内部威胁极大地破坏了信息系统的安全性,而传统的安全防护技术却难以发挥作用,如:身份认证、防火墙等安全机制是抵御外部入侵的有效手段,但是对内部人员发起的攻击收效甚微;目前对内部威胁的研究都还只是处于探索阶段。由于没有很完善的实时检测工具,而处理的相关数据又是海量的,造成了对内部威胁攻击事件往往是事后防范。对内部攻击的身份鉴别在内部威胁检测中是首当其冲的,其重要性不言而喻。本文建立一个实时有效的系统,以达到对内部攻击者身份鉴别的目的。监控用户的异常行为是进行冒充检测的一种有效途径,将这种方法应用到内部威胁身份鉴别当中,用基于变权反馈的TAN贝叶斯网络建立反映用户行为特征信息数据,通过基于粗糙集的维数约简,最后建立用户行为特征的进程信息模型。当用户行为偏离特征模型时,利用基于最小风险的贝叶斯判别法,可以实时有效的判断出用户的身份。实验结果表明,通过监控用户调用的进程名称和相应的线程数可以很好检测冒充攻击并且能够识别攻击者的身份。