1.一種IaaS云環境下面向內部威脅的行為追溯檢測方法，其特征在于，包括以下步驟：

步驟1：用戶行為樹構建模塊對IaaS云環境源碼進行分析，從用戶層發起請求至實施節點虛擬化層為止，對每一層的接口源碼中行為相關的函數調用關鍵字進行分析，得到每個層次服務接口的層次關鍵字，組成層次關鍵字庫；

步驟2：用戶行為樹構建模塊再次對IaaS云環境源碼進行多層關聯分析，首先在用戶層選定一個相關操作并創建行為樹根節點，每遍歷到一個層次的接口源碼，就取出當前函數與步驟1中得到的對應層次關鍵字庫中關鍵字進行比較，若為行為關鍵字則加入至行為樹子節點之中，結束當前層次之后根據當前層次行為節點繼續向下層遍歷，直至沒有對應的行為關鍵字或已建立一顆完整的行為樹；

步驟3：行為信息采集模塊在計算服務接口、遠程調用接口、管理實施接口、虛擬化管理接口上設置行為追溯采集點，在接口調用前輸出時間節點time和動作信息action；在虛擬化進程處使用操作系統鉤子函數技術添加行為追溯采集點，在鉤子函數中設置虛擬化進程訪問鏡像文件行為信息采集點；

步驟4：行為追溯檢測模塊在最底層獲取用戶鏡像文件被訪問的信息之后，首先獲取最下層行為，采用對最下層虛擬化行為關鍵詞匹配技術，與前面構建的用戶正常行為樹進行行為追溯匹配，如果沒有完全匹配到行為樹的所有節點，則判斷當前層次為惡意行為發起點并跳出；如果匹配到相應的行為樹則繼續與行為樹上層的行為節點進行遍歷匹配，到最后若成功匹配到一棵行為樹，則說明當前采集到的行為是從用戶發出的正常行為，否則當前行為就是從行為樹中行為斷點層發起，屬于異常行為。