网络流量异常检测技术是网络入侵检测技术的重要组成部分。现有的网络流量异常检测方法,大多依赖于网络流量特征提取,并利用传统的机器学习或是深度学习进行特征选择构建学习模型,从而进行异常检测。随着当今时代快速发展,网络流量剧增,网络流量特征的提取过程大多依赖于网络设备自动化特征提取,所提取的特征维度具有局限性。同时,人工特征提取需要足够的专业知识,并且提取过程复杂而耗时。网络流量的异常攻击通常具有隐藏性、破坏性和不确定性。在这种情况下,提取特征维数通常较少,流量特征标识区分度不明显。当所有正常和异常攻击流量混合在一起时,很难精确地检测到异常攻击。此时,流量数据中会出现特征值完全相同而标签完全不同的情况,我们将这种具有相似性特征的数据分类问题命名为相似性特征识别问题,本文着重网络流量异常检测中相似性特征识别问题进行深入研究,研究创新点如下:1、针对网络流量异常检测中含有的相似性特征识别的问题,我们提出一种时间相关性异常流量检测方法。该方法包含时间相关性自适应特征集成以及标签重定义方法。该方法创新性在于充分挖掘网络中的潜在特征,利用网络流量中不能被直接使用的时间特性,将分类特征重新集成,将对应时间相关的分类标签重新定义,再利用新型模型训练数据,并将分类结果转化为原始数据标签进行比对。将原本不能区分的具有相似性特征的个体转化为具有不同特征的时间依赖组合整体,从而处理流量数据特征完全一致而标签不同的相似性特征识别问题,反证法理论证明检测有效。该方法能在保证分类准确率前提下,有效降低特征维度,从而降低特征提取的资源消耗。2、针对时间相关性异常流量检测方法需要实例化构建检测模型的问题,我们将该方法与传统深度学习中DNN与CNN方法进行重构,构建时间深度异常检测模型(TIDNN),以及模糊卷积异常检测模型(HFICNN),处理网络流量异常检测中含有的相似性特征识别的问题。通过对多条时间相关的数据特征进行集成,重构DNN特征提取模块,结合二进制编码的标签重定义方法,构建TIDNN模型。HFICNN是TIDNN模型的改进,将多条时间相关的数据特征集成为CNN卷积特征提取模块,并扩展二进制标签重定义方法至函数映射标签重定义方法,同时引入模糊分类,使得模型适用面更广泛,检测效果更佳。实验使用标准数据集进行测试,获得效果均高于传统机器学习、深度学习方法,且方法简单高效。3、针对重定义标签之后数据分布不均衡问题,我们提出组合SVM异常检测模型(CTSVM)。通过分析TIDNN与HFICNN两个模型实验测试结果,我们发现了标签重定义方法虽然能够很好处理相似性特征识别问题,但是会引起重定义标签分布不均衡的问题,且这个问题对于以深度学习为基础的异常检测模型实验结果影响很大。由此继续改进异常检测模型,选取分类边界与分类内部数据数量无关的SVM方法与时间相关性特征集成方法组合,构建CTSVM模型,异常检测效果大幅提升。构建的三个模型逐步优化,解决现实中相同特征不同标签不能被识别的相似性特征识别问题。