基于角色異常行為挖掘的內(nèi)部威脅檢測(cè)方法

顧兆軍，郭靖軒+

(1.中國(guó)民航大學(xué) 信息安全測(cè)評(píng)中心，天津 300300；2.中國(guó)民航大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，天津 300300)

0 引 言

互聯(lián)網(wǎng)的發(fā)展使網(wǎng)上辦公成為員工辦公的首要方式，給工作帶來(lái)了高效和便捷，但是伴隨網(wǎng)絡(luò)攻擊手段的不斷進(jìn)步，單一的防火墻防御已經(jīng)顯現(xiàn)出不足。目前信息系統(tǒng)安全防護(hù)主要關(guān)注來(lái)自系統(tǒng)外部的威脅，但是來(lái)自員工的內(nèi)部威脅已經(jīng)成為首要問(wèn)題，內(nèi)部威脅帶來(lái)的損失比普通的外部威脅更加嚴(yán)重。

國(guó)內(nèi)外學(xué)者對(duì)此進(jìn)行了深入研究，文雨等[1]對(duì)數(shù)據(jù)庫(kù)的非法使用行為進(jìn)行研究，以數(shù)據(jù)庫(kù)數(shù)據(jù)日志為核心提取SQL語(yǔ)句的數(shù)據(jù)訪問(wèn)特征來(lái)確定當(dāng)前用戶執(zhí)行SQL語(yǔ)句的可疑程度；張銳[2]建立了系統(tǒng)業(yè)務(wù)與用戶之間的關(guān)系網(wǎng)絡(luò)，將用戶映射到具體業(yè)務(wù)系統(tǒng)上，通過(guò)判斷用戶對(duì)業(yè)務(wù)系統(tǒng)之間的關(guān)系網(wǎng)絡(luò)間的差異來(lái)確定是否存在內(nèi)部威脅；文獻(xiàn)[3]提出了用戶行為的多元模式，提出了一種用戶跨域行為模式挖掘方法。

本文著重對(duì)角色行為進(jìn)行分析研究，在文獻(xiàn)[4]中對(duì)Web用戶行為挖掘的基礎(chǔ)上提出了一種基于角色行為模式挖掘的角色行為異常檢測(cè)算法，該算法對(duì)傳統(tǒng)PrefixSpan算法進(jìn)行改進(jìn)，提高了對(duì)角色異常行為的檢測(cè)時(shí)間，同時(shí)縮短了挖掘時(shí)間，提高了挖掘效率。

1 角色行為分析及處理

角色行為模式是指角色對(duì)業(yè)務(wù)系統(tǒng)操作過(guò)程中對(duì)程序的執(zhí)行所體現(xiàn)出的一般規(guī)律性，服務(wù)器會(huì)在日志文件中存儲(chǔ)角色操作記錄以及與數(shù)據(jù)庫(kù)交互信息，包括操作屬性、操作內(nèi)容、調(diào)用資源等信息。角色行為具有以下3個(gè)特點(diǎn)[5]：

(1)規(guī)律性。每個(gè)角色在使用業(yè)務(wù)系統(tǒng)時(shí)會(huì)有自身獨(dú)有的特點(diǎn)，在程序執(zhí)行上和操作行為上具有相關(guān)關(guān)系，現(xiàn)稱之為角色行為習(xí)慣。在一定時(shí)間間隔內(nèi)，根據(jù)角色行為習(xí)慣可以挖掘出頻繁行為，從而建立角色正常行為模式；

(2)偶然性。角色受到隨機(jī)事件和自身其它因素影響會(huì)改變?cè)械男袨榱?xí)慣，增加了局部偶然性，所以在挖掘過(guò)程中需要大量的歷史審計(jì)日志來(lái)判斷其偶然性，避免出現(xiàn)異常漏報(bào)和檢測(cè)效率低下的問(wèn)題；

(3)重復(fù)性。在一段時(shí)間內(nèi)角色的某一行為會(huì)多次重復(fù)出現(xiàn)，這些行為跟時(shí)間間隔的大小具有高度的相關(guān)性，如何確定恰當(dāng)?shù)臅r(shí)間間隔是順利進(jìn)行挖掘過(guò)程的關(guān)鍵步驟。

