网络异常检测是网络管理中的非常重要的课题,因此已在近年来得到广泛研究,人们在该领域提出了许多先进的网络流量异常检测方法,但是自动准确的对网络流量进行分类识别从而发现网络中的异常流量仍然是一个非常具有挑战性的问题。异常检测有三种基本方法,监督异常检测,半监督异常检测,无监督异常检测。基于监督学习的异常检测方法虽然能够通过建立正常模型来进行异常检测,但是需要对数据进行手工标记来获取足够的训练样本,会造成大量人力资源的浪费,开销太大。因此人们提出了基于无监督的异常检测方法。聚类是入侵检测领域中一种无监督异常检测方法,能够从无类别标记的样本中发现提取有用的信息,聚类方法不需要先验知识,能够发现未知攻击,但是由于网络攻击的多样性,传统的聚类算法不能很好的挖掘网络中的异常流量,因此本文提出了一种基于多维聚类分析的异常检测方法,通过两个阶段来实现异常检测。第一阶段先通过多维聚类挖掘算法,自动对网络流数据进行多维聚类,第二阶段通过计算多维聚类的异常度来实现异常检测。本文首先介绍了聚类分析的基本思想,对几种经典的聚类算法进行了分析,其次详细描述了数据流上的单维和多维聚类算法,由于网络流数据具有海量数据的特性,原始的多维聚类算法在实际中不可行,因此提出了几个优化措施来提高聚类的效率。然后提出了一个聚类异常度计算方法,可以更好的识别由网络攻击产生的异常流量。在理论研究的基础上,设计和实现了一个基于多维聚类分析的网络异常检测系统,详细描述了系统的体系结构和主要功能模块。最后使用不同的网络攻击数据集对系统进行了测试,实验结果表明,本文异常检测系统能够有效的检测出网络中的扫描、DDOS、蠕虫等类型的网络攻击。