摘要：为保障网络和信息系统安全，需要对网络实施有效的监控，确保能及时检测出网络异常（蠕虫爆发、DDoS攻击等）等流量，进而为后续的动态量化风险评估、主动防御提供有力支持。为此，本文提出了一种基于IP监控和非高斯统计的网络异常流量检测方法（IPM—NGSD）。该方法包括两个关键部分：常用IP地址库FIPD和非高斯统计建模。前者，通过利用Bloom filter技术和FIPD，将网络流量快速分流为常见和非常见IP网络流量：S0和S1；后者，在不同聚合层次上，提取S0和S1的非高斯边缘分布的轮廓值Potfile0和Porfile1，并通过计算Porfile0和Potfile1之间的统计距离，来检测是否存在异常。通过理论分析和两组统计实验验证了该方法的有效性：在缺少有关目标流量先验知识的前提下，该方法能快速、准确地发现短期突发攻击流量和长期低密度攻击流量。

关键词：网络异常流量检测 bloom filter技术 非高斯统计建模 ip监控 

单位：国防科技大学计算机学院 湖南长沙410073