Для решения задачи поиска сетевых аномалий предложена методика формирования набора информативных признаков, формализующих нормальное и аномальное поведение системы, и определены критерии, позволяющие обнаружить и идентифицировать различные типы сетевых аномалий. Следует отметить, что, как правило, сетевой трафик содержит большие объёмы данных, что вместе с необходимостью проведения анализа реальном времени предъявляет жесткие требования к эффективности методов поиска и обнаружения сетевых аномалий. В этой связи статистический анализ сетевого трафика и поиск информативных признаков, формализующих его нормальное и аномальное поведение является важной задачей. В представленной работе проведен анализ различных наборов данных, представляющих собой сетевой трафик, содержащий аномалии различного типа, такие как ICMP flooding, UDP storm, Fraggle, Smurf, Synflooding, Flashcrowd attack. Суммарная длительность анализируемого трафика более одного часа, шаг дискретизации от 0.01-0.1 секунды. В работе показано, что для всех рассмотренных типов аномалий трафика, пред-ставленный набор статистических фильтров содержит более одного признака, позволяющего обнаружить аномалию трафика. Кроме того, следует отметить, что результат применения предложенных фильтров на всем протяжении аномалии носит не сингулярный характер, а квазистационарный характер. Например, для аномалии типа Smurf характерно сингулярное возникновение высокочастотной составляющей в трассе при возникновении аномалии. ВЧ составляющая квазистационарна на всем протяжении регистрации аномалии и так же резко исчезает при прекращении данного типа аномалии. Для аномалии типа ICMP-flooding характерным примером является резкая смена формы и вида распредений, сохраняющаяся на всем протяжении аномалии и такая же резкая смена характеристик ПРВ по завершении аномалии. Предложенная суперпозиция статистических критериев позволяет диагностировать различные типы аномалий трафика.