摘要：异常检测是目前入侵检测领域中非常活跃的一个方向，其作为一种网络测量手段，对于分组报头的信息统计在很多网络管理任务中扮演着重要的角色。将网络分组中报头的信息按不同方式汇聚起来，可以有效地构成网络流量属性的度量。从中提取的特定的子集在理论上可用于刻画网络流量中的攻击行为特征。如果这些度量在无攻击情况下能够表现出相对的稳定性，而在发生攻击时相对敏感，则可用于判断攻击的发生。并利用主成份分析和信息增益对冗余特征进行删减，能够使得判断攻击时需要的开销降低，增加实时性。基于机器学习的分类器是判断攻击导致的异常的有效手段。根据所选取的度量指标设计了三种分类器。

关键词：异常检测 主成份分析 信息增益 支持向量机 神经网络 

单位：华中科技大学软件学院 湖北武汉430074 华中电网有限公司 湖北武汉430071