随着科技进步和网络技术的飞速发展，信息产业及其应用得到了巨大的发展，政府、金融、教育等企事业单位以及个人用户等对网络的依赖程度越来越高。同时也由此带来了信息安全隐患，如何保障网络与信息系统的安全已经成为高度重视的问题。作为一种主动安全防护技术，入侵检测系统能够检测和识别来自外部或者内部的异常活动或者入侵行为(例如，对计算机和网络资源的恶意使用或者破坏、内部用户的未授权访问等)，已经成为传统计算机安全技术(如防火墙)的有益补充，是网络安全领域研究的一个新热点。 本文首先阐述了网络安全的现状和安全防护的主要手段，指明了研究和发展入侵检侧系统的重要性；并对入侵检测系统的概念、分类和常用的入侵分析技术进行了介绍。然后，对常见的引起流量异常的原因进行了分析，并对相应的防范技术进行了阐述。在此基础上，本文分析、设计了一种基于网络流量异常检测的实时入侵检测系统原型，用于监测校园网络的网络流量。 该流量异常检测系统能够对整个校园网络或者一些核心服务器和主机的异常流量进行识别和判断。系统设计主要包括五个功能模块：流量采集模块、流量统计模块、异常检测模块、报警与响应模块以及人机交互模块。流量采集模块的主要功能是实时高效地采集需要检测的网络数据包，并把它们交给流量统计模块进行下一步处理，系统利用WinPcap库完成流量采集工作。流量统计模块将接收到的网络数据包进行分析，并在一定时间粒度下对网络流量的多个统计量进行统计，以等待下一步检测处理。流量异常检测模块的目的是完成具体的检测任务，它也是异常检测系统的引擎部分。我们通过搜集4周的历史流量数据为校园网络建立了合适的ARMA(2，1)流量模型，并依据当前流量的特征量与流量模型的预测值的比较结果来判定和检测异常。报警和响应模块首先对异常检测引擎识别到的异常状况(安全事件)进行报警，再依据安全事件的类别采用进一步的主动响应措施，例如防火墙阻断和主机隔离。人机交互部分采用WEB方式，通过图形界面，完成与管理员的信息交互，向管理者提供检测结果报告，以及接收管理者的命令。 最后，我们将实现的系统原型置于校园网络的出口节点，实时监控出入校园网的网络流量。通过进行模拟网络攻击，我们发现原型系统能够有效地识别Dos／DDos、网络扫描等安全攻击，实现了对网络流量异常地实时检测。