为保障内部网络系统中多种设备和机密数据等核心资产的安全,各种组织机构将内外网进行隔离,使得移动存储介质广泛应用于内外网之间交换数据。由于对移动存储介质缺乏严格的管控策略,内部威胁人员可使用移动存储介质威胁内网安全。一方面,内部威胁人员可使用移动存储介质将恶意代码注入内网。现有恶意程序主要使用C/C++开发,但完全使用JavaScript开发的恶意程序开始出现,其可通过移动存储介质注入内网。另一方面,内部威胁人员可基于Autorun机制,使用移动存储介质自动化窃取机密数据。虽然该机制已被禁用,但是绕过该防御实现自动化窃取数据的攻击方式依旧存在。因此,本文对内部威胁人员使用移动存储介质向内网中注入恶意JavaScript脚本和自动化窃取数据两个方面进行研究,以进一步提升内网中的系统和数据安全保障能力。本文的主要工作及创新点如下:1)针对利用移动存储介质注入恶意JavaScript脚本的行为,使用N-gram方法提取特征,并基于相关检测算法实现在无需区分代码是否被混淆的情况下完成检测。2)针对将JavaScript代码N-gram处理后特征维度较高的问题,本文利用TF-IDFlike方法计算特征权重,选择权重差异度较大的特征训练模型。实验表明,在保留相同特征维度下,基于本方法的检测算法的效果较基于PCA的检测算法有所提升;当保留的维数超过某个阈值时,随着保留维数的增长,本方法的时间开销增长速率远低于PCA。3)提出当与主机建立连接的移动存储介质的ID和提前注入主机的脚本中预设ID一致时自动窃取数据方法,该方法可在Autorun机制已被禁用的情况下完成攻击。4)为检测自动化窃取数据攻击,本文采集使用移动存储介质的正常行为数据和自动化窃取数据的异常行为数据。并且基于该数据,分析了用户手动、脚本自动操作文件的区别,提出以一次插拔事件之间的行为数据为样本,使用One-Class SVM算法进行检测,实验表明该方法可有效检测自动化窃取数据攻击。