在网络技术发展初期,各个企业、组织主要以防范来自安全边界外部的恶意行为作为主要的防御方针,使得在信息安全领域提出了大量应对外部威胁的检测手段和防御体系。尽管拥有这些比较成熟的防御方案,当今企业、组织甚至国家仍然面临着来自内部的安全威胁。由于内部攻击者熟悉内部系统架构,安全规则,使得他们能够比较容易地规避系统防御检测机制,导致内部攻击难以提前预警,事后难以溯源,同时内部威胁造成的损失不亚于甚至超过外部攻击,从而让内部威胁成为信息安全领域的热点研究问题。在已有的内部威胁检测研究中,基于单一数据源的检测方案容易被内部攻击者所规避,并且,针对不同数据源采用不同的建模方案,增加了内部威胁检测的实现难度。针对上述问题和研究背景,本文开展了对内部威胁中关于用户异常行为检测问题的研究,对应本文所做工作如下:(1)本文对已有的理论研究成果进行了调查,总结并归纳了内部威胁的种类、相关攻击检测模型以及各方研究人员使用的研究数据集,同时对本文的数据采集和预处理工作进行了阐述。(2)本文提出一种较为通用的内部威胁建模方法,该方法将用户交互行为拆解为若干个事件序列集合,接着运用马尔可夫聚类算法,将事件序列转换为点簇集合,最终实现将内部威胁用户异常行为相似度计算转变成集合相似度计算。在本文实验中,该方法被应用于Linux终端命令序列和文件访问记录,其实验结果表明,该方案能够达到与现有检测方案相同的检测效果,并且,通过将同一种方法用于不同数据源,进一步降低了检测模型的实现难度。(3)本文从人机交互数据的角度考虑,提出从击键数据、网络流量、文件系统访问记录与终端命令等多个数据源中解析用户行为,构建用户行为模型,其情景模拟实验结果表明基于多种数据源的内部威胁检测模型有更广的内部威胁监控范围,能够检测出单一数据源未能检测的异常。对应的实验结果平均TPR为86.8%-89%,平均 FPR 为 9%-13%。(4)本文实现了一个实时采集用户行为数据并进行异常用户行为检测的内部威胁检测系统。