通信网络是指人们在使用各种现代化电子通信方式进行信息交流时所形成的一类网络,如邮件通信网络、手机通信网络、即时通信网络等。随着互联网技术的发展和移动终端设备的普及,通信网络已成为人们信息交流的主要载体。通信网络中反映了用户的社交关系、日常行为习惯、生活作息时间等诸多重要信息。通信网络分析已得到学者们的广泛关注和研究,并应用到欺诈检测、网络入侵检测、服务推荐等诸多领域。本文主要从用户行为模式挖掘、快速异常行为检测和通信网络生成模型三个方面对内部人员的通信网络日志进行分析与建模,分析用户的日常行为模式,检测内部人员的异常活动及事件定位,模拟网络的形成与演化机制。本文的原创性工作主要体现在以下三个方面:1.提出了一种基于非负矩阵分解的用户行为模式分析算法挖掘通信网络中的用户行为模式并分析其演变过程对检测数据泄漏、内部威胁等工作都有着重要的指导意义。首先将组织内部通信网络分为域内通信网络和有连接缺失的域外通信网络,并强调域内通信网络和域外通信网络在信息完整性方面的差异,分别提取其各自的结构特征和职能特征。通过引入模元的概念,将常见的二元对应关系(特征-模式)转化为三元对应关系(特征-模元-模式),并从模元的角度来对用户行为进行统一描述。该工作有助于对用户行为模式的理解与对比,可降低用户行为表述的复杂性。在Enron邮件数据集上的实验结果表明该方法能将用户行为模式更加简洁地表示出来,并且能够通过分析用户行为模式的变化来直观地定位事件的发生。2.提出了一种用户行为异常快速检测算法针对大规模数据下用户自身行为异常快速定位的问题,提出一种基于通信网络日志信息进行用户行为异常量化和快速检测的算法。首先基于用户历史行为构建基准行为模式,然后衡量各快照中用户行为的偏离程度并给予量化。为了消除量化度量的尺度差异,通过函数变换进行归一化处理,将不同范围的异常分数统一映射到区间[0,1]中,然后将所有异常值整合到一起作为用户在当前快照内行为异常的衡量指标。在真实邮件网络数据集上的实验结果表明该异常检测方法能直观快速地进行异常定位,同时也可以从大量数据中快速检测网络中群体事件的发生。3.提出了一种基于主题模型的通信网络生成模型探知通信网络的形成和演化机制是复杂网络领域中一个重要的研究点,研究者也相继提出了众多探索通信网络形成及演化机制的方法。现有的网络模拟方法主要着眼于网络的宏观特征而忽视了用户个体的微观特征,导致用户个体行为模式信息的丢失。既然通信网络是与使用者的行为紧密相关的,那么构建模型时用户个体的行为模式也应当被考虑进来。通过对网络中每个节点标注一个隐含属性——活跃度,提出了一种基于主题模型的通信网络高效模拟生成算法。在真实邮件网络数据集上的实验结果验证了该方法能够很好地模拟原网络的整体特征和用户个体的行为模式。