随着计算机网络与人们的日常生活越来越紧密,各种网络攻击活动也变得日益频繁,且其攻击表现形式也变得多种多样。当前大多数的入侵检测系统基于误用检测技术实现,虽然检测准确率比较高,但是无法检测出层出不穷的未知攻击。网络流量异常检测技术作为一种能够发现未知攻击的入侵检测技术,近年来得到越来越多研究人员的关注,其中通过使用机器学习算法对网络流量分类进而实现异常检测的方法是被研究最多的。由于分类模型的性能非常依赖网络流量特征的设计,研究人员大多集中时间与精力去尝试设计不同的流量特征或者流量特征组合来提高模型性能,所以这些研究普遍存在特征工程问题。为了避免这个问题,部分研究人员使用深度学习技术对原始网络流量进行特征学习,由于神经网络一般需要统一的输入,所以需要对原始网络流量进行裁剪,这样就会导致网络流量信息的损失,比如一条网络流的持续时间、网络流传输的数据包个数等。然而在已有的异常检测研究中,这些信息被证明对网络流量分类是非常有效的。针对以上所述的两个问题,即基于机器学习研究的特征工程问题和基于深度学习研究的关键信息损失问题,本文使用深度学习技术对原始网络流进行特征学习,进一步将学习到的特征与人工提取的网络流的统计特征相结合,从而得到对于网络流表达能力更强的综合特征,最终用于异常检测。本文的主要研究成果和工作如下所示:1.提出了一种基于ResNet-LSTM的网络流综合特征提取模型。该模型分两步对网络流进行特征提取,第一步综合使用ResNet与LSTM两种神经网络对原始网络流量进行自动特征学习,将每一个数据包转换为二维图像格式,输入到ResNet网络中学习每个数据包的空间特征,然后以网络流为基本单位,选取每一条网络流的前r个数据包生成的空间特征向量,将其拼接成一条特征序列,输入到双向LSTM网络中学习数据包之间的时序特征,最终输出网络流的时空特征表示。第二步人工提取每条网络流的16个统计特征,用于解决使用深层神经网络学习网络流特征时造成的信息损失。之后将这两步生成的特征相结合,得到网络流的综合特征表示,最终使用生成的综合特征进行异常检测。本文通过使用ISCX2012和CICIDS2017两个数据集对模型进行性能评估,实验结果显示,本文提出的模型在网络流量异常检测任务中获得了更好的性能。2.基于上述网络流量异常检测方法的研究成果,本文设计并实现了一个网络流量异常检测系统。首先通过对系统进行需求分析,设计了系统的总体架构,然后对系统进行模块化开发,本文对系统的各个模块组件的功能和运行流程进行了详细的介绍,并给出了部分关键功能的实现方式。进一步,本文对设计的系统进行测试,首先搭建系统测试环境,明确系统的测试项,针对每个测试项设计测试用例进行测试。测试结果表明,该系统各项功能都能正常运行,并且能够对网络异常流量进行准确的检测。