在充分了解角色行為特點(diǎn)后，利用日志提取需要的角色行為及屬性，以便于之后挖掘角色行為模式。Windows操作系統(tǒng)在其運(yùn)行的生命周期中會(huì)記錄其大量的日志信息，常見(jiàn)的日志文件包括Serer logs、Error logs、Cookie logs等其它類型，角色日常工作使用到的信息系統(tǒng)都是基于Telnet協(xié)議的，處理異常事件時(shí)可以通過(guò)截取聯(lián)網(wǎng)傳輸?shù)臄?shù)據(jù)包進(jìn)行相應(yīng)的協(xié)議解析，這樣就可以復(fù)原角色與信息系統(tǒng)交互的操作命令和返回結(jié)果。這些日志信息在溯源和取證調(diào)查過(guò)程中十分重要，日志文件在系統(tǒng)中是以特定的數(shù)據(jù)結(jié)構(gòu)方式進(jìn)行內(nèi)容存儲(chǔ)，其中包括相關(guān)系統(tǒng)應(yīng)用程序和安全的記錄。審計(jì)記錄中包含了9個(gè)元素：日期/時(shí)間、事件類型、用戶、計(jì)算機(jī)、事件ID、來(lái)源、類別、描述、數(shù)據(jù)等信息。通過(guò)處理無(wú)用項(xiàng)和多余項(xiàng)之后，每條有效審計(jì)記錄見(jiàn)表1，其中包含7個(gè)字段。

表1 審計(jì)記錄

本文的目的就是要從有效審計(jì)記錄中運(yùn)用序列模式挖掘的方法，根據(jù)角色歷史正常行為提取出角色正常行為模式，從而進(jìn)行異常檢測(cè)。針對(duì)信息系統(tǒng)角色行為模式的特點(diǎn)給出異常檢測(cè)系統(tǒng)框架如圖1所示，主要包括日志預(yù)處理、角色正常行為模式挖掘、序列匹配、模式比較，異常檢測(cè)輸出等步驟。

圖1 內(nèi)部威脅異常檢測(cè)框架

2 正常行為模式挖掘

本章的工作是圍繞角色正常行為模式挖掘展開(kāi)的。根據(jù)第一節(jié)中提出的有效審計(jì)記錄中得到角色行為數(shù)據(jù)及屬性，選取合適的序列模式挖掘算法，介紹算法的概念和原理，重點(diǎn)給出對(duì)算法的改進(jìn)過(guò)程及核心思想，最后通過(guò)舉例說(shuō)明。

2.1 模式挖掘方法對(duì)比

序列模式挖掘是數(shù)據(jù)挖掘中一個(gè)重要分支，它的原理是從大量序列數(shù)據(jù)中挖掘出一段時(shí)間間隔內(nèi)出現(xiàn)頻率最高的序列數(shù)據(jù)。目前序列模式挖掘的主要算法有廣義序列模式(GSP)算法、apriori算法、FP Tree算法、FreeSpan算法和PrefixSpan算法。FreeSpan算法和apriori算法是基于挖掘項(xiàng)集數(shù)據(jù)挖掘的[6]，而PrefixSpan算法和廣義序列模式(GSP)算法是面向序列數(shù)據(jù)的[7]。

如表2所示，表左的數(shù)據(jù)記錄就是在Apriori算法和FreeSpan算法中使用的項(xiàng)集數(shù)據(jù)，每個(gè)項(xiàng)集數(shù)據(jù)由若干項(xiàng)數(shù)據(jù)記錄組成，這些數(shù)據(jù)項(xiàng)沒(méi)有時(shí)間上的先后關(guān)系，對(duì)于多于一個(gè)項(xiàng)的項(xiàng)集要加上括號(hào)，以便和其它的項(xiàng)集分開(kāi)。而右邊的序列數(shù)據(jù)則不一樣，它是由若干數(shù)據(jù)項(xiàng)集組成的序列，比如第一個(gè)序列,它由a,bc,ac,d,cf共5個(gè)項(xiàng)集數(shù)據(jù)組成，并且這些項(xiàng)有時(shí)間上的先后關(guān)系，不同的序列順序代表了不同的含義。

