由于网络系统内部用户对内部网络结构熟悉,对网络资源有访问权限,其在进行恶意操作时,威胁行为隐藏在正常行为中,难以被辨识,甚至内部恶意行为造成的后果远远大于外部攻击,这也使得内部威胁成为近年来异常检测领域最具挑战性的问题之一。现有的内部威胁检测算法存在误报率高、精度受限、对样本需求量大且特征选取不够全面的问题,忽略用户间的相似性对发生威胁攻击的影响。本论文基于深度学习对用户的恶意行为进行研究,旨在提高内部用户行为检测的准确性和全面性,在过程中结合用户业务逻辑与用户自身行为细节、结合相似用户行为与用户自身历史行为的影响,筛选出更具威胁性的群体、用户及行为,逐步深入,有效提高异常检测效率,实现有效区分恶意行为,主要研究工作如下:1.结合用户业务工作数据,如部门、小组、工作职能等业务数据与用户心理特征数据,对用户进行K均值聚类处理,将相似度高的用户聚集在一类中,有效筛选出“高危”用户群体,此类群体用户有更高的可能执行恶意行为。2.利用长短期记忆网络模型分别对用户自身行为与其历史行为数据、用户自身行为与其同类用户行为数据进行训练,将模型训练结果得到的两部分分值进行线性组合,结合后的模型相较于单独的模型具有更高的准确度,为筛选异常用户提供了有力依据。3.对用户多域行为进行类别和频率的数据整合,利用自然语言处理方法提取文本数据中的特定信息,并进行分类。构建每个行为的特征,包括但不限用户职位、行为类别、行为频率等信息,根据此类信息利用图卷积神经网络模型对用户行为进行分类处理,直接将恶意威胁定位至行为层面,有效减少数据处理工作量,提高检测效率。