伴随着互联网的高速发展，互联网的应用在各个领域内得到了广泛的普及。现在网络已经无处不在，无论是办公还是娱乐都离不开网络，它成为了人们在平时的工作生活中的一部分。网络技术飞速发展带来的网络安全性逐渐本人们所关注，各种网络安全问题层出不穷，网络攻击、木马攻击、病毒传播等异常流量比比皆是，过去那些传统的入侵检测系统已经无法满足目前高速发展的网络环境了。基于上述背景，本文进行了相关研究工作。本文首先对网络流量的采集方法进行了相关的研究和探讨，并介绍了SNMP的采集方法、网络探针的采集方法、NetFlow的采集方法的基本原理，分析了这几种技术的优缺点，并在分析结果的基础之上对NetFlow的网络流量采集方法做了细致深入的研究工作，最终选择了基于NetFlow的采集方法。然后提出了一种基于聚类算法的异常流量检测算法。通过对网络异常流量的内在相关特征做了重点的分析，依据其特征设计了基于聚类的异常检测算法，该算法通过相似度和互联性这个评价标准，通过合并这两类高标准用以提高该聚类算法的质量。第三，本文设计实现了网络流量异常检测系统的模型，该模型主要包括数据采集模块、信息统计模块、异常检测模块、报警及信息呈现模块这四部分组成。数据采集模块首先对NetFlow从路由器出口采集得带的数据信息进行检测和数据处理，然后将处理后的数据存入数据库，信息统计模块则将采集的信息进行聚合处理并将得到的数据存入数据库，并将统计信息展示给用户；异常检测主要是对流量异常检测，它能检测出流量异常的主机并定位。通过对系统的测试和模拟实现，可以发掘网络流量异常并检测出异常流量的主机。