[发明专利]基于反生产行为特征的内部威胁检测方法和系统

权利要求书

1.基于反生产行为特征的内部威胁检测方法，其特征在于，包括以下步骤：

采集与反生产行为特征相关的数据样本；所述数据样本包括：用户大五人格评分数据、人事组织关系中用户的工作环境信息以及用户间的通信元数据和用户出勤记录；

根据采集的与反生产行为特征相关的数据样本构建表征用户攻击动机心理特征的数值化特征向量，进而确定在职用户特征集合和离职用户特征集合；所述构建表征用户攻击动机心理特征的数值化特征向量包括：根据获取的用户大五人格评分数据计算内在CPB倾向特征；根据所述内在CPB倾向特征和人事组织关系中用户的工作环境信息确定工作环境CPB特征；根据用户间的通信元数据确定用户间的人际关系特征，结合用户出勤记录确定离职用户对个体反生产行为倾向；

根据构建的所述数值化特征向量，基于聚类分析发现相似的样本群簇，进而采用比较群簇中心点特征几何平均值大小的方式，筛选出整体CPB评分低于均值的群簇用户样本作为训练集；

对于训练集采用训练单类分类器，结合离职用户特征集合判定离职用户是否为高危离职用户，并对离职用户中的高危离职用户进行异常行为检测，综合分析确定内部攻击行为。

2.根据权利要求1所述的基于反生产行为特征的内部威胁检测方法，其特征在于，获取人事组织关系中用户的工作环境数据的方法为：

建立树形分层组织结构；所述树形分层组织部门所在分支节点标识序列为根部至当前节点的路径向量；所述路径向量表示为OS_id＝{OS₁,OS₂,...OS_N}；所述OS_id的条件约束为：即同一路径向量中所有节点而言，后续节点代表的成员集合SET_i+1都是前置节点所指成员集合SET_i的子集；其中，OS_id中的id表示用户标识；N为所述树形分层组织结构的最大深度；

根据所述树形分层组织结构，计算任意两个用户的组织路径向量距离DIS_AB；所述DIS_AB的计算方法为：

其中OS_Ai为用户A的组织路径向量；OS_Bi为用户B的组织路径向量；i为元素的位置；

所述人事组织关系中用户的工作环境数据为用户组织路径向量距离小于阈值的所有用户集合。

3.根据权利要求1所述的基于反生产行为特征的内部威胁检测方法，其特征在于，所述用户间的通信元数据

其中，表示用户A与user之间存在单向或双向的关联通讯，SET_leave表示特定时间段内离职用户集合。

4.根据权利要求3所述的基于反生产行为特征的内部威胁检测方法，其特征在于，所述根据获取的用户大五人格评分数据计算内在CPB倾向特征的公式为：

其中，SCORE_cpb-p为用户大五人格分数决定的内在CPB-P特征分数；SCORE_cpb-o为用户大五人格分数决定的内在CPB-O特征分数；SCORE_js为用户大五人格特征决定的内在工作满意度基准特征；N_score为用户大五人格中神经质评分；E_score为用户大五人格中外倾性评分；A_score为用户大五人格中宜人性评分；C_score为用户大五人格中尽责性评分；O_score为用户大五人格中开放性评分。