近年来随着网络技术的发展及云技术的演化，网络规模急速扩张，网络已经形成了一个个庞大复杂且互相连通的网络。大型网络安全管理中的一个重要问题是网络管理者无法及时准确地掌握网络中发生的安全事件，以便对安全事件作出响应。现有的网络安全事件检测系统主要是在网络的一个层面进行检测，常常出现大量的误报或漏报。如基于流特征的检测是通过网络流的异常变化来检测安全事件，但某些网络安全事件在单条链路上并不一定表现出非常明显的流异常。而深度包检测方法采用检测数据包应用载荷与已知特征进行模式匹配，准确性较高，但消耗资源大且漏报率较高。本文提出了一种复合型网络安全事件检测方法，该方法既结合了基于流特征的检测，从宏观上检测整个网络的安全状态，又结合了深度包检测的方法，对某些安全事件进行包内容的详细特征检测，提高了安全事件检测的准确度。复合型检测方法先通过对数据流进行模式匹配,若符合规则数达到一定阈值后则通过守护进程激活对应的深度包检测进程,深度包检测进程调取对应的五元组数据，对特定流量进行数据包抓取，并匹配相应的正则表达式，最后将结果存入数据库中并产生预警信息。本文还提出了基于模块化的网络安全系统设计思想，把安全系统中的功能模块做成独立的可装载模块，并可通过应用商店在线安装及更新，为用户提供即方便又满足其需求的解决方案。本文采用提出的复合型检测方法设计并实现了一个面向大型网络的安全事件预警系统，系统在天津教育网中部署实验，成功发现了网络安全事件，从而证明了提出方法的有效性。本系统使对网络安全事件的预警更加准确直观，增加了大型网络安全事件预警手段。