近年来,随着网络规模不断扩大,恶意网络流攻击事件越发频繁,对网络安全构成了严峻挑战。攻击行为承载在网络空间的数据流中,且常进行加密、分片、混淆、伪装等隐藏处理,因此针对攻击行为的网络流的攻击检测与溯源成为保障网络空间防御安全的重大基础问题。而弱合作、非合作场景的出现,为网络流的攻击检测与溯源增加了新的挑战。弱合作、非合作场景是指互联网（Internet）这类不可控的网络,其特点是对于网络不具备或仅具备小部分可控性,无法获取更高级的权限以实现深入分析,同时仅可以对部分节点进行观测获取相关信息辅助分析。因此在弱合作、非合作场景下,对网络流的分析是最直接的方式,也是现在检测任务的主流方法。在非合作场景下开展的对抗防御对庞大的网络空间状态掌握度很低。例如在网络端到端传输数据,攻击者可以在数据包经过的网关或路由器进行恶意拦截,从而造成数据泄露,而由于网络不可控性,无法及时发现被攻击的网络节点或保障数据传输的安全性。本文针对互联网中对安全性、私密性要求高的节点,更倾向于发现攻击的时效性,以及对发出攻击节点的查准性。当节点发现威胁攻击后,目的在于追踪源头节点,并对其采取防御、反制等措施,遏制多个攻击源头发起攻击。然而在弱合作、非合作场景下,无法直接获取各设备、节点的通信内容,只能通过部分可控的边缘节点对路径上网络流进行检测并分析;同时,网络拓扑结构中部分信息未知,只能基于部分可控的边缘节点上的网络流分析结果,推断其他节点的路径信息,对网络流的攻击行为进行溯源。威胁检测是基础,首要任务是检测当前节点是否遭受攻击;威胁溯源是手段,即从源头将攻击彻底切断。在威胁检测方面,当前针对网络流的攻击检测方法主要基于机器学习和深度学习模型,存在分析效率低、准确率低、误报率高等不足,难以满足国家网络防御需求;同时,网络流的攻击检测模型部署于网络空间各级节点上,现有检测方法大多具有较高的复杂度,无法展开大规模部署。在威胁溯源方面,传统的网络流的攻击溯源方法大多依赖于拓扑结构信息展开威胁追溯,不具有通用性,而在当前弱合作、非合作网络条件下,无法基于部分网络拓扑结构信息来进行网络流路径溯源,实现点到点的网络流行为监测。由此,本文从威胁检测及威胁溯源出发,针对现有威胁检测方法准确率低、复杂度高的问题,提出了精准化、轻量化两种网络流的攻击检测模型,可以满足各类检测任务的需求;针对现有威胁溯源方法有效性差的问题,结合节点综合评估模型,提出标签植入技术对重要可控节点进行标记、定位,据此展开威胁发现及溯源。本文的主要工作及创新点如下:（1）基于网络架构搜索的流检测轻量化模型技术研究针对网络架构搜索中计算资源需求大、模型轻量化程度低的问题,提出一种网络流的攻击检测的模型架构搜索算法,通过引入神经网络架构搜索（Neural Architecture Search,NAS）来寻找具有较好检测性能的轻量化网络流的攻击检测架构。其中,通过代理模型来预测候选架构的性能,引入了与图像域相关的操作块来获得适合网络流数据的相应操作集,使搜索网络架构具有更好的性能;并设计了相应训练策略来减少训练代理模型所需的样本数量,降低训练成本。（2）基于深度强化学习的流检测精准化模型技术研究针对网络流的攻击检测模型迁移性较差、精准度不高等问题,创新性地提出一种基于深度强化学习的可迁移、自适应的网络入侵检测模型。其中,通过将数据集的特征统一为从环境中观察到的状态来提升可转移性,使得训练后的模型在不同数据集上均有着较好的检测精度;并设计了交互奖励机制,通过构建智能体与环境进行交互获取有效信息来提升模型的环境自适应性,智能体与环境之间的大量交互也使得小样本学习成为可能。（3）基于拓扑信息推断的网络流的攻击溯源分析技术研究针对现有威胁溯源技术复杂度过高、成本较大的问题,提出了节点综合评估模型和基于拓扑推断的网络流的攻击溯源分析技术。其中,节点综合评估模型根据网络流的攻击检测结果、节点安全性等指标对其重要性做出评价,并据此部署网络流的攻击溯源分析技术;网络流的攻击溯源分析技术从多层网络结构对各级节点进行标签植入,通过标签识别对网络威胁实现定位、溯源、处置及遏制。