网络流量异常指的是网络的流量行为偏离其正常行为的情形,引起网络流量异常的原因是多种多样的,例如网络设备的不良运行、网络操作异常、突发访问(flash crowd)、网络入侵等。异常流量的特点是发作突然,先兆特征未知,可以在短时间内给网络或网络上的计算机带来极大的危害(例如由特定的攻击程序或蠕虫爆发所引起的突发流量行为),因此准确、快速地检测网络流量的异常行为,并做出合理的响应是保证网络有效运行的前提之一,也是目前学术界和工业界共同关注的前沿课题之一。本文致力于研究对各种频段的流量异常都能准确、可靠和实时检测的小波包分析方法;针对流量异常检测问题,研究基于滑动时窗的小波(包)变换快速算法;研究流量异常对网络层叠特征的影响,实现基于流量层叠特征的检测。(1)本文首先对网络流量异常检测的方法做了一个综述,通过对国内外研究现状的分析,把网络流量的异常检测方法进行了分类,指出了现有研究的不足之处,针对这些问题,提出了新的研究思路和可能采用的技术路线。(2)本文介绍了小波分析的一些基本理论,提出了一种基于滑动时窗的小波(包)快速算法,通过预先存储一部分小波(包)系数,避免重复计算过程,可以用较小的存储空间为代价,获得了计算效率很高的小波(包)变换快速算法。通过实验验证该算法可以有效的支持网络流量异常检测机制。(3)针对现有网络流量异常检测方法的不足,本文提出了一种尺度自适应的网络流量异常检测新机制。通过采用小波包分解,使方法对高、中、低频异常流量具有同样的检测能力;通过对不同频带小波域小波包系数的重构、检测,进一步确认异常的各种特征,提高了检测的可靠性;通过运用基于滑动时窗的小波包变换快速算法,解决了流量异常检测中的小波包变换的实时性问题;通过提出基于小波中心频率的时窗选择方法,解决了每层各个尺度下的小波包系数检测窗口的选取问题。仿真实验证明了方法的有效性。(4)本文提出了一种基于层叠模型的网络流量异常检测方法。该方法利用层叠模型从本质上体现流量性质的特点,选择用多分辨分析(MRA)和小波变换模极大(WTMM)估计层叠模型的判定条件作为检测依据,通过对拟合曲线误差的估计来判定异常的发生。仿真实验证明,这种方法具有一定的检测效果。