表2 項(xiàng)集數(shù)據(jù)與序列數(shù)據(jù)對(duì)比

在本文中提出的角色行為模式中，角色行為具有持續(xù)性且每個(gè)行為具有時(shí)間上的先后關(guān)系，例如管理員角色的行為首先是登錄管理系統(tǒng)，然后對(duì)設(shè)備進(jìn)行檢查，最后注銷退出系統(tǒng)。這一系列行為是以集合的形式存在，這種數(shù)據(jù)顯然符合序列數(shù)據(jù)的特點(diǎn)，故舍棄了Apriori算法和FreeSpan算法。另一方面在對(duì)序列數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘時(shí)，由于PrefixSpan算法在挖掘過(guò)程中不產(chǎn)生大量候選的序列模式，而且生成的投影數(shù)據(jù)庫(kù)相比于原始序列數(shù)據(jù)庫(kù)大大減少，因此減少了構(gòu)造投影數(shù)據(jù)庫(kù)的時(shí)間，并且縮減了算法運(yùn)行需要的存儲(chǔ)空間，所以其性能更優(yōu)。而廣義序列模式(GSP)算法會(huì)產(chǎn)生大量候選的序列模式，增加了算法運(yùn)行所需要的時(shí)間，而且候選的大量序列模式會(huì)消耗存儲(chǔ)空間，故選擇PrefixSpan算法進(jìn)行角色行為模式挖掘。本文將PrefixSpan算法運(yùn)用到角色正常行為模式的挖掘中，并且針對(duì)此算法進(jìn)行了改進(jìn)。

2.2 PrefixSpan算法相關(guān)概念及定義

PrefixSpan(prefix-projected pattern crowth)[8]，意思是前綴投影的模式挖掘，PrefixSpan算法采用分而治之的思想，首先從數(shù)據(jù)集中挖掘出頻繁一項(xiàng)集，找到頻繁一項(xiàng)集之后使用頻繁項(xiàng)前綴劃分搜索空間，從而生成投影數(shù)據(jù)庫(kù)，再分別對(duì)這些投影數(shù)據(jù)庫(kù)里的項(xiàng)集數(shù)據(jù)執(zhí)行同樣的步驟來(lái)挖掘頻繁項(xiàng)，直到循環(huán)執(zhí)行數(shù)據(jù)庫(kù)中所有的數(shù)據(jù)項(xiàng)。

本文將PrefixSpan算法應(yīng)用到信息系統(tǒng)中角色正常行為模式挖掘中，并針對(duì)此應(yīng)用場(chǎng)景下進(jìn)行改進(jìn)，在時(shí)間和空間方面改進(jìn)的算法提高了算法適用性，并且提高了數(shù)據(jù)挖掘的效率。下面首先介紹PrefixSpan算法對(duì)角色正常行為模式挖掘的相關(guān)概念及定義。

概念1：S是一個(gè)項(xiàng)集序列數(shù)據(jù)庫(kù)，表示為S=(t1，t2，…，ti)，其中i表示為角色行為序列的長(zhǎng)度，tk(1≤k≤i)表示為同一角色的行為數(shù)據(jù)項(xiàng)。

概念2：子序列和超序列的概念和數(shù)學(xué)上的子集的概念很類似，如果某個(gè)序列A所有的項(xiàng)集在序列B中的項(xiàng)集都可以找到，則A就是B的子序列?，F(xiàn)在給定兩個(gè)序列A=(a1，a2,…，an)和序列B=(b1，b2，…，bm), n≤m，如果對(duì)于序列B來(lái)說(shuō)序列A中的每一項(xiàng)數(shù)據(jù)均滿足a1?b1,a2?b2…an?bn，則稱A是B的子序列，反過(guò)來(lái)說(shuō)B就是A的超序列。

概念3：對(duì)于某一個(gè)前綴，序列里前綴后面剩下的子序列即為得到的后綴，前綴投影其實(shí)就是后綴的意思，前綴加上前綴投影就可以構(gòu)成一個(gè)完整的序列。如果前綴最后的項(xiàng)是項(xiàng)集的一部分，則用一個(gè)“_”來(lái)占位表示，這里需要注意的是_b和b是兩個(gè)不同的序列項(xiàng)。表3給出前綴和后綴的例子。

表3 頻繁項(xiàng)集序列

概念4：給定S為一個(gè)序列數(shù)據(jù)庫(kù)，A=(a1，a2,…，an)是序列數(shù)據(jù)庫(kù)S其中的一個(gè)序列，數(shù)據(jù)庫(kù)S中包含序列A的個(gè)數(shù)占S中總序列數(shù)的比值記為Support(A)，其意義是序列A的支持度。由專家意見(jiàn)以及實(shí)際情況給出一個(gè)支持度閾值min_sup，如果序列A在序列數(shù)據(jù)庫(kù)中的支持度Support(A)不低于min_sup，則稱序列A為一項(xiàng)頻繁序列。

