随着网络规模的不断壮大,网络结构日益复杂,网络流量的异常行为对网络本身以及用户造成的危害越来越大。为了更好的控制和管理通信网络,减少异常流量对正常业务的危害,就必须准确、实时地对流量异常行为特征进行分析和提取,主动发现通信网络中的异常行为,并对具有攻击性的异常流量进行拦截和告警。传统的用户网络的异常行为分析主要采用用户行为、应用行为和网络行为的精细分析。由于骨干通信网络的通信量非常大,精细的应用行为和用户行为分析是非常困难的,异常行为分析需要以相对粗粒度的异常特征分析技术为基础,才能适应骨干通信网络的超大规模流量。本文主要研究内容包括骨干通信网中流量特征信息的粗粒度表示、流量异常事件的捕获以及流量异常事件的关联分析,并在此基础上提出一种骨干通信网中攻击检测的机制。具体工作如下:第一,由于骨干通信网络中通信量的海量性与高速性使得精细分析非常困难,本文采用相对粗粒度的流量特征参数,将这些参数看做随时间变化的信号,即网络流量特征信号,将骨干通信网中流量异常行为的分析转化为多时间序列的分析问题。第二,针对异常流量相对于骨干通信网的海量背景流量的隐蔽性,提出一种多流多特征的流量特征信号提取方法,在流分类后的子流中提取流量特征信号,起到了约减数据,突出异常流量特征的作用。第三,在流量特征信号的异常检测方法研究中,引入数据挖掘中离群点检测的思想,提出一种基于局部密度的时序离群点挖掘方法。将该方法用于流量特征信号,得到离群点,形成流量异常事件。第四,由于流量异常事件与引起流量异常的原因之间相互孤立,没有形成有效的联系。为此采用关联规则挖掘的方法,通过在离线数据中挖掘得到网络攻击与流量异常事件之间的关联规则,一条关联规则表明了一种网络攻击能够引起何种流量异常事件。第五,将上述方法运用于骨干通信网的网络攻击检测中,建立一种骨干通信网的网络攻击检测机制:在骨干通信网中捕获流量异常事件,将这些流量异常事件与关联规则库中的关联规则进行匹配,最后检测出网络攻击并根据关联规则的匹配程度生成不同级别的网络攻击警报。仿真试验验证了该方法的有效性。