网络自身安全机制的脆弱性、现有网络安全产品的局限性、以及各种网络恶意活动的日益猖獗导致了网络安全形势不容乐观。网络安全态势感知系统(Network Security Situational Awareness System,NSSAS)作为一个崭新的网络安全保障系统,旨在对大规模网络态势进行实时监控,并对潜在的、恶意的网络行为变得无法控制之前进行识别,给出相应的应对策略,最终有效地保障网络安全运行。本文设计实现的基于NetFlow的网络安全态势传感器作为网络安全态势感知系统重要的信息获取部件之一,负责获取态势感知系统准确判断当前网络状况及预测未来趋势所需的必要信息,具有视角宽广、信息量大、实时性强等优点。本文首先阐述了NetFlow(网络流)技术原理及应用情况,在此基础上讨论了NetFlow数据所包含的网络态势信息以及将其作为态势感知系统数据源的优缺点。其次,研究了NetFlow流量信息的特性,并提出了相应的获取方法;研究了扫描、蠕虫、木马、DOS/DDOS攻击等网络异常事件所引起的NetFlow数据变化规律,提出了基线检测层与特征检测层相结合的层次化检测模型。再次,对基于NetFlow的网络安全态势传感器进行了设计与实现,包括模块划分、模块接口设计、传感器工作流程设计,以及各个模块的编码实现等工作。最后,对基于NetFlow的网络安全态势传感器进行了实验验证,包括实地网络验证及DARPA数据重放验证。实验表明基于NetFlow的网络安全态势传感器能够高效准确地检测具有较显著流量模式或连接模式的网络安全事件,比如扫描行为、蠕虫爆发、DOS/DDOS攻击等。