由于因特网的盛行,人们可以很方便地透过因特网存取远程的资源,但是大量恶意的网络事件,像是计算机病毒和黑客攻击,使得网络的管理越来越困难。因此,网络入侵检测系统的需求越来越迫切。流量数据的采集是整个流量监控系统的基础,文章对现有的网络流量监控技术进行了详细的介绍和探讨,然后深入地研究了基于NetFlow技术的网络流量采集技术,然后从基于NetFlow技术的角度分析现在网络上普遍存在的扫描攻击,资源滥用,DDOS攻击的特征,然后针对这些特征设计了一个在Linux平台下的基于网络异常流量的入侵检测系统。並且还研究了了如何适当调整和设定网络设备将来自于内部的网络攻击减到最小,并在这方面作了有益的尝试。因特网成了日常活动的平台,网络攻击的威胁也变得日益严重。只靠防火墙是不足以保护透过一般正常服务而来的攻击。此外,大多数目前的入侵检测系统都是针对网络的入口处而设计,无法阻止来自内部用户对内部的网络主机和网络本身的攻击。因此,除了防火墙和入口处之入侵检测系统,我们需要使用其它种类的入侵检测系统来保护关键的系统和网络本身。文章对现有的数据采集技术进行了分类,然后深入地研究了基于NetFlow技术的网络流量采集技术,提出了一个基于Linux的入侵检测系统,它是用路由器与交换机的NetFlow输出的网络流量信息为基础而发展出来的基于异常流量检测的入侵检测系统。在分布式拒绝服务攻击发生时,会有大量的虚假IP地址,在流量中新的源IP地址产生的数据包的百分比明显上升,但是在企业内部IP地址范围是固定可定义的,运用方差分析算法以及对源IP范围的监测,实现了对分布式拒绝服务攻击的检测。系统能检测数种来自内部或外部的攻击,并能实时执行相对应的策略。