[发明专利]基于门禁日志挖掘的内部威胁异常行为分析方法

说明书

本发明提供一种基于门禁日志挖掘的内部威胁异常行为分析方法，通过对门禁系统记录的数据进行数据挖掘，提取出可以表征待处理部门人员刷卡序列异常程度的指标，并通过将这些指标与门禁记录中的刷卡时间相结合，从而能定量的表征某待处理部门一天的刷卡序列异常程度。本发明提供方法简便易行，可以通过集成到现有的门禁系统中实现。本发明提供方法充分利用了门禁刷卡数据，为各企业或事业单位防范来自待处理部门的威胁提供了有力保障。

技术领域

本发明涉及数据分析技术领域，具体的涉及一种基于门禁日志挖掘的内部威胁异常行为分析方法。

背景技术

随着信息技术的高速发展，企业和组织中广泛应用着各类信息系统。然而，信息系统在为这些组织带来工作效率提升的同时，也引入了大量的安全漏洞，其中既有技术层面上的软硬件漏洞，也有来自于内部人员管理上的漏洞。由于内部人员管理漏洞造成的内部威胁往往危害性更大，也更难被察觉。造成内部威胁的原因主要有以下几方面：第一，部分缺乏安全意识的员工在工作时可能做出违反安全规定的误操作；第二，部分员工在工作时为了自身方便、提高效率，故意绕过安全措施进行操作；第三，个别员工因受到他人利诱或对内采取报复行动，对机密信息进行外泄或破坏。总的来说，内部威胁是一个涉及到人为因素和系统因素的综合性问题，检测和防御内部威胁、成为了企业或机构待处理部门管理者面临的巨大挑战。

现有的内部威胁检测方法，借鉴网络异常检测的方法来对用户行为进行分析，即构建用户的正常行为模型后，查找离群点得到存在待处理部门威胁的数据。查找离群点的常用方法包括：有监督的异常检测、半监督的异常检测和无监督的异常检测，通过建立正常的行为模式集，将实际行为模式与正常行为模式进行对比，看两者是否匹配，若不匹配，说明该行为属于异常行为，反之则正常。

现有对于门禁日志的内部威胁分析检测方法，主要集中于统计学分析，如统计每天的总人流量、各个地点的人流量等等，无法对门禁系统中存在的异常行为进行有效检测，从而导致生产活动的安全性降低。

现有精确匹配法则是通过对门禁日志数据挖掘需要对人员的刷卡序列进行频繁的模式挖掘后，再进行精确匹配。当所处理数据存在缺失的情况下，误报率高达90％以上。同时，虽然现在部分智能门禁系统在时间方面有一定的监控功能，但是只是对非正常时间段的刷卡进行了报警，对于其他的时间因素则没有进行详细的考虑，导致待处理部门威胁检测结果准确性较低。现有异常检测方法仅通过直接进行精确匹配，将与正常行为序列库中不同的行为即判定为异常，忽视了两个序列之间的差异。

发明内容

本发明的目的在于提供一种基于门禁日志挖掘的内部威胁异常行为分析方法，该发明解决了现有门禁日志内部威胁检测结果准确率较低的技术问题。

本发明提供一种基于门禁日志挖掘的内部威胁异常行为分析方法，包括以下步骤：

步骤S100：分析门禁数据样本：分析待处理部门的历史门禁数据，得到包含刷卡人姓名、卡号、刷卡时间、刷卡地点的行为序列；

步骤S200：建立正常行为序列库：按每天采集顺序排列行为序列，得到待处理部门人员每天的路径序列＜p₁,p₂,…,p_i,…,p_n＞，其中p_i(i＝1,2,…,n)表示待处理部门人员访问的门禁点，以部分路径序列为训练集，设定支持度，对训练集中的路径序列数据进行频繁模式挖掘，将高于支持度对应的训练集中的路径序列作为正常行为序列库；

步骤S300：计算序列异常度分数：将除去训练集外的剩余路径序列与正常行为序列库的所有序列进行对比，计算得到相对编辑距离和相对支持度，根据相对编辑距离和相对支持度计算得到当前行为序列与正常行为序列之间的序列差异分数，之后根据时间规则计算时间异常分数，通过将序列差异分数和时间异常分数加权相加得到序列异常度分数；