随着网络技术的发展和网络规模日益扩大,网络拓扑结构和网络设备日趋复杂,承载的业务种类也逐渐增多,这些都使网络中出现故障或遭受攻击的可能性大大增加,网络检测面临更大的挑战。网络检测的目的是通过对网络运行情况的连续检测,及时发现网络中的异常,当网络中出现异常时能够及时发出报警通知,以提醒网管人员采取必要措施,减弱异常带来的损害。网络异常检测是网络监测中的关键部分,能否正确、及时地检测出网络异常对于提高网络的可用性和可靠性具有重要的意义。本文研究了网络流量异常检测的方法,针对网络异常阈值、流量模型的建立中存在的问题以及如何根据所采集网络数据进行检测进行了分析并提出了解决方法。本文首先研究了基于阈值的异常检测算法,对静态阈值存在的问题进行了分析,并提出一种以多点检测异常统计量为基础的自适应阈值算法。该算法不仅考虑了当前检测点对正常历史流量的偏离状况,也考虑了网络的动态变化给异常检测带来的影响,由于当异常发生时会在多个检测点检测到异常,因此通过多点异常统计量来作为判定是否报警的决策量,并且动态调整单点检测的异常判定阈值,能够较好的定义并量化流量异常,为后面的异常检测算法研究打下了良好的基础。网络正常流量模型的建立对异常检测算法的检测效率有着重要影响,常用的预测模型为回归模型。针对回归预测模型应用于网络流量中的缺点,创新性地将指数平滑模型和小波变换结合起来,通过小波变换削弱时间序列中随机变化的部分,为流量模型的建立创造了良好的条件。自适应三次指数平滑模型无需大量历史数据即可拟合模型参数,并可随时间动态调整自身参数,能够较好的适应网络流量的多变性特征,使异常检测达到较好的效果。网络流量的采集即通过哪些特征量来表示网络流量,对于网络异常检测空间、时间开销以及检测结果的精确性都起着决定性的作用。为了实现可溯源的异常检测,本文提出了一种基于概要数据结构的异常检测算法,对异常流量与正常流量的分布状况的差异提出一种基于KL距离的衡量方法,算法由于通过逐点计算距离,并通过这些距离来判断异常,使检测异常的能力更强。