[发明专利]基于门禁日志挖掘的内部威胁异常行为分析方法

摘要

本发明提供一种基于门禁日志挖掘的内部威胁异常行为分析方法，通过对门禁系统记录的数据进行数据挖掘，提取出可以表征待处理部门人员刷卡序列异常程度的指标，并通过将这些指标与门禁记录中的刷卡时间相结合，从而能定量的表征某待处理部门一天的刷卡序列异常程度。本发明提供方法简便易行，可以通过集成到现有的门禁系统中实现。本发明提供方法充分利用了门禁刷卡数据，为各企业或事业单位防范来自待处理部门的威胁提供了有力保障。

主权项

1.一种基于门禁日志挖掘的内部威胁异常行为分析方法，其特征在于，包括以下步骤：/n步骤S100：分析门禁数据样本：分析待处理部门的历史门禁数据，得到包含刷卡人姓名、卡号、刷卡时间、刷卡地点的行为序列；/n步骤S200：建立正常行为序列库：按每天采集顺序排列所述行为序列，得到所有所述待处理部门人员的每天路径序列<p₁，p₂，...，p_i，...，p_n>，其中p_i(i＝1，2，...，n)表示所述待处理部门人员访问的门禁点，以部分所述路径序列为训练集，设定支持度，对所述训练集中的路径序列数据进行频繁模式挖掘，将高于支持度对应的所述训练集中的路径序列作为正常行为序列库；/n步骤S300：计算序列异常度分数：将除去所述训练集外的剩余路径序列与所述正常行为序列库的所有序列进行对比，计算得到相对编辑距离和相对支持度，根据所述相对编辑距离和所述相对支持度计算得到当前行为序列与所述正常行为序列之间的序列差异分数，之后根据时间规则计算时间异常分数，通过将所述序列差异分数和所述时间异常分数加权相加得到序列异常度分数；所述步骤S300包括以下步骤：/n步骤S310：按公式(1)计算用于描述所述剩余路径序列与所述正常行为序列间的差异程度的相对编辑距离R_ED：/n /n其中，ED为编辑距离函数，为测试序列中的第i条序列，为正常序列库中的第j条序列，和为相应序列的序列长度；/n按公式(2)计算用于描述所述正常行为序列的支持度对所述剩余路径序列的差异程度的影响的相对支持度R_sup：/n /n其中，为正常序列库中第i条序列的支持度，Max_sup为正常行为序列库中最大的支持度；取对数可以减少因为支持度在数字上差异过大导致的分数差异过大；/n计算剩余路径序列与正常行为序列对应的序列差异分数，计算训练集中的每个行为序列与正常行为库中每个序列的相对编辑距离，判断各所述单个相对编辑距离是否为零，按公式(3)求得序列差异分数score₁：/n /n步骤S320：/n按公式(4)计算剩余路径序列的时间异常分数score₂：/n /n其中，f(Δt_k)为刷卡间隔方程，Δt_k为当天的第k个时间间隔，单位为分，threshold为设定的异常时间阈值，t_i为第i天最早的刷卡时间，N_i为门禁测试序列中第i天的记录总数，f(Δt)方程需根据某待处理部门人员的刷卡间隔拟合得到；/n步骤S330：按公式(5)计算所述序列异常度分数score：/n /n其中，α为序列差异分数的权重，权重可根据决策者的偏好来决定，缺省值为0.5，即简单平均；/n步骤S400：按一组差值对应一个支持度设定一系列支持度及其差值，绘制以报警率为纵轴，以人工预设差值为横轴的一系列报警率曲线图，选取曲线形状相似且转折点对应差值相近的4～5幅图作为优选报警率曲线图，选取优选报警率曲线图中支持度最大的报警率曲线作为最优曲线，从所述最优曲线图中读取转折点对应的差值，将得到的当前阈值作为最优阈值，其中，所述报警率为训练序列中序列异常度分数大于各差值对应的当前阈值的序列数量与所述训练序列中序列总数的比值，所述当前阈值为序列异常度分数集合中的最高值减去当前差值后的值；/n步骤S500：日常使用中，按步骤S300对日常工作中某待处理部门每日的待处理部门门禁数据进行处理得到每日序列异常度分数，判断所述每日序列的异常度分数是否大于所述最优阈值，如果大于所述最优阈值则报警，报警后通过人工手段核查报警原因，并人工判断是否存在内部威胁，如果小于所述最优阈值则不报警。/n