CN108881157B - 一种基于pc终端行为的个体信息安全能力评价方法及系统 - Google Patents

Abstract

本发明提出的一种基于PC终端行为的个体信息安全能力评价方法及系统，通过对个体计算机行为数据的客观评测，来确定个体信息安全能力，解决了现有评价方法单一、评价全面性不足的问题，不仅考虑到个体的主观意识，更着重考虑到更重要的客观行为对本体分析的重要性，能够更加真实的反映用户的信息安全能力。

Description

一种基于PC终端行为的个体信息安全能力评价方法及系统

技术领域

本发明实施例涉及信息安全能力评价技术领域，具体涉及一种基于PC终端行为的个体信息安全能力评价方法及系统。

背景技术

随着网络安全事件日益频发，社会工程学在网络攻击中广泛使用，个体信息安全能力的重要性逐渐提升。个体信息安全能力淡薄，对于PC终端存在的问题，如对密码设定不合理、防火墙开启、端口开放设置不当等，给个人、企业带来了极大的信息安全风险。2003年Donner提出了安全本体，并将其定义为“在信息系统中，描述与安全相关的概念以及这些概念之间相互关系的一种本体”。随着移动办公模式的兴起，BYOD(bring your own device)模式提高了工作效率的同时也引入了安全隐患。对个体的信息安全能力的客观评价就显得尤为重要。

目前在信息安全评价中主要着眼于评价设备、方法、系统的信息安全能力，缺少以人为对象的个体信息安全能力评价方法，而个体的不安全行为是组织内信息安全事件频发的一个重要原因，对组织内个体进行信息安全能力评价是进行安全意识教育、构建安全防护体系、实现安全生产的重要环节和必要保障。现有的PC终端用户行为安全能力检测或评价方法可分为以下3种：问卷调查法、在线测验法和严肃游戏法。

1.问卷调查法

问卷调查法是目前个体信息安全能力评价的主要方法。常见做法是发放调查问卷。采用问卷调查的方式对企业人员进行信息安全知识与行为方面的调查，采用确定因子分析的方法对结果进行分析，发现仅从安全知识层面不足以充分检测PC终端用户的安全能力，可见行为因素会发挥重要作用。或者通过向调查者发送钓鱼邮件的方式，观察检测对象的应对行为，进一步验证了安全意识与安全行为具有强关联性。但这类研究方法受问卷题目容量、行为采集技术的限制，导致其研究范围较窄且效率较低，主观性较强，忽略了客观行为因素特征，影响了评价结果的客观性和准确性。

2.在线测验法

针对问卷调查的缺陷，设计实现了信息安全评测及能力促进系统(MEERKAT)。通过试题测试的方式，确认个体信息安全水平的高低，并向用户推荐能够强化训练其认知短板的针对性学习内容。但是，该类方法的问题是：即使个体在测试中有较高的信息安全素养，但在其实际活动中是否能将这些安全意识落实到具体行为中也是难以保证的，同时在测试或填写调查问卷等有感条件下，用户会有意识地根据试题进行准备与针对性的应对，难以反映用户安全意识的真实落实情况。

3.严肃游戏法

为了解决在真实场景下搜集用户数据、检测用户不安全行为等难题，严肃游戏(serious game)技术被引入到个体信息安全能力教育和技能培养中。最初被定义为“以应用为目的的游戏”，具体来讲，是指以那些以教授知识技巧、提供专业训练和模拟为主要内容的游戏。比如美国NPS中心联合Rivermind公司开发的CyberCIEGE，该平台能够通过在线游戏的方式给出参与者在信息安全能力方面的评级或者具体分数。但该类方法的不足在于只针对某项技能进行训练，不能很好地适应当前层出不穷的安全风险，且开发代价较高。

综上所述，当前PC终端行为的个体信息安全能力评价研究尚存在主观性强，用户行为安全性分析形式化描述缺失，调查问卷或测试的内容固定，难以检测不同场景下用户应对复杂多变的安全威胁的能力等问题。

