1.一種基于用戶主客觀數據融合的內部威脅檢測方法，包括以下步驟：

1)采集反映用戶攻擊動機強度的主觀數據與反映用戶系統與網絡行為的客觀數據；

2)分別針對步驟1)采集的主觀數據和客觀數據進行預處理以學習主觀分類器與異常分類器；

3)將異常分類器的用戶異常行為檢測結果融合主觀分類器的用戶攻擊動機強度判斷結果，通過融合模式、預示模式兩類數據融合模式檢測出內部惡意用戶；

4)分析檢測出的內部惡意用戶的系統與網絡行為，提取出行為中的攻擊鏈特征，存儲到特征庫；

5)基于特征庫中的攻擊鏈特征對已采集的用戶內部安全審計數據進行實時內部威脅檢測；

步驟3)所述融合模式的步驟具體包括：

3-1-1)針對采集的主觀數據，每個用戶根據預設的評分標準計算其得分總和，作為該用戶的攻擊動機強度評分；針對由客觀數據生成的特征向量，學習建立異常分類器，檢測出表現出異常行為的用戶；

3-1-2)針對表現出異常行為的用戶，分析其攻擊動機強度評分，當評分達到預設閾值時，判斷該用戶為內部惡意用戶；

步驟3)所述預示模式包括基于用戶攻擊動機強度判斷結果預示的高風險用戶，調整異常分類器敏感度后，檢測出異常程度較低的內部惡意用戶，具體包括：

3-2-1)針對采集的主觀數據，每個用戶根據預設的評分標準計算其得分總和，作為該用戶的攻擊動機強度評分；根據預設閾值，確定攻擊動機強度達到閾值之上的用戶為高風險用戶；

3-2-2)針對高風險用戶的客觀數據對應的特征向量，學習建立高敏感度的異常分類器，若檢測出異常行為，則判定該用戶為內部惡意用戶，分配高優先級報警，并進行安全響應。