网络流量突发异常是指网络业务流量突然出现的不正常的重大变化。及时发现网络流量的突发异常变化对于快速定位异常、采取后续相应措施具有重要意义。而随着网络规模和速度的不断增加,流量突发异常检测算法需要实时准确地分析处理海量的网络业务量数据,具有很大的挑战性。针对网络流量数据海量、高速的特点,本文采用数据流的研究方法,给出了一个新的建立在数据流计算模型之上的突发异常的形式化定义;提出了一种新的两层小波树摘要数据结构,及基于此数据结构的突发检测算法;将算法应用于网络流量领域,设计了一个网络流量突发检测原型系统。基于对真实网络流量数据的观察,在突发异常的定义中引入持续性因子及突变性因子,以更好地描述其在真实应用环境中的特征。提出的两层小波树摘要数据结构将网络流量层次性地分解至各个时间尺度,相比普通小波摘要结构耗用空间更少,设计的在线单遍扫描算法对突发异常时间尺度的检测范围能够灵活调整,处理时间不受阈值设定的影响。理论分析及基于Internet Traffic Archive数据集的对比性实验证实了该算法较其他同类算法在突发异常描述及计算效率方面的优势。在网络流量突发异常检测中将IP流量数据流按照协议进一步细分,作为算法的输入数据,以达到快速发现基于某种特定协议的网络异常行为的目的。设计的网路流量突发异常检测原型系统能够报告持续性突发的出现时间范围、平均聚集值,突变性突发的发生时间、峰值。基于NLANR追踪网络流量和模拟攻击数据的实验证实了此原型系统的有效性。