随着网络安全事件的频发,网络系统本身的脆弱性也愈加明显,由此网络威胁感知成为网络安全领域的热点研究问题。目前威胁感知技术主要是基于软件实现,方法主要有基于熵值的感知、基于机器学习的感知、基于深度学习的感知等三种,这些方法多侧重于软件侧的实现,并且在追求实时性和准确性的同时,极大程度地忽视了在进行威胁感知时的资源占用。因此,改进威胁感知方法的重难点在于保证方法的准确性、可用性以及高效性并存,同时降低设备资源消耗。针对以上问题,本文从软硬件结合的角度,提出了一种面向网络流特征熵值的威胁感知方法,主要包括以下几点研究内容:（1）针对现有方法侧重于软件侧实现且资源占用过多的问题,从软硬件结合角度提出了面向网络流特征的属性提取与熵值计算方法。方法利用可编程网络设备Open Box,针对特征提取方法对硬件流水线进行了重构。重构后的硬件流水线包括分组解析模块（PPM）、属性提取模块（AER）、输出引擎模块（GOE）三个部分。架构利用FPGA在报文转发过程中提取属性特征并通过报文封装上报至软件层,同时不影响原始报文的转发。新流水线实现了软件侧基于多核交替的熵值计算方法,通过设备多核交替处理与数据库统计计算,完成了对于上报属性向量报文的解析与熵值计算。方法完成了威胁感知的属性提取与特征预处理,为多分类器威胁感知方法MCEL提供了输入。实验结果表明,本文提出的方法能在设备资源占用较小的情况下正确提取特征并计算熵值。（2）提出了基于集成学习方法的多分类器威胁感知方法MCEL。针对多分类分类器易产生过拟合的问题,方法通过多个二分类的分类器实现威胁的感知与识别分类。通过基于相关度以及模型的特征选择方法,对分类器进行了特征选取,以加速分类器模型训练、提升分类效能。利用多个识别特定威胁的分类器将分类问题细化,方法有效提升了分类的精确率。针对网络中流量变化预测困难的特性,方法设计了基于阈值参数的分类器更新策略,保持了分类器的准确率。实验结果表明,MCEL方法可以快速、准确地感知分类威胁,对比单一机器学习方法与深度学习方法都有着更稳定、可靠的表现。（3）基于上述方法设计并实现了面向网络流特征熵值的威胁感知方法原型系统。设计了原型系统的整体框架,从威胁感知分类服务器模块、展示控制模块以及支撑服务模块三个部分阐释了系统的设计思想与实现思路。系统提供人机友好的交互操作界面,使用者可以从可视化的角度直观地看到当前网络的拓扑结构以及威胁信息,也能通过页面交互调整威胁感知系统的参数配置。