1.一种基于历史时间取点法的网络流量异常检测方法，其特征在于，包括下述步骤：(1)在网络流量采集点部署端口镜像路由，捕获全流量数据包，形成网络流时序数据源；

(2)利用固定时间窗口对网络流时序数据源进行网络流量的行为特征统计，多维行为特征形成网络行为时序特征向量，刻画出当前时间窗口的网络行为画像，通过多个时间窗口的网络行为时序特征向量构建出网络行为的时序画像；

(3)把当前时间窗口网络行为时序特征向量的每个行为特征依次作为输入，用历史时间取点法选择历史数据，使用绝对变化量化方法、相对变化量化方法和趋势变化量化方法分别累积计算出当前时间窗口网络行为时序特征向量与对应的历史数据的网络行为时序特征向量的异常偏离度值，得出当前时间窗口网络行为画像的变化情况；

(4)使用证据累积方法，将步骤(3)计算所得的三种异常偏离度值进行累积，得到行为时序画像偏离度，通过行为时序画像偏离度数据分布趋势设定阈值，对当前时间窗口网络行为的状态实现异常决策，并对异常流量发出警报。

2.根据权利要求1所述的一种基于历史时间取点法的网络流量异常检测方法，其特征在于，所述网络流量的多维行为特征包括通过网络流直接观察和统计得到的直接特征和通过对所述直接特征二次计算得到的间接特征。

3.根据权利要求2所述的一种基于历史时间取点法的网络流量异常检测方法，其特征在于，所述历史时间取点法将历史数据分为工作日数据和周末数据，分别在垂直时间轴和水平时间轴上进行取点。

4.根据权利要求3所述的一种基于历史时间取点法的网络流量异常检测方法，其特征在于，所述水平时间轴为固定一天内的数据，时间单位为小时或分钟；所述垂直时间轴以天为单位，其具体的取点方式为：将固定时间窗口的当前时间记为时间t，水平时间轴上取时间t相邻的连续的λ个点，其取点数据由符号 表示；垂直时间轴上包括两种取点方式：第一种，取前k周时间t相邻的连续的λ个点，其取点数据由符号 表示；第二种，取前一天时间t相邻的连续的λ个点、取前一周，同一天时间t相邻的连续的λ个点，分别构成两个子序列，其子序列由符号 表示；其所述λ为大于1的自然数，所述k为大于2的自然数。

5.根据权利要求4所述的一种基于历史时间取点法的网络流量异常检测方法，其特征在于，所述绝对变化量化方法把当前时间窗口网络行为时序特征向量的每个行为特征依次作为输入，累积计算出当前时间窗口网络行为时序特征向量与历史数据中水平时间轴取点的网络行为时序特征向量之间的异常偏离度值，其计算异常偏离度值的算法如下：其中|fi(t)‑fi(x)|表示第i个行为特征在当前时间x的值与相邻时间特征值的绝对值，wi表示特征值i的权重， m表示行为特征个数。

6.根据权利要求5所述的一种基于历史时间取点法的网络流量异常检测方法，其特征在于，所述相对变化量化方法把当前时间窗口网络行为时序特征向量的每个行为特征依次作为输入，累积计算出当前时间窗口网络行为时序特征向量与历史数据中垂直时间轴第一种方式取点的网络行为时序特征向量之间的异常偏离度值，其计算异常偏离度值的算法如下：

其中λ＝5，k＝3，fi(t)/max(fi(t)，fi(t‑1)，…，fi(t‑λ))表示第K周时间t相邻的前λ个数据点的最大值的比值，wi表示特征值i的权重，m表示行为特征个数。

7.根据权利要求6所述的一种基于历史时间取点法的网络流量异常检测方法，其特征在于，所述趋势变化量化方法把当前时间窗口网络行为时序特征向量的每个行为特征依次作为输入，累积计算出当前时间窗口网络行为时序特征向量与历史数据中垂直时间轴第二种方式取点的网络行为时序特征向量之间的异常偏离度值，其计算趋势变化的异常偏离度值的算法如下：

其中 表示当前时间t建立的特征值子序列， 表示历史相同时间点的特征值子序列，表示 与 的相似性，w是特征的权重值，α是子序列距离当前子序列时间远近的权重，ε表示趋势变化的偏移常量。

8.根据权利要求7所述的一种基于历史时间取点法的网络流量异常检测方法，其特征(1)

在于，所述步骤(4)中使用证据累计方法将异常偏离度值进行累积的公式为：EA＝θ1EA +θ(2) (3)

2EA +θ3EA ，其中，θ1、θ2、θ3分别表示对应异常偏离度值的权重系数。