潜在内部攻击者预测方法

  近年来，内部威胁逐步成为新的研究热点，“斯诺登”事件更是将其推向了一个高潮。随着信息化深入到各行各业，内部威胁管控已经成为了各个组织安全管理部门的优先处理事项，不断上涨的内部管控需求也激励着学术界、工业界研发识别内部攻击者的检测系统。尤其是基于安全审计日志的内部攻击者异常行为检测技术逐渐成熟。然而行为异常检测具有滞后性，并且异常和威胁通常难以区分，实际应用中可能面临高误报的困扰。如果能够洞悉用户内心，从而识别出异常背后的动机和恶意倾向就能很好的改善上述问题。因此，对攻击者的心理或情感进行分析从而预测潜在的内部攻击者已经渐渐成为一种新的趋势。

01

内部攻击者的心理特征           

CERT(美国计算机应急响应小组)建立了2001年至今的700多例内部威胁案例数据库[1]，对这些丰富的内部威胁案例研究发现，攻击者在人格维度上具有统计一致性，即攻击者的攻击行为与用户人格特征具有显著联系。研究者们在人格描述模式上形成了比较一致的共识，提出了人格的大五模式，包括开放性、外倾性、神经质、尽责性与宜人性，其中神经质、尽责性与宜人性这三个特征与内部攻击者的心理特征密切相关。

神经质反映个体情感调节过程，反映个体体验消极情绪的倾向和情绪不稳定性。高神经质个体倾向于有心理压力、不现实的想法、过多的要求和冲动，更容易体验到诸如愤怒、焦虑、抑郁等消极的情绪。他们对外界刺激反应比一般人强烈，对情绪的调节、应对能力比较差，经常处于一种不良的情绪状态下。并且这些人思维、决策、以及有效应对外部压力的能力比较差。关于神经质的说明词包括：焦虑、愤怒、敌意、抑郁、自我意识、冲动性和脆弱性等，而这些正是内部攻击的重要心理诱因。

尽责性指我们控制、管理和调节自身冲动的方式，评估个体在目标导向行为上的组织、坚持和动机。反映了个体自我控制的程度以及推迟需求满足的能力。低尽责性的人通常会有冲动的行为，常常会给自己带来麻烦，虽然会给个体带来暂时的满足，但却容易产生长期的不良后果，比如攻击他人，吸食毒品等等。因此，往往难以处理遇到的压力，而压力也是导致内部攻击的重要心理诱因。

宜人性考察个体对其他人所持的态度，这些态度一方面包括亲近人的、有同情心的、信任他人的、宽大的、心软的，另一方面包括敌对的、愤世嫉俗的、爱摆布人的、复仇心重的、无情的。宜人性代表了“爱”，对合作和人际和谐是否看重。宜人性低的人通常把自己的利益放在别人的利益之上。本质上，他们不关心别人的利益，因此也不乐意去帮助别人。有时候，他们对别人是非常多疑的，怀疑别人的动机。低宜人性个体更容易在与他人发生人际冲突，产生矛盾，从而导致产生恶意动机。

图1 潜在内部攻击者的人格特性

然而仅仅依靠上述三个维度的人格特征不足以反映完整的内部攻击者人格因素对攻击行为的影响，比如，FBI的报告显示具有包括反社会性以及自恋性人格在内的黑暗三人格的用户更有可能造成内部威胁[3]。因此，还应该在大五人格的维度上增加反社会性、自恋性以及权能主义[2]。其中权能主义者往往表现出实用主义、精于算计的特质，且行事注重结果忽视道德；自恋性则经常以自我为中心，自以为是；精神变态者则表现为行为冲动、缺乏共情与责任感等。综上所述，高神经质、低尽责性与低宜人性以及具有反社会性、自恋性以及权能主义的人更容易成为潜在的内部攻击者。大五人格中的神经质、尽责性与宜人性特质反映用户对于恶意攻击倾向的免疫能力，黑暗人格反映用户自身对于恶意攻击的内在驱动力，这两类人格特征结合起来能完整的刻画攻击者的心理变化过程。

02

心理特征相关数据的获取

通用的研究心理学的方法是基于用户的语言数据，在内部攻击者检测的场景中，我们可以使用安全审计数据得到用户的语言数据，具体来说，就是用户访问的网页内容、用户邮件通信的信息、用户访问的文件内容、以及微信等即时通讯信息[9]。心理特征相关的数据可以分为以下四类[7]：

用户心理生理信号

内部用户的脑电图（EEG）、脑电波（ECG）以及皮肤电反应等心理生理信号

内部用户社交应用数据

Facebook、Twitter、YouTube等社交媒体数据以及用户社交网络

内部用户网络行为数据

用户的网络用语、网络浏览行为等网络行为数据

内部用户邮件数据

用户发送邮件中使用的语言及其邮件通信网络

然而，用户心理生理信号通常无法获取；文件通常是工作中的格式化内容；用户浏览的网页内容比较能反映用户的兴趣；对于微信/QQ/微博等社交数据的分析，由于社交账号访问权限以及隐私保护限制，很难获取到这类数据。而邮件内容数据在安全审计系统中可以轻易获取，因此，首选邮件通信类的数据作为用户心理和情绪特征的侧写数据，通过对邮件的内容进行分析，帮助预测潜在的内部攻击者。

