互联网与信息技术的飞速发展,使人们的生活变得越来越丰富多彩,与此同时,日益复杂的网络环境也给网络管理和网络安全带来了挑战。网络异常是指由于网络故障、网络拥塞或网络攻击造成的网络无法正常工作的现象,有效地检测网络异常现象对于维持网络正常运行并且保障网络安全至关重要。目前存在的大部分异常检测与流量分类算法都是针对单条链路或局部网络进行分析,缺乏对全局网络信息的把握,这会造成检测和分类精度不高。所以本文提出利用图（Graph）探索网络全局的流量行为信息,融合网络流特征实现网络异常检测与流量分类。本文的主要贡献由以下几个方面组成:（1）网络流中包含了通信的源/目的IP、端口以及协议等特征信息,流量矩阵能够反映全局网络流状态。为获取全局的网络信息进行网络异常检测,本文将流量矩阵作为研究对象,利用历史流量矩阵预测未来流量矩阵,通过真实观测流量矩阵与预测流量矩阵的残差判断异常。精确的流量矩阵预测对于异常检测是至关重要的,LSTM（Long Short Term Memory）能够探索时间序列之间的依赖关系,经常被用来作为流量矩阵预测的重要方法之一,然而现有的LSTM模型缺乏对流量矩阵中的空间相关性的考虑,因此本文设计基于时空图神经网络的流量矩阵预测模型,通过网络流构建通信图结构,然后利用图神经网络（Graph Neural Network,GNN）和LSTM构建时空图神经网络模型获取流量矩阵潜在的时间和空间特性,从而实现网络流量矩阵的精确预测。实验表明,与其它方法相比,本文提出的模型在预测表现上有了一定的提高。另外本文在实验中分析得知,随着网络规模的增大,模型效率有所下降,为此,本文提出图采样（Graph Sampling）算法降低模型训练和预测时间消耗,并通过实验验证引入图采样算法之后在没有降低流量矩阵预测表现的前提下,模型计算效率得到明显提高。最后,本文基于流量矩阵的精确预测实现网络异常检测。（2）对于异常流量分类问题,越来越多的网络攻击异常是由多个主机协作发起,这使得传统的异常流量分类方法失效,因此,本文提出基于图的流量分类。首先,从网络流级别特征出发,利用信息熵增益分析流量统计特征,选取合适的流级别特征。其次,从图的角度出发,本文利用网络流构建网络通信交互图,建模流量通信节点的连接行为;基于图结构,本文首先提取节点浅层特征,然后利用图嵌入表示学习算法探索网络通信节点的深层空间交互行为特征。然后,结合流级别特征和图的行为特征构建混合行为特征。最后,分别利用机器学习算法K近邻和决策树进行正常流量和异常流量二分类以及细粒度的异常种类多分类任务。本文在公开数据集CICIDS-2017上验证本文提出的方法,实验结果表明本文提取的流量行为特征与仅仅关注单一层面的流量特征相比较,在异常流量二分类与多分类任务中的分类表现都有所提高,是对简单特征的增强和补充。（3）通过上述的理论分析基础,在本文的最后部分,本文基于所提出的基于时空图神经网络的异常检测模型,结合软件定义网络、mininet网络仿真工具以及Ryu控制器设计网络异常检测仿真系统,通过正常与异常攻击流量仿真,验证本文提出的异常检测模型在真实网络环境中的可行性。