科技的跨越式发展不光给人们生活带来了便利,也带来了安全威胁。安全威胁既有来自外部的威胁,也有来自于内部的威胁。不同的安全威胁均在某种程度上损害着人们的利益,如何消弱甚至消除这些威胁是研究者亟需解决的问题。当下,入侵检测系统是较为成熟且有效的解决外部入侵的方法,只要对其进行合理的配置和使用,就可实现对外部入侵的高效防范。然而,内部威胁这个被研究者热议已久的话题却到目前都没有行之有效的解决方案,其主要原因有以下两点:1)危害活动发起者为内部合法用户,不易被察觉。2)威胁发生频率小但影响大。内部威胁影响大的特性使得其每次发生都可能给用户带来灾难性的损害。对此,本文在借鉴外部威胁模型的基础上,提出了一个通用的应对内部威胁的检测框架,并对于框架中的核心组件——内部威胁检测模块又提出了两种检测的方法。本文主要内容如下:（1）提出了面向机器学习的内部威胁检测框架。经过深入分析经典外部入侵检测模型,可知该类模型均具有完整、通用、灵活三大特性。本文在满足其特性的前提下,提出了面向机器学习的内部威胁检测框架。框架主要包含原始数据采集、数据预处理、内部威胁检测、威胁响应、日志存储等五大模块,核心为内部威胁检测模块,之后的研究均基于此模块展开。（2）提出了基于图分析与支持向量机的企业网用户行为异常检测的方法。内部威胁归根结底可以看作内部网络中人员的威胁,如何检测出内部网络中的异常人员是关键所在。文中第四章提出将用户认证活动转化为用户认证图,通过分析图并利用机器学习中经典的支持向量机算法对有异常活动行为的用户做检测与识别。该方法结合了图分析与支持向量机两者的优点,经验证,其检测效果极佳。（3）提出了聚类分析与分类“两步走”检测法来检测内部网络中异常用户。现有异常用户检测方法都有一个共同的缺点:将所有网络用户同等看待。但实际上网络用户是分等级的,例如,可简单分为有特殊权限的管理员用户和无特殊权限的普通用户。无论是访问数据库、文件操作或是其他,这两类用户的行为都会有本质的区别。对此,本文第五章提出一种先聚类、再分类这样“两步走”的检测内部网络中异常用户的方法。先将用户聚类为两大类:管理员和普通用户,然后再对其中某一类用户进行异常行为的检测与识别。实验表明,该方法可行且有效。综上所述,本文将机器学习方法应用在内部威胁检测中,提出了一个通用的检测框架以及两个从根源上检测内部威胁的方法。并对这两种方法分别设计实验进行验证,实验结果表明,文中提出的方法对于内部威胁分析与检测可行且有效。特别是对于网络内部人员的异常检测,具有实际意义。