随着网络主机和应用数目的增长,如何在大规模网络中识别异常流量越来越具有挑战性。目前,国内外已有许多成熟的基于主机的异常流量分析方法,重点以分析网络中的特定节点为主。此类方法无法应对大规模网络网络管理和安全监控的需求,因此,迫切需要一种有效的网络群体划分方法来应对大规模网络的挑战。本文提出了一种基于图模型的大规模网络异常检测方法,为大规模网络异常检测问题的解决提供了新的思路。首先,依据NetFlow数据中的IP字段构造二分图模型。其次,基于公共节点个数与主机相似性之间的联系构建单模投影图。然后,利用Spark GraphX实现Louvain社区检测算法来对构造出的图模型进行社区检测,寻找具有相似性的主机群体。最后,基于相对不确定模型、TCP标志位、深度数据包来对社区内部的流量模式进行分析。本文实现了基于图模型的大规模网络异常检测系统,从数据采集、存储和计算等三个方面进行设计保证系统的可扩展性。首先,借助Flume分布式日志采集组件完成数据的实时采集和转发。其次,利用HDFS和HBase存储历史数据以及计算结果。最后,采用Spark集群完成对海量NetFlow历史数据的分析。本文提出的基于图模型的大规模网络异常检测方法和系统为大规模网络异常检测提供了新的方向。实验表明,经过对天津理工大学NetFlow数据实验和分析,验证了本文提出方法的有效性和可扩展性。