随着计算机网络规模和应用领域的日益增大,网络复杂性和异构性也不断增加,通过网络传播的病毒和人为破坏越来越多,严重干扰了正常的网络运行秩序。在这种情况下,准确、快速地检测网络流量的异常,并做出合理的响应成为保证网络有效运行的关键问题之一。为了解决上述问题,本文设计了一个能够实时分析网络流量的异常检测系统。为了保证有较高的检测率和较低的误报率,文中采用数据挖掘技术,从网络历史审计数据里分别得到正常与异常行为规则库,用实时网络流量数据与其比对,从而判别网络流量数据的异常行为。当发现有不能识别的数据出现时,采用人为干预的方式,更新规则库,增强对未知数据的识别能力。为了避免因主机之间行为存在较大差异而引起的误判,文中以网络历史审计数据为数据源,统计网络中各主机单位时间内访问量,依据聚类算法将主机按访问量聚类建立IP群,以指导网络审计数据的分流,用分流后的审计数据分别建立规则库。文中就整个检测系统架构、系统各组成部分功能及实现做了详细描述。最后,我们将实现的系统原型置于校园网络的出口节点,实时监控出入校园网的网络流量。通过进行模拟网络攻击,我们发现原型系统能够有效地识别已知攻击类型数据并对未知数据有良好的识别能力,实现了对网络流量异常地实时检测。