1.一種網絡異常流量的檢測方法，所述方法包括：

步驟1)獲取流量數據并抽取流量特征，構建數據集；

步驟2)對步驟1)的數據集進行粗聚類，將數據集劃分為若干個聚類；

步驟3)將聚類的樣本數小于閾值的聚類中樣本劃分為全局離群點，確定為網絡異常流量，對于聚類的樣本數不小于閾值的聚類，使用孤立森林算法對該聚類進行檢測，如果某個聚類的樣本為局部離群點，則確定為網絡異常流量；

所述步驟1)具體包括：

步驟1-1)從網絡中截取數據流量包，將一系列具有相同源地址、目的地址、源端口、目的端口和協議的數據匯聚為一個數據流，數據包匯聚為雙向流；

步驟1-2)構建數據集X＝{X₁，X₂，...，X_n}，其中每個流量數據樣本X_i＝{a₁，a₂，...，a_m}，1≤i≤n；其中，a_k為歸一化的特征值，1≤k≤m；所述特征值為：流持續時間、正向流兩個包到達時間隔、逆向流兩個包到達時間隔、數據流兩個包到達時間隔、每秒數據包、每秒字節數、包平均字節數、正向流包字節數或逆向流包字節數；

所述步驟2)具體包括：

步驟2-1)定義距離閾值T₁和T₂，且T₁＞T₂，定義類別最小數閾值c_min，聚類個數j＝1；

步驟2-2)隨機選取數據集X中的一個樣本X_s，并將樣本X_s從數據集X中移除；

步驟2-3)計算數據集X中所有樣本X_i到X_s的距離d(X_i)，其中，1≤i≤s-1且s+1≤i≤n，如果d(X_i)＜T₁，則將歸入聚類C_j中；

步驟2-4)判斷d(X_i)＜T₂是否成立，如果成立，則將X_i從數據集X中刪除；如果數據集X為空，轉入步驟2-5)，否則，轉入步驟2-2)；

步驟2-5)聚類結束，數據集X被劃分為P個聚類C_j，1≤j≤P；

所述步驟3)具體包括：

步驟3-1)對于聚類C_j，1≤j≤P，判斷C_j中樣本數目是否小于閾值c_min，如果判斷結果是肯定的，則判定C_j中的樣本為全局離群點，即網絡異常流量，否則，轉入步驟3-2)；

步驟3-2)指定一個特征維度a_k，在當前樹節點所包含樣本集合中指定維度a_k的最大值和最小值之間，隨機指定一個特征分裂值s，以此分裂值s生成一個超平面，將當前節點樣本空間劃分為2個子空間：將指定維度內小于s的樣本放在當前節點的左子樹，把大于等于s的樣本放在當前節點的右子樹；

步驟3-3)在子節點中遞歸步驟3-2)，不斷構造新的子節點，直到子節點中只包含一個數據，無法繼續分裂，或子節點距離樹根距離已達到樹最大高度h_max；

步驟3-4)迭代步驟3-2)至步驟3-3)，直到構建t顆樹：T＝{T₁，T₂，...，T_t}；

步驟3-5)獲得t顆樹之后，計算每個樣本X_i到樹根節點的平均距離：h_p(X_i)為每個樣本X_i到樹T_p的根節點的距離；T_p∈T；

步驟3-6)根據E(h(X_i))判斷樣本X_i是否為網絡異常流量。