发明内容

为了解决上述技术问题或者至少部分地解决上述技术问题，本发明实施例提供了一种基于PC终端行为的个体信息安全能力评价方法。

有鉴于此，第一方面，本发明实施例提供一种基于PC终端行为的个体信息安全能力评价方法，包括：

采集个体计算机行为数据；

根据预先制定的安全行为规则，基于所述个体计算机行为数据提取行为动作集和行为权重集，所述行为权重集的元素与行为动作集的元素一一对应；

根据行为动作集和行为权重集，基于预先构建的信息安全能力综合评价模型，评价个体信息安全能力水平。

采个体计算机行为数据，包括：

通过全局事件监听接口和行为监听方法采集个体计算机行为数据；

将采集到的个体计算机行为数据的数据格式转换为符合安全行为规则提取的格式。

根据所述个体计算机行为数据和预先制定的安全行为规则，提取行为动作集和行为权重集，包括：

根据预先制定的安全行为规则，量化个体计算机行为数据；

根据量化后的个体计算机行为数据，得到用于表示个体计算机行为数据的安全特征的行为动作集；

基于个体计算机行为数据，通过德尔菲专家咨询法，得到与行为动作集对应的行为权重集。

所述安全行为规则，如下所示：

SBR::＝{Action,Rule}

其中，SBR表示安全行为规则，Action表示用户安全行为，Rule表示推理规则集，用来对用户安全行为进行安全性识别。

根据行为动作集和行为权重集，基于预先构建的信息安全能力综合评价模型，评价个体信息安全能力水平，包括：

所述预先构建的信息安全能力综合评价模型包括本征力、警觉力和学习力，根据行为动作集和行为权重集，计算个体的本征力、警觉力和学习力；

根据个体的本征力、警觉力和学习力，确定个体信息安全能力水平。

根据动作集和行为权重集，计算个体的本征力的公式如下所示：

Instinctive(u)＝Action(u)*Alpha^T(u)

其中，u表示用户，Instinctive(u)表示用户u的本征力，Action表示用户u的行为动作集，Alpha^T(u)用户u的行为权重集的转置。

根据动作集和行为权重集，计算个体的警觉力的计算公式如下所示：

其中，Alertness(u)表示用户u的警觉力，Sum_j(u)表示用户u所产生的第j类不安全动作的总数，S_i表示第i种存在的不安全行为的总数，Right(S_i)表示第i种存在的不安全行为的总数S_i的带权综合长度，n表示存在n种不安全行为；

所述Right(S_i)的计算公式如下所示：

其中，I表示指示函数，当I{true}＝1,I{false}＝0，true和false表示个体计算机行为数据的安全特征，根据安全行为规则确定，true用于表示安全取值为0，false表示不安全取值为1，a_k表示行为动作集中第k个元素，a_i表示行为动作集中第i个元素，b_i为行为权重集中第i个元素，l表示行为动作集的元素总数，n表示行为权重集的元素总数，l＝n都和存在的安全行为总数相同。

8、根据权利要求5所述的个体信息安全能力评价方法，其特征在于，根据动作集和行为权重集，计算个体的学习力的计算公式如下所示：

其中，Learning(u)表示用户u的学习力，Sum(u)表示用户u所产生的不安全动作的总数，R_i(u)表示用户u第i种不安全动作发生重复的次数，a_i表示行为动作集中第i个元素，n表示存在n种不安全行为。

根据个体的本征力、警觉力和学习力，确定个体信息安全能力水平，包括：

根据个体的本征力、警觉力和学习力按下式计算个体信息安全能力水平：

其中，Abil ity(u)表示用户u的信息安全能力水平，Instinctive(u)表示用户u的本征力，Alertness(u)表示用户u的警觉力，Learning(u)表示用户u的学习力，φ、λ、η均为可调参数。

所述个体计算机行为数据包括：计算机防火墙信息、用户密码配置信息、注册表配置信息、网络配置信息、系统配置信息、软件安全配置信息和日志信息。

第二方面，本发明实施例提供一种基于PC终端行为的个体信息安全能力评价系统，包括：

采集模块，用于采集个体计算机行为数据；

提取模块，用于根据预先制定的安全行为规则，基于所述个体计算机行为数据提取行为动作集和行为权重集，所述行为权重集的元素与行为动作集的元素一一对应；

评价模块，用于根据行为动作集和行为权重集，基于预先构建的信息安全能力综合评价模型，评价个体信息安全能力水平。

所述提取模块根据所述个体计算机行为数据和预先制定的安全行为规则，提取行为动作集和行为权重集，包括：

根据预先制定的安全行为规则，量化个体计算机行为数据；

根据量化后的个体计算机行为数据，得到行为动作集；

基于个体计算机行为数据，通过德尔菲专家咨询法，得到行为权重集。

所述评价模块根据行为动作集和行为权重集，基于预先构建的信息安全能力综合评价模型，评价个体信息安全能力水平，包括：

所述预先构建的信息安全能力综合评价模型包括本征力、警觉力和学习力，根据行为动作集和行为权重集，计算个体的本征力、警觉力和学习力；

根据个体的本征力、警觉力和学习力，确定个体信息安全能力水平。

第三方面，本发明实施例还提出一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行如第一方面所述方法的步骤。

