网络安全分析根据网络主机基数、网络流和网络行为等安全参数,分析网络通信的变化趋势,进而判断网络的安全性,是维护和保障网络空间安全的重要技术。然而,随着网络规模的不断扩大,海量安全参数导致网络安全分析面临效率低、准确性差、资源消耗大的问题。近年来,数据压缩融合方法已被广泛应用在网络安全分析中,通过按需压缩和融合数据,减少存储及分析数据所需的资源消耗,具有时间和空间上的优势,是克服海量安全参数给网络安全分析带来新挑战的有效途径。然而,将数据压缩融合方法用于处理分析海量安全参数时仍然存在若干关于数据采集、存储、溯源以及分析的问题。第一,数据压缩融合模型在重构异常地址时误报高、计算开销大。第二,现有的数据压缩融合模型不支持分布式并行的主机基数采集和分析。第三,数据压缩融合模型难以有效平衡内存使用和超级主机识别准确性之间的关系。第四,基于数据压缩融合模型的异常检测方法不支持独立于协议的自适应异常行为分析。第五,现有安全参数分析方法不能克服训练数据短缺、易受数据异构特征的影响。因此,为了提高网络安全分析的准确性和效率,需要设计新型数据压缩及融合方法,以确保网络安全分析技术具有高效地处理和分析海量安全参数的能力。本博士论文针对以上网络安全分析中的现存问题,提出了一系列解决方案。具体贡献如下:（1）针对压缩融合模型的可逆问题以及海量安全参数给网络异常行为检测带来的问题,本文首先提出了具有低计算复杂度的二维可逆压缩融合模型。基于此模型,针对目前较为流行的分布式拒绝服务攻击和放大攻击,本文设计了两个独立于网络协议的自适应的异常行为检测方案。方案一基于新型多图表累计和算法,动态地监控能反映分布式拒绝服务攻击的流量特征的变化。方案二通过监控请求数据和响应数据之间的不平衡关系准确检测放大攻击,无需采集多个流量特征,实现了高效的异常检测。（2）针对海量安全参数给主机基数分析带来的问题,基于贡献1提出的二维可逆压缩融合模型,创新性地提出了三维可逆压缩融合模型,支持对主机基数的分布式并行分析。此模型具有以下特点:多维性,即并行监控多类别主机基数,进而可同时识别多种超级主机;融合性,即可进行分布式安全参数采集,确保主机基数采集的完整性;可逆性,即可准确地重构超级主机地址。（3）针对海量安全参数给数据存储带来的问题,基于贡献2提出的数据压缩融合模型,提出了可扩展的可逆压缩融合模型,同时实现了内存高效和准确的主机基数分析。此模型可以根据主机基数的分布情况动态地扩展压缩融合模型占用的内存大小,保证在监控低基数主机时的高效内存利用和监控高基数主机时的高度准确性。基于此模型,根据超级主机的特点,提出了准确快速的超级主机识别方法。（4）针对海量安全参数特征的异构特性和训练数据短缺的问题,提出了一种基于数据融合的距离学习方法,用以提高数据分析模型的准确性。该方法根据携带数据局部信息的新型群组约束形式学习能充分反映数据特征的距离函数。其中,利用半正定优化学习线性距离函数,借助深度学习的优势实现能处理非线性数据的非线性距离函数。提出的方法可以在有限的先验知识条件下挖掘更多的背景知识,充分利用了先验知识中的权重信息,提高了安全参数分析的准确性。