1.一種基于用戶語言特征的內部威脅檢測方法，其特征是，首先分析用戶的語言數據，提取語言特征并建立能夠表征用戶人格心理特征的數值化特征向量，然后構建分類器并進行分類器訓練來識別異常人格心理特征的用戶，最后分析異常人格心理特征用戶的特征向量偏移度來篩選出誤報用戶，并將剩余的用戶作為內部潛在惡意用戶上報給安全管理員進行分析應對；

所述基于用戶語言特征的內部威脅檢測方法包括以下步驟：

1)、數據預處理：對內部審計系統的用戶語言數據進行至少包含自動化審計、自動化內容處理和自動化聚合三方面的分析處理；

2)、人格心理特征向量構建：首先對每個用戶的用戶語言數據進行分析，將得到相應的重要詞類的詞頻結果作為中文詞LIWC的分析結果，然后借助LIWC詞類與大五人格的特征關聯，將計算出大五人格的18個子維度特征數值作為該用戶的人格心理特征向量；

3)、分類器訓練：首先構建分類器，并選擇初始的某個時間段內審計的用戶語言數據，計算每個用戶的人格心理特征向量，然后應用單類支持向量機訓練得到初始的用戶群組的心理模型，最后在之后任意一個新的時間段內計算基于用戶語言數據內容建模的人格心理特征向量，并使用用戶群組心理模型判斷是否異常，判斷異常的用戶群組集合記為AbnormalUsers；

4)、威脅置信度計算：對判斷為異常的用戶群組集合AbnormalUsers進行計算威脅置信度來進一步篩選用戶；所述威脅置信度計算過程包括以下具體步驟：

41)、對于異常用戶群組集合AbnormalUsers中的用戶，將其對應的18維度特征向量構成一個矩陣Matrix_1，行數為AbnormalUsers的用戶數，列為18；

42)、按照列計算矩陣Martix_1的每行的Z分數得到Martrix_2，Martrix_2的計算公式如下：

其中，對于Matrix_1中的第i個用戶而言，X_ij代表其第j個維度數值，代表其矩陣中第j列的數值均值，σ_j代表第j列的標準差；

當對Matrix_1中每個用戶計算Z分數后，組成新的矩陣Matrix_2；

43)、計算矩陣Martrix_2的每列數據的均值，得到18維度的均值向量Mean_value；

44)、首先對異常用戶群組集合AbnormalUsers中的每個用戶依次比較其18維度特征向量中超過均值向量Mean_value中對應數值的個數，然后將所得新的18維二元向量作為其威脅置信度TCD，如果威脅置信度TCD中‘1’的個數超過閾值K，則標記該用戶為正常用戶，并從異常用戶群組集合AbnormalUsers中刪除該用戶；

45)、重復上述步驟41)至步驟44)直到所有異常用戶群組集合AbnormalUsers中所有用戶均經過判斷，最后剩余的異常用戶群組集合AbnormalUsers中用戶作為內部潛在惡意用戶上報給安全管理員分析應對。