快速、准确地检测异常是网络安全的重要保证。但是由于网络流量的非线性、非平稳性以及自相似性,异常流量检测存在误报率高、检测率低、不能满足骨干网实时性要求等问题。该方法综合了希尔伯特-黄变换(Hilbert-Huang Transform,HHT)和Dempster-Shafer证据理论(D-S evidence theory)评测框架。前者将不同的流特征分别分解为多时间尺度上的固有模态函数(Intrinsic Mode Function,IMF),滤除特征中的非线性、非平稳分量;后者将前者分解得到的多尺度特征作为证据融合并最终做出决策。通过对KDD CUP 1999的入侵检测系统(Intrusion DetectionSystem,IDS)基准数据的实验表明,该方法能有效区分突发流量(crowd flow)和拒绝服务攻击(Denail of service,DoS)攻击流,整体上在保证低误报率前提下检测率达到85.1%。目前该方法已经作为入侵检测的子模块实现,并试用于某骨干网入口处检测异常。