐渐提 升),报警的异常行为序列越来越多,决策者可根据 图中结果来选定需要的阈值,为今后的异常行为发 现提供标准。在不同支持度下,曲线的上升速度相 似,这是由于随着支持度的增加,计算得到的分数 整体增加的结果;同时,在差值为 21 左右的时候报 警率曲线相对之前突然变陡,决策者可根据此设定 合理的分数阈值。在本实例中,决策者可考虑将支 持度 300、差值 21 时对应的阈值设定为今后的合理 分数阈值(即序列异常度分数阈值=55.35)。这里对 支持度为 250、差值为 4 的情况下查找出的序列进 行人为观察,部分结果如下所示。 〈p0,p32,p30,p48,p32〉:当天的刷卡记录中只有从 办公室之间的刷卡记录,没有出现正门的刷卡记录。 〈 p32,p32,p4,…,p48,p32,p32〉:平日刷卡记录 极少的 p32 在当天出现了大量的刷卡记录。 传统的异常序列判别是通过精确匹配的方式, 若当前行为序列与正常行为序列库中的所有记录均 无法完全匹配,则当前行为序列被判定为异常。对 于本数据来说,若通过传统方式来找到异常序列, 直接将序列差异分数 score1 的最终得分不为 0 的序 列判定为异常序列即可。从图 4(e)中可以看出,在 不同支持度下,利用传统方法查找得到的报警率均 较高,对于一个正常运行的单位来说,这显然有悖 于常识,有较高的误报率。因此,通过本文的方法, 可以对因精确匹配查找报警率高的序列集合提供有 效的异常序列判断依据。 5 结束语 针对门禁日志,本文没有像传统文章那样通过 精确匹配找出异常,而是提出了一种计算内部人员 异常度分数的方法,并通过补充的时间规则对异常 数据进行良好判别,适用于对内部人员的行为序列 异常度进行有效的定量刻画。实验表明,本文提出 的序列异常度计算方法能够很好地对员工的路径行 为异常度进行刻画,并可以根据依图像设定的阈值 将异常行为进行查找,面对有一定缺失的数据可以 有效减少由于精确匹配查找异常而造成的过高误报 率,这是对门禁日志数据的有效利用,也是防范内 部威胁的重要手段。在后续工作中,考虑对人员行 为进行更细粒度的分析,异常时间段的设置将个人 的日常行为习惯考虑进去,并进一步利用贝叶斯网 络对异常进行推断。 参考文献: 杨荣秀. 基于指纹识别技术的智能小区门禁系统的设计 [J]. 科技与企业, 2016(5): 88–90. YANG Xiurong. Design of intelligent community access control system based on fingerprint identification technique[J]. Technology and enterprise, 2016(5): 88–90. [1] 李海青, 孙哲南, 谭铁牛, 等. 虹膜识别技术进展与发展趋 势[J]. 信息安全研究, 2016, 2(1): 40–43. LI Haiqing, SUN Zhenan, TAN Tieniu, et al. Progress and trends in iris recognition[J]. Journal of information security research, 2016, 2(1): 40–43. [2] FERRAIOLO D F, KUHN R. Role based access control [C]//Proceedings of the 15th NIST-NCSC National Com- [3] ጚը 0 5 15 20 25 10 100 ៑䂒⢳/% 20 40 60 80 X=21, Y=4.667 (a) ᩛᠭᏒ=200 (ᰬ๓ܲ=73.349) ጚը ៑䂒⢳/% 0 5 15 20 25 10 X=21, Y=4.839 20 40 60 80 100 (b) ᩛᠭᏒ=250 (ᰬ๓ܲ=74.890) ጚը ៑䂒⢳/% X=21, Y=4.516 0 5 15 20 25 10 20 40 60 80 100 (c) ᩛᠭᏒ=300 (ᰬ๓ܲ=76.349) X=22, Y=5.806 ጚը ៑䂒⢳/% 0 5 15 20 25 10 20 40 60 80 100 (d) ᩛᠭᏒ=350 (ᰬ๓ܲ=77.617) 210 230 250 270 290 310 330 30 30 30 30 350 0 20 40 60 80 100 ៑䂒⢳/% (e) ࡥ䙹 ᩛᠭᏒ 图 4 部门 A 报警率曲线 Fig. 4 Department A’s curve of alarm rate 第 6 期 王培超,等:基于门禁日志挖掘的内部威胁异常行为分析 ·787·