随着互联网的不断普及,网络已经跟人们的日常生活密不可分,作为网络管理者,如何在迅速有效地检测网络异常情况的同时,准确地判断和控制整个网络的异常流量,供有关部门作决策分析,已成为一项重要的课题。本文系统分析了现有主要异常检测方法,针对这些检测方法只能在宏观上发现异常,但无法在实际应用中控制和摒除异常流量的不足,在现有协议分析手段的基础上提出了基于NetFlow的网络异常流量分离及分类方法。该方法从微观和宏观相结合的角度考察整个校园网络的流量,能在宏观上发现异常后,从微观的角度分离和分类异常流量,将网络突发流量控制在有效的时间和空间范围内。首先,依托NetFlow流采集系统,通过对关键主机历史行为数据建模预测的方法刻画出网络的正常模型,利用正常流量比和异常流量比的比值将主机划分为正常主机、异常主机和可疑主机,将异常主机流量从总流量中分离出来,对于可疑主机仍需对其主要流量进行流分析进而判别。其次,本文在总结了现有流分类基础上,针对他们的缺点提出了一种按NetFlow关键项目、行为模式、和扩展项目三层逐层分类的流分类方法,并详细描述了如何利用BP神经网络来实现对扩展项目的分类,通过该方法可以将主机应用流分类为P2P流、正常应用流和异常流,并对其性能作出了评估。最后通过实际环境来对异常流量的分离和分类系统进行了测试。通过真实实验数据表明,该异常流量分离和分类方法能有效的将异常流量分离出来并加以控制,效果显著。