随着数字化时代的高速发展,互联网已经深度融入到人们的日常工作、学习和生活中。在互联网取得快速发展的同时,由于网络用户安全意识的缺乏和网络攻击技术的复杂化、智能化发展,网络受到的安全威胁越来越严重,网络安全问题引发了社会各界的广泛关注。各种网络应用系统从日常的民用、商用到国家层面的军用都面临复杂的网络攻击和安全威胁,异常流量检测作为攻击防御的有效手段,对检测各种网络异常情况发挥着不可替代的作用。随着国家信息安全战略的提出,大力开展异常检测技术的理论和应用研究具有重要的理论和实际应用价值。本文设计并实现了基于机器学习的异常流量检测系统。系统主要由数据采集模块、数据处理模块和异常检测模块三部分构成,系统采用可扩展性的组件开发技术进行设计,能够对异常流量进行识别并分类。数据采集模块作为系统数据的输入来源负责从真实的网络环境中采集数据。数据预处理模块负责域名和数据包长度特征的提取,域名相关特征提取运用了信息熵理论和N-gram算法,数据包特征的提取从单一频率分布转换成了归一化频率分布。异常检测模块选取了两个具有典型代表的子模块:DGA（Domain Generation Algorithm）域名检测和APT（Advanced Persistent Threat）行为检测,后期可根据实际需要扩展其它子模块。在DGA域名检测子模块中,根据对随机森林,SVM（Support Vector Machine）两种算法对比实验分析,得出随机森林DGA域名检测算法有较高的检测率和较低的误报率;在APT行为检测子模块中,通过对朴素贝叶斯、SVM和随机森林算法的对比实验分析,发现朴素贝叶斯分类器在面对未知攻击时能取得更好的预测效果。对设计好的系统进行功能测试发现,该系统能较好的实现恶意域名标注、DGA域名异常信息生成和模型再训练,同时,训练和测试结果表明,DGA域名检测子模型和APT行为检测子模型的检测效果都非常理想。最后,该系统采用可扩展性的组件开发技术进行设计,为后续异常检测模块添加提供了便利,为继续深入进行二次开发,提高网络异常流量检测性能奠定了基础。