网络流量异常是指当前的流量状态偏离了网络流量的正常行为轨迹,从而影响了网络的性能和服务质量。各种网络异常流量会不同程度地影响到网络的服务质量,严重时甚至会造成网络中断引起巨大的损失。通过网络异常检测可以发现许多网络故障和性能问题,甚至可以检测出一些未知的恶意攻击。网络流量异常检测系统的检测能力与整个网络的可靠性和稳定性有紧密联系,它对于保证网络的服务质量具有重大意义,因此,网络流量异常检测成为当前网络安全领域中的热点研究问题之一。本文在总结分析国内外网络流量异常检测研究现状的基础上,为进一步提高网络流量异常检测方法的检测率,提出结合局域波分解法和聚类分析进行流量异常检测,主要工作如下:1.采用局域波分解法进行网络流量信号分析:与傅里叶变换和小波变换等其他时频信号分析方法不同,它以信号的局部特征为基础,比较完整地保留信号的局部信息,对于整个流量信号而言,流量异常行为发生在流量信号的局部范围内,因此用局域波分解法对网络流量信号进行分析可以更加完整地提取出异常特征。2.提出一种基于局域波分解和改进的k-means算法的异常检测方法:传统k-means算法对初始聚类中心很敏感,并且算法容易陷入局部最优解中难以获得全局最优解。本文针对网络流量异常检测的特点,提出了一种基于局域波分解法和改进的k-means算法的异常检测方法,试验证明相对于传统的k-means算法,本文提出的检测方法对网络流量异常检测具有更好的检测效果。3.提出了一种基于瞬时参数预测的流量异常检测方法,首先对流量信号进行局域波分解,获得流量信号的瞬时参数,然后对瞬时参数建立ARMA模型,获得瞬时参数估计值,用模型的预测值与实际流量信号瞬时参数的差异来表示异常空间,最后对多条链路瞬时频率的异常空间和瞬时振幅的异常空间构成的高维矢量分别运用改进的k-means算法,综合得出网络流量的异常时段,试验证明,该方法能有效降低误报率和漏报率。