随着网络的迅速发展和互联网应用的普及,网络已成为人们日常工作生活中不可缺少的信息承载工具。网络技术的迅猛发展使人们对网络技术日益依赖的同时,也使得网络安全问题突显出来。形形色色的网络攻击、病毒扩散等异常流量层出不穷,传统的入侵检测系统已不能适应大规模的网络环境。相对来说,基于网络流的分析可以大大降低需要处理的负荷,具有更高的性价比,能够在更高的层次上实现对流量异常的检测。因此,基于网络流的流量异常检测具有重要的研究价值和现实意义。此外,网络流量异常检测不仅要检测出流量是否出现异常,而且还应检测出导致流量出现异常的源头,即找出网络流量中的异常流,对异常主机进行准确定位。本文正是基于上述问题进行相关研究,主要研究工作如下:第一,本文综述了网络流的产生、发展和采集方法,并对三种常用的流采集方法进行了分析比较,对基于NetFlow的网络流采集方法做了深入的研究,阐述了选择NetFlow的原因和优势。第二,本文通过对常见异常流量特征的分析,提出了一种基于聚类的异常流检测算法。算法是在变色龙算法的基础上设计的,它能够在没有先验知识的前提下,根据流特征的相似性发现异常流。首先将网络流数据集构造成一个K-最近邻居图,再通过图的划分算法将数据对象划分成大量相对较小的子簇,然后根据互连性和相似性反复地合并子簇来找到真正的结果聚类,最后过滤掉相似度较低的正常流聚类,从而得到异常网络流。第三,本文提出了一种新的异常检测机制。首先根据前后时刻的多特征相似度是否低于标准阈值来判断流量是否异常,若检测出异常,则激活异常流检测算法进行更细粒度的异常检测,并根据检测结果对标准相似度阈值进行更新。异常流的检测不仅能够对标准阈值进行更新,提高异常检测的准确率,而且能够定位产生异常的目标主机,提供给网络管理员更多的信息。第四,本文设计并部分实现了基于网络流的异常检测系统模型。模型由流数据采集模块、流信息统计模块、异常检测模块和报警信息呈现模块组成。流数据采集模块对采集来的流信息先进行单流检测,对异常特征较为明显的单个流进行过滤,随后将采集的流信息存入数据库;流信息统计模块将采集的流信息按一定的规则进行聚合,将得到的数据存入数据库,并通过信息呈现模块显示用户感兴趣的统计信息;异常检测模块由流量异常检测子模块和异常流检测子模块组成,将新的异常检测机制应用于本系统,不仅能发现流量异常,而且能检测出异常流,定位异常主机。最后,我们对异常检测系统特别是异常流检测模块进行了测试。通过对DARPA 1998数据集的测试表明,异常流算法能够在没有先验知识的前提下,对异常流量有较高的检测准确率。通过模拟实验,我们发现原型系统能够有效地发现网络流量异常,并能检测出异常流,验证了该模型的有效性,具有一定的实用价值。