内部人员发起的恶意行为会对企业造成安全威胁,这一威胁存在界限模糊、样本数据较少等检测难点.文章提出一种LSTM(Long　Short　Term　Memory)回归模型,通过对时间序列的回归分析,输出对用户行为序列的预测.考虑到不同用户间的差异性,根据用户ID区别学习每个用户的行为模式,使用更新的实时数据持续训练模型,在测试时将预测值与实际值的差异作为异常分数.该方法不仅能够实现对用户行为的预测,还能够依据学习到的正常行为模式检测异常行为,解决内部威胁正例样本不足的问题.