随着网络带宽的“阶跃式”提升,针对网络安全的流量攻击事件愈发频繁,攻击方式愈发隐蔽,对网络正常运行造成了极大的危害。如何快速实现高速IP网络的流量测量与异常检测行为分析对提高网络健壮性,掌握网络行为结构,促进网络体系结构的蓬勃发展具有重要意义。本文依托国家863计划专项——―面向三网融合的统一安全管控网络‖,重点研究网络异常检测技术,设计了一种基于流量测量的分级异常流检测方案。该方案首先通过基于流数估计的网络安全态势感知算法判定是否存在网络攻击风险,进而采用基于自适应抽样的异常流选择性抽样算法选取“有代表性”的异常流敏感数据,最后使用基于神经网络分类器的机器学习算法训练检测模型,并对选取的流量做出精细化检测。该方案通过逐级处理机制大幅提升了系统计算资源的利用效率,检测效果优于传统方案,在检测精度和误报率方面都有不同程度的提升。具体而言,论文主要研究成果如下:1.提出一种基于流数估计的网络安全态势感知算法,从网络流量分布的重尾特性出发,对原始流量进行大小流区分估计,通过迭代估计流长分布中占主要成分的小流,解决了传统算法只注重提高迭代精度而忽视迭代更新速度的问题,快速实现对全网安全的粗粒度感知检测,较现有测量算法性能提高约25%。2.针对现有流量测量算法存在流量特征估计误差偏高和异常流量抽样能力偏弱的缺陷,提出一种基于业务流已抽样长度与完全抽样阈值S的自适应流抽样算法,该算法测量时根据完全抽样阈值S以概率1精细化抽样与异常流量强相关的流长度s?S的业务流量,对流长度s?S的业务流根据已抽样报文数自适应调整抽样概率函数P(s)。仿真结果表明,抽样流量中包含75%以上的所有异常流量,测量估计误差上界降低30%以上,有助于提高检测系统的准确率。3.针对当前异常流量检测特征维度偏高,检测算法易陷入局部最优解等问题,提出一种基于特征选择方法与神经网络分类器的网络流量异常检测模型。该模型采用MMIFS(Modified Mutual information-based Feature Selection algorithm)方法从流量特征中选出最优检测特征子集,通过训练RRBF(Regularization Radical Basis Function,RRBF)神经网络得到检测模型。仿真结果表明,该模型检测精度较高,误报率较低,检测速度较快,具有快速收敛的特点且能够避免陷入局部最优。