由于网络系统内部用户了解网络结构及其安全协议,对网络资源有访问权限以及其威胁行为难以被辨识,其发起的攻击造成的后果甚至远远大于外部攻击,这也使得内部威胁成为近年来异常检测领域最具挑战性的问题之一。现有的内部威胁检测算法存在误报率高、精度受限、对样本需求量大且很少考虑“人”作为内部威胁这一主体因素的问题,忽略用户间的相似性对发生威胁攻击的影响。基于此,论文针对内部威胁检测及预警方法进行研究,旨在提高内部用户行为检测的准确性和全面性;同时通过对用户的人物画像,发现用户间深层次的联系,实现有效威胁预警,主要研究工作如下:（1）由于网络内部行为数据的规模与维度日益增大,基于传统机器学习方法的内部威胁检测模型存在日趋复杂与耗时的问题,本文设计一种基于深度学习和用户画像的内部威胁检测及预警模型。该模型主要分为数据采集层、数据预处理层、内部威胁检测层、用户画像层、内部威胁预警层。其中,内部威胁检测层和预警层是模型的核心,内部威胁检测层实现了对用户异常行为的检测;而用户画像层则通过人物属性画像,实现对用户的聚类,为后续的内部威胁预警层提供依据。最后,基于提出的模型设计了相应的原型系统。（2）针对现有的内部威胁检测算法大多需要依赖于大量标记数据进行训练,且异常阈值的设定大多依赖先验知识,在数据量少、人工标注成本高的下容易导致模型检测性能低下的问题,提出一种基于双向生成对抗网络与最大类间方差法的用户行为检测方法。该方法首先利用双向生成对抗网络基于正常行为数据训练构建正常行为模型,然后在检测阶段根据重构误差并利用最大类间方差法自动选取异常阈值,实现对用户内部行为的无监督异常检测。通过对比试验,结果表明该检测方法在准确率和召回率方面有所提高,同时大大降低了误报率和漏报率。（3）由于内部威胁发生的主体是“人”,而往往性格相似、所处环境类似的人在面对突发事件时产生的反应较为类似,现有的内部威胁检测常常忽略异常用户间的潜在联系,导致无法提前预警与阻止攻击行为再次发生,针对用户内在特征,提出一种基于层次聚类的用户画像方法。该方法对用户的心理、人格、职务信息等进行用户细致刻画,形成用户属性画像,分类并形成潜在高危用户组。在检测到异常用户时加大对同组用户的监管力度,最终实现对攻击行为预警。实验结果表明该方法能有效降低攻击再次发生的概率。