随着互联网在世界范围内的高速发展，网络流量的日益增长对网络互连支撑的路由设备的安全提出了新的要求。而传统的网络安全技术侧重于用户级的系统入侵检测、防病毒软件或防火墙，往往具有一定的局限性，并不适应于路由器端的智能安全防范。 特别是面对不断发展DoS/DDoS攻击，目前路由器只能处在被动高负荷运行状态，不能对异常流量采取快速有效的检测过滤，严重的威胁了互联网的安全稳定性，减少网络中的异常流量，遏制面向用户网络或者中间设备的拒绝服务攻击，这种需求使得网络与路由交换设备具备异常流量监控与抵抗拒绝服务攻击能力有着重要意义。 本文针对核心路由器端口的输入输出流量统计特征的变化，用改进的CUSUM算法对其统计特性进行实时监控，检测网络流量异常。并基于路由器多端口的特点，提出了矩阵式的多统计量M-CUSUM算法(Modified-CUSUMalgorithms)，并提出了可调的参数设定体系，提高准确性。在检测到某端口有异常的基础上，本文对流经该端口的数据包根据其目的IP与协议，运用Bloomfilter算法进行统计，以确定受到攻击的目的IP地址与攻击协议类型。并在此基础上，通过本文提出的基于攻击流量特征聚类的特征提取算法AFCAA(AbnormalFlowCharacterAssembleAlgorithm)，对目的IP数据流包头中多个相应字段的统计聚类，找出异常数据流特性，并及时地把其特征传输给NetFilter过滤模块进行高效的过滤，并保护正常流量传输。 本文的检测与规则生成算法已在MCTCS系统原型上得以实现，通过在Linux软件路由器中的模拟测试，验证了本文算法对异常流量检测过滤的高速性与精确性，给研究在路由器上进行异常流量检测与过滤提供了新的可行思路。