区块链作为一种融合多层次网络信息技术的去信任化新型计算范式,在不可靠的网络环境中为网络用户提供多方可信和不可篡改的分布式账本记录的同时,其自身系统安全性也面临诸多威胁和挑战。由于区块链网络层技术所固有的体系非结构化、动态开放和网络协议标准不统一等特点,导致针对区块链网络层的多类型异常流量快速增长。区块链网络层异常流量可阻碍合法网络流量的传播和增加网络延迟,对重要网络节点和矿工造成严重危害甚至毁瘫,影响算力稳定性和平衡性,降低区块链系统服务质量和可靠性,并为多种共识合谋攻击提供先决条件。异常流量检测技术通过对网络流量数据进行统计分析或数据挖掘以及时识别区块链网络层内的网络入侵行为,已经成为提升区块链网络层运行稳定性和避免攻击者破坏算力安全的重要手段。高效识别区块链网络层内的异常流量行为,进而提升区块链网络层入侵威胁感知能力,已成为相关领域研究热点。通过分析现有领域研究现状,并深入研究区块链网络层不同类型异常流量行为特点,针对不同类型的区块链网络层异常类型流量提出检测思路和方法。主要工作如下:1.为解决区块链网络层中基于混合协议传播的冗余型及谣言型分布式拒绝服务（Distributed Denial of Service,DDo S）攻击流量检测过程中,由于核心攻击特征差异性不明显、鲁棒性特征复杂度高等难点,导致现有检测方法存在泛化能力低、误报率高和检测效率低等问题,提出基于跨层卷积（Cross Multilayer Convolutional Neural Network,CMCNN）模型的区块链网络层DDo S攻击流量检测方法。首先,采用基于L2正则化的跨层卷积方法对区块链网络层预处理流量进行操作,多层次感知攻击流量细节特征的同时增强重点特征表征能力,并通过惩罚高方差项参数限制模型权重参数变化,提取攻击流量的强鲁棒性抽象特征,提高模型泛化能力并降低检测误报率。其次,采用基于KL散度（Kullback-Leibler Divergence）的栈式稀疏自编码器（Stacked Sparse Auto Encoder,SSAE）对抽象特征进行参数重构编码,通过调节模型稀疏程度降低抽象特征间的耦合并减少冗余数据,实现编码特征高性能分类输出。最后,对随机梯度下降算法进行改进,支持参数全局寻优,有效避免训练参数震荡并加速模型收敛。实验表明,针对区块链网络层混合型DDo S攻击流量样本,所提方法在二分类和多分类检测方面都具有较高的检测性能。2.由于Eclipse攻击流量存在异常样本分布不平衡、攻击特征时空关系感知不充分、攻击流量与正常流量的特征具有强相似性等检测难点,导致现有检测方法存在异常样本检测敏感度低和检测性能不足的问题,因而提出基于自定义组合特征和深度特征学习的Eclipse攻击流量检测方法。首先,结合Eclipse攻击的方式和特点定义该类攻击流量的三个层面属性特征:基于常规流量特征刻画Eclipse攻击的下行流量行为特点;引入φ-熵散度算法描述Eclipse攻击流量的频率分布特点,并对φ-熵散度算法参数有效值范围进行论证;从流量通信特征及负载特征的变化速率来映射Eclipse攻击流量结构性特点。其次,为提升异常样本识别精准度提出ISMOTE升采样算法,通过计算局部聚类密度调整少数类样本采样权重,支持样本自动聚类和高效升采样,抑制Eclipse攻击流量样本的不平衡性对检测结果造成的干扰。而后,基于卷积神经网络（Convolutional Neural Networks,CNN）和双向长短期记忆网络（Bi-directional Long Short-Term Memory,Bi-LSTM）从空间和时序两种差异性分布特点对Eclipse攻击流量进行深度特征挖掘,并采用多头注意力机制将时空特征充分融合以利用两种特征分布的关联性和互补性,进而提高检测模型对于Eclipse攻击特征感知能力。最后,对生成注意力项融合特征进行异常检测,并输出分类检测结果。实验表明,所提方法在区块链网络层环境中可有效对Eclipse攻击流量进行识别,并且具有较好的检测性能。3.针对区块链网络层Erebus攻击行为检测研究中,由于检测对象存在片面性而导致难以精准检测和识别Erebus攻击发生的问题,并进一步提升Erebus攻击检测方法的综合性能,提出结合流量行为和路由状态的多模态深度特征学习检测方法。首先,为描述Erebus攻击对于区块链网络层流量传播和路由转发的影响,通过针对性定义流量行为特征和路由状态特征来描述Erebus攻击过程中路由渗透侦测、隐蔽流量覆盖和交易身份伪造等各攻击阶段的行为特点,以提升异常检测的针对性和敏感性。