03

基于心理特征的研究方法

基于心理特征的潜在内部攻击者预测方法重点从预测用户攻击动机的角度出发，主要分析对于形成用户包括不满情绪、负面极端心理倾向等内部攻击动机的心理属性因素或社会属性因素。此类研究以能够反应用户心理情绪变化的心理生理信号、行为审计数据等为分析对象，使用的方法集中于构建用户行为或用户产生内容与人格模型的映射表征用户人格和心理特质。首先构造内部用户人格特质模型，之后基于动态监测数据检测数据偏离正常人格特质的程度衡量用户的心理情绪变化，从而对用户的攻击动机进行预测，方法流程如图2所示。

图2 基于心理特征的内部攻击者预测

该方法的重点是构建语言数据到人格数据的映射，常用的工具是LIWC（一种基于语词计量的文本分析工具），该工具是计算机文本分析的黄金标准，通过统计文本中特定词汇（代名词、情绪词、认知词等）出现的频率，来侧面反映用户的心理特征[8]。图3是LIWC基本词类中能反映用户神经质、尽责性和宜人性的基本词类的例子。而黑暗三人格又和大五人格具有统计相关性，例如，如图4所示，大五人格的数值能反映一个人的自恋人格数值。综上所述，只需要统计出用户邮件文本数据中的LIWC词类，就能得知用户的人格特征，从而对潜在的内部攻击者进行预测。

图3 LIWC词类与人格特性

图4 自恋人格和大五人格的统计相关性

除了基于人格特征的心理学分析，还有一类关注于用户情绪状态的心理特征研究，许多研究者认为在社交沟通渠道中观察到的情绪性心理和社交因素对于解决内部威胁的早期发现至关重要。例如用户是正面、负面还是中立。[4]发现内部人员实施恶意行为之前，通常都会经历情绪变化的阶段，2011年的一项调查显示[5]，这种情绪变化平均需要73天。随着生物科学的发展，还有一些研究将生物学行为用于内部威胁检测的研究，分析内部用户的脑电图（EEG）、脑电波（ECG）以及皮肤电反应等心理生理信号，例如Almehmadi 等人在2014年提出的一种生理信号监视系统[6]，该系统能够在威胁执行之前通过内部人的心电图、皮肤温度和皮肤电反应来检测内部人威胁，虽然有趣且大有用处，但是由于法律和经济限制，这些方法的实用性十分受限。

04

总结

人格特征决定了用户在日常生活中面对工作中的挫折、对领导和同事的不满等问题时的基本态度，如果对当前组织长期持有否定态度，积累到一定程度就会产生实施恶意行为的倾向，最终驱动心理倾向转化为实际攻击行动。对攻击者心理过程的分析具有先驱性，能弥补行为分析和异常检测在滞后性上的不足之处，能提供更多对于攻击动机、攻击倾向的分析与证据，帮助差异化分析用户行为异常。

参考文献

[1]  M. L. Collins, M. C. Theis, R. F. Trzeciak, et al. Common Sense Guide to Prevention and Detection of Insider Threats[M]. CERT, Software Engineering Institute, Carnegie Mellon University, Pittsburgh, 2016.

[2]  Maasberg M , Warren J , Beebe N L . The Dark Side of the Insider: Detecting the Insider Threat Through Examination of Dark Triad Personality Traits[C]. 48th Hawaii International Conference on System Sciences. IEEE Computer Society, 2015

[3]  Matt Bishop, Carrie Gates. Defining the insider threat[C]. Workshop on Cyber Security & Information Intelligence Research: Developing Strategies to Meet the Cyber Security & Information Intelligence Challenges Ahead. ACM, 2008.

[4]  Homoliak, I., Toffalini, F., Guarnizo, J., Elovici, Y., & Ochoa, M. (2018). Insight into insiders: A survey of insider threat taxonomies, analysis, modeling, and countermeasures. arXiv: 1805.01612 .

[5]  Ponemon, L. (2011). annual study: Cost of a data breach. ponemon institute.

[6]  Almehmadi, A. , & El-Khatib, K. (2014). On the possibility of insider threat detection using physiological signal monitoring. In Proceedings of the 7th international conference on security of information and networks (p. 223). ACM .

[7]  杨光，马建刚，于爱民等。内部威胁检测研究。信息安全学报, 2016, 1(003):21-36.

[9]  Cappelli, Dawn M, Moore, Andrew P, et al. The CERT Guide to Insider Threats: How to Prevent, Detect, and Respond to Information Technology Crimes (Theft, Sabotage, Fraud) [M]. Addison-Wesley Professional, 2012.

作者：刘美辰

责编：夏璐璐