在信息网络普及的同时,信息安全威胁随之也在不断增加,信息网络的安全性越来越引起人们的重视。在当前复杂的应用环境下,信息安全的攻击手段正变得更具有针对性,信息网络面临的安全形势非常严峻。与此同时,为满足互联网的高速发展需求,运营商一直致力于不断扩容和改造已有的网络架构、增加出口带宽,但是,宽阔的网络之路还是被五花八门的异常流量所占据。异常流量通常是指在网络上承载的非运营商或者最终用户所期望的各种流量,包括:DoS(拒绝服务攻击)/DDoS(分布式拒绝服务攻击)、蠕虫/病毒、垃圾邮件、P2P应用、非法VoIP等等。其中,DDoS是现在互联网仅次于蠕虫病毒的第二大威胁,每年造成经济损失达千亿美元。由于DDoS主要通过分布于互联网上的大量计算机发动联合攻击,很难区分合法流量和非法流量,因此采用简单的识别和隔离技术无法完全解决,DDoS因其高危程度已经被认定为一种网络公害。研究如何防御DDoS攻击的安全机制已然成为网络安全一个热点。传统的异常流量监测或者攻击防范由于各自的缺陷,或是效率不高,还存在着一些无法克服和解决的技术问题,显然无法有效保障网络和最终用户免于DDoS攻击的伤害,或者异常流量对于网络带宽的占用。本论文致力于实现针对网络异常流量监测控制的系统解决方案。文中先阐述了目前网络信息安全的严峻形势,并针对异常流量的概念和危害进行分析和研究,继而对比了抵御异常流量攻击主要方法的优劣。在业务监控网关(SIG)的基础上对具体情况需求分析,设计出了一套异常流量监测系统方案,并加以设计实现。本论文主要进行了如下几个方面的工作:1.研究分析网络信息安全的发展状况,重点是国内外异常流量监测的研究现状、发展趋势和市场观察。2.深入学习异常流量的定义、形成,对比研究多种抵御异常流量监测方案的优劣,学习相关信息攻防策略,掌握精细流量监测方法等技术。3.参与整体方案需求分析,进行监控中心、协议分析模块、流过滤模块、入侵检测模块的分析与设计。为了弥补目前传统安全设备对抵御异常流量能力的不足,我们需要具备更细粒度的攻击检测和分析机制的新系统。本论文设计的系统能够有效的阻断异常流量,保证合法流量的正常传输,这对于保障业务系统的运行连续性和完整性有着极为重要的意义。