随着互联网爆发式的增长,网络安全问题也愈加严峻。与以往的网络攻击相比,现在的网络攻击形式更加复杂且隐蔽,这导致网络攻击的检测工作越来越困难。而在众多互联网产品蓬勃发展的大环境下,分析网络安全日志,可以很好的获得服务器的网络安全状况并且能有效的检测是否受到网络攻击。为了能监测企业产品服务器网络安全状态,实习企业提出了通过分析产品服务器产生的网络安全日志,实时监测服务器是否发生网络攻击事件的需求,以保障产品服务器能够健康稳定的运行。本文根据大数据技术和聚类分析方法设计并实现了基于Flink的网络安全日志实时分析系统。本系统共包括四个模块,其中日志采集模块实现了海量日志分布式采集以及统一存储的功能。日志预处理模块实现了日志清洗功能,关键特征量数字化功能和特征值信息熵值转换功能。日志监测模块实现了日志聚类分析功能和日志实时检测功能,其中在实现日志聚类分析时提出基于信息熵值和K-means聚类算法相结合的分析方法,并针对场景需要,引入戴维森堡丁指数（DBI）和最大最小距离法,优化了K-means算法中K值选取和初始聚类中心选取的过程,使聚类分析过程更加准确。实时检测部分通过聚类模型和Flink流式计算方法,实现了DDoS攻击实时检测的功能。报警管理模块实现了日志分析结果展示功能和报警信息反馈功能。最后本文将系统部署在集群环境中,对系统整体上进行功能测试和性能测试。测试结果表明本系统能够良好的完成网络安全日志分析及DDoS攻击的实时检测报警工作,符合设计的目标和生产上的需求。