其次,为缓解因流量行为和路由状态两类异源特征间存在的冗余信息和噪声数据所导致训练模型过拟合现象,并降低模型检测开销,设计了基于Relif F和加权型最大相关最小冗余（Weighted Maximum Relerelevance minimum Redundancy,WMRm R）两阶段特征选择算法,选取与分类标签强相关的特征项的同时过滤低信息量特征项。最后,为解决因异源类型数据而导致的检测误报率上升的问题,设计了基于多层线性感知器（Multi-Layer Perceptron,MLP）的多模态深度学习模型,分别对筛选后的路由状态和流量行为特征进行隔离输入和深层特征学习,并基于强互补性的多模态网络生成强鲁棒性融合特征,进而提升检测精度。实验表明,在真实的区块链网络环境中,所提检测方法通过对关键链路节点的流量数据和路由报文等特征进行检测,可有效检测Erebus攻击行为并识别异常攻击流量,且检测性能优于现有方法。4.针对区块链网络层中动态变化的并发混合攻击型流量检测往往采用多种单一攻击流量检测方法相叠加的手段予以实现,该方法易导致忽视混合型攻击流量的综合泛化特征。因此,提出一种具有支持异常数据综合判决机制和强泛化能力的基于多分类器集成算法的区块链网络层异常流量检测方法。首先,为扩大所用基分类器的输入特征子集差异度,提出基于区分度和冗余信息量的特征子集（Discernibility and Redundancy of Feature Subsets,D＆RFS）选择算法,特征筛选过程中激励高区分度子集项输出,同时抑制冗余信息生成。其次,在Bagging算法集成过程中引入随机方差缩减梯度（Stochastic Variance Reduction Gradient,SVRG）算法动态调整各基模型投票权重,提升算法对于混合型异常攻击流量样本的检测泛化能力,增强模型输出特征向量鲁棒性并降低算法陷入局部最优的风险。最后,提出基于数据场概念下的局部离群因子算法（LOF Based on Data Field,LBo DF）,将集成算法输出的低维数值向量向高维空间映射,然后基于数据点间势值差放大各样本空间密度分布差异性和异常数据点离群程度,提升异常样本数据精准识别能力。实验表明:对于区块链网络层多类混合型并发攻击流量,所提方法相较于单一分类检测器,异常样本检测识别率明显上升;并且相较于基于经典集成学习的异常检测方法,检测性能有效提升的同时时间开销更少。5.为有效提取区块链网络层中未知行为模式异常流量的结构性信息和局部细节特征,增强对于异常分布流量的时序关联规律感知能力,提升异常检测方法的检测性能和时效性,提出一种基于图编码关联特征和深度生成式特征的无监督型区块链网络层异常流量检测方法。首先,在图编码器通道中使用无向图对正常流量特征的时序关联性规律建模,并采用图注意力编码器（Graph Attention Encoder,GAE）进行图编码特征转译以获得原始样本空间中具有强代表性的深度聚合型图关联特征。其次,设计基于变分自编码器（Variational Auto-Encoder,VAE）和多重Wasserstein型生成对抗网络（Wasserstein-GAN,WGAN）的生成式特征构建通道。在VAE中利用推断网络将原始流量样本特征映射为隐变量特征,并在生成网络中通过变分推断法将隐空间特征拟合成可适应多类型流量样本特点的重构特征;使用基于Lipschitz约束的WGAN鉴别器对VAE和WGAN生成器所拟合的特征与正常样本特征进行空间分布差异度约束,降低重构信息损失,拟合出局部细节特征较为完善、与原始样本特征相似度较高的多样性重构特征,同时提升模型训练稳定性和抗过拟合能力。最后,基于GAE和VAE/Multi-WGAN的双通道下的联合重构误差构建异常样本评分规则,设计滑动窗口型异常流量检测算法对样本数据进行实时检测和模型自适应更新,提升模型对于动态未知类型流量样本的异常检测时效性,避免模型参数更新延迟而降低检测准确率。实验结果表明,针对包含未知行为模式流量的混合型区块链网络层异常流量,所提方法相较于现有基于机器学习的异常检测方法,检测精准率和召回率等性能均有所明显提升。本文针对复杂网络环境下的区块链网络层中动态、隐蔽和时变型异常流量进行深入研究,并针对不同类型异常流量特点设计相应检测方法,有效识别并及时感知区块链网络层多种类型异常流量威胁。论文研究成果为区块链网络层主动预警和安全防护领域提供了理论基础和和方法支撑,有助于及时感知区块链网络层多层次的异常流量威胁并采取有效的防御措施,进而提升区块链系统整体攻防态势的安全管控能力。