2.3 PrefixSpan算法的不足及改進(jìn)

在使用PrefixSpan算法對(duì)數(shù)據(jù)項(xiàng)進(jìn)行掃描挖掘時(shí)有三方面不足：

(1)挖掘過(guò)程中會(huì)采用遞歸的方法構(gòu)建投影數(shù)據(jù)庫(kù)，消耗大量時(shí)間。審計(jì)日志中包含的非頻繁數(shù)據(jù)較多，隨著挖掘過(guò)程的深入會(huì)產(chǎn)生大量的非頻繁項(xiàng)，從而消耗大量時(shí)間來(lái)挖掘不可能出現(xiàn)的頻繁項(xiàng);

(2)挖掘過(guò)程中構(gòu)造的投影數(shù)據(jù)庫(kù)數(shù)量呈幾何倍數(shù)增長(zhǎng)，空間開(kāi)銷巨大，而且存在多個(gè)重復(fù)的投影數(shù)據(jù)庫(kù)，占用大量空間;

(3)算法處理海量審計(jì)日志所生成的頻繁序列項(xiàng)以及其投影數(shù)據(jù)庫(kù)數(shù)量紛繁復(fù)雜，在挖掘過(guò)程中對(duì)投影數(shù)據(jù)庫(kù)反復(fù)進(jìn)行掃描，導(dǎo)致數(shù)據(jù)項(xiàng)查找挖掘效率低下，算法執(zhí)行效率低下。

針對(duì)PrefixSpan算法的不足之處以及審計(jì)日志數(shù)據(jù)的特點(diǎn)，本文提出一種改進(jìn)的PrefixSpan算法，對(duì)此算法的不足之處進(jìn)行如下改進(jìn)和擴(kuò)展以提高挖掘效率：

(1)改進(jìn)后的算法在挖掘數(shù)據(jù)項(xiàng)的過(guò)程中通過(guò)比較數(shù)據(jù)項(xiàng)與最小支持度得到頻繁項(xiàng)，直接刪除非頻繁項(xiàng)，避免繼續(xù)挖掘出非頻繁項(xiàng)；在構(gòu)建投影數(shù)據(jù)庫(kù)時(shí)放棄對(duì)支持度小于閾值的投影數(shù)據(jù)庫(kù)的掃描,能夠有效減少投影數(shù)據(jù)庫(kù)構(gòu)建的次數(shù)，提高算法的時(shí)間效率;

(2)改進(jìn)后的算法在構(gòu)建投影數(shù)據(jù)庫(kù)的過(guò)程中，預(yù)先檢查序列數(shù)據(jù)庫(kù)S中所有數(shù)據(jù)項(xiàng)的前綴,對(duì)相同的數(shù)據(jù)項(xiàng)進(jìn)行合并，避免對(duì)投影數(shù)據(jù)庫(kù)中同一數(shù)據(jù)項(xiàng)前綴重復(fù)投影,從而減少投影的數(shù)量,這樣能夠有效地減少投影數(shù)據(jù)庫(kù)構(gòu)建的次數(shù)，減少投影數(shù)據(jù)庫(kù)不必要的存儲(chǔ)空間;

(3)對(duì)投影數(shù)據(jù)庫(kù)引入標(biāo)簽索引，先給定一個(gè)初始的頻繁序列投影數(shù)據(jù)庫(kù)用于記錄掃描過(guò)程中全部下標(biāo)的位置，接下來(lái)的挖掘過(guò)程只需要利用下標(biāo)去數(shù)據(jù)庫(kù)中查找該字符序列即可。此方法從數(shù)據(jù)預(yù)處理的角度出發(fā)，通過(guò)增加一個(gè)步驟從而提高了查找效率。

現(xiàn)在根據(jù)算法改進(jìn)思想給出改進(jìn)后的PrefixSpan算法流程描述：

輸入：序列數(shù)據(jù)庫(kù)S、支持度閾值min_sup、數(shù)據(jù)庫(kù)S中數(shù)據(jù)序列長(zhǎng)度i。

步驟1 對(duì)數(shù)據(jù)庫(kù)S中的所有數(shù)據(jù)進(jìn)行挖掘，得到所有長(zhǎng)度為1的頻繁一項(xiàng)集和其所對(duì)應(yīng)的投影數(shù)據(jù)庫(kù);

