随着计算机与通讯技术的不断发展进步,原本仅用作军事用途的互联网已逐渐走入社会,成为人们生产生活离不开的重要组成部分。与此同时,如拒绝服务攻击或勒索病毒等网络攻击手段给网络空间安全带来了巨大的隐患。作为一种可靠的探测网络攻击的手段,网络异常检测近些年来受到来自世界各地的研究者们越来越多的关注。在以往的研究工作中绝大多数的检测模型都是针对已经提取到的特征向量进行训练,这导致模型的最终分类性能受流量特征设计的很大影响。为尽可能地规避这种影响,一些学者选择利用人工神经网络来检测流量数据中存在的异常。然而,多数检测模型基于一维卷积神经网络,且构造比较复杂,导致其存在检测率不够高或检测速度不快的缺点。此外,受到神经网络模型固有的长度限制,多数网络模型只能接受固定长度的输入,难以检测出隐藏在数据包后部的恶意行为。针对检测率不够高或检测速度不快的问题,本文提出一种基于二维卷积神经网络的网络流量异常检测模型。模型将组成网络会话的多组数据包直接看成一个灰度二维图像,首先采用数据包方向上的一维卷积核和池化进行二维卷积运算,然后再通过全连接层和softmax完成分类。前者能够提取数据包内的特征并加快计算速度,后者可提取会话的综合特征。实验结果表明,该模型在ISCX2012数据集上与HAST-II以及TR-IDS等较新的网络异常检测模型相比,在达到更高的检测率的同时保持了较低的误报率,且检测速度可以有约三倍的提升。针对卷积模型仅能利用会话中部分流量数据的问题,我们在上文模型的预处理阶段引入了 SimHash值计算过程。它将数据包的数据部分替换为SimHash值,从而采用固定长度串保存整个包数据的特征信息。经过替换后,检测模型可以实现不依赖原始流量数据、仅依赖生成的SimHash值进行的攻击检测。在ISCX2012数据集上的实验表明,在将输入数据包的载荷部分替换为SimHash值后,模型检测率虽略有下降,但依然能够有效完成异常检测的功能。对于无法保存流量数据的敏感网络,存储SimHash值既能为未来新的检测模型对当前未知的攻击的分析提供数据支撑,亦可作为一种网络流量攻击取证的技术手段。而对于可以保存流量数据的非敏感网络,使用SimHash还可以大幅缩减网络全速运行时需要保存的数据量,从而提升固定存储空间下能够保存的网络会话的数量。