第12卷第6期 智能系统学报 Vol.12 No.6 2017年12月 CAAI Transactions on Intelligent Systems Dec.2017 D0:10.11992/tis.201706041 网络出版地址：http:/kns.cnki.net/kcms/detail/23.1538.TP.20171109.1250.018.html 基于门禁日志挖掘的内部威胁异常行为分析 王培超，周鋆，朱承，黄金才，张维明 (国防科技大学信息系统工程重点实验室，湖南长沙410072) 摘要：门禁系统是保护重要场所安全的重要手段，可以有效防止未授权用户的进入。然而，近年来大量案例表明重 要场所的威胁主要来自于具有合法权限的内部人员。针对这个问题，提出基于门禁日志数据挖掘的内部威胁异常行 为分析方法。该方法首先利用PrefixSpan算法对正常行为序列进行提取，之后计算待检测序列的序列异常度分数， 并根据决策者设定的阈值来找出异常序列。通过真实门禁数据中的实验，验证了本方法可以降低精确匹配在数据较 少时带来的高误报率，实现对内部人员异常行为的有效发现，为加强重要场所安全保护提供了新的途径。 关键词：门禁系统：日志数据挖掘：内部威胁检测：异常行为分析 中图分类号：TP311文献标志码：A文章编号：1673-4785(2017)06-0781-09 中文引用格式：王培超，周望，朱承，等.基于门禁日志挖掘的内部威胁异常行为分析J.智能系统学报，2017,12(6)：781-789. 英文引用格式：VANG Peichao,ZHOU Yun,ZHU Cheng,etal.Analysis on abnormal behavior of insider threats based on access- log miningJ.CAAI transactions on intelligent systems,2017,12(6):781-789. Analysis on abnormal behavior of insider threats based on accesslog mining WANG Peichao,ZHOU Yun,ZHU Cheng,HUANG Jincai,ZHANG Weiming (Key Laboratory of Information System Engineering,National University of Defense Technology,Changsha 410072,China) Abstract:Using an access control system is an important method of guarding key places,and it can effectively prohibit the entry of unauthorized users.However,many recent cases indicate that threats to key places mostly come from in- siders.To address this challenge,this paper proposes a method for analyzing the abnormal behavior of insider threats based on accesslog data mining.First,the PrefixSpan algorithm is used to extract normal behavior sequences;then,the anomaly scores of the access sequences are calculated.Finally,the abnormal sequences are identified according to a threshold determined by decision makers.Experiments on real access data show that this method can decrease high false alarm rates caused by an exact match when there is limited data and can also effectively reveal abnormal behavior by in- siders.Therefore,this method provides a new approach for enhancing the protection of key places. Keywords:access control system;accesslog mining;insider threat detection;analysis on abnormal behavior 重要场所的安全保护历来是人们关注的焦点，完善的强大功能，指纹识别叫、虹膜识别等新识别 其安保措施有钥匙专人携带、雇用安保人员、使用 技术的应用使门禁系统已经成为了涉及诸多新技术 门禁系统等，然而，随着经济社会的发展，门禁系统 的新型现代化安全管理系统，在银行、宾馆、重要办 (access control system)在各重要场所的所占比重越 公场所等地发挥着无可替代的作用。 来越大，传统安保措施的应用越来越少。这一方面 门禁系统发挥作用的主要途径，是通过对不同 由于传统安保措施的弊端（如钥匙易丢失、易被复 用户授予不同的权限，从而规范不同地点的进出人 制，人员被收买等)，另一方面得益于门禁系统日益 员。但是，近年来大量案例表明，一个重要场所的 收稿日期：2017-06-10.。网络出版日期：2017-11-09 最大威胁往往不是来自外部人员，而是来自那些拥 基金项目：国家自然科学基金项目(71571186)：教育部在线教育研 有合法权限的内部人员，内部威胁(insider threat)随 究基金项目(2017YB119). 