骨干通信网络是承载信息传输的网络大动脉,也是互联网的重要基础设施。网络流行为描述的是网络运行过程的动态变化规律,包括网络流行为特征及其动态变化、网络故障和异常状态下的行为等。为了更好地管理和控制骨干通信网络,就必须对网络流行为进行分析与挖掘,以期获得全面准确的骨干通信网络流行为特征及其变化特征,从而帮助网络管理人员加强对网络运行态势的掌握,深入理解引起网络流行为变化的根本原因,发现通信网络中与流行为相关的各类异常事件。持续增大的网络规模与新型应用业务出现使得骨干通信网络正朝着高速化、多样化、大数据化方向发展,并且人类社会生活的各种大事件也会对网络流行为产生影响,因此传统网络流行为分析方法面临着信息处理困难、分析难度增加和成本开销加剧等问题,因此迫切需要针对骨干通信网络的特点进行新的思考和研究。由于图模型的方法能够准确地捕获并展现数据之间的关联关系,已经成为了网络流行为分析的一种高效手段。本文在对现有文献进行深入研究的基础上,提出了一种新的图模型方法——网络流连接关系图(Network Flow Connectivity Graph,NFCG),结合复杂网络、大数据挖掘和信号处理等领域的最新研究成果,对NFCG图模型构建、图特征参数提取与分析,子图模式分析以及图动态演化分析等问题进行研究,本文工作的主要创新与贡献如下:1.针对现有图模型方法存在构图方式单一、信息不完整等问题,借鉴知识图谱的思想,本文提出了NFCG构建方法,能根据网络流属性信息为节点赋予不同的属性和等级、边赋予不同的权值;其次,根据研究目的的不同,设计了节点与边过滤方式以获得网络流连接行为的核心连接关系,还能够定义多种边类型以表征不同物理意义的流连接关系。与现有方法相比,NFCG成图方式灵活,包含丰富的流行为信息。NFCG的构建是开展后续网络流连接行为分析与挖掘的基础。2.为突破现有图模型特征分析方法的局限性,本文从全局图层面出发,借鉴复杂网络特征分析的研究思路,将NFCG看作成一种增强型的复杂网络结构,采用不同的特征值描述NFCG,提取出适用于不同规模网络流行为特征分析的多种参数。通过分析不同应用行为的图特征参数特点以及比较网络正常与异常流行为在图特征参数的差异,本文提出的方法不仅能实现对网络应用流行为的建档以及P2P应用准确识别,同时能够有效地挖掘现有方法难以获得的异常流行为。3.不同网络事件的发生对应流连接行为变化是不同的,流连接行为的改变可以通过子图模式来体现。本文分别从子图模式分析和关联子图模式挖掘角度出发,提出了两种方法将NFCG应用于网络事件分析与Internet数据中心(IDC)的主机识别:1)根据网络事件的不同特点提出子图模式匹配方法,该方法分别从特定子图结构提取,边相似性以及频繁子图等方面出发,有效地提取出与网络事件相关联的子图模式,有助于挖掘网络流行为产生的根本原因;2)关联子图模式是指具有节点强相关关系的子图模式,提出关联子图模式挖掘方法并应用在Internet数据中心的流连接关系分析与挖掘中,该方法能够有效地识别IDC主机,根据关联子图的主机行为相似性还能推断未知IDC的承载业务。4.针对网络异常事件的发生通常会引起网络流行为及其演化特征异常变化的特点,分别从NFCG的图特征参数演化和子图模式演化角度出发,提出基于演化分析的网络异常事件检测与识别方法:1)提出了基于图演化特征的异常事件识别方法,该方法首先提取流连接关系图序列的多种演化特征参数,然后采用信号突变点检测方法挖掘图序列演化特征参数中的异常突变点。仿真结果表明,该方法能够有效地检测网络事件的发生,通过与异常流行为特征参数进行匹配还能有助于识别网络异常事件的种类;2)以网络模体(一种小型紧凑的子图)为研究对象,研究演化过程中频繁模体结构挖掘方法,提出了基于级联模体发现的算法并应用在网络蠕虫检测中。该方法的优势在于利用级联模体结构能够准确地刻画网络蠕虫流连接关系的演化过程。相比现有方法,该方法能准确高效地检测更多网络蠕虫行为,且不需要网络蠕虫相关先验知识的协作。