步驟2 計(jì)算每一個(gè)長(zhǎng)度為1的前綴在數(shù)據(jù)庫(kù)中的支持度Support()，并對(duì)其進(jìn)行計(jì)數(shù)，根據(jù)結(jié)果將支持度低于閾值min_sup的前綴所對(duì)應(yīng)的項(xiàng)從數(shù)據(jù)庫(kù)S中刪除，同時(shí)記錄所有支持度滿足Support()≥min_sup的頻繁一項(xiàng)集，記i=1;

步驟3 對(duì)步驟2得到的頻繁一項(xiàng)集前綴進(jìn)行遞歸挖掘：

(1)找出頻繁一項(xiàng)集所對(duì)應(yīng)的投影數(shù)據(jù)庫(kù)，如果該前綴的投影數(shù)據(jù)庫(kù)不存在，則遞歸返回步驟2;

(2)統(tǒng)計(jì)頻繁一項(xiàng)集所對(duì)應(yīng)的投影數(shù)據(jù)庫(kù)中各項(xiàng)的支持度，如果所有頻繁一項(xiàng)集的支持度都低于閾值min_sup，則刪除此項(xiàng)并遞歸返回步驟2;

(3)將支持度滿足Support()≥min_sup的各個(gè)頻繁一項(xiàng)集和當(dāng)前的前綴進(jìn)行合并得到頻繁二項(xiàng)集，并且生成新的前綴;

(4)i=i+1，使用得到的新前綴繼續(xù)挖掘第i項(xiàng)頻繁項(xiàng)，分別遞歸執(zhí)行步驟3。

輸出：滿足支持度Support()≥min_sup的所有頻繁項(xiàng)。

針對(duì)上文給出對(duì)算法改進(jìn)的流程描述，現(xiàn)在以表4中所給的數(shù)據(jù)項(xiàng)為例描述序列模式挖掘過(guò)程，并且給定閾值min_sup=2。

表4 角色行為序列數(shù)據(jù)庫(kù)S

表5 序列模式挖掘過(guò)程

3 模式匹配

在上一節(jié)中我們通過(guò)數(shù)據(jù)挖掘得到了頻繁項(xiàng)數(shù)據(jù)集，這代表了角色歷史正常行為模式集，現(xiàn)在通過(guò)對(duì)比角色當(dāng)前行為與歷史正常行為，就可以檢測(cè)角色行為的準(zhǔn)確性，從而判斷該角色是否發(fā)生內(nèi)部威脅。模式匹配的關(guān)鍵就是字符串匹配，字符串匹配通常是指在主模式串中一次或多次重復(fù)出現(xiàn)某一字符串，并把子串在主串中的定位操作稱為串的模式匹配。從匹配方式上來(lái)說(shuō)串匹配可以分類為精確匹配、模糊匹配、并行匹配等。針對(duì)角色頻繁行為模式的特點(diǎn)，解決字符串匹配這個(gè)問(wèn)題首先很容易想到BF算法，是指從子串首部與主串首部匹配，當(dāng)子串的首部和主串的某個(gè)部位匹配成功后，兩個(gè)串剩下的字符繼續(xù)匹配；當(dāng)兩者匹配失敗時(shí)，比較子串首部和主串的下一部位，重復(fù)上面的過(guò)程直到循環(huán)結(jié)束，BF算法的復(fù)雜度是O(n2)，該算法簡(jiǎn)單低效，處理大量數(shù)據(jù)時(shí)間會(huì)爆炸式增長(zhǎng)[9]。

針對(duì)BF算法時(shí)間復(fù)雜度還有更好的辦法可以提高效率，這就是KMP算法，本節(jié)提出一種基于KMP算法的精確匹配算法。為了方便下文對(duì)模式匹配算法的描述，做以下符號(hào)定義：主模式串記為S，長(zhǎng)度記為n，待匹配的子串記為P，長(zhǎng)度記為m，串中的字符記為Si和Pj(1≤i≤n，1≤j≤m)。KMP算法的主要思想是利用已經(jīng)得到的兩個(gè)字符串的部分匹配結(jié)果將模式串右滑盡可能遠(yuǎn)的距離再繼續(xù)進(jìn)行比較[10]，具體來(lái)說(shuō)就是判斷主模式串中的Si和子串Pj是否匹配，當(dāng)兩者匹配時(shí)主串中的指針i和字串中的指針j分別向后移動(dòng)一位，繼續(xù)判斷是否匹配，當(dāng)Si和Pj匹配失敗時(shí)，指針i保持不動(dòng)，指針j回到一個(gè)合適的位置而不是像暴力算法中回到字符串首位，這樣大大提高了匹配效率，縮短了匹配時(shí)間，所以為了計(jì)算得到這個(gè)合適的位置，引入一個(gè)臨時(shí)數(shù)組next[]。next[]數(shù)組的定義和計(jì)算過(guò)程請(qǐng)參見(jiàn)文獻(xiàn)[11]。下面給出算法流程描述[12]：

