🍃 📛 🏳️ 接受不可避免的五个阶段，或者我们如何开发用于自动配置的程序 🤽🏾 🤘🏼 🚖

嗨，我与Alexey Filatov（aka 阿非拉托夫123） 2017年，我受邀加入SearchInform团队以启动新的软件解决方案。更确切地说，要增加旗舰产品DLP系统的功能。市场不仅知道如何进行软件设计（防止信息泄漏和公司欺诈）。客户希望该程序能够预测用户的行为：“该员工正准备解雇，这意味着他可以……”或“一个人有压力，可能会犯错。”并且这些预测必须以高精度和自动化格式进行。

为了解决此问题，供应商通常遵循UEBA（或UBA）的路径。但是我们走了自己的路，开始创建自动配置文件。

在削减之下-我们生产产品的道路的故事。

我将立即澄清，带有较大保留的自动配置文件也可以称为用户行为分析。但是方法上的差异是巨大的，我们想在下一篇文章中解决混淆问题（甚至冗长的故事将变成无尽的编年史）。

因此，剖析是一项长期存在的技术，但仅以脱机格式存在。在这个离线世界中，有一些专业的分析人员，他们根据语音，语调，面部表情的分析，得出有关人的情绪状态，个人素质，犯罪倾向等方面的结论。在一个富裕的公司的员工中保留一个分析人员（最好是十几个人）是乌托邦。因此，有一个程序可以取代聪明的头脑。

我们开始在ProfileCenter上工作选择什么将成为分析的“原始材料”。选项不多：

口语-评估语言和语音特征；
键盘手写；
互联网流量和其他用户与计算机交互的方式；
面部表情;
用户文字。

剧透-我们将文本纳入了开发过程，但首先我将简要解释为什么其他选项被取消。

说是一种可访问的信息源，因为供应商希望与之合作。是的，言语评估也有良好的科学发展。特别值得一提的是蒂姆·波泽尔（Tim Polzehl）的作品，例如《言语个性》。以及斯瓦蒂·乔哈尔（Swati Johar），科特斯瓦拉·拉奥·安妮（Koteswara Rao Anne），K·斯里尼瓦萨·拉奥（K. Sreenivasa Rao），尤特·杰科斯（Ute Jekosch）。但是，尽管该技术被认为是粗糙的：语音分析仪能够很好地识别压力水平，但是其可靠地确定个人特征的能力却受到许多专家的质疑。

处理口头演讲的另一种选择是将其翻译成书面文本，以便进一步将其作为文本进行分析。当然，我们还测试了将语音转换为字母的工具。但到目前为止，大多数用于识别质量的脱机工具都不适合我们。

行为模式-计算机使用的统计指标。例如，一个人花在特定应用程序，程序上的时间，发送多少个字母等等。著名的UEBA（UBA）项目主要使用此信息，例如，揭示一个人突然开始每天发送10封信而不是100封信（这意味着您需要看他）。但是，在预测用户行为并再次评估其个人特征方面，该技术尚未取得客观的良好结果。

这里一个相对有趣的参数是流量和搜索查询的分析，但它实际上是在说用户的实际兴趣，而不是用户的性格和个性。

面部分析-这是最完善的方法之一。但是在科学界，越来越多的人开始怀疑这种方法的正确性，因为大量信息表明，面部表情并不总是反映一个人的情绪状态，并且非常“嘈杂”。

对此，作为直接熟悉FACS（面部表情编码系统）的人，我也表示同意。给定情境以及刺激和反应的确切关系，对情绪的评估可能主要有用。不幸的是，在我们的条件下，无法跟踪。另外，如果您进一步发展这个想法，您将不得不进行相貌分析，这已经充满了不科学知识领域的研究。

键盘手写直到受到科学界的高度怀疑之前，有数十种作品研究了通过人如何“敲键”来识别人格特征的问题，但是这些作品尚未在实际模型中实现。

现在，该技术仅用于分析人员如何键入用户名和密码，并可以用来识别人员。未开发对任意文本的分析。但是，即使考虑到这些限制，上述所有信息来源的键盘手写对我们来说也是最有趣的，这被称为“成长”。

最后，文字分析。由于书面语言是思考的直接产物，因此研究和证明最多的是。它反映了思维模式，人格的内部结构，喜好，价值观等特征。思维与言语之间的联系是由两门科学研究的：在较大程度上讲语言心理学，在较小程度上讲心理语义学。不仅是我们将书面语言带入了开发过程，ABBYY和Google还将其用作其产品以及许多其他产品的信息源。

