造成内部资产破坏和窃取的内部攻击是由内部员工发起的,常见的内部攻击防御方式是身份认证技术,该技术无法对内部使用者的合法性进行持续有效的认证,因此以生物特征为基础的持续认证方法逐渐成了研究热点且有效弥补了传统身份认证技术的缺陷。但是当计算机的真实用户进行恶意操作时上述的认证技术就会失去防御作用。为了避免资源文件遭到破坏或窃取,有研究人员提出针对文件系统访问行为进行研究,然而仅从文件系统的角度进行防御并不能全面的保护内部资产,因此本文从用户与计算机应用窗口交互的行为模式来全面的研究用户对资产的操作行为。本文的主要研究工作及创新点如下:(1)本文首次从使用计算机应用窗口的角度对用户行为进行了研究。搭建了真实的实验环境,开发了终端行为数据采集器来采集用户使用应用窗口的行为数据。经过数据清洗,最终得到30万条交互数据作为实验数据集。(2)提出了一套能够有效表征用户应用窗口使用行为的特征,将用户行为的度量数据映射到特征矩阵空间中,构建了用户使用应用窗口行为模式。借助样本均值及其抽样分布定理和K-S检验构建了差异性检测算法,实验表明,该算法可以有效地对用户行为的差异性和自身行为的统一性进行检测。(3)针对异常用户检测和用户变化行为的识别问题,结合欧式距离和置信区间提出了一种行为偏差量化方法。在差异性检测算法的基础上,构建了异常行为检测算法。实验表明,该算法能够以较高的准确率检测异常用户和识别用户发生变化的行为,对防御内部攻击造成的资产破坏和窃取具有较高的实际应用价值。(4)本文分析了用户窗口活动时长对算法准确率的影响,实验表明,用户窗口活动时间越长,建立的行为模式越完整,使得检测更准确。