现今,企业和组织的日常运行和管理越来越依赖于业务操作系统、数据库等系统,他们的知识产权和商业机密等也逐渐数字化和信息化,这些敏感信息一旦保护不当,就会给企业和组织带来灾难性损失。近年来,许多重大信息安全事件均是由内部威胁所致,内部威胁是指企业内部拥有合法权限访问系统和数据的员工或是商业合作伙伴等,越权或滥用权限从而破坏信息系统和数据的机密性、完整性和可用性的行为。因此,防范内部威胁是企业信息安全管理中关键且紧迫的问题。针对内部风险问题,企业或组织主要根据企业安全和业务需求定义安全策略,然后将安全策略封装在信息系统中,并以权限的形式指派承担相关职责的人员,部分敏感的任务还实施职责分离等安全原则,并对数据操作或系统操作的合规性进行审计。但是,这些技术不能有效防范拥有合法权限的内部用户的异常行为,更不能检测多人共谋行为。为此,本文提出了基于用户行为和关系的异常检测方法,分别从横向的岗位职责关联性和纵向的职责延续性角度,对用户行为进行建模和异常检测,并结合用户关系对共谋行为进行分析。主要贡献如下：针对合法用户的异常行为检测问题,提出了基于日志文件的用户异常行为分析模型。首先获取审计周期内被审计用户的行为记录,构建行为向量；根据相同岗位用户行为的相关性,对审计用户行为进行离群性分析；对于明显偏离的用户,分析被审计用户当前行为和历史行为的相似性,综合基于历史行为的异常变化分析,判断该用户在审计周期内的行为是否异常。然后,针对行为异常的用户,采用敏感活动屏蔽方法进一步分析具体活动的异常度和频繁度,目的在于一方面方便管理人员对发生异常情况多的活动采取必要的安全措施,另一方面用于动态更新异常行为检测模型,使其能够根据企业需求及时更新和更有针对性。提出了结合社会网络信息的用户共谋行为分析模型。通过分析共谋行为的两个必要因素：用户行为的异常性和一致性,提出了两种典型的共谋问题和相应的共谋风险分析方法。针对基于角色的访问控制系统中内部用户合作参与敏感任务情况,根据日志文件中用户的行为记录,查找行为关联性强的异常用户；然后利用社会网络,分析其共谋风险。针对弱社会网络中用户共谋问题,提出了基于弱社会网络的用户异常行为分析模型,根据用户行为分析用户关联性性,结合敏感用户的行为影响性指标度量共谋风险。使用真实数据集进行实验,分析参数的不同设定对实验结果的影响,并将本文提出的方法与其他方法进行对比,实验结果显示,本文的模型更高效合理。