基于数据分发服务（Data Distribution Service,DDS）的发布/订阅分布式系统是一种构件之间通过DDS进行通信且具有松耦合特性的分布式系统,在国防、军工等领域应用广泛。随着发布/订阅分布式系统的规模日益庞大、构件间关联日趋复杂,系统所面对的安全威胁也与日俱增,如针对系统的拒绝服务攻击会大量消耗系统资源,导致系统难以稳定地提供服务。因此,迫切需要开展有效的状态监控和运维管理工作来保障系统的安全稳定运行。目前针对系统面临的安全威胁已有相应的应对措施,但是缺乏对系统整体的安全监控。此外,针对系统运行过程中存在多种运行状态的特点,缺乏以运行模式为单位的异常检测方案,无法准确把握系统的运行状态。针对上述问题,论文设计了面向发布/订阅分布式系统的异常检测方案,方案分为两个阶段:在离线分析阶段,利用数据挖掘技术从系统历史运行数据中挖掘出系统的运行模式,并提出运行模式的表示方法,构建运行模式知识库;在在线检测阶段,使用带属性的AC自动机算法和实时流处理框架,对系统实时运行状态数据进行运行模式匹配,实时监控系统运行状态,检测系统运行异常。论文的主要工作如下:（1）提出了基于加权频繁项集挖掘算法的运行模式挖掘方法。通过研究发布/订阅分布式系统的运行特点和通信机制,对Apriori算法从数据存储和支持度计算两个方面进行改进。结合事务矩阵,从频次和影响程度两个方面体现发布订阅事件的重要性,以适用发布/订阅分布式系统的运行模式挖掘,提高挖掘效率。（2）提出了发布/订阅分布式系统运行模式的表示方法。针对系统中存在多种运行状态的特点,结合构件关联、基于正则表达式的事件序列和事件属性约束定义和表示运行模式。构建运行模式知识库,将运行模式作为在线异常检测时模式匹配的依据。（3）提出了基于带属性的AC自动机算法的异常检测方法。为检测系统的运行行为异常,利用离线挖掘得到运行模式构造自动机进行模式匹配。为提高异常检测效率,在AC自动机的状态节点上存储了事件属性约束的索引,在事件序列匹配的同时检测事件属性的正确性。针对数据流处理中采用的滑动窗口模型的特点,对检测结果增加异常误报修正机制以进一步提高异常检测的准确率。（4）集成上述理论研究成果,设计并实现了发布/订阅分布式系统的异常检测原型系统。异常检测原型系统是集离线分析和在线检测为一体的监控管理平台,提供了运行模式挖掘和表示的操作接口,利用实时流处理框架实时监控系统运行状态以检测运行异常。对原型系统的测试结果表明:论文提出的发布/订阅分布式系统异常检测方案是正确有效的。