为了应对日趋严峻的物联网恶意软件攻击,需要对恶意软件进行详细的分析并获得有效的威胁情报,从而增强对物联网攻击的发现与预警能力。本文面向物联网威胁情报的需求,分别从恶意软件分析、轻量级物联网异常流量检测角度展开威胁情报挖掘关键技术研究。本文的主要工作和创新内容概括如下:（1）针对当前物联网恶意样本的检测率不高,物联网恶意软件架构复杂,用于训练的正常样本提取困难,动态分析检测耗时、耗费资源等问题,提出了一种基于集成学习的物联网恶意软件分类（Ensemble learning based Io T malware classification,ELIMC）算法。首先,借助静态分析工具提取了不同架构样本的可执行与可链接格式和操作码的共性静态特征;然后,在恶意软件分类阶段,针对传统分类器对占比比较小的家族样本分类精确率不高的不足,提出了一种基于集成学习的物联网恶意软件分类（ELIMC）算法,将传统的分类器集成在一起,并根据分类器对每个家族的精确率计算出分类结果的置信度,以此获得最终的分类结果。实验结果表明,ELIMC算法能够有效的对大规模物联网恶意样本进行分类识别,并对占比比较小家族的恶意软件家族的分类精确率有明显提升。在物联网恶意软件分类研究的基础上,进而提出了一种基于ELIMC的物联网恶意软件威胁情报生成（ELIMC based Io T malware threat intelligence generation,ELIMC-IMTIG）方法。ELIMC-IMTIG方法将静态分析、动态分析与正则表达式搜索技术相结合,有效提取了物联网恶意软件中的威胁指标,并生成了STIX标准格式的威胁情报。最后,给出了使用ELIMC-IMTIG方法生成的威胁情报示例,并对其价值进行了详细分析。（2）针对智能家居物联网用于异常检测的资源不足的客观问题,提出了一种基于核密度估计的轻量级物联网异常流量检测（kernel density estimation-based lightweight Io T anomaly traffic detection,KDE-LIATD）算法。首先,KDE-LIATD算法使用高斯核密度估计方法估计训练集中正常样本每一维特征特征值概率密度函数以及对应的概率密度;然后,提出基于核密度估计的特征选择算法（kernel density estimation-based feature selection algorithm,KDE-FS）,获得对异常检测贡献突出的特征,从而在提升异常检测准确率的同时降低了特征维度;最后,通过三次样条插值方法计算测试样本的异常评估值并进行异常检测,这一策略极大减少了使用核密度估计方法计算测试样本异常评估值时所需要的计算开销与存储开销。仿真实验结果表明,所提出的KDE-LIATD算法在面向异构的物联网设备的异常流量检测方面具有较强的鲁棒性和兼容性,能够有效地对智能家居物联网僵尸网络的异常流量进行检测。在物联网异常流量检测研究的基础上,进而提出了一种面向物联网异常流量的威胁情报生成（Io T abnormal traffic threat intelligence generation,IATTIG）方法。IATTIG方法将物联网僵尸网络异常流量的主要内容根据协议进行分类,通过对物联网异常流量进行解析,提取了各个协议中的网络可观察对象,并生成STIX格式的物联网异常流量威胁情报。最后,给出了使用IATTIG方法生成的威胁情报示例,并详细讨论了其在发现和预警物联网网络威胁中的应用价值。