随着计算机网络以及移动通信网络的飞速发展,伴随而来的网络信息安全威胁变得愈加频繁和复杂,特别是在安全敏感度高的应用领域,如网络与通信服务业、银行、金融等。本文针对当前网络中主流的DDoS攻击以及暴力破解攻击,从通信流量的角度,深入分析攻击特征,构建起异常行为在线检测方案。针对现有DDoS检测方法的不足,提出一种基于流量的DDoS攻击检测方案,分析不同DDoS攻击的多种流量特征,计算描述流量的源IP与目的端口数量变化的熵值,使用特殊报文所占比例来描述特殊报文的数量变化;基于多个特征的综合判断可以避免单一属性带来高误判的缺点。改进的CUSUM算法可以动态调整允偏量,如在有均值漂移趋势时逐渐减小允偏量,趋势消失时允偏量回复正常水平,该方法可以加快漂移发生时算法的响应速度,同时能够有效提高对微小漂移的检测效果。针对暴力破解攻击,提出一种基于通信进程数和特征标准差的暴力破解攻击检测方案,结合TELNET、SSH、FTP三种典型的远程通信与控制协议,使用单位时间内通信进程数、连续周期数据包大小均值的标准差以及连续周期发包速率的标准差来判断用户的行为模式。暴力破解攻击会导致特征值出现长时间的无波动或波动较小,如果通信主机间存在多个通信进程,且特征值标准差小于阈值则认为存在暴力破解攻击。在小型局域网环境中,对建立的安全异常行为检测方案进行了攻击模拟和性能测试。从误报率、漏报率和准确率三个方面对DDoS攻击检测方案性能进行了评估,结果表明对SYN_FLOOD、UDP_FLOOD和ICMP_FLOOD检测的准确率不低于98%,漏报率和误报率不高于4%;对TELNET、FTP、SSH协议的暴力破解攻击检测准确率不低于95%,误报率和漏报率不高于10%。测试结果表明,本文方案可以实现对网络中DDoS和暴力破解两种特定异常行为的实时检测。