内部网络在网络空间中普遍存在,与互联网物理隔离或逻辑隔离,已经融入到人类社会治理和社会活动的各个领域,承载有高价值私有数据,属于信息“富矿”类网络。虽然,这些网络受到法律和制度保护,但遭受攻击的情况层出不穷,而且是内部攻击和APT攻击的重点目标,如何及时发现内部网络中存在的漏洞和隐患,如何准确识别网络中的攻击事件,如何有效判断网络中的异常行为,进而提升网络的主动防御能力,已成为当前网络安全亟待解决的重要问题之一。本论文通过引入网络测绘概念,重点研究基于流挖掘和图挖掘的网络测绘技术和安全检测方法,以提升内部网络的安全保密防御能力,具体研究内容包括被动引导主动的“靶向”测量方法、基于通联图谱的设备识别方法、基于流挖掘和图挖掘集成的异常检测方法、基于时空事件关联的攻击检测方法等,主要创新点包括:1.面向受限内部网络存在的IP地址分布稀疏性、网络负载受限等问题,提出被动测量引导主动测量的测绘的模型,为传统测绘方法向内网迁移提供支撑。该模型中,被动测量通过获取流量数据中的元组数据,建立不同时序的IP地址数据集、端口数据集和通联关系集,为主动测量提供策略依据。在这一模型的指引下,以组件测量为例,基于源伪造对流量数据进行预处理、基于正则匹配对元组数据进行筛选和提取、基于差异度计算模型对IP地址及端口的重要性进行评估,形成初次遍历测量、增量测量、实时测量的目标,再根据测量目标进行“靶向”主动探测。结果表明:在不降低测量全面性的基础上,“靶向”测量方法与传统遍历测量方法相比,产生的探测数据报文大幅减少,有效降低了网络负载,同时,可以克服IP地址分布的稀疏性,实现增量测量和实时测量,提高测量时效。2.面向受限内部网络存在主动探测数据报文召回率不高、流量数据深度解析受限等问题,提出基于流分析和图分析的内部网络设备识别方法,为有效补充主动测量的探测“盲点”提供支撑。论文基于内部网络IP地址的通联关系,以IP地址为节点、IP通联为边,计算每个节点的关联度、邻域平均度和要塞指数,使用DBSCAN密度聚类算法进行聚类,通过节点关联度、邻域平均度、要塞指数等,判断IP地址对应设备为服务器类设备或者终端类设备;在此基础上,再次使用DBSCAN算法进行二次聚类,通过通联频次、数据包数量、数据总量等,判断终端类设备为主机类设备或者NAT设备;最后,根据专家知识和通联图谱,判断NAT设备后是否有服务器。结果表明,基于通联图谱,使用DBSCAN算法的被动测量方法,识别内网组件非常有效,可以弥补主动测量的探测“盲点”,提高测量的全面性;通过调优定点邻域半径（Eps）、邻域内最少点数（Min Pts）、阈值等参数,可以提升设备识别准确率、降低误报率。3.面向受限内部网络存在检测模型和检测策略孤立、异常行为隐蔽性和特征难以提取的问题,提出测绘指导下图挖掘和流挖掘集成检测的优化方法,为提升异常行为的检测能力提供支撑。论文利用图挖掘的无监督优势,融入了流挖掘的良好自适应能力,并且采用集成的方法,通过集成K模型进行分类和更新,在概念出现漂移时,不断演进检测K模型,保证集成适应当前概念;在此基础上,引入已知的林肯数据集日志数据流,通过实验验证,评估了模型数量K、规范子结构数量q、衰落因子λ等参数对提升检测效果所发挥的作用;最后,引入测绘成果和专家知识,进行流挖掘和图挖掘映射,对检测方法进行再优化。实验表明,在测绘指引下,集成检测方法的分析能力进一步提升,可以有效识别出APT攻击的横向移动攻击。4.面向受限内部网络存在海量报警信息难以融合、误报过多的问题,提出基于时空事件关联的异常检测方法,为提升空间和时间联合场景攻击事件信息融合提供支撑。论文基于主客体分析和因果分析,构建分散攻击场景,形成时间序列和空间序列攻击事件的多维表征方法;以此为基础,提出利用贝叶斯网络模型进行跨空间的事件关联方法和隐马尔可夫模型进行跨时间的事件关联方法,以提升检测模型对网络环境噪声的自适应性;最后基于测绘成果,形成时空关联的内网攻击检测方法。实验表明,在测绘指引下,使用时空关联分析模型,可有效识别DDos反射攻击,与传统的专家系统算法和经典的BP神经网络模型相比,准确率更高、误报率和漏报率更低。本论文共有图56幅,表16个,引用参考文献154篇。