在计算机网络规模和应用领域不断扩大的今天,网络已经成为人们日常工作和生活的重要组成部分。而随着网络应用范围的扩大,由网络攻击、蠕虫病毒、恶意下载、设备异常等因素导致的网络流量异常可能严重影响网络性能、干扰网络正常运行。如何及时而准确的检测网络流量异常,保证网络的正常运行,为用户提供一个良好的网络环境成为备受国内外学术界和工业界关注的研究课题。网络流量异常检测方法按照其检测范围分类,可以分为局部异常检测和全局异常检测。局部流量异常检测方法认为异常流量会在网络中的某一个节点或者某一条链路上较为明显地表现出来,因此可以将流量视为一个一维时间信号,利用一维时间信号的分析方法进行分析,得出异常检测结论。全局异常检测认为某些异常无法在单条链路的流量上明显的表现出来,如DDoS(分布式拒绝服务)攻击、蠕虫传播等,要检测这类异常就必须以整个网络的多个流量信号作为基础进行检测。本文在局部异常检测和全局异常检测两方面都进行了研究。在局部异常检测方面,本文提出了一种尺度可调的多分辨网络流量异常检测方法,可以提高检测的针对性和检测精度。通过引入S变换,使得我们可以根据流量信号的频谱特征自动调整分频信号的频谱宽度,符合异常特征;通过信号自适应重构后的再次检测,进一步确认异常特征,提高了检测的可靠性。在全局异常检测方面,本文提出了一种全局的多流量多参数相关异常检测方法。该方法利用同一异常在不同链路或OD(Origin-Destination)流所产生的多个异常流量信号在频率、幅值变化特征等方面具有相似性这一特点,将这种相似性作为检测的依据来检测异常。首先得到多个OD流或链路流量的多个参数,然后对每条流量的这些参数进行ICA(Independent Component Analysis)分析,估计出该流量的异常行为特征变量序列,最后利用K-L变换进行多个OD流或链路之间的全局相关分析,判断是否出现异常。在实际应用中,全局异常检测系统应该是一个分布式的检测系统,为了减轻中心检测节点的计算负担,提高检测效率,本文提出了一种分布式网络流量异常检测机制,并利用该机制研制了分布式网络流量异常检测仿真平台。该仿真平台通过两级检测机制,可以减轻中心节点的计算负担;通过将网络参数统计部分和异常检测部分相分离,实现了平台的通用性和可扩展性。文中提出的算法在Windows平台下利用Matlab、NS2进行了仿真,从仿真结果可以看出,所提出的局部和全局流量异常检测方法,都取得了令人满意的检测结果,从而验证了算法的有效性。这些检测算法及机制,可以作为网络安全整体解决方案的一个组成部分,与其他安全设备之间进行紧密的联系,共同解决网络安全问题。