当今网络技术已经成为支撑社会运转的基础服务,网络攻击随之发展并带来巨大的安全威胁,网络防御也上升到了前所未有的高度。网络攻击经过长期发展变得愈加复杂,并活跃于社交网络和计算机网络等不同主体的网络中。而且,随着万物的互联和网速的提升,网络攻击得以快速地大规模传播。因此,为了抑制网络攻击以及实现有效的防御,就必须对网络攻击行为进行持续而深入的跟踪研究。基于此,本文针对网络攻击行为进行了宏观建模与分析,主要探讨以下问题:社交网络中多样关系对网络攻击有着怎样的长期影响;如何分析大规模网络下的感染治愈过程;网络攻击的发展给远程控制带来什么变化。本文综合运用博弈论、病毒传播模型、马尔科夫过程、稳定性分析理论以及机器学习等理论方法,从宏观角度对网络攻击中的社交网络攻击、传播扩展过程以及远程控制行为这些关键过程进行了建模与分析。研究结果促进了对网络攻击行为的理解,也为网络攻击的防护如检测、控制、优化等过程,提供了理论支持。本文的主要贡献总结如下:·本文提出了无限重复博弈模型来描述社交网络中消息发布者(潜在的攻击者)与社区管理员间的互动过程,进而评估社交网络攻击的抑制方案。本文推导出社交网络中在有消息误报以及无消息误报情况下消息发布者没有动机发送攻击消息的条件,同样推导出两种情况下攻击者预期最多发送的攻击消息。·本文提出了新的传播模型来描述攻击行为在任意网络中的传播过程,并根据网络的邻接矩阵构造了带有吸收态的离散马尔科夫过程。在推导出灭绝速率的渐近上下界后,本文提出以小规模网络来评估大规模网络中的灭绝速率。仿真结果验证了提出的模型的精确性以及评估方法的有效性。·本文提出对网络节点进行分组来降低传播模型的复杂度,以此进一步分析大规模网络中的攻击传播过程。网络节点根据其度以及连接关系进行分组。本文基于网络分组提出了一个连续时间马尔科夫传播模型,进而推导出传播过程中的传播阈值。仿真结果验证了模型的准确性以及推导的传播阈值的精确性。·本文分析了高级持续威胁中远程控制流量,并提出其低频慢速的连接特征,同时提出了采用独立访问特性来描述高级持续威胁中的远程控制流量。本文以此为基础分析域名解析记录中的共现域名,从而实现对高级持续威胁中远程控制流量的检测。文中提出的流量特征以及检测方法在公共数据集上进行了验证。