随着科学技术的不断进步,网络技术和网络的规模也随之不断发展和变化,一方面它使得网络的结构变得纷繁复杂,网络的设备和网络上承载的业务种类不断增加,另一方面随着网络的快速发展,网络出现各种故障或性能问题的可能性大大增加,各种威胁网络安全和影响网络正常工作的行为不断产生。通过检测网络流量的异常能够有效的发现网络中可能存在的故障和性能问题,它对于提高网络的可用性和可靠性的有着显著的效果,也能增强对网络安全应急的响应,从而保证网络的服务质量。基于网络流量的异常检测方法可分为有统计模型参数检测和无统计模型的参数检验。针对有统计模型参数检测这一类方法,在建立统计模型或分布时应首先要考虑序列的平稳性。时间序列的平稳性可分为严平稳和宽平稳,只有时间序列建立在平稳至少宽平稳的基础上才能进行统计模型的研究。大多数时候指的是宽平稳的情况,此时参量保持不变或者是变化很小。而对非平稳的时间序列进行平稳化处理,大多数的非平稳序列可以通过一阶差分或多阶差分处理成平稳序列;而网络流量特别是含有异常的网络流量是一种复杂的非平稳的变化过程,这也体现了网络异常流量突发性的特点,所以传统差分转平稳方法一般是无效的。由于以往的研究往往没有考虑到网络的非平稳性和突发性,及其统计分布参数是随机或者是复杂变化的,由此不可避免的导致异常检测所存在的问题。从网络流量的非平稳和突发性特点出发,特别考虑到由于攻击流量所引起的流量特性的变化,结合超统计理论,主要研究统计参量的变化。依据超统计的理论,首先应建立分布统计模型,由于网络流量的非平稳特性在建立统计分布模型的同时需对网络流量进行平稳化处理,在此基础上结合网络流量本身具有重尾性长相关的特点,建立广义pareto分布模型。根据微积分分窗处理的思想可以有效降低其在子窗显著性和复杂性,采用非平稳序列划分成平稳子段,再根据流量的本身统计特性确定相应的统计模型的基础之上,由保持统计模型的参数在子窗内的宽平稳性原则进行分窗处理。超统计理论本质是研究统计之统计,考虑分布统计模型的参量变化,络流量的变化。通过对系统结构起决定性作用的形状参数序列研究预测网络流量,在此基础上运用检测方法对网络流量进行异常检测。最后根据形状参数的预测结果进行异常检测。该检测方法大大降低了计算的复杂度,通过大量实验表明该方法具有良好的效果。从网络流量的复杂性和网络流量具有的混沌特性出发,将一维空间信息重构到多维空间,虽然增加系统的维数,但重构后的序列一方面能让信息分布在不同的维度,能够更加充分的展现系统的细节信息,能够在不同维度上全面的分析系统,另外一方面重构使每一维的计算复杂度大大降低,从而达到降低整个系统复杂度的目的。经过相空间重构后,网络流量仍然是一个非平稳的复杂过程,考虑到网络的非平稳性和突发性,及其统计分布参数是随机或者是复杂变化的,因此采用超统计理论来研究网络流量这类非平稳的复杂过程。另外针对网络流量的异常是从平衡态到另一平衡态过程的暂态过程,该过程是复杂的非平稳的突变过程,提出了一种基于突变理论的综合决策模型,既能有效的处理平衡态之间的暂态过程,又改变依靠单一参数序列的局限性,综合考虑多参数序列融合,提高的系统的准确性和实时性。此外与其他网络流量异常检测模型相比,该方法具有计算复杂度低,检出率高和误检率低等特点。本研究得到项目编号为No. 60773192的国家自然基金研究计划支持,项目名称为基于相空间突变模型的网络异常流量检测方法研究。