为了应对日益复杂、隐蔽的网络安全威胁,组织机构部署了大量的网络安全设备和系统,如防火墙、入侵检测、防病毒、安全审计等,这些措施和手段在一定程度上保证了网络系统的正常运行,但是其仍然具有一定的局限性,如它们大都属于被动的静态防护,不能适应当前网络复杂动态变化的安全需求;各种安全工具各自为战、功能分散,它们之间缺乏统一、有效的管理调度机制等,因此,业界产生了对实现跨域、全局把握网络安全状况的理论及工具的迫切需求。网络安全态势评估技术作为应对网络安全威胁较为有效的主动防御技术之一,近年来成为了业界研究的热点。当前网络呈现体系结构复杂、网络规模庞大、具有动态虚拟化管理方式等新特点,且面临的攻击行为逐渐呈现出大规模、协同、多阶段等特性,另外,内部用户威胁行为不容忽视,且愈演愈烈,致使已有的网络安全态势评估技术面临评估不够全面、准确、效率低等诸多问题。基于此,综合分析网络构成及运行状态、用户行为及操作过程存在或出现的安全状况,并结合深度学习技术,开展网络安全态势评估模型、态势要素提取、评估指标体系、网络域态势评估、用户行为威胁检测与评估方面的研究,论文的主要工作和贡献如下:(1)设计一种层次化的网络安全态势分域评估模型。由于内部用户行为的安全威胁对网络系统安全产生了不容忽视的影响,而很少有研究将用户行为作为安全态势评估因素,这也间接导致了评估结果的不全面和不可靠。基于此,引入分域的思想,设计一种层次化的网络安全分域态势评估模型。该模型加入并区分了基于用户行为的评估数据、因素及指标,实现了评估对象的相对完整性和全面性,分别从网络域和行为域两个方面对网络进行评估;采用了分层的体系结构,按照评估工作流程将模型分成了数据层、评估层及知识层。(2)提出一种基于逐层损失补偿深度自编码器的网络态势要素提取方法。由于当前网络环境下态势评估原始数据呈现多特征、高维度等特点,而且采用深度神经网络对其进行要素提取的过程中,随着数据维度降低,逐层的特征信息损失也不断加剧,最终影响态势评估的准确性。借鉴残差神经网络和拉普拉斯金字塔思想,提出一种改进深度自编码器的态势评估要素提取方法。该方法在深度自编码器的每个编码层都添加一个损失补偿模块,该模块首先利用编码层对应的解码层进行数据还原,其次,将计算得到的特征信息损失值补偿到对应的编码层输出中。实验结果表明,相比原始深度自编码器方法,该方法的loss收敛效果更好,且与其他方法相比,该方法对BP神经网络分类性能提升较显著。(3)提出一种基于层次聚类和层次分析法的态势评估指标体系构建方法。针对目前评估指标选取主观性强、指标体系缺乏完整性,导致态势评估不全面、评估结果可信度低等问题,结合层次聚类和层次分析法,创新性地提出一种态势评估指标体系构建方法。首先,建立分域指标体系层次结构模型,确定目标层和准则层中的综合性指标。其次,采用层次分析法量化评估因素,以减少属性赋值时的主观性;然后使用层次聚类将作用相似的评估因素自动聚类,并与综合性指标形成层次关系。最后,利用层次分析法筛选出有代表性的评估因素并构建优化的指标体系。通过真实网络环境中采集的数据进行实验,结果表明,与k-means聚类相比,层次聚类能自动形成评估因素之间的层次关系,且通过构建的指标体系得出的态势值可以反映实际网络的安全态势变化。(4)提出一种基于集成学习和GRU的网络域安全态势评估方法。针对机器学习评估模型因存在较大方差和均方误差使得决策过程不平滑,进而影响评估性能的问题,结合评估数据具有时间依赖特性,提出一种基于集成学习Subagging和GRU的安全态势评估方法。该方法利用GRU网络处理评估数据中的长时期依赖问题,并对其高维特征进行有效学习和表征;基于子采样方案的Subagging算法可以提升模型的泛化能力;同时,结合遗传算法对GRU网络的训练参数进行自动寻优。实验结果表明,基于GA的参数优化方法优于基于PSO的方法;与其他方法相比,提出的方法明显具有均方误差减少效应,评估性能更佳,且评估结果能较准确地拟合出真实的网络安全态势。(5)提出一种改进生成对抗网络的用户行为威胁检测与评估方法。由于用户行为评估正负样本数据分布极其不均衡,以及用户行为存在随机多变且不可预测等特点,结合生成对抗网络在小样本数据生成方面的优势,提出一种自适应滑动窗口的用户行为威胁检测与评估方法。该方法采用了滑动窗口算法,使得序列化的用户行为数据转换成能让生成对抗网络直接处理的矩阵数据,且考虑了用户行为之间的前后关联性,设计基于属性相似度的自适应滑动窗口机制,实现不同细粒度的用户行为威胁检测,在此基础上,根据设立的准则对检测结果进行行为威胁等级评估。实验结果表明,自适应滑动窗口的检测方法性能更佳;与其他典型方法相比,提出的方法准确率较高、误报率明显降低,且能有效评估用户威胁行为。