輸入：主模式串S=S1S2…Sn，待匹配的子串P=P1P2…Pm，其中串中的字符記為Si和Pj(1≤i≤n，1≤j≤m)；

(1)初始化數(shù)組next[]；

(2)循環(huán)查找子串P是否在主模式串S中：

1)首先比較P[i]==S[j]，如果相等，繼續(xù)比較字符串下一個(gè)字符；

配電網(wǎng)直接與用戶連接,電力系統(tǒng)對(duì)用戶供電的能力和質(zhì)量必須通過(guò)配電網(wǎng)得到實(shí)現(xiàn)和保障,因此提高配電網(wǎng)的供電可靠性一直是電力發(fā)展中的一個(gè)重要問(wèn)題。配電自動(dòng)化(Distribution Automation,DA)是提高配電網(wǎng)可靠性的一種重要技術(shù)手段,在正常運(yùn)行情況下,通過(guò)監(jiān)視配電網(wǎng)的運(yùn)行工況,優(yōu)化配電網(wǎng)的運(yùn)行方式;當(dāng)配電網(wǎng)發(fā)生故障或運(yùn)行異常時(shí),可以迅速查找和處理故障區(qū)段及異常情況,快速隔離故障區(qū)段,及時(shí)恢復(fù)非故障區(qū)域用戶的供電,縮短停電時(shí)間,減少停電面積,提高配電網(wǎng)的可靠性[1-2]。

2)令j=next[j]，如果j==-1; 說(shuō)明匹配失敗，i++,j++，繼續(xù)下一趟比較；

(3)直到找到子串P在主串S中的位置或者主模式串S已經(jīng)比較結(jié)束；

輸出：當(dāng)子串與主串正確配對(duì)成功時(shí)，將主模式串S中第一個(gè)配對(duì)字符的位置輸出，否則輸出-1。

4 實(shí)驗(yàn)結(jié)果及分析

針對(duì)本文提出的兩個(gè)算法，為了驗(yàn)證此算法的可行性，在PC機(jī)上的Anaconda實(shí)驗(yàn)環(huán)境中實(shí)現(xiàn)代碼，實(shí)驗(yàn)數(shù)據(jù)來(lái)自于某民航直屬單位辦公系統(tǒng)中3個(gè)月的系統(tǒng)操作日志。

4.1 數(shù)據(jù)預(yù)處理

在挖掘角色正常行為模式之前，獲取的操作命令按照審計(jì)記錄的格式(表1)進(jìn)行保存，需要對(duì)角色操作日志進(jìn)行預(yù)處理，數(shù)據(jù)預(yù)處理方法包括將操作時(shí)間轉(zhuǎn)換為時(shí)間戳片斷，其中分為上午(am)、下午(pm)、晚上(nt)；刪除編輯狀態(tài)下用戶輸入的指令，刪去無(wú)意義指令；指令參數(shù)僅保留文件的后綴名，對(duì)于操作指令中涉及到的敏感信息和文件進(jìn)行隱藏處理。在本文研究?jī)?nèi)部威脅的問(wèn)題中，由于涉及到系統(tǒng)業(yè)務(wù)和行業(yè)安全，且當(dāng)前不存在角色異常行為引發(fā)的內(nèi)部威脅，所以在測(cè)試數(shù)據(jù)集中采取手工注入異常的方法，然后利用上文提出的方法對(duì)注入的行為異常情況進(jìn)行檢測(cè)，并分析評(píng)估該方法的異常檢測(cè)效果。

4.2 對(duì)比實(shí)驗(yàn)分析

對(duì)于數(shù)據(jù)量龐大冗雜的用戶操作日志，從中選取了幾種不同的角色類型進(jìn)行分類，運(yùn)用本文提出的改進(jìn)后的PrefixSpan算法進(jìn)行角色正常行為模式挖掘，并采取不同的最小支持度，最終得到角色的正常行為模式。為了評(píng)估改進(jìn)后算法的優(yōu)缺點(diǎn)，使用改進(jìn)后的PrefixSpan算法和傳統(tǒng)PrefixSpan算法對(duì)數(shù)據(jù)集進(jìn)行模式挖掘，分別從算法運(yùn)行時(shí)間和算法挖掘效率兩個(gè)方面進(jìn)行算法對(duì)比分析。

