网络流中包含网络会话中的全部信息,通过对网络流的分析,可以及时准确的获取当前网络运行状态以及发现网络攻击行为,且系统部署代价较低。目前基于网络流的攻击检测系统多是对流量的特征识别分类,没有充分利用网络流数据的层次性结构特征以及网络攻击事件的阶段性特征。为提高分析效率,有效发现APT类攻击事件行为特征,本文首先基于三层次流实体表示结构对网络流特征进行抽取;其次基于模式匹配与深度学习双引擎流量识别技术,对流量进行智能识别与分类;然后基于攻击链理论模型,通过时空关联与因果关联的方式,挖掘完整的网络攻击链,重构已发生的攻击场景,推演出完整的攻击事件。最后设计了基于网络流的网络态势分析系统,实现从原始流量采集、分析识别到最终用户界面攻击行为告警与实时网络态势展示的完整功能。本文主要工作如下:（1）提出多层次流实体表示架构。借鉴自然语言处理中词、句、段三层次表示方式,充分利用网络流量内数据包间和网络流量间的时间、空间关系以及隐藏关联特征,提出网络包、网络流、网络流组三层次的流实体表示结构与具体特征属性,为后继流抽取、流行为识别、攻击事件识别提供基础。（2）提出基于模式匹配与深度学习相结合的智能流量综合识别方法。利用模式匹配与深度学习双引擎对流量进行识别,首先基于规则匹配的方式,利用先验专家知识,快速分类已知攻击流量,然后通过智能基线模型识别出异常流量,最后利用CNN模型进一步分类为具体的攻击类型。该方法有效结合了模式匹配针对已知流量的快速检出能力、基线模型无需大量训练样本即可识别出异常流量、CNN深度学习模型对流量分类具有较高准确度的优势,提高流量检测的及时性与准确度。（3）提出基于攻击链的网络攻击事件发掘方法。基于攻击链的理论模型基础,将检出的攻击流量聚合成代表单步攻击行为的网络流组,利用时空关联与因果关联挖掘出完整攻击链,重构已发生的攻击事件,对当前攻击行为进行告警。（4）设计并实现了基于网络流的网络态势分析系统。基于上述提出的方法与设计,设计实现了基于网络流的网络态势分析系统,系统包括采集、分析、呈现三大模块,实现对原始流量数据的采集与分析识别。