1、現(xiàn)今，企業(yè)和組織的日常運行和管理越來越依賴于業(yè)務(wù)操作系統(tǒng)、數(shù)據(jù)庫等系統(tǒng)，他們的知識產(chǎn)權(quán)和商業(yè)機密等也逐漸數(shù)字化和信息化，這些敏感信息一旦保護不當(dāng)，就會給企業(yè)和組織帶來災(zāi)難性損失。近年來，許多重大信息安全事件均是由內(nèi)部威脅所致，內(nèi)部威脅是指企業(yè)內(nèi)部擁有合法權(quán)限訪問系統(tǒng)和數(shù)據(jù)的員工或是商業(yè)合作伙伴等，越權(quán)或濫用權(quán)限從而破壞信息系統(tǒng)和數(shù)據(jù)的機密性、完整性和可用性的行為。因此，防范內(nèi)部威脅是企業(yè)信息安全管理中關(guān)鍵且緊迫的問題。
　　針對內(nèi)

2、部風(fēng)險問題，企業(yè)或組織主要根據(jù)企業(yè)安全和業(yè)務(wù)需求定義安全策略，然后將安全策略封裝在信息系統(tǒng)中，并以權(quán)限的形式指派承擔(dān)相關(guān)職責(zé)的人員，部分敏感的任務(wù)還實施職責(zé)分離等安全原則，并對數(shù)據(jù)操作或系統(tǒng)操作的合規(guī)性進行審計。但是，這些技術(shù)不能有效防范擁有合法權(quán)限的內(nèi)部用戶的異常行為，更不能檢測多入共謀行為。為此，本文提出了基于用戶行為和關(guān)系的異常檢測方法，分別從橫向的崗位職責(zé)關(guān)聯(lián)性和縱向的職責(zé)延續(xù)性角度，對用戶行為進行建模和異常檢測，并結(jié)合用戶關(guān)系

3、對共謀行為進行分析。主要貢獻如下:
　　針對合法用戶的異常行為檢測問題，提出了基于日志文件的用戶異常行為分析模型。首先獲取審計周期內(nèi)被審計用戶的行為記錄，構(gòu)建行為向量;根據(jù)相同崗位用戶行為的相關(guān)性，對審計用戶行為進行離群性分析:對于明顯偏離的用戶，分析被審計用戶當(dāng)前行為和歷史行為的相似性，綜合基于歷史行為的異常變化分析，判斷該用戶在審計周期內(nèi)的行為是否異常。然后，針對行為異常的用戶，采用敏感活動屏蔽方法進一步分析具體活動的異常度和

4、頻繁度，目的在于一方面方便管理人員對發(fā)生異常情況多的活動采取必要的安全措施，另一方面用于動態(tài)更新異常行為檢測模型，使其能夠根據(jù)企業(yè)需求及時更新和更有針對性。
　　提出了結(jié)合社會網(wǎng)絡(luò)信息的用戶共謀行為分析模型。通過分析共謀行為的兩個必要因素:用戶行為的異常性和一致性，提出了兩種典型的共謀問題和相應(yīng)的共謀風(fēng)險分析方法。針對基于角色的訪問控制系統(tǒng)中內(nèi)部用戶合作參與敏感任務(wù)情況，根據(jù)日志文件中用戶的行為記錄，查找行為關(guān)聯(lián)性強的異常用戶;然