选择书面语言作为分析的基础还有另外一种纯粹的技术优势-有很多，它是由ProfileCenter集成的DLP系统成功组装的。因此，选择是预先确定的。

什么是噪音以及如何清除文字

因此，我们记录了书面讲话对我们而言已成为该程序的主要信息来源。下一步工作是创建一种算法，用于清除“噪声”中的语音，从而规范化文本。清除“杂音”是指从文本中删除那些没有语义负荷并且没有分析价值的元素。开始很容易：抽象数字，拉丁词，错别字，一些图片-全部归因于噪音。

使用标点符号，一切都变得更加复杂。距离家庭通信中句子的末尾还远没有一点，而且有必要学习如何开始确定其应站立的位置。逗号的存在和数量也是一个重要的参数。同时，在Skype通讯或社交网络中，标点符号实际上被忽略。

另一个困难是将非正式沟通与信件隔离开来，并分析文本，使雇员超出了专业和公职范围。我们连接到该模块的第一个来源是邮件。此文本不包括介绍性标准短语（您好，关于其尊敬，签名等），并且仅将对应部分的实质内容用于分析。但是，人们通常会在电子邮件上写一些枯燥的商业信函，如果您连接其他信息来源（企业信使，社交网络等），我们将获得更准确的结果。

分析的下一步还包括来自企业信使，Skype，Viber，WhatsApp，Lync，Telegram和社交网络的通信。

处理清除的文字

得到了干净的文字。下一步，也是最困难的，是根据本文构建用户心理型。在我们的概念工具中，“心理型”是描述人与人之间差异的行为刻板印象，个人和价值观，动机，情感和交际人格特质的系统。

科学家的作品中有许多心理类型，但主要是它们彼此重复。我们更多地依赖Lichko，Leongard，Sobchik，Glukhov，Kosinski，Saligman，Belyanin的作品以及结构动态分析Psychea的模型。

由于这些类型的综合，我们现在依赖于八种具有常规名称的心理型：类固醇，癫痫样，偏执狂，情绪化，焦虑，胸腺增高，精神分裂和临界。

但是，如何以自动格式分析文本，以便将其作者归为八种类型之一？

第一个假设是：对于每种心理类型，您需要创建一个词汇词典，在该人的词汇表中找到匹配项，并将其分配给八种类型之一。例如，已知精神分裂症类型的人使用低频词的频率更高（用“ muzle”代替“ wire”或“ octotorp”而不是＃）并且使用更长的时间，而癫痫样类型的人更喜欢动词。

但是，这些都是从经验观察层面得出的结论。如果您尝试将它们转换为算法，则该想法将变得无法实现：字典太大，需要为每个单词分配一个权重（其含义在类型的一般公式中）。谁可以分配此权重？专家分析器。假设甚至还有这样一个抽象的“阿列克谢·菲拉托夫”（Alexey Filatov），他都会费劲地铲除俄语中的所有单词，以查看每个单词如何对应于一个精神分裂症或癫痫发作的词典。但是，即使在这样的乌托邦式版本中，这也将是对特定专家的主观评估。

但是根据个人人格特质的严重程度，一个人使用单词的频率字典是完全不同的。心理语言学研究者拥有它们。但是即使这样，由于其对分析的重要性，公式中的此变量也不在首位。因为更重要的不是人说什么，而是如何说：他使用什么词性，他如何组成词组，哪个使用词法等等。这些参数中有许多是用俄语的语料库描述的，这已经是准备公式的起点。

另一个重点。为了说明一个人的某些个人品质的严重性，您需要一个起点。一个人不能简单地出于金钱动机或冲突，仅与其他人相比才具有动机或冲突。因此，程序的条件“准则”是团队中个人素质的中位数。正确计算中位数的最小值应为20个人。

结果，从以下几个方面选择了计算算法-从收集用户文本到对一种或另一种心理型的最终分类-

从消息中提取非结构化的用户文本；
我们在非结构化的文字中定义与个人素质字典相吻合的单词；
根据非结构化文本中单词的出现频率确定单词权重的值；
确定个人素质的特征；
我们确定用户个人素质定量表达的指标，并将其特征与团队所有用户的中位数指标进行比较；
确定用户的心理型。

可以确定，在程序界面中，安全专家或HR人员的用户看不到心理型形式的计算结果，而是看到了计算的中间阶段。也就是说，个人素质的布局。这更有用。我们在所谓的扩展报告中展示了心理型本身。

