随着网络规模的日益扩大,用于异常发现的传统入侵检测系统并不能简单地应用到大规模的网络环境中。基于报文级别的捕获、还原、匹配的传统入侵检测系统效率无法满足要求。而基于网络流的分析是一种更自然的方式。以流行为的动态变化过程作为研究对象可以在更高的粒度上研究网络本身的行为特征,是当前一个重要的研究方面。本文主要研究了在大规模网络背景下网络流特征间的相关性并将其应用在异常发现中。在分析了网络流量以及网络流特征的基础上提取了一些可以代表网络状况的特征。在此基础之上提出了两种相关性分析方法,并通过实验验证了两种方法的有效性。为了提高攻击报文的捕获性能,在分析了攻击报文大小分布和小报文在正常数据中的比例分布的基础上,本文提出了基于小报文阈值的自适应采样算法,监测小报文的变化情况动态地调整采样策略,更多地捕获攻击报文,为后期的分析和处理打下良好的基础。第一种相关性分析是基于主成分的相关性分析方法,通过抽象化网络流以及网络当前状况,定义了网络流模式,并且使用主成分分析的方法研究网络流之间的相关性。通过主成分宏观分析和微观分析,该方法很好地分析了流量内部微观的行为和关系,很好地区分了正常网络流和异常网络流在相关性上的不同,为异常发现提供了新的思路。第二种相关性分析是网络流多特征相似度分析,定义了多特征相似度的概念和计算方法,研究了正常行为和异常行为的多个特征在时间尺度上的相似性。通过实验证实了该方法也能很好地区分不同的网络行为,在此基础之上提出了基于多特征相似度的异常检测算法。