随着网络技术的快速发展,网络空间的安全问题越来越得到重视。传统的安全防护手段主要依赖边界防护以及对已知攻击模式的匹配,无法应对层出不穷的新型攻击手段和逐渐增多的内部威胁。网络流数据作为网络中一种重要的数据,反映了网络的使用情况以及网络中成员的活动特点,对于网络流特征进行分析有助于弥补传统安全保护手段在新威胁下的不足。本文总结了进行网络流特征分析以及网络异常检测的常用方法,针对有组织结构的内部网络,提出了根据网络流特征分析对网络中的个体进行角色识别,并在此基础上进行角色群体间的交互异常检测的安全分析框架。首先,从网络交互行为分布和交互流量两个方面构造能描述网络个体交互特点的特征集,并结合随机森林模型,对网络中的个体进行角色分类与识别;然后,根据网络个体所属的角色信息将个体间的网络流聚合为角色群体间的交互网络流,并构造异常检测指标集,基于时间序列预测检测角色群体间的交互异常。通过在实际的内网网络中的实验,证明了本文所提出的框架和方法能够挖掘出网络个体的角色信息,并检测出具有相同角色的群体的异常行为。