内网信任机制默认机构内部接触网络的相关人员都是安全可信任的。但是,对于一个机构来说,外来人员到访进行工作上的用户操作确是常态,这是造成内网不安全因素之一。内网用户是直接活动于内网中的主要群体,而且用户在其中的行为活动是灵活多变、不好预测的,很多安全事件都是源于内网用户的非法操作,目前对内部用户行为的制约措施还比较匮乏。为了能在大量的用户操作日志中有效鉴别威胁,就需要借助大数据的力量进行网络行为分析,而不仅仅依靠内网信任机制。目前,基于Spark平台与决策树相关的算法只有决策树、随机森林和随机梯度提升决策树。决策树自身具有容易过拟合的特性,不适用于内网防御。而随机森林虽然在实际运行中充分运用了Spark计算的并行能力,但在需要追求模型快速收敛的前提下,其算法复杂度偏高。随机梯度提升决策树有着完备的数学理论支持,但是训练数据集的依赖性导致不能在分布式计算时充分发挥并行性能。本文通过研究与决策树相关的集成方法,并结合了TF-IDF算法思想,提出了特征频率、森林频率,以及伪梯度提升决策树算法,解决了梯度提升决策树随着迭代次数的增加导致错误数据被边缘化的问题。在伪梯度提升决策树中,所有决策树分别在原始数据集有放回采样后的数据集上产生,无需为每次迭代对数据集采样,这使得分布式计算的并行性能得到充分发挥。本文还在分布式集群上对所提方法进行了内网防御的相关实验。通过改变迭代次数和训练数据集规模,在Spark平台上得到一系列RF算法和PBDT算法不同的实验结果,表明在一定规模的训练集上,伪梯度提升决策树具有更好的预测准确度。