随着物联网应用与规模的持续增长,同时带来了空前的网络安全威胁和安全风险。对此学术界提出利用威胁情报来对日趋复杂的安全问题进行预警和预测,威胁情报作为一种网络安全大数据,可以有效帮助防御者更好地提升网络安全防护能力[1]。在此,如何高效构建威胁情报就成了一个核心问题。然而,当前在信息安全领域,威胁情报普遍存在着冗余度较高、内容单一、标准不统一的缺陷,难以共享。对此本文通过对恶意代码和非结构化网络威胁情报进行分析和抽取来构建威胁情报。本文主要工作内容如下:1.针对恶意软件的威胁情报生成过程中情报冗余度较高、无法快速生成的不足,研究提出了一种针对恶意软件家族的威胁情报实时自动生成（Real Time Automatic Generation of Malware Threat Intelligence,RAGTI）方法。RAGTI方法以开源恶意软件分析平台及STIX2.0标准为基础,首先,借助恶意软件分析平台获取恶意代码运行痕迹,分析并提取代码运行痕迹特征;然后,结合恶意软件的静态特征来综合计算恶意软件特征的模糊哈希值,接着使用改进的CFSFDP算法对恶意软件进行聚类;最后,依据每一类恶意软件家族的特征生成符合STIX2.0标准的威胁情报。实验表明,该方法能够将相似度较高,隶属于同一家族的恶意软件聚合到一起,从而实现对某一恶意家族软件生成高度概括、可机读、可实时共享的威胁情报,显著提高了威胁情报的生成效率。2.针对开源情报无法有效利用的问题,研究提出了一种面向开源信息的威胁情报实体抽取（Threat intelligence entity extraction-based open source intelligence,TIEE-OSI）方法。TIEE-OSI方法首先根据APT报告本身的特点结合STIX2.0标准定义了一组威胁情报领域的命名实体,包括软件、恶意软件、漏洞、攻击工具、攻击者等。首先,对收集到的APT报告根据BIO格式进行手工标注,将标注完成后的实体构造成一个字典,通过字典匹配剩余未标注的APT报告,以此来扩充数据集的规模;然后,针对当前基于神经网络的端到端实体抽取系统应用于网络威胁情报领域时,无法准确标注威胁情报实体类别及其边界的问题,提出了融合词特征、字符特征、实体边界特征以及实体词的上下文特征,将该研究问题建模为序列标注任务;最后,基于深度学习模型和注意力机制设计模型框架,在更为准确地识别网络威胁情报实体的同时,提高模型训练速度。实验结果表明,该方法可以有效地从海量异构数据中抽取威胁情报实体,从而用于威胁情报的自动化生成。