相比现有技术，本发明实施例提出的一种基于PC终端行为的个体信息安全能力评价方法，通过对个体计算机行为的客观评测，来确定个体信息安全能力，解决了现有评价方法单一、评价全面性不足的问题，不仅考虑到个体的主观意识，更着重考虑到更重要的客观行为对本体分析的重要性，能够更加真实的反映用户的信息安全能力；

相比于问卷调查法，本发明不受问卷题目容量、行为采集技术的限制，展宽了研究范围且极大地提高了测试效率，充分降低了主观因素的影响，提高了PC终端用户安全能力评价模型的客观性和准确性。

相比于在线测验法，本发明克服了有感条件下，用户有意识地根据试题进行准备与针对性的应对的情况，可以真实的反映用户的安全意识落实情况，对个体信息安全能力的评价结果更加科学。

相比于严肃游戏法，本发明不只针对某项技能进行训练，可以很好地适应当前层出不穷的安全风险，降低了开发成本。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的一种基于PC终端行为的个体信息安全能力评价方法流程图；

图2为本发明实施例提供的一种基于PC终端行为的个体信息安全能力评价系统示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

参照图1，图1为本发明一个实施例提供的一种基于PC终端行为的个体信息安全能力评价方法，可包括以下步骤：

采集个体计算机行为数据；

根据预先制定的安全行为规则，基于所述个体计算机行为数据提取行为动作集和行为权重集，所述行为权重集的元素与行为动作集的元素一一对应；

根据行为动作集和行为权重集，基于预先构建的信息安全能力综合评价模型，评价个体信息安全能力水平。

采集个体计算机行为数据，可以包括：

步骤1.1，在个体无感状态下，利用Windows系统自身提供的全局事件监听API和自主开发的行为监听方法采集数据，采集个体计算机防火墙、用户级密码配置信息、注册表配置信息、网络配置信息、系统配置信息、软件安全配置信息和日志信息。

步骤1.2，对采集到的数据进行预处理，使其数据格式符合下一步安全行为规则提取。

根据预先制定的安全行为规则，基于所述个体计算机行为数据提取行为动作集和行为权重集，可以包括：

步骤2.1，定义安全行为规则(SBR,security behavior rules)由用户安全行为和推理规则集构成，其形式化定义为SBR::＝{Action,Rule}其中，Action表示用户安全行为，用来描述收集到的行为特征及其之间关系，Rule表示推理规则集，用来关联用户安全行为并进行安全性识别，如防火墙关闭、用户密码设置未开启，密码复杂度较低、注册表访问权限。

步骤2.2，定义个体在使用个人计算机过程中存在的典型不安全行为。如防火墙未开启、防火墙所处网站(public/private)、允许远程连接、有未启用的管理员账号，多个未启用的guest账号、有未启用网卡、共享文件夹开启、web安全等级低、系统服务数目过多以及UAC关闭等。

步骤2.3，分别量化定义用户u的各个特征，行为动作集Action(u)＝{a₁,a₂,…a_k…a_l}，行为权重集为Alpha(u)＝{b₁,b₂,…b_k…b_l}；

行为动作集元素的设定，例如：规定有未开启的防火墙为false＝1，防火墙全部开启为true＝0，UAC关闭为false＝1，UAC开启为true＝0，共享文件夹开启为true＝1，共享文件夹关闭为false＝0，用户密码永不过期为true＝1，非永不过期为false＝0等。

根据行为动作集和行为权重集，基于预先构建的信息安全能力综合评价模型，评价个体信息安全能力水平，可以包括：

提出了一种信息安全能力综合评价模型，获得评价个体PC终端行为的信息安全能力的三大要素：本征力，警觉力，学习力，得出PC终端用户个体安全能力评测值。

所述本征力用于表示避免发生不安全行为的能力；

所述警觉力用于表示对不安全行为发生的警觉能力；

所述学习力用于表示提升安全防范，避免重复发生不安全行为的能力。

步骤3.1获取PC终端个体的本征力,用户u的本征力计算公式为：

Instinctive(u)＝Action(u)*Alpha^T(u) (1)

