近年来,内部威胁用户引发的网络安全事件日益增多。并且内部威胁用户与外部入侵者相比,更加难以检测,对企业或组织造成损失往往更大。因此内部威胁用户检测已成为网络安全研究的热门方向。但目前的研究仍存在不足之处:异常用户与正常用户的数据不平衡问题,造成内部威胁用户检测模型召回率低。深度学习算法由于其不可解释性,相比与机器学习算法很难进行数据不平衡处理,但机器学习算法对于特征工程依赖较大。针对上述问题,本文使用机器学习算法从特征工程、数据不平衡处理方面进行研究,主要研究工作和创新如下:（1）提出了一种基于改进蚁群算法的特征选择方法,该算法通过使用距离相关系数和增加类别标签节点,改进了传统蚁群算法（ACO）无法反映特征之间的非线性关系以及特征与类别标签的相关性的缺点。（2）提出一种基于Geometric SMOTE（G-SMOTE）和Biased-SVM的内部威胁用户检测方法。该方法利用G-SMOTE算法在每个异常用户样本中心定义一个几何区域用于生成异常用户样本,增加了异常用户行为数据;进一步,使用Biased-SVM算法设置不同的惩罚因子,提高了模型对于异常用户的权重。（3）本文基于CERT数据集,验证了G-SMOTE算法和Biased-SVM算法不平衡数据处理的有效性;并将本文的内部威胁用户检测方法与其它检测方法进行对比实验,实验结果表明该方法有效提高了内部威胁用户检测效果。