网络流量异常指的是网络的流量行为偏离其正常行为的情形,引起网络流量异常的原因是多种多样的,例如网络设备的不良运行、网络过载、恶意的DDoS攻击以及网络入侵等。异常流量的特点是发作突然,先兆特征未知,可以在短时间内给网络或网络上的计算机带来极大的危害(例如由特定的攻击程序或蠕虫爆发所引起的突发流量行为),因此准确、快速地检测网络流量的异常行为,并做出合理的响应是保证网络有效运行的前提之一,也是目前学术界和工业界共同关注的前沿课题之一。本论文致力于研究基于网络业务量建模的流量异常检测方法:研究了不同自相似性的异常流对正常流自相似性特征的影响;研究了流量异常对网络流量层叠特征的影响,实现基于层叠特征的网络流量异常检测;针对当前网络异常通常表现为多条OD流或是链路流量上的异常,实现基于全局的多流量相关异常检测。(1)本文在简要介绍网络流量异常检测的有关基本概念基础之上,对当前国内外已有的网络流量异常检测方法进行了分析综述,将相关的流量异常检测方法进行了分类,并针对当前网络流量异常检测方法存在的不足,指出了进一步提高网络流量异常检测方法性能的途径。(2)本文比较系统地分析研究了网络业务量建模的有关理论。这些网络业务量模型包括自相似模型、多分形模型、无穷可分层叠模型以及流量时间序列ARMA模型等。(3)本文研究了具有不同自相似性的异常流对正常流的影响,提出在使用自相似H参数来检测网络流量异常时,方法的有效性将取决于异常流和正常流之间的自相似性是否存在有差别,而当异常流的自相似性同正常背景流的自相似性接近时,通过检测自相似H参数值的变化将不能把异常流同正常流区分开。仿真实验证明了该观点。(4)本文提出了一种基于层叠模型的网络流量异常检测方法。该方法利用层叠模型能完整刻画网络流量尺度伸缩性质的特点,选择层叠模型的判定条件作为依据,通过计算拟合直线的累积偏移量进而计算异常判别统计量的方法来实现基于层叠特征的流量异常检测。仿真实验表明,该方法成功检测出了仿真生成的DDoS攻击异常,但在实时性和定位性上表现不足。(5)针对现有单链路流量异常检测和全局流量异常检测方法存在的不足,本文提出一种基于全局的多流量相关异常检测方法。该方法首先使用时间序列模型ARMA模型来对每个OD流或链路的流量数据进行建模,从而对下一时刻的流量数据进行预测,然后将实际流量数据减去预测流量值得到预测差,最后再通过对这多个OD流或链路的预测差序列之间的全局相关分析来实现流量异常检测。仿真实验表明该方法能检测到某些全局流量异常检测方法无法检测到的异常。