网络空间分析能力是国家利益的新焦点,对威胁的发现是保卫网络空间的重大基础问题。威胁行为承载在网络流数据中,且常进行加密、混淆、伪装等隐藏处理,能够在复杂的网络数据流中实现威胁行为的检测具有重要意义。随着社会经济高速发展,网络通信保障着人们的智能化生产生活,网络通信量急剧增加,网络设备数量不断上升,网络空间安全问题越来越重要。因此,通过防御、监测、追踪等手段提高网络通信过程中的安全性对于个人安全、社会安全、国家安全十分重要。网络流威胁行为检测是弱合作或非合作网络场景下一种重要的网络威胁行为分析方式,其不依赖于其他权限,能够在任意设备、交换节点上完成数据采集。当前主要的网络流分析技术存在分析效率低、迁移性差、数据标注难度大、业务可解释性低等不足,难以满足需求。因此,急需从实际应用角度出发,考虑不同场景的具体需求,研究网络流威胁行为认知框架。本文基于机器学习算法,建立高精度、高效率、可迁移、解释性更好的网络流威胁行为分析系统,提升防御体系中的威胁发现能力,主要工作如下:第一,提出基于模型搜索的网络流威胁行为检测模型。针对网络流威胁检测场景中,网络模型需要根据不同背景网络重新设计而造成的部署性低、迁移性差等问题,研究基于模型搜索的网络流威胁行为检测方法。通过网络架构搜索方法,设计面向网络流数据的高效可迁移框架。提出的方法能够在背景网络多样、环境复杂的网络空间不同应用场景中,完成快速迁移和部署,提升在不同背景网络下威胁检测模型的部署能力。第二,提出基于深度特征的威胁行为小样本检测模型。针对网络安全实际应用场景中,不同类型的异常、威胁行为样本数量极少或远少于正常行为样本,导致非平衡数据下完成威胁检测效果差等问题,结合卷积神经网络、生成对抗网络、自编码网络等方法,研究小样本威胁检测以及数据增强方案。提出的方法能够有效提升小样本条件下的威胁检测精度,具备实网环境中重要的应用价值。第三,提出基于多源融合的网络流威胁行为认知模型。针对网络流数据信息复杂多样,威胁行为种类多、变化快,很难找到通用的规律,从单一数据源获取较为完整的信息困难等问题,研究面向网络流数据与业务特征数据的多源融合方案,结合数据融合、特征融合、决策融合等方法实现原始网络流信息和人工特征信息的融合。提出的方法可以提高网络威胁分析模型的稳定性,同时实现人工提取的特征数据与原网络流数据的兼容能力,兼容人工经验与数据特征,提升威胁识别效果。第四,提出面向威胁行为表征的网络流认知分析模型。针对当前网络流行为识别方法可解释性不足等问题,通过讨论不同网络行为、威胁行为、攻击行为的特点,以正向逐层构建神经网络的方式,研究面向威胁行为表征的模板构建方法。提出的方法可以结合业务特征和数据分布分析不同网络威胁行为的表征差异,为网络威胁的致效机理研究提供新的思路。