随着计算机网络的高速发展,网络安全事件频频发生,人们对外部入侵和Internet的安全日益重视,但来自内部网络的攻击却有愈演愈烈之势,内网安全成为企业管理的隐患。信息资料被非法流露、拷贝、篡改,往往给企业、政府或军队部门造成重大损失,因此研究安全威胁及其检测技术具有重要的意义。本文介绍了内部网络威胁的概念、分类、模型以及表现方式,结合内部网络的特点和多种网络威胁的分类方法,重点从环境、物理、系统、网络、管理和安全评估六个方面给出内部网络威胁类别的全面划分。本文在国内外内部网络威胁模型的研究基础上,对攻击树模型进行了改进,重点从理论上提出并阐述了内部网络威胁总体模型的设计思想,以及总体模型的运作步骤。结合行为序列和流量攻击两类攻击,给出内部网络威胁具体模型设计;参考模型库的概念,设计了基于内部网络威胁模型的模型库,并说明了模型库的工作原理。最后针对现实内部网络中存在的实际内部威胁,从攻击者和使用者两个角度,给出基于密码窃取行为的具体威胁模型分析、基于流量攻击的具体威胁模型分析和基于身份认证/权限认证的具体威胁模型分析,同时结合模型实例给出它们在模型库中的生成过程。为了使内部网络威胁模型更好地配合检测系统,本文建立了它和检测系统之间的内在联系,将内部网络威胁模型的设计思想运用到检测系统中,利用它建立与之具有相同逻辑关系的内部检测系统。本文研究设计了内部网络威胁模型,建立了基于行为的模型库以及内部网络威胁模型和检测系统之间的内在联系,从而为内部网络威胁模型的进一步发展奠定了基础。