近年来,网络技术高速发展使得网络成为人们日常生活中不能缺少的。然而,固然网络给用户带来了方便,然则针对网络的攻击也越来越多。虽然很多组织机构和政府企业已建立起相对安全的保护机制,但是攻击手段也越来越呈现多样化,而且后果也越来越严重。在这样的背景下,针对网络异常行为的检测研究也渐渐发展起来。本文在研究学习了目前比较成熟的若干网络异常行为检测技术后,发现目前网络异常行为检测的技术还有些方面考虑比较片面,检测的焦点集中于用户行为,没有全面地分析所有网络行为模式。而且,用户易受周围环境的影响,行为具有不稳定性,会对检测结果产生干扰。本文介绍了两种网络异常行为检测方法:1.传统的聚类算法的时间复杂度高,本文提出了一个时间复杂度相对较低的异常行为检测方法。该方法选取了中心点而不是平均值作为划分,能够忽略孤立点等问题的影响。经典的K-means算法需要事先输入聚类个数,不符合实际情况,该方法提出了一个比较因子R,解决了事先确定k会带来的误差。聚类算法通常会将小类作为异常情况处理,该方法提出了密度评估反选准则,能对数据进行快速处理,提高结果的正确度,降低时间复杂度,从而提高检测效率。2.本文在传统的协议异常检测方法基础上增加了对应用层协议的研究,并提出了利用灵活性较高的条件随机场模型(CRF)建模来进行协议异常检测。该方法在充分了解了协议报文的头部字段和响应码等信息之后,选择其中的一些字段作为关键字来代表此协议并进行建模。通过选取DARPA1999数据集作为实验数据来训练数据,并建立正常的协议行为库,通过计算联合概率来判断是否有异常发生。最后,经过建立模型和计算系统,设计了一个应用程序对模拟环境和真实网络数据进行检测和分析。结果数据表明,这两种方法都取得了比原有传统方法更好的效果。