面对分布式和协作式化的复杂网络威胁带来的挑战,传统的众多检测技术缺乏统一的检测框架和灵活的威胁模型,检测手段也存在可扩展性不足的缺陷。本文面向复杂网络威胁的建模与检测技术开展相关研究,提出了基于改进的多层次威胁树量化模型,面向复杂网络威胁检测的事件聚合机制以及复杂网络威胁检测技术框架等一系列方法,并由此构成一个整体系统。总的来说,本文主要工作和创新点体现在以下几个方面：第一,针对现有的网络威胁建模机制无法有效的描述刻画复杂网络威胁行为的不足,本文提出了基于改进的多层次威胁树量化模型。多层次威胁树的威胁模型可以更加直观和全面的反应复杂威胁行为的具体元素和多步骤特征。节点参数化的描述方法亦有利于从量化的角度描述威胁元素,更加细粒度的体现威胁的具体过程。针对多层次威胁树的固有特点,本文还提出了节点复用,完成度以及威胁复杂度的概念并给出了具体算法,提高了模型的描述性能。第二,针对复杂网络威胁在具体实施过程中所体现出来的多步骤协同特征,本文提出了面向威胁行为检测的事件聚合机制。通过将网络事件分类,提取其主要元素,抽象其具体表现,定义了统一的事件格式,并在此基础上提出了事件聚合的概念。事件聚合模型从底层网络流量入手,逐步抽象其行为特征,最终形成反应威胁目标的终点事件,整个过程路线清晰,适应复杂网络威胁行为的检测需求。本文还针对事件聚合模型的拓展性进行了分析,验证了其在检测威胁行为时具有的灵活性。第三,针对现有复杂网络威胁检测技术缺乏统一框架的问题和技术挑战,本文提出了基于事件聚合驱动的复杂威胁检测框架。该框架主要分为事件提取模块、事件预处理模块以及事件响应模块。通过事件的抽象描述,忽略了大量的底层流量细节,有利于提高方法的效率。威胁识别过程抽象化为各种层次和异构事件的迭代聚合,重点在可扩展的事件聚合机理实现,使其能够广泛适应多样性的具体网络威胁的事件监测手段和威胁性判定方式,具有普遍的适用性。本文最后设计实现了原型系统并采用DARPA-2000数据流量包和某高校实时网络流量测试了上述关键技术,实验结果表明系统能够有效检测复杂网络威胁行为,而且具有良好的拓展性和吞吐率。