本发明涉及未知攻击特征提取方法技术领域，具体为一种基于机器学习的未知攻击特征提取方法，包括以下步骤，S1：基于威胁报告提取攻击行为；S2：基于相似数据流提取攻击行为样本。通过威胁报告提取攻击行为的方式，将自然语言所描述的网络攻击行为提取，并输出威胁报告攻击归纳表，基于相似数据流提取攻击行为样本，达成了自动化获取原始样本，并对样本进行扩展的效果，通过所获取样本，分析可疑代码，提取带有攻击行为的数据流参数，作为主体语句的扩展项，并归类行动顺序，基于以上所提取内容，建立网状索引，进而提取攻击特征，以系统化的方式提升了所提取攻击特征的全面性，构建了更为全面的攻击特征参考。