网络异常检测是保证网络安全和网络生存性首要措施,在网络安全防御体系中起着极为重要作用,因此,近年来对网络异常检测的研究越来越受到关注。目前网路异常检测技术主要分为误用检测(misused detection)和基于正常行为上的异常检测(based on normal behaviors anomaly detection)两类。误用检测是指工作在已知异常特征下,对检测数据进行匹配以实现异常检测。该机制对已知异常具有检测很高的检测率,而对匹配库中没有的异常存在100%漏检率。基于正常行为上的异常检测技术是指用已创建的正常行为轮廓检测偏离的异常行为。该机制能够有效检测出未知异常,所以可克服误用检测漏检未知异常;但该机制对正常行为的检测存在高误检率。近年来,DoS等攻击和网络拥塞异常造成网络性能发生突变恶化,使网络面临严重考验,因此实现对此类异常的检测迫在眉睫。然而,现有异常检测技术对其却无法实现高效检测。那么是否存在一种异常检测技术,该机制既可实现检测已知异常检测,又能检测未知异常检测,同时对正常行为检测不会造成误检?为此,本文围绕着上述问题,对异常网络的突变行为,结合突变理论及其特征,提出了一种基于突变理论的网络异常检测方法(An Anomaly Detection Mechanism Based on Catastrophe Model For IP Network,ADMCM),实现对突变异常行为的检测。该机制的主要思路在于:首先采用总和标准化方法对网络数据进行预处理;其次,采用t假设检验和图示法验证网络异常行为的突变性;然后采用聚类算法,最小二乘多项式拟合,置信估计等方法建立描述网络异常行为的具体模型-尖点突变模型;基于该网络异常行为模型,运用聚类算法计算出网络吞吐量、异常网络流量和网络负载的异常临界值,通过分别对各个异常临界值制定逻辑值,建立一种基于多个变量异常关系的逻辑组合的异常检测机制。该机制建立充分利用了突变模型特征及多个变量间的异常关系。最后,通过采用KDD CUP 99数据集对ADMCM实验,结果表明相对传统异常检测机制,ADMCM能有效改善对DoS等异常攻击的检测率和虚报率。对于ADMCM,虽有效检测网络异常行为,但对于这些造成网络性能发生突变恶化的异常行为,该机制并不能有效避免网络异常发生。针对上述问题,本文提出了一种基于突变的IP网络异常行为避免方法(AnAnomaly Behaviors Avoiding Scheme Based on Cusp Catastrophe for IP Network,BASCC),实现避免网络异常行为的发生。首先分析了突变理论特征,然后利用控制参数分别为路由器转发率(u)、业务请求次数(v)和状态参数为时延、吞吐量的网络动态行为在异常时表现的突变性和动态行为轨迹,建立了描述动态行为的尖点模型和描述网络异常行为边界-交叉集。提出了实现避免异常的机制,该机制为:控制网络控制参量u、v的变化轨迹,使其不穿越动态异常行为的交叉集,或实现异常行为的交叉集远离正常网络参数变化的范围。在IP网络中提出了实现网络异常控制的两种具体方案。最后,经仿真实验表明该突变避免方法可有避免网络突变异常行为对网络性能影响。综上所述,本文的主要贡献点如下:1.建立了一种具体的异常检测机制:ADMCM,实现了对突变异常行为的检测,提高对异常检测的检测率。2.提出了一种异常避免机制:BASCC,实现了有效避免网络异常行为对网络性能的影响,从而提高了网络的生存性和安全性。