欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

浅析基于人格特征的内部高风险用户识别方法

来源:本站整理 作者:佚名 时间:2019-04-17 TAG: 我要投稿

写在前面
自2013年斯诺登同学引爆“棱镜门”以来,内部威胁(Insider Threats)早已被熟知,并且随着信息化深入到各行各业关键业务流程 ,内部风险管控已经排上了甲方们安全管理部门优先处理事项的Top List。不断上涨的内部管控需求激励着学业界研发识别内部攻击用户的用户行为检测系统,然而由于行为异常检测的滞后性以及异常与攻击的非同一性 ,引入针对攻击者心理特征、攻击动机等主观维度的分析建模渐渐成为一种新趋势。
本文今天就向大家介绍一种基于人格特征的内部高风险用户识别方法,其中要点有两个:
(1) 本文介绍方法使用的个体人格特征主要包括主流的大五人格模型(Big-5 Personality Model)与刻画反社会倾向的黑暗三人格模型(Dark Triad Model);
(2) 所谓内部高风险用户(Internal High Risk Users),更多指的是依据已有案例分析中得到的人格特征与攻击行为统计关联性,分析筛选出的未来极有可能实施攻击的内部用户,因为尚未实施攻击,因此称之为“风险”而非“恶意”。
距离之前内部威胁的相关文章已经过去了不少时日如果想对于内部攻击者表现出的人格特征分布上的统计关联性有兴趣,可以参考下述文章及所引文献:
一、内部攻击者的人格动力模型
基于美国卡耐基美隆大学(CMU)的内部威胁研究中心的官方数据,已有内部威胁案例中的攻击者表现出人格维度上的统计一致性,即如果从大五人格的角度来看,攻击行为显著与用户的高神经质、低尽责性与低宜人性密切相关。如以神经质特质为例,其刻画了个体自我情绪管理的能力以及体现负面兴趣的倾向,因此高神经质个体在现实工作生活中往往更容易紧张、自卑,并且容易产生消极悲观的情绪,自然地,处理压力的能力通常较弱;对于宜人性与尽责性则相反,低宜人性个体往往更容易与他人发生分歧或冲突,低尽责性个体自律性与道德性都较差,相对违反规定非法数据操作的心理门槛更低。
然而仅仅依靠上述大五人格模型并不能完整反映内部攻击者人格因素对行为的影响,比如无法刻画与攻击行为联系更紧密的反社会性强弱。因此可以引入黑暗三人格作为表征人格过程的新维度,即权能主义、自恋性以及精神病态,其中权能主义者往往表现出实用主义、精于算计的特质,且行事注重结果忽视道德;自恋性则经常以自我为中心,自以为是;精神变态者则表现为行为冲动、缺乏共情与责任感等。
经过大量真实案例的深入分析、梳理、比较,我们可以提出一个融合了上述两类人格模型的、表征内部攻击者心理动机过程的动力模型(如图1):

图1:内部攻击者的动机过程
简要来说,可以将大五人格中的神经质、尽责性与宜人性特质看作是个体对于恶意行为倾向的“免疫能力”,而黑暗人格则更侧重刻画个体自身对于恶意行为的“内在驱动力”,上述正反两个维度结合可以比较完整地刻画攻击者的心理变化过程。
图1中左侧起点为普通内部用户(Internal User),其先天具有大五人格与黑暗人格正反两个维度的行为影响因子,二者共同决定了用户在面对、经历日常生活工作中挫折、矛盾时的基本态度,若对于当前的工作或者所处企业/组织长期持有否定态度(Negative Attitude),则积累到一定程度就会产生实施恶意行为的倾向(Malicious Intent),最终驱动心理倾向转化为实际攻击行动。
有了图1中反映的攻击者心理过程模型,接下来需要考虑从就是如何将二次元模型“落地”到三次元。
二、如何从审计数据中获取用户人格特征?
1. 从语言入手
诸君可能认为这本不是个问题,因为我们入职甚至入学的时候都参加过心理测评啊,那些数据至今应该依旧保存在人事部门吧?大五人格与黑暗人格都有相应的心理问卷,做一下不就得到用户的人格分数数据了?
非也。
如果我们仔细想想,就会发现上述方法存在两个致命问题:(1) 心理测评需要花费额外的经济与人力成本,虽然人格特征相对稳定,其决定的个体处世的反应与思维方式也相对稳定,但并不是不可改变的,如国学张其成老爷子就谈到阳性阴性的性格是可以改变的(突然想到了当今时代女性的阳性刚健进取性格越来越多,反观男生的阴柔之气愈发浓郁了,跑偏了,赶紧回来~~),因此合理的方式应该定期进行员工的心理测评——这想想Boss也不会答应吧?(2) 大家可能都有过体会,答心理问卷时候往往选择不好不坏的选项,中庸项是最多的,因为我们都有保护隐藏自己的本能嘛!这就造成了其实心理测评的结果对于真正的高风险用户而言效度不大。
所以,最好的方法自然是随时随地透明地分析建模用户的人格特征啦!可是,有这样的方法么?
很幸运,前人已经为我们进行了尝试,比如从语言中分析情感就是一个好方法。语言是我们表达思想的重要媒介,自然反过来我们可以从语言中分析出个体的内心情感、想法等,这件有意义的工作由国外著名的语言查询与计数项目(LIWC)实现,其将常用语言分成几十个具体词类,并分别统计了不同词类与人格特征的统计关联性,借助LIWC,我们只需要获取用户语言关键词的词频,然后结合对应的统计关联系数即可间接计算。
对于黑暗人格而言,学业界的研究者们也分析了大五人格与黑暗人格的关联,并建立了其中的统计映射关系,因此,我们自然可以借由大五人格进一步刻画黑暗人格。
但是工作环境中用户的语言数据如何收集呢?最常见的莫过于1) 社交应用,如QQ等即时通讯;2)工作文档;3)邮件通讯。由于个人隐私保护的限制,一般较难获取用户的社交账号访问权限,因此QQ/微信/微博/抖音等分析数据一般较难获得;出于工作内容的保密性,一般工作文档也不允许第三方访问分析;因此似乎最可行的是获取用户的工作邮件(注意工作邮件一般不涉及隐私,不同于私人邮件)。而工作邮件内容审计对于现有审计系统而言并非不可能,只要政策允许,一般还是可以审计到工作邮件的文本数据的。
因此,从工作邮件的语言入手分析人格特征似乎是个不错的开始;然而需要强调的是,本文的方法针对是用户语言数据,而非特指邮件数据!

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载