如圖2所示，在前提條件中給定最小支持度為2%的相同情況下，隨著數(shù)據(jù)量的增加，兩算法的處理時(shí)間都會(huì)增加，但是改進(jìn)后的PrefixSpan算法在挖掘過(guò)程中所用時(shí)間明顯少于PrefixSpan算法，效率更高。其主要原因在于改進(jìn)后的PrefixSpan算法綜合考慮到了非頻繁項(xiàng)和多余的投影數(shù)據(jù)庫(kù)，在挖掘過(guò)程中直接刪除非頻繁項(xiàng)以避免后續(xù)對(duì)其繼續(xù)挖掘，同時(shí)放棄對(duì)支持度小于閾值的投影數(shù)據(jù)庫(kù)的掃描, 結(jié)果節(jié)省了挖掘時(shí)間和存儲(chǔ)投影數(shù)據(jù)庫(kù)的空間。此外，通過(guò)檢查頻繁項(xiàng)前綴的前綴把同一數(shù)據(jù)項(xiàng)的后綴合并，避免對(duì)投影數(shù)據(jù)庫(kù)中同一數(shù)據(jù)項(xiàng)后綴重復(fù)投影,這樣能夠有效地減少投影數(shù)據(jù)庫(kù)構(gòu)建的次數(shù)，節(jié)省不必要的挖掘時(shí)間。

圖2 兩種算法運(yùn)行時(shí)間比較分析

如圖3所示，在前提條件中給定挖掘數(shù)據(jù)量相同的情況下，隨著最小支持度的增加，兩算法的處理時(shí)間都會(huì)降低。一方面兩算法處理時(shí)間均降低是因?yàn)樽钚≈С侄仍酱?，挖掘到的頻繁行為模式包含數(shù)據(jù)項(xiàng)越少，需要構(gòu)建的投影數(shù)據(jù)庫(kù)規(guī)模越小，算法處理時(shí)間就越短，所以導(dǎo)致兩算法處理時(shí)間隨著最小支持度的不斷提高都會(huì)降低。另一方面，當(dāng)支持度逐漸增加時(shí)，改進(jìn)后的算法處理時(shí)間優(yōu)于傳統(tǒng)算法，主要原因是傳統(tǒng)算法構(gòu)建了大量重復(fù)的投影數(shù)據(jù)庫(kù)，在挖掘非頻繁項(xiàng)和重復(fù)掃描的過(guò)程中浪費(fèi)大量時(shí)間。而圖3中當(dāng)支持度為3%時(shí)傳統(tǒng)算法處理時(shí)間優(yōu)于改進(jìn)后的算法，分析其原因是因?yàn)楦倪M(jìn)后的算法為了避免對(duì)投影數(shù)據(jù)庫(kù)中同一數(shù)據(jù)項(xiàng)進(jìn)行重復(fù)投影而對(duì)相同數(shù)據(jù)項(xiàng)進(jìn)行合并，這樣減少了構(gòu)建投影數(shù)據(jù)庫(kù)所占內(nèi)存空間，同時(shí)在檢查序列數(shù)據(jù)庫(kù)S中所有數(shù)據(jù)項(xiàng)的前綴所耗費(fèi)的時(shí)間多于傳統(tǒng)算法對(duì)數(shù)據(jù)項(xiàng)的挖掘時(shí)間。

圖3 兩種算法運(yùn)行時(shí)間比較分析

由以上數(shù)據(jù)以及原因分析可以得出本文提出的算法無(wú)論是在數(shù)據(jù)量或是最小支持度變化的情況下處理時(shí)間要優(yōu)于傳統(tǒng)算法，從而提高數(shù)據(jù)挖掘效率。而當(dāng)處理時(shí)間沒(méi)有優(yōu)勢(shì)時(shí)節(jié)省了算法處理所需的內(nèi)存空間，用投影數(shù)據(jù)庫(kù)空間開(kāi)銷換取算法處理時(shí)間，也提高了算法挖掘效率，達(dá)到了改進(jìn)的目的。

4.3 實(shí)驗(yàn)結(jié)果及檢測(cè)

