随着网络和网络技术的发展,全球互联网规模的日益扩大,网民数量的大量增加,人们在越来越依赖网络的同时,大规模的网络攻击和病毒扩散也日趋频繁。如何保障网络与信息系统的安全已经成为人们高度关注的话题。用于异常发现的传统入侵检测系统并不能简单地应用到大规模的网络环境中。而基于网络流的分析是一种更自然的方式。以流行为的动态变化过程作为研究对象可以在更高的粒度上研究网络本身的行为特征,这是当前一个重要的研究方面。大规模网络数据流的特点是数据持续到达、速度快、规模宏大,目前尚没有利用数据流挖掘技术来解决实际网络数据流检测和分析的技术。本文提出了用网络特征属性来描述大规模网络的状态;结合网络流量具有自相似的特性,提出了利用NetFlow技术进行流量采集,运用多特征相似度的方法进行异常检测,并通过实验证明了该方法的有效性,具有理论意义与实际应用价值。大规模网络异常检测系统由NetFlow数据采集模块、NetFlow流数据预处理模块、训练数据构建模块、异常检测模块组成。在NetFlow数据采集模块中,我们设置了分布式的预警代理用来接收NetFlow流信息,以应对大规模网络的要求。在NetFlow流数据预处理模块中,我们依据网络特征属性的需求,用高频统计的方法对网络数据进行聚集,将得到的数据存入数据库中。在训练数据模块中,我们根据网络流量具有周期性这一特点,从训练数据中挖掘出基于不同时段的标准网络特征属性矩阵和标准相似度阈值,这样能够更好的用于异常检测。在异常检测模块中,我们统一了各个特征属性量纲,改进了多特征相似度算法,通过与标准阈值的比较来进行粗粒度检测。当粗粒度检测出现异常时,结合异常时相似度的变化特征再进行细粒度的检测。在两次检测后,最终确定没有异常的情况下,实时数据也用作新的训练数据,以符合网络流量不断变化的特征。最后,我们组网对系统进行了测试。通过进行模拟网络攻击,我们发现原型系统能够有效地发现网络异常,实现了对网络流量异常的实时检测。并且比较了算法在改进前后,对于网络异常检测灵敏程度的影响。