很多大型企事业单位都有自己的内部网络,该网络除了承载一般的网络应用外,还承载着企业内部的私有网络应用。以校园网为例,校园网包括了财务系统、科研管理系统、学生管理系统、选课系统、协同办公系统等应用。企事业单位内部网络各项应用的稳定运行对其业务的正常发展至关重要。现有的网络管理工具主要依靠NetFlow及SNMP协议信息对网络节点及链路的状况进行监控和分析,缺乏一种行之有效的方法来对特定网络应用的运行状况进行监控与异常检测。为此本文采用基于内部网络应用流连接行为分析与基于统计特征分析的应用流行为异常检测方法全面的对于内部网络特定应用流行为进行异常检测。本文的创新和主要工作如下:(1)采用信息熵与流连接密度相结合的内部网络特定应用流连接行为二次异常判定方法,利用信息熵与流连接密度对于内部网络特定应用流连接的集中程度进行表征,通过各时间点信息熵值变化发现异常并得到异常时间窗,再根据异常时间窗内各时间点的流连接密度波动值与时间窗内流连接密度平均波动值的比值进行二次异常判定,定位异常时间点并发现异常时间点内异常源IP地址、目的IP地址以及IP地址对。(2)根据应用流量的统计特征,利用内部网络服务器端特定应用流量历史统计数据建立了表征正常应用流行为的Hurst系数经验模型,提出了利用网络流量自相似性对同一时间片的历史应用流量进行Hurst系数异常检测置信区间的划定,达到了对异常应用流行为引起的异常流量突变的准确检测以及防止对正常应用流行为导致的正常流量突变误检的目的。(3)充分利用小波分析的局部放大特性,对于服务器端检测到的特定应用流行为异常进行深度解析。针对客户端应用流量变化特征不明显的特点,通过小波分析方法将应用流信号分解为高频信息和低频信息两部分,综合分析检测应用流信号的异常突变点并定位异常发生的时间。