网络流量异常检测是入侵检测系统的关键部分,对维护网络的安全和稳定具有非常重要的意义。在当今复杂庞大的网络环境下,迫切需要开发出简捷高效的异常检测方法。基于信息熵的检测方法对特征分布状态敏感,还具有操作简便的优势,是异常检测领域的一个研究热点,但是现有的很多方法在异常检测时对每个流量特征单独处理,忽视了特征之间的关联信息,造成异常检测结果不够理想,依然存在很大的改进空间。经过对现有网络流量异常检测方法的分析与研究,发现深入挖掘流量信息是提升检测成功率的基础。本文首先对端口扫描攻击做出研究,提出了联合特征信息熵的检测方法。通过分析水平扫描和垂直扫描的行为特点,找出特征之间的关系,构造联合特征,再用信息熵对关联特征的分布情况做出判断,实现了准确检测的效果。其次,为了将联合特征信息熵应用到了整个异常的检测中,提出了关联规则挖掘算法来自动化完成关联特征的提取工作。通多频繁项集和分散项集的挖掘,构造出联合特征,能够准确识别流量中发生的众多异常。最后围绕联合特征信息熵检测方法,设计了网络异常行为检测系统。算法经过CIDDS数据集的测试,结果表明整体检测率达到了99%以上,误报率控制在1%以下,并且系统执行速度能够达到秒级,基本满足实时检测的要求。通过关联特征来拟合异常行为,能够细化分解流量内容,使异常检测达到更深的层次。联合特征信息熵检测方法经过分类预处理,能够在分布式系统中运行,有利于提升检测速度。通过分析验证,本文提出的算法具有可行性和有效性。