目前,基于审计日志的信息系统内部威胁检测方法,主要关注用户在单个检测域上的行为特征,然而信息系统内部恶意行为由于其隐蔽性和多元性,有时难以通过用户单个行为特征发现,需要融合不同域的行为特征。因此如何从审计日志多域数据学习用户特征是内部威胁检测的关键。另一方面,传统的特征学习方法在学习过程中往往存在较大的信息损失,也未充分利用审计日志多域特征,无法有效地挖掘出用户行为特征信息。深度信念网络(Deep Belief Network,DBN)具有非线性的网络结构以及能够抽取数据的本质特征等优点,已在图像识别、语音识别、自然语言处理等领域取得瞩目的成果。本文将深度信念网络引入内部威胁检测,主要工作包括:(1)针对审计日志提取的多域特征,本文采用基于DBN的特征学习方法对多域特征重新表示。该方法利用多层的非线性结构进行特征提取,充分挖掘用户多域行为特征信息,最后将经过DBN学习后的特征输入异常检测算法一类支持向量机(One-Class SVM,OCSVM)中,构建混合的内部威胁检测模型。(2)虽然(1)中方法在检测内部威胁上有一定效果,但是单个OCSVM训练的用户正常行为模式比较单一,而信息系统内部用户正常行为模式往往是复杂多样的,因此本文提出了混合聚类的内部威胁检测方法。该方法对DBN处理后的多域特征分别使用划分聚类K-means算法和层次聚类Birch算法进行聚类分析,得到用户不同的正常行为模式,从而为每个正常行为模式构建OCSVM模型。(3)采用基于DBN特征表示的内部威胁检测模型,由于DBN迭代过程会耗费大量计算时间,使得检测模型训练时间主要花费在DBN的预训练阶段,因此本文提出并行化DBN内部威胁检测方法。该方法从时间性能角度出发,基于Hadoop平台,运用并行化DBN算法对审计日志多域特征进行提取,检测模型使用(2)中的混合聚类模型进行内部威胁检测。本文采用卡耐基梅隆大学内部威胁中心提供的CERT数据集,对提出的内部威胁检测方法进行实验分析。实验结果表明,本文的基于DBN特征表示的方法具有一定的检测效果,并且混合聚类的检测方法进一步提高检测模型性能。最后结合Hadoop平台,在一定程度上减少了DBN的预训练时间,从而提升了内部威胁检测模型的时间性能。