Internet的迅速发展带来巨大方便的同时也导致了越来越多的入侵行为的发生.其中以DDoS攻击和蠕虫为代表的大量消耗网络带宽的异常行为危害越来越大.因此,基于网络流量的异常检测作为一种有效的防护手段研究意义非常重大.该文针对大规模大流量网络环境下的DDoS攻击和蠕虫爆发引起的异常现象,首先提出了大规模大流量网络环境下异常检测系统的框架模型,并提出了两种检测方法:基于相似度的异常检测方法和基于高频统计的异常检测方法,并分别实现了原型系统.为了验证方法的有效性,构架了DDoS攻击和蠕虫扩散模拟仿真实验环境,并对两种异常检测方法进行了模拟实验.基于相似度的异常检测方法将关心的异常行为定位在能够对网络带宽造成一定影响的行为.每次采样时间段内统计流量排名前N位的IP或端口,通过对连续两次采样时间段数据比较相似度的方法发现流量发生突变的IP或端口.再通过跟踪分析来准确定位发生了异常的主机或端口.模拟DDoS攻击实验证明了基于相似度异常检测方法的有效性.基于流量高频统计的异常检测方法是在前一种方法的基础上提出的.对每个采样时间段内进行流量高频统计得到流量排名前N位的IP或端口,通过比较两次相邻统计数据来找到那些流量刚刚进入了排名范围或者流量产生了大幅度变化的IP或端口作为可疑目标,同样使用后续跟踪分析的方法,在其后的连续若干个采样时间段内对这些目标进行跟踪分析从而发现异常.最后通过实验证明了该方法的有效性和更高的精确度.