当今全球化网络环境中,网络服务的开放性为攻击者提供了可乘之机。在网络应用快速发展的同时,网络攻击的方式和规模也在快速迭代和发展。作为记录用户行为的载体,网络日志不可避免的成为网络安全重要的研究课题。现有的不管是基于误用还是基于异常的日志检测方法,大都将研究重点放在单一的网络日志内容上,无法识别出不具有攻击特征的异常日志,忽略了用户和网络日志的关系。本文在此背景下研究了基于网络日志的行为拓扑分析。本文主要工作如下:1、提出一种网络日志数据模型。选取字符串特性和字符分布信息作为特征,从日志内容的角度,详细比较了正常日志和异常日志的区别。应用两种无监督日志异常检测方法对网络日志进行分类并指出其局限性。构建网络日志行为拓扑网络,分析网络度分布,聚集系数,介数等复杂网络统计特性。2、基于网络日志行为拓扑网络,提出一种基于用户行为的日志异常检测算法。将网络结构和异常用户的特征相结合,提出五个指标来判定异常用户和异常日志。实验表明本算法的性能和其他无监督算法相比更优。为了对异常用户和异常日志进行评估,改善一种攻击检测算法,将日志检测范围从带有参数的日志扩展至对所有日志。3、将网络日志的行为拓扑抽象成双层级联失效模型,构建一种具有动态依赖组和修复机制的级联失效模型。定义两种层间的影响方式,提出级联失效模型的理论分析并推导出最大连通分支的表达式。仿真实验验证表明理论解的真实性。研究多层网络级联失效模型的影响因素。仿真实验表明依赖节点的比例和依赖组的规模和网络鲁棒性有关。此外,提升网络连接的紧密度也可以使网络更加鲁棒。