随着Internet高速发展与大面积普及,网络攻击也在不断出现。随着攻击技术的不断进步与更新,攻击工具和手法的日趋复杂,攻击工具的使用却越来越简单,现在的异常检测系统面临着巨大挑战。大家迫切需要一种有效的方法来保护信息系统的安全。网络异常监测是入侵检测领域的一个分支。网络异常监测是基于网络行为的监测技术,是安装在受保护的系统上,监视系统的各种网络行为,在系统的网络行为可能会影响到网络环境、系统资源占用率时,它会实时的向用户告警,避免系统受到破坏。虽然异常监测系统有诸多优点,但其误报漏报率高,操作繁琐,太过于专业化,大大阻碍了它的普及与实际运用,所以有必要对它进行深一步的研究。网络异常监测包括在监视和分析网络数据,提取数据的特征,发现和识别网络中的异常,并给出适当的报警,以便采取进一步的防御手段,保证网络正常运行。本文研究了在异构环境下异常监测方法,介绍了网络数据捕获、数据持久化、数据抽样、异常行为特征提取、网络异常数据检测等关键技术。本文对统计检测系统中检测方法,网络数据包捕获、数据存储方面做了改进,提高了检测系统的可移植性、准确性,提高系统性能,减少误报漏报。本文对网络异常监测中的几个关键技术进行了研究,并且详细描述了一个网络异常监测系统在Windows、Linux平台的设计,并且实现了一个原型系统。对于网络异常监测的关键技术,本文主要讨论了网络数据在异构平台的捕获、分析、处理,并给出了在Windows、Linux平台下各个技术方案,并分析比较了各技术之间的优劣。在异常规则库构建上,提出了自动更新规则库,引入学习模式等来降低异常监测系统的误报率。最后本文详细描述了一个异常监测系统在Windows、Linux平台的设计,包括总体设计,详细设计。