网络技术飞速发展的今天,网络服务的安全性、健壮性成为了人们关心的主要问题。为了快速发现恶意代码和网络资源滥用,保障网络的正常运转,提出了基于NetFlow技术的流量分析与异常检测方法。NetFlow技术是思科公司用在网络设备上进行数据加速交换的一项技术,它的数据采集和测量功能成为最主要的IP/MPLS流量分析和计量标准,广泛应用于网络管理领域。目前NetFlow技术用于对IP网络通信流量进行分析和计量,为网络的运行提供准确的统计数据,在园区网用户行为监控、流量监控、网络服务使用状况监控等方面有很成熟的应用。本课题以内蒙古农业大学校园网的实际情况为背景,以NetFlow协议为基础,利用开源的NetFlow采集分析软件Flow-tools工具结合MySQL采集、分析和存储数据,利用APACHE+PHP+MYSQL做图表显示设计了一套比较完善的网络异常流量检测系统。本文从理论和实践两方面分别阐述了网络异常流量检测系统的设计思路和实现步骤。本系统由数据采集模块、数据分析模块、数据存储模块和数据显示模块组成。通过配置路由器使其送出NetFlow数据,使用开源的NetFlow采集分析软件Flow-tools工具中的Flow-capture命令接收NetFlow数据,接下来首先对大量NetFlow数据及异常行为的分析,建立了一个基于异常的检测模型,然后使用Folw-print命令和Perl语言将接受的NetFlow数据进行过滤、聚合,接下来利用异常检测模型对采集到的数据进行分析有无异常行为发生,将有异常行为的NetFlow数据导入MySQL数据库中。最后利用PHP将有异常行为的NetFlow数据以图表形式显示出来,提供给网络管理员做进一步的处理。