步骤3.2获取PC终端个体的警觉力，本发明用每种不安全行为的总数来衡量用户的警觉性，用户u的警觉力计算公式为：

其中，Sum_j(u)表示用户所产生的第j类不安全行为总数，Right(S_i)表示不安全行为总数S_i的带权综合长度，计算公式为：

比较步骤2.3，记指示函数I{true}＝1,I{false}＝0。

步骤3.3获取PC终端个体的学习力，识别不安全行为是否被用户重复执行，并通过其中包含的行为来确定所属动作类型，以确定权重，PC终端个体学习力的计算公式为：

步骤3.4本征力、警觉力和学习力共同构成PC终端用户安全能力评测值，通过下式计算个体信息安全能力水平Ability：

其中，

λ、η为3个可调参数。

在一个具体的例子中，

以北京理工大学信息与电子学院BFS实验室30名学生为实验对象，使用C++语言实现了一个原型系统信息安全意识评估系统，客户端实验可以进行个人计算机行为扫描，利用Windows系统自身提供的全局事件监听API和自主开发的行为监听方法采集数据，包括(1)采集个体计算机防火墙信息、用户级密码配置信息、注册表配置信息、网络配置信息、系统配置信息、软件安全配置信息和日志信息；(2)针对包含是否开启防火墙等的PC端数据(2200维)属性进行量化处理，使其符合安全规则提取格式；(3)通过公式计算出本征力、警觉力和学习力以及专家经验设置参数值，共同得出每位PC终端用户的安全能力评测值。

具体流程为：

步骤1，对北京理工大学信息与电子学院BFS实验室30名学生在无感状态下，利用Windows系统自身提供的全局事件监听API和自主开发的行为监听方法采集数据，采集个体计算机防火墙、用户级密码配置信息、注册表配置信息、网络配置信息、系统配置信息、软件安全配置信息和日志信息，下表显示了采集PC端个体安全配置具体内容。

步骤2，安全行为规则提取，规定有未开启的防火墙为false＝1，防火墙全部开启为true＝0，UAC关闭为false＝1，UAC开启为true＝0，共享文件夹开启为true＝1，共享文件夹关闭为false＝0，用户密码永不过期为true＝1，非永不过期为false＝0等，原型系统获取了2017年11月10日～2017年11月15日期间共计30条行为数据，每条行为数据包括2200余维。

步骤3，获取PC终端个体的本征力，根据式(1)并结合德尔菲专家咨询法，将计算机防火墙、用户级密码配置信息、注册表配置信息、网络配置信息、系统配置信息、软件安全配置信息和日志信息设置行为权重依次确定为0.15、0.15、0.05、0.15、0.25、0.2、0.05，行为动作集的元素a₁～a₇的取值基于不安全行为规则，根据具体情况来确定，得到Instinctive(u₁)～Instinctive(u₃₀)。

步骤4，获取PC终端个体的警觉力，7类行为的权重与式(1)中相同，通过统计得到不安全防火墙行为、用户密码行为、注册表配置行为、网络配置行为，系统配置行为、软件安全行为、日志安全行为的总深度与各类型的不安全行为总数，得到Alertness(u₁)～Alertness(u₃₀)。

步骤5，获取PC终端个体的学习力，计算出每个个体的不同不安全行为重复发生的次数，各类型行为的权重取值与式(1)中相同，将相似度阈值δ≥0.6的行为归为一类，并计算各类行为的重复度，计算得到每个用户的学习能力值Learning(u₁)～Learning(u₃₀).

步骤6，通过公式计算出本征力、警觉力和学习力以及专家经验设置参数值φ、λ、η，得出每位PC终端用户的安全能力评测值Ability(u₁)～Ability(u₃₀)。

测试结果：本发明通过PC端多源、多类型、多精度的安全数据采集，能够检测用户真实存在的不安全PC端的客观行为；通过构造安全行为规则，完成了多类型行为的统一表示与形式化规则描述；通过构造行为规则集，解决了动态行为分析问题；通过构建信息安全能力评估模型，完成了安全能力的定量评估，客观展现出用户的信息安全能力级别。对这些具体的不安全行为进行解析，可以发现部分用户在密码设置、共享文件夹以及系统服务数目和UAC是否关闭识别上的警觉性不足，不能及时意识到行为中存在的安全风险，相关的安全意识与技能亟待强化。

