由于网络流量的持续爆炸性增长及其分形特性的不确定性,高效、准确区分正常与异常流量的难度越来越高。明显的自相似和长相关等特性使得网络安全运行时的流量模式有迹可寻。大多数情况下,“少见”的流量模式的出现,往往预示着网络安全态势的变更。如何在网络态势发生变化时描述网络流量的安全状态成为当下热门话题之一。本文以网络流量特性为研究点,利用软件定义网络(Software-Defined Networking,SDN)的控制与转发分离特性与其全局管理视角,根据OpenFlow交换机中的流表统计信息刻画网络流量特性。结合网络流量特性,本文提出基于内核的增长型自组织映射(Kenerl-based Growing Self-Organizing Maps,KGSOM)网络自学习算法,通过对采集到的OpenFlow交换机流表统计信息的持续自学习,动态地获取增量式KGSOM网络流量模型。本文引入“安全轮廓”表示流量的安全模式,并根据这一概念提出基于KGSOM网络的安全轮廓动态解析算法。该算法根据KGSOM网络模型对流表统计信息的增量学习,构建基于流量安全模式的知识网络(即安全轮廓)。对于满足预设条件的网络流量,学习其流量模式,动态调整安全轮廓的边界或增加新知识到KGSOM网络;而对不认识(即不满足预设条件)的流量模式,则依据从入侵检测系统(Intrusion Detection Systems,IDS)获得的关于该网络流量是否为异常流量的结果,动态调整网络的安全轮廓,加强安全强度或添加新知识到该安全轮廓。流表信息是数据流转发的依据,也是网络流量特性的体现。本文将增量学习算法与安全轮廓动态解析算法结合,首先将获取到的交换机信息整合成待学习的样本,然后将样本输入到KGSOM网络中进行持续自学习,进而动态生成KGSOM网络流量模型。接着利用KGSOM网络流量模型解析出网络的安全轮廓。最后根据解析出的安全轮廓识别网络中的异常流量。同时KGSOM网络能根据异常现象反馈调整网络的安全轮廓,使网络安全轮廓对网络的流量模式,尤其是一些未知的网络流量模式的敏感度更强。通过基于DARPA 99数据集的仿真实验,首先分析迭代次数与扩展阈值对增量学习算法的影响。然后分别在正常和混合流量下验证网络安全轮廓动态解析算法的有效性。最后对比分析基于KGSOM和GSOM网络的安全轮廓动态解析算法,验证了本文基于KGSOM的算法在对正常流量的识别和运行时间上相对基于GSOM的算法表现良好,而基于GSOM的算法在对异常流量的识别上表现较好。