随着政府企事业单位网络安全机制的建立健全，单纯从外部进入目标系统的攻击门槛越来越高，导致内部威胁逐渐增多。内部威胁区别于外部威胁，攻击者主要来自于内部用户，使得攻击更具隐蔽性，更难被检测。本文提出一种基于混合N-Gram模型和XGBoost算法的内部威胁检测方法。采用词袋、N-Gram、词汇表3种特征提取方法进行实验比对及参数N值筛选，基于混合N-Gram模型和XGBoost算法的内部威胁检测方法检测效果比通过1维数据、2维数据、4维数据的不同特征进行组合的特征子集效果更优，特定度达到0.23，灵敏度达到27.65，准确度达到0.94,F1值达到0.97。对比特定度、灵敏度、准确度、F1值4项评价指标，基于混合N-gram特征提取方法比传统的词袋、词汇表特征提取方法在检测中更有效。此检测方法不仅提高了内部威胁检测特征码的区分度，同时提高了特征提取的准确性和计算性能。

• 单位
  江西省计算技术研究所