随着网络技术的发展,网络安全问题日益突出,异常流量检测这一领域也受到了广大科研工作者的关注。现有研究成果非常多,诸如利用自相似法、数据挖掘理论、统计模型等方法进行了这方面的研究工作。本文也是针对异常流量检测这一点进行深入研究。支持向量机是上世纪九十年代提出的一种基于统计学习理论的算法。它是基于结构风险最小化、VC维理论提出的,能够处理小样本数据,具有泛化能力好等优点,广泛应用于模式识别、回归估计等各个领域。本文也是利用支持向量机来解决异常流量检测这一问题。本文设计了基于CIDF通用框架的基于支持向量机的网络异常流量检测系统,将支持向量机用于系统的核心——事件分析器,分析了其可行性和构造多类别支持向量机的构造方法,还详细阐述了各个组件的功能和数据交互流程。异常流量的数据本身数据维数较高,使用基于信息熵的特征选择算法,提取重要特征和去除冗余特征,降低了维度。通过对比实验,验证了算法的正确性,在检测精度几乎不变的前提下,大幅缩短了训练和检测时间。核函数及其参数的选择始终是支持向量机的核心的问题,本文通过对比实验发现RBF核函数更适合于异常流量检测问题,并理论分析了BRF函数的优势。本文还围绕核函数的基本性质和如何构造进行了详尽的说明。在此基础上,通过一个新的带权值的距离公式替换原有的RBF核函数中的表示距离的部分,构造出一个新的核函数。改进的RBF核函数考虑了到异常流量的数据集是异构数据集这一特点,将数值的差异标准化,更利于机器学习,并考虑了各个特征属性对类别的贡献度,通过模糊函数的隶属度来达到不同特征的权值不同这一目的。从理论上说,改进的RBF函数合理的解决了异构数据集的数值差异化,提高了检测精度。