假设检验和公式细化

我们已经决定了计算算法。如何检查公式以及如何调整要检查的对象？为此，SearchInform的员工自己成为了测试对象-他们选择了102个人。我在其他探查者的帮助下手动进行了探查。受试者接受了3份标准化问卷：5PFQ问卷（所谓的“五大”），Schwartz问卷，LN Sobchik SMIL和ITO问卷。然后，我们将结果与程序生成的数据进行比较。

在规模上，结果有所不同-从57％到94％。内向/内向，焦虑，冲突，活动等的尺度得到了完美的确定，结果却变得更糟，例如，“雄心勃勃”。

根据获得的统计数据，对该公式进行了调整，结果，我们将70多个变量（例如，被动语音索引，单词长度索引，句子，专有名称等）及其权重“缝”入了其中。

确定分析所需的最少书面材料需要花费很长时间。现在我们已经解决了2万个引理（引理是单词的不变形式）。但是他们从5万开始分析，以5000为增量减少了这一数量。

最常见的问题之一是为什么我们仍然没有意识到评估来自开源的第三方用户文本的可能性？例如，如果您可以接受网络上特定用户的文本并根据相同标准进行分析，为什么还要等待2万个引理的积累？从技术上讲，这是可能的，但随后该信息不是由一个人而是由一组雇员或类似专业的人（为什么要在上面描述）加载到程序中。

战斗检查和限制

当工作模型准备就绪时（大约两年前），他们不仅在自己的员工上开始测试（MVP）该程序，还在同意参加该实验的数十个客户的员工上测试该程序。到2018年10月至11月，他们收到了功能良好的产品。我们确信它给出了所谓的定性数据主要的个人素质（我们可以使用调查表进行仔细检查）。

由专家分析人员和客户评估的最终模块结果的准确性为75–80％。对于一项以前没有人提出解决方案的任务，这些都是很好的指标。最主要的是，这足以解决业务问题。

有些线我们仍然无法超越。要创建最高质量的心理肖像，您需要两种或四种方式：文本，语调，交通等。当我们向模块添加语音，社交网络和键盘手写分析时，实现的质量将更好。但是这些任务很难解决（如上所述）。计算模块的准确性的每个后续百分比都会越来越困难。
尝试为那些写得很少并且词汇坦率地说很差的人建立个人资料时，我们面临着大致相同的限制。我们正在谈论那些通信被简化为“你好”，“确定”和“继续”的用户。仅基于有关他们的书面讲话很难建立正确的档案。

发生什么事？简短的个人资料-里面有什么

上述所有研究的结果是一个简短的性格特征。正如我所说，这是主要信息，即“原始材料”，目的是得出有关一个人和团队的更详细的结论。

在简短的简介中，我们需要创建一个用户肖像，以从安全专家和信息安全服务的角度反映根本重要的特征：优点/缺点，员工与其他用户之间的根本差异，一般类型，犯罪趋势，价值观和建议。

结果，在简短的介绍中，我们挑出了三个最强和三个最弱的人格特质。
例如，它看起来像这样：（

顺便说一下，这是一个强力领导者的个人资料的屏幕截图）。

接下来，我们编写个人素质指数。我们为什么需要他？并非所有的人格特征都是相同的……稳定。某些内容的显示强烈取决于上下文，没有起点，就不可能得出质量表示的结论。

例如，何时可以说一个人有冲突？他什么时候开始发誓？打败别人？射击？但是，如果我们得出结论，与相反的质量相比（在二分法中）存在冲突，那么我们可以理解两者的发音。也就是说，一个人比冲突更敏感，更有礼貌。

我们还将简短地识别犯罪趋势（不要忘记我们的ProfileCenter是主要用于安全服务的产品）。

为了识别风险对于每个个人资料，他们再次转向心理学，这是个人素质所固有的经济和信息安全风险的语言。例如，冲突，健谈，性格黑暗（操纵性），领导才能，情感。有研究使这些数据可以比较并得出建议。在这里，我们不仅关注犯罪学，犯罪心理学和犯罪概况分析领域的大量工作，还关注人员安全和人员风险管理。
为了计算雄心，我们编译了自己的语言公式。为了选择用于计算基本值的变量公式，我们采用了Belyanin和Schwartz的科学方法。