图2为本发明实施例提供的一种基于PC终端行为的个体信息安全能力评价系统，如图2所示，可以包括：

采集模块，用于采集个体计算机行为数据；

提取模块，用于根据预先制定的安全行为规则，基于所述个体计算机行为数据提取行为动作集和行为权重集，所述行为权重集的元素与行为动作集的元素一一对应；

评价模块，用于根据行为动作集和行为权重集，基于预先构建的信息安全能力综合评价模型，评价个体信息安全能力水平。

所述采集模块采个体计算机行为数据，包括：

通过全局事件监听接口和行为监听方法采集个体计算机行为数据；

将采集到的个体计算机行为数据的数据格式转换为符合安全行为规则提取的格式。

所述安全行为规则，如下所示：

SBR::＝{Action,Rule}

其中，SBR表示安全行为规则，Action表示用户安全行为，Rule表示推理规则集，用来对用户安全行为进行安全性识别。

所述提取模块根据所述个体计算机行为数据和预先制定的安全行为规则，提取行为动作集和行为权重集，包括：

根据预先制定的安全行为规则，量化个体计算机行为数据；

根据量化后的个体计算机行为数据，得到行为动作集；

基于个体计算机行为数据，通过德尔菲专家咨询法，得到行为权重集。

所述评价模块根据行为动作集和行为权重集，基于预先构建的信息安全能力综合评价模型，评价个体信息安全能力水平，包括：

所述预先构建的信息安全能力综合评价模型包括本征力、警觉力和学习力，根据行为动作集和行为权重集，计算个体的本征力、警觉力和学习力；

根据个体的本征力、警觉力和学习力，确定个体信息安全能力水平。

根据动作集和行为权重集，计算个体的本征力的公式如下所示：

Instinctive(u)＝Action(u)*Alpha^T(u)

其中，u表示用户，Instinctive(u)表示用户u的本征力，Action表示用户u的行为动作集，Alpha^T(u)用户u的行为权重集的转置。

根据动作集和行为权重集，计算个体的警觉力的计算公式如下所示：

其中，Alertness(u)表示用户u的警觉力，Sum_j(u)表示用户u所产生的第j类不安全动作的总数，S_i表示第i种存在的不安全行为的总数，Right(S_i)表示第i种存在的不安全行为的总数S_i的带权综合长度，n表示存在n种不安全行为；

所述Right(S_i)的计算公式如下所示：

其中，I表示指示函数，当I{true}＝1,I{false}＝0，true和false表示个体计算机行为数据的安全特征，根据安全行为规则确定，true用于表示安全取值为0，false表示不安全取值为1，a_k表示行为动作集中第k个元素，a_i表示行为动作集中第i个元素，b_i为行为权重集中第i个元素，l表示行为动作集的元素总数，n表示行为权重集的元素总数，l＝n都和存在的安全行为总数相同。

8、根据权利要求5所述的个体信息安全能力评价方法，其特征在于，根据动作集和行为权重集，计算个体的学习力的计算公式如下所示：

其中，Learning(u)表示用户u的学习力，Sum(u)表示用户u所产生的不安全动作的总数，R_i(u)表示用户u第i种不安全动作发生重复的次数，a_i表示行为动作集中第i个元素，n表示存在n种不安全行为。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明各个实施例所述的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法或者实施例的某些部分所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (7)

1.一种基于PC终端行为的个体信息安全能力评价方法，其特征在于，包括：

采集个体计算机行为数据；

根据预先制定的安全行为规则，基于所述个体计算机行为数据提取行为动作集和行为权重集，所述行为权重集的元素与行为动作集的元素一一对应；

根据行为动作集和行为权重集，基于预先构建的信息安全能力综合评价模型，评价个体信息安全能力水平；

所述安全行为规则，如下所示：

SBR::＝{Action,Rule}

其中，SBR表示安全行为规则，Action表示用户安全行为，Rule表示推理规则集，用来对用户安全行为进行安全性识别；

其中，所述根据行为动作集和行为权重集，基于预先构建的信息安全能力综合评价模型，评价个体信息安全能力水平，包括：

所述预先构建的信息安全能力综合评价模型包括本征力、警觉力和学习力，根据行为动作集和行为权重集，计算个体的本征力、警觉力和学习力；

根据个体的本征力、警觉力和学习力，确定个体信息安全能力水平；

其中，根据动作集和行为权重集，计算个体的本征力的公式如下所示：

Instinctive(u)＝Action(u)*Alpha^T(u)

