实验过程

　　本试验采用的试验数据为1999 DARPA提供的试验数据。其中第一周由于不含攻击，因而可以作为训练数据进行训练，第二周的数据作为检测数据。

　　我们选取其中的MailBomb和Neptune作为试验检测的项目。将试验数据按五分钟分割成各个数据点，我们可以得到1280个数据点。

　　其中L1～L5表示的是包长分布在32～63、64～127、128～255、256～511和512～1023各个段落中的包的个数。

　　在整个基于网络流量模型的异常检测框架下，能比较方便地通过组合不同的基础特征实现对不同种类的异常攻击的检测，并能取得比较好的检测效果。同时我们还可以看到，针对某种攻击如果选取不同的特征组合，其检测的结果之间还是有区别的，选取过程中如果缺少必要的基础特征将导致漏报率的变大，而选取过多的无关基础特征则会降低检测误报率的性能。这就要求我们在选取标示某种攻击的特征组合时必须在必要基础特征的基础上根据检测的网络的实际流量模型，对特征组合进行具体的优化。

　　方法评测

　　基于网络流量的异常检测方法通过组合不同的基础特征能比较灵活地检测不同的网络攻击，同时每种组合特征又标示着某种攻击，所以能使网络流量异常的报警更具实际意义。

　　基于网络流量的异常检测方法提供了一个压缩比较高且能比较全面反映实际网络流量的基础特征，这为将来的异常检测提供了一个较好的数据平台，具有比较好的可扩展性，同时该数据集还能为不同域之间异常检测信息的交互提供一种可能。