目前,网络的演进方向是IP化。随着网络的发展和业务的推动,大多数业务都被迁移到IP网络上来。在全IP网络承载越来越多的业务的同时,网络安全问题也层出不断,网络中出现了越来越多的异常流量。异常流量的检测也就随之成为了网络运营商关注的重点对象。通过对网络流量检测可以及时的发现网络问题,采取对应措施保证网络的正常运行。随着网络规模的扩大,网络流量呈指数级增加,传统的基于数据包和字节数的检测技术变得不堪重负。随之,基于流的异常检测应时而出。Cisco公司提出了Netflow技术。Netflow技术以流为基础进行统计,提供多粒度的流量分析,是进行异常流量检测的最佳选择。本文在分析以往基于Netflow的异常检测技术选取的指标和算法的基础上,对校园网络流量的Netflow数据进行了长期多视角、多粒度的分析,并提出了利用融合指标和融合指标时间窗比较算法进行异常发现的新方法。融合指标主要反映了网络流的特点,去除了网络流量的非平稳因素;融合指标时间窗比较算法分为纵向和横向的比较,纵向的比较是分析融合指标的长期变化趋势,横向比较是分析融合指标的短期变化趋势。本文利用融合指标和融合指标时间窗比较算法设计并实现了一个基于Netflow的异常发现系统。整个异常发现系统包括数据采集,数据处理和异常检测三个模块,数据采集模块负责Netflow数据的采集,并对数据库做优化处理;数据处理模块对Netflow数据进行裁剪,只保留异常检测所需字段;异常检测模块主要包括检测指标的提取,融合指标时间窗检测算法两个子模块。指标提取模块分为初级指标提取和融合指标提取两步。本文给出了各个部分的详细设计,列举了实现所涉及的主要类及说明,并对各个模块进行了测试,达到了预期的效果,最后对论文加以总结并提出了进一步的工作。