随着经济的高速增长和计算技术的不断革新,企业信息化有了显著的发展。在给组织和企业带来管理上的极大便捷的同时,也给信息安全带来了新的挑战。这其中来自企业内部的攻击威胁不断增加,造成的各方面损失也在逐年上升。身份伪冒攻击指内部人员通过将自己伪装成其他合法用户,利用他人权限和身份来窃取信息。作为内部威胁攻击手段的一种,这种攻击令人防不胜防。而作为有效检测手段的身份认证方法存在一些不足：传统静态身份认证技术无法实时确保使用者的合法身份；现有持续认证方法存在如验证时间长,验证场景固定等局限性,很难同时满足实时性和准确性。因此,对身份伪冒检测技术的研究意义重大。本文基于生物行为特征学,对面向身份伪冒攻击的主机异常行为实时检测技术进行了相关研究和实现。通过对用户与系统交互行为实时分析,实现身份伪冒异常行为发现,检测内部威胁。具体工作如下：(1)通过对现有方法的调研学习,结合基于数据融合和模型融合的两种身份认证方法的分析与比较,本文针对现有检测算法存在的局限性,提出了基于介入式事件的持续身份认证思想。(2)基于随机注入介入式事件的思想,对基于鼠标光标隐藏场景和鼠标光标固定场景的两类认证方法进行了设计和实现。在实验数据集下,分别得到了3.9%的FAR、2.56%的FRR和4%的FAR、2.86%的FRR。实验结果表明我们提出的身份认证方法在取得与已有算法相当的准确率的同时,缩短了认证时间,提高了认证的实时性。(3)设计实现了一套支持多场景的身份伪冒检测实验验证原型系统。该系统支持不同身份认证场景的部署,可以完成身份伪冒检测方法的数据采集和结果验证分析工作。