其中，u表示用户，Instinctive(u)表示用户u的本征力，Action表示用户u的行为动作集，Alpha^T(u)用户u的行为权重集的转置；

其中，所述根据动作集和行为权重集，计算个体的警觉力的计算公式如下所示：

其中，Alertness(u)表示用户u的警觉力，Sum_j(u)表示用户u所产生的第j类不安全动作的总数，S_i表示第i种存在的不安全行为的总数，Right(S_i)表示第i种存在的不安全行为的总数S_i的带权综合长度，n表示存在n种不安全行为；

所述Right(S_i)的计算公式如下所示：

其中，I表示指示函数，当I{true}＝1,I{false}＝0，true和false表示个体计算机行为数据的安全特征，根据安全行为规则确定，true用于表示安全取值为0，false表示不安全取值为1，a_k表示行为动作集中第k个元素，a_i表示行为动作集中第i个元素，b_i为行为权重集中第i个元素，l表示行为动作集的元素总数，n表示行为权重集的元素总数，l＝n都和存在的安全行为总数相同；

其中，所述根据动作集和行为权重集，计算个体的学习力的计算公式如下所示：

其中，Learning(u)表示用户u的学习力，Sum(u)表示用户u所产生的不安全动作的总数，R_i(u)表示用户u第i种不安全动作发生重复的次数，a_i表示行为动作集中第i个元素，n表示存在n种不安全行为；

其中，所述根据个体的本征力、警觉力和学习力，确定个体信息安全能力水平，包括：

根据个体的本征力、警觉力和学习力按下式计算个体信息安全能力水平：

其中，Ability(u)表示用户u的信息安全能力水平，Instinctive(u)表示用户u的本征力，Alertness(u)表示用户u的警觉力，Learning(u)表示用户u的学习力，φ、λ、η均为可调参数。

2.根据权利要求1所述的个体信息安全能力评价方法，其特征在于，采个体计算机行为数据，包括：

通过全局事件监听接口和行为监听方法采集个体计算机行为数据；

将采集到的个体计算机行为数据的数据格式转换为符合安全行为规则提取的格式。

3.根据权利要求1所述的个体信息安全能力评价方法，其特征在于，根据所述个体计算机行为数据和预先制定的安全行为规则，提取行为动作集和行为权重集，包括：

根据预先制定的安全行为规则，量化个体计算机行为数据；

根据量化后的个体计算机行为数据，得到用于表示个体计算机行为数据的安全特征的行为动作集；

基于个体计算机行为数据，通过德尔菲专家咨询法，得到与行为动作集对应的行为权重集。

4.根据权利要求1-3任一所述的个体信息安全能力评价方法，其特征在于，所述个体计算机行为数据包括：计算机防火墙信息、用户密码配置信息、注册表配置信息、网络配置信息、系统配置信息、软件安全配置信息和日志信息。

5.一种基于PC终端行为的个体信息安全能力评价系统，其特征在于，用于执行如权利要求1所述的基于PC终端行为的个体信息安全能力评价方法，包括：

采集模块，用于采集个体计算机行为数据；

提取模块，用于根据预先制定的安全行为规则，基于所述个体计算机行为数据提取行为动作集和行为权重集，所述行为权重集的元素与行为动作集的元素一一对应；

评价模块，用于根据行为动作集和行为权重集，基于预先构建的信息安全能力综合评价模型，评价个体信息安全能力水平。

6.根据权利要求5所述的个体信息安全能力评价系统，其特征在于，所述提取模块根据所述个体计算机行为数据和预先制定的安全行为规则，提取行为动作集和行为权重集，包括：

根据预先制定的安全行为规则，量化个体计算机行为数据；

根据量化后的个体计算机行为数据，得到行为动作集；

基于个体计算机行为数据，通过德尔菲专家咨询法，得到行为权重集。

7.根据权利要求5所述的个体信息安全能力评价系统，其特征在于，所述评价模块根据行为动作集和行为权重集，基于预先构建的信息安全能力综合评价模型，评价个体信息安全能力水平，包括：

所述预先构建的信息安全能力综合评价模型包括本征力、警觉力和学习力，根据行为动作集和行为权重集，计算个体的本征力、警觉力和学习力；

根据个体的本征力、警觉力和学习力，确定个体信息安全能力水平。

Images