随着当前信息技术的迅速发展,内部威胁已成为破坏企业信息系统安全的重要隐患。内部威胁指的是组织内部人员利用自己获得的合法访问权限盗窃组织内部机密,或者对组织内部信息的完整性造成破坏,这些危害组织内部安全的威胁行为会直接损害到组织的利益。由于内部人员具有组织内部的访问权,并且熟悉组织的核心秘密,因此内部攻击通常会产生比外部攻击更加严重的后果。由此可见,针对内部威胁的异常检测和对内部威胁行为进行根因溯源分析具有重要的研究意义和社会价值。本文基于贝叶斯网络模型和知识图谱实现对组织内部用户行为的风险分析以及内部威胁的根因溯源分析,主要研究工作包含:（1）制定内部威胁检测与根因溯源解决方案。首先,设计内部异常行为检测与威胁溯源实现框架,包括数据预处理、内部异常行为检测以及内部威胁根因溯源三个模块。然后,基于所选的CERT-IT（r6.2）数据集给出数据预处理思路,以“天”为单位,分别提取五个域的行为特征,并将用户每一天的行为数据进行融合,采用核密度估计的方法对特征变量的数据进行离散化。接着,基于修正的MMHC混合结构学习算法和贝叶斯估计法对贝叶斯网络进行结构学习和参数学习,建立内部异常行为检测模型和根因分析方案。最后,选用基于最大似然估计法的贝叶斯网络模型和SVM模型进行对比实验,证明所设计的贝叶斯网络模型的有效性,以及所设计内部威胁根因溯源方法的可行性。（2）给出内部威胁知识图谱构建和根因溯源方案。首先,利用所设计的贝叶斯网络模型结合知识图谱技术,建立威胁根源知识库和威胁库知识图谱,并给出威胁根源知识库和威胁原因知识库的连接方案。然后,基于对CERT-IT（r6.2）内部威胁数据集的分析,建立CERT知识库。最后,分析各个知识之间的关系,在用户每天的行为向量本体（Action Id）和用户本体（User）之间添加关系属性has Action,基于CERT知识库、威胁根源知识库和威胁原因知识库,给出内部威胁知识图谱建立和根因溯源方案,并给出实例分析说明所构建内部威胁知识图谱的有效性。（3）设计内部威胁知识管理可视化系统。首先,根据实际应用背景和可操作性分析,给出内部威胁知识管理可视化系统设计需求,包括:异常行为检测、异常员工检测和所有异常员工展示。然后,从前端、后端和知识库三个模块给出内部威胁知识管理可视化系统的框架。最后,给出异常行为检测页面、异常员工检测的页面和展示所有员工页面三个页面的操作流程和使用方法,以及每个页面的功能,进一步说明所设计内部威胁行为检测和根因分析方法以及内部威胁知识图谱的实用性和可操作性。