近些年,以系统破坏、电子欺诈以及信息窃取为主的内部威胁因为隐蔽性强、破坏性大的特点对组织与个人,甚至国家安全造成了严重威胁。内部威胁一般指组织内部的合法员工、具有内部访问权限的第三方或合作方,违背组织的安全策略,对企业资源或者内部信息造成损害的行为。随着互联网的普及,内部威胁攻击在组织受到的所有攻击中的比重逐年上升,及时高效的检测内部人员的恶意行为已经刻不容缓。当前检测内部威胁的方法主要集中在机器学习方法。然而机器学习方法需要复杂的特征工程。随着数据量增加,内部攻击数据分散在用户的多个行为域中,针对复杂的跨域数据进行特征建模并非易事。除此之外,大多检测模型为降低模型分类的复杂度,没有考虑到内部攻击中的时序信息,无法检测到发生在一段时间内的内部攻击。近些年,深度学习的发展给内部威胁检测问题带来了新思路。深度学习能够学习数据的深层信息,其隐层是用户信息的高度抽象表示,可以利用隐层信息对数据进行特征表示。内部威胁检测的关键是建模内部人员的正常行为模型,发现偏离模型的异常行为,若利用循环神经网络的独特自反馈结构对用户行为建模,即可以检测到发生在一段时间内的内部威胁。基于上述思想,本课题提出了一种新颖的内部威胁检测方法,并进行了相应的实验。本文主要的研究内容和主要贡献有:(1)针对跨域数据进行特征建模,本文提出一种基于实体嵌入的结构化数据特征提取方法,使用神经网络的嵌入层提取用户行为特征,将结构化数据转化为神经网络可以处理的向量表示形式,实现原始数据的低维表示。而且通过神经网络学习到的特征,可以通过向量的距离衡量不同行为数据之间的相似性。(2)针对发生在一段时间内的内部威胁,本文提出一种基于循环神经网络的内部威胁检测方法,该方法使用循环神经网络学习用户的正常行为模式,利用循环神经网络的记忆特性,除了可以检测到孤立的内部攻击事件,对于发生在一段时间内的内部威胁行为,本方法也有很好的检测效果。(3)本文在CERT数据集上验证了本方法的有效性。通过与常用的内部威胁检测方法进行对比,可以证明本文的基于循环神经网络的内部威胁检测方法在预算一致的情况下,可以获得更高的召回率,说明本方法可以大大减轻企业分析人员的工作量。