这就是全部的样子。简要资料报告：

评分，高级报告和配置文件动态

下一步是什么？有了关于个人素质的信息，我们便着手创建评级，因为这对于我们的目标受众特别是安全服务专家和信息安全专家而言是一项有用的功能。他们告诉我们：我们有5,000个用户，您不能关注所有人。如果您可以缩小我们的关注重点（确定风险人群），我们将知道应该密切关注谁。

这个阶段的复杂性不是技术上的，而是方法论上的。仅仅吸引和评价每种质量的所有用户还不够。对于安全服务而言，“综合性”人格特征是有益的，即不是冲突，而是丑闻，不是互动的愿望，而是领导能力。丑闻和领导力包括一些简短的指标。为了为每个等级编制一个公式，以确定每个等级的权重，我们再次转向心理语义学和心理语言学。我们至少处理了35篇俄语和英语作品。结果，该程序现在给出12个评分，您可以在此基础上创建自己的评分。

等级可以确定准备解雇，沮丧，进取，丑闻等员工的风险组。反之亦然，使用等级可以创建人员储备组。顺便说一句，我们非常擅长预测员工的解雇，工作倦怠和高领导潜能。

原则上，创建扩展的配置文件和配置文件动力学时，还应遵循与心理语言学相同的技术和方法任务-为公式选择变量并确定每个值的权重。

在扩展配置文件中进行了其他报告，大大扩展了该计划的范围，因为本质上，它们提供有关用户核心竞争力的信息。他们通常由人事经理和SHL能力经理进行评估（对权力和控制，同意，外向性，一般智力，对新事物的开放性，承诺，情绪稳定，成就动机的需要）。

概要文件更改的动态 -根据该报告，如果某人发生了某些事情，如果该人突围了对信息安全专家而言至关重要的等级领导者，您将收到警告。

我非常重视我们能够创建有关动态的报告这一事实。为什么这样做很重要？如果在经过2-4个月的重新计算后，用户的个人资料和等级大致保持稳定，则表明已发现所谓的典型用户行为。

这意味着行为分析在信息安全中的关键任务已经解决。

接口

但是奇怪的是，不仅需要解决技术，方法上的问题，还必须进行修补。结果图形表示的问题引起了不少讨论。在我的脑海中，界面看上去与现在完全不同。但是，重要的是要考虑如何使客户更方便地使用该产品。

设计师在紧急模式下工作，检查了数十个选项。每个元素都受到批评：在项目团队中被称为``电池''的个人素质指标的可视化，表示基本价值和野心水平的象形图以及一些建议。

界面“ CIB Searchinform ProfileCenter”，于2018年发布

“翻译困难”

另一点是术语。从科学的角度来看，如何选择正确的个人素质，等级以及对我们的用户有用的名称？例如，在第一个版本中，我们引入了“赌博”参数。在心理学上，这意味着参与此过程，对于大多数人来说，这是“致力于赌博”。

由于术语上的差异，alpha版本引起了含糊的评估，因此术语的定义和简要说明出现在报告的最终版本中。

现在，每次我们引入新的评分时，讨论仍在继续，您需要确定一个宽敞但可以理解的非心理学家的名字。应该注意的是，我们在外国词汇上走的是相同的道路-去年发布是用英语进行的。

你还在做什么？正在改进报告的工作中。现在，该模块可以为高级员工资料生成约78,000个选项；它可以确定用户的风险等级。 ProfileCenter与SearchInform CIB DLP系统集成，并且需要学习如何查找与事件和人类行为的相关性。

我们正在努力将键盘手写检测模块集成到ProfileCenter中，准备一份扩展报告以及人员和信息安全领域的其他风险-总的来说，还有许多用于增强软件功能的选项。

通常，市场正在朝这个方向积极发展，并且已经有一些追随者试图自动评估信息安全领域中员工的风险。但我强调，在几种“模式”的结合处，这样的工作可能是有希望的-同时，分析至少不仅要考虑“技术”信息，还要考虑心理语言信息：更好，甚至更多。

压力

如果我关于配置文件的漫长故事并没有让您惊惧，而是对该主题更感兴趣，那么我从星期一开始邀请您参加“ IS服务配置文件”课程-我们将在Center Search现场进行5堂课，并将在线免费提供（所有原因隔离，还有什么）。

主题列表：

20 , 11.00 : . . , .
21 , 11.00 .

« ProfileCenter» .
22 11.00 .

. ? .
23 , 11.00 . . .
24 , 11.00 .

. ? .

您可以在这里注册。

接受不可避免的五个阶段，或者我们如何开发用于自动配置的程序