結(jié)合審計(jì)日志數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的特點(diǎn)，在此將角色異常行為分成兩類。第一類是非授權(quán)異常，在系統(tǒng)中每個(gè)角色都有屬于自己的行為權(quán)限，非授權(quán)異常指的是角色試圖超出個(gè)人行為權(quán)限去執(zhí)行其它操作，這會(huì)對(duì)系統(tǒng)造成嚴(yán)重的破壞，例如系統(tǒng)管理員對(duì)系統(tǒng)數(shù)據(jù)庫(kù)非法操作，拷貝數(shù)據(jù)庫(kù)信息或是訪問(wèn)敏感文件。第二類是授權(quán)異常，指的是角色在執(zhí)行行為時(shí)沒(méi)有遵循既定行為習(xí)慣和行為頻率，此情況出現(xiàn)時(shí)極有可能是有人盜取角色登錄信息非法登錄，例如系統(tǒng)管理員在休息日凌晨頻繁登錄業(yè)務(wù)系統(tǒng)。

針對(duì)以上可能存在的角色行為異常信息，現(xiàn)在對(duì)歷史正常數(shù)據(jù)注入異常數(shù)據(jù)，其中AOB(abnormal operation behavior)表示操作行為異常，AOF(abnormal operating frequency)表示操作頻率異常，AOT(abnormal operation time)表示操作時(shí)間異常，原始數(shù)據(jù)和注入的異常數(shù)據(jù)的具體情況見(jiàn)表6。

表6 異常行為注入數(shù)據(jù)集

將人工注入的異常數(shù)據(jù)分別添加到4組歷史正常數(shù)據(jù)中，分別對(duì)4組案例中不同的角色使用本文提出改進(jìn)PrefixSpan算法進(jìn)行角色正常行為模式挖掘，在挖掘到頻繁項(xiàng)后引入標(biāo)簽索引，使用KMP算法進(jìn)行異常檢測(cè)，利用標(biāo)簽索引的不同檢測(cè)出非頻繁項(xiàng)，得到角色行為異常情況，實(shí)驗(yàn)結(jié)果見(jiàn)表7。

表7 實(shí)驗(yàn)結(jié)果檢測(cè)情況

為了進(jìn)一步分析異常檢測(cè)結(jié)果，采用F1評(píng)價(jià)指標(biāo)進(jìn)行評(píng)價(jià)(也稱為F-measure)。其中P表示為準(zhǔn)確率，R表示為召回率，F(xiàn)1表示為準(zhǔn)確率和召回率的調(diào)和平均數(shù)，并根據(jù)挖掘結(jié)果和異常檢測(cè)數(shù)據(jù)分別進(jìn)行計(jì)算R、P、F1的數(shù)值。由圖4可以看出在案例1中漏檢測(cè)了一項(xiàng)AOT，導(dǎo)致計(jì)算得到召回率為85.7%，案例3多檢測(cè)出兩項(xiàng)AOF，導(dǎo)致計(jì)算得到準(zhǔn)確率為90.9%，案例2、4檢測(cè)效果良好。最后4個(gè)案例中召回率和準(zhǔn)確率的計(jì)算得到F1分?jǐn)?shù)維持在90%，說(shuō)明在實(shí)際情況數(shù)據(jù)量更多的情況下本文提出的算法仍可以保持高水平的挖掘效率，達(dá)到本文改進(jìn)傳統(tǒng)算法的目的。

圖4 挖掘結(jié)果比較分析

5 結(jié)束語(yǔ)

針對(duì)信息系統(tǒng)可能存在的內(nèi)部威脅，本文研究了一種基于序列模式挖掘的內(nèi)部威脅檢測(cè)方法，此方法包括兩部分，一方面改進(jìn)PrefixSpan算法，通過(guò)角色歷史正常審計(jì)日志為數(shù)據(jù)源，挖掘角色正常行為，并且通過(guò)與傳統(tǒng)的PrefixSpan算法進(jìn)行比較，表明該算法在挖掘時(shí)間和挖掘效率上有很大改進(jìn)。另一方面利用KMP算法對(duì)挖掘到的角色正常行為與當(dāng)前角色行為進(jìn)行模式匹配，從而達(dá)到檢測(cè)異常行為的目的。實(shí)驗(yàn)結(jié)果表明，本文提出的方法可以高效挖掘角色正常行為模式，并且在檢測(cè)角色異常行為方面保持較高的準(zhǔn)確率。