通信作者：周鋆.E-mail:houyun@nudt.edu..cn 着“棱镜门”等事件的曝光而越来越受到人们的重DOI: 10.11992/tis.201706041 网络出版地址: http://kns.cnki.net/kcms/detail/23.1538.TP.20171109.1250.018.html 基于门禁日志挖掘的内部威胁异常行为分析 王培超，周鋆，朱承，黄金才，张维明 （国防科技大学 信息系统工程重点实验室，湖南 长沙 410072） 摘 要：门禁系统是保护重要场所安全的重要手段，可以有效防止未授权用户的进入。然而，近年来大量案例表明重 要场所的威胁主要来自于具有合法权限的内部人员。针对这个问题，提出基于门禁日志数据挖掘的内部威胁异常行 为分析方法。该方法首先利用 PrefixSpan 算法对正常行为序列进行提取，之后计算待检测序列的序列异常度分数， 并根据决策者设定的阈值来找出异常序列。通过真实门禁数据中的实验，验证了本方法可以降低精确匹配在数据较 少时带来的高误报率，实现对内部人员异常行为的有效发现，为加强重要场所安全保护提供了新的途径。 关键词：门禁系统；日志数据挖掘；内部威胁检测；异常行为分析 中图分类号：TP311 文献标志码：A 文章编号：1673−4785(2017)06−0781−09 中文引用格式：王培超, 周鋆, 朱承, 等. 基于门禁日志挖掘的内部威胁异常行为分析[J]. 智能系统学报, 2017, 12(6): 781–789. 英文引用格式：WANG Peichao, ZHOU Yun, ZHU Cheng, et al. Analysis on abnormal behavior of insider threats based on access￾log mining[J]. CAAI transactions on intelligent systems, 2017, 12(6): 781–789. Analysis on abnormal behavior of insider threats based on accesslog mining WANG Peichao，ZHOU Yun，ZHU Cheng，HUANG Jincai，ZHANG Weiming (Key Laboratory of Information System Engineering, National University of Defense Technology, Changsha 410072, China) Abstract: Using an access control system is an important method of guarding key places, and it can effectively prohibit the entry of unauthorized users. However, many recent cases indicate that threats to key places mostly come from in￾siders. To address this challenge, this paper proposes a method for analyzing the abnormal behavior of insider threats based on accesslog data mining. First, the PrefixSpan algorithm is used to extract normal behavior sequences; then, the anomaly scores of the access sequences are calculated. Finally, the abnormal sequences are identified according to a threshold determined by decision makers. Experiments on real access data show that this method can decrease high false alarm rates caused by an exact match when there is limited data and can also effectively reveal abnormal behavior by in￾siders. Therefore, this method provides a new approach for enhancing the protection of key places. Keywords: access control system; accesslog mining; insider threat detection; analysis on abnormal behavior 重要场所的安全保护历来是人们关注的焦点， 其安保措施有钥匙专人携带、雇用安保人员、使用 门禁系统等，然而，随着经济社会的发展，门禁系统 （access control system）在各重要场所的所占比重越 来越大，传统安保措施的应用越来越少。这一方面 由于传统安保措施的弊端（如钥匙易丢失、易被复 制，人员被收买等），另一方面得益于门禁系统日益 完善的强大功能，指纹识别[1] 、虹膜识别[2]等新识别 技术的应用使门禁系统已经成为了涉及诸多新技术 的新型现代化安全管理系统，在银行、宾馆、重要办 公场所等地发挥着无可替代的作用。 门禁系统发挥作用的主要途径，是通过对不同 用户授予不同的权限，从而规范不同地点的进出人 员。但是，近年来大量案例表明，一个重要场所的 最大威胁往往不是来自外部人员，而是来自那些拥 有合法权限的内部人员，内部威胁（insider threat）随 着“棱镜门”等事件的曝光而越来越受到人们的重 收稿日期：2017−06−10. 网络出版日期：2017−11−09. 基金项目：国家自然科学基金项目（71571186）；教育部在线教育研 究基金项目（2017YB119）. 通信作者：周鋆. E-mail：zhouyun@nudt.edu.cn. 第 12 卷第 6 期 智 能 系 统 学 报 Vol.12 No.6 2017 年 12 月 CAAI Transactions on Intelligent Systems Dec. 2017