网络的快速发展导致网络攻击行为日益增多,网络安全问题愈发严峻。网络流量异常检测作为一种重要的网络监管手段,是解决网络安全问题的有力措施。在实际工作中,我们观察到异常的发生可能会导致不同尺度上流量数据特征的变化,而多尺度检测往往能够提高异常检测效果。本文主要基于数字信号处理理论,结合多尺度多通道检测思想提出了一种新的异常检测方法。该方法主要分为流量数据处理和异常检测两个模块。流量数据处理模块主要通过经验模态分解方法(Empirical Mode Decomposition,EMD)得到流量数据的多尺度表示形式,异常检测模块则利用多通道信号检测方法进行相关检测值的计算和异常判断。具体来说,本文完成的主要工作包括:(1)利用改进的EMD方法—集合经验模态分解(Ensemble Empirical Mode Decomposition,EEMD)将网络流量自适应地分解为多个分量,各分量包含不同的物理意义,使得流量波动情况在多个尺度上表征出来,从而得到流量数据的多尺度表示形式。(2)将异常检测问题引申为了一个信号检测问题,对多尺度形式的流量数据利用广义似然比检验(Generalized Likelihood Ratio Test,GLRT)进行多通道检测计算,然后结合门限值完成异常判断。同时,本文还提出了一个信道选择方法来确定GLRT检测的数据输入。(3)将本文提出的方法和传统的多尺度检测方法在三个数据集上进行了异常检测实验。实验结果表明,本文提出的异常检测方法相对于传统的多尺度检测方法具有更好的检测效果,同时具有更好的适应性。(4)在异常检测实验中,我们还对本文提出的门限计算方法和信道选择方法进行了验证。结果表明,我们采用的门限计算方法具备一定的可行性,得出的门限值在异常检测中具有一定的可信度。而提出的信道选择方法不仅有效减少了信道数目,降低了运行时间,还具有更好的异常检测效果。综上所述,本论文针对网络流量异常检测提出了一种基于EEMD的多尺度检测方法。同时,还结合了数字信号处理理论,利用GLRT检测器实现了多尺度异常检测。与传统的多尺度检测方法对比,本论文提出的方法表现出了效果上的优越性和更好的适应性。