随着网络规模的不断扩大，网络中流量异常的出现频率也不断增加，新类型的流量异常层出不穷，这在骨干网中体现的尤其明显。流量异常会大量消耗网络带宽，占用网络资源，严重阻碍网络的正常运行。不同种类的流量异常的特点、危害和应对措施各不相同。因此，网络流量异常检测与分类成为了学术界的热点问题。网络流量异常检测技术能够在网络流量异常发生后帮助网络管理人员快速发现异常，网络流量异常分类技术能够在发现流量异常后，快速判断其种类，以便网络管理者及时采取适宜的应对措施，使流量异常得到控制，减小其危害。这两种技术在网络安全领域具有非常重要的意义。本文说明了骨干网中流量巨大和流量动态变化性强的特点给网络流量检测和分类带来的困难，致力于研究适用于骨干网的流量异常检测与分类技术，具体工作如下：1.本文介绍了ASTUTE网络流量异常检测算法，分析了其原理，并对其进行了仿真实现。通过仿真，我们发现，在大背景流量环境下，ASTUTE检测方法对于一些涉及大量的异常流、但在单条异常流上引起的流量变化较小的流量异常（例如部分端口扫描、网络扫描和DDoS攻击等）的检测效果不佳。为此，我们对该方法进行了改进，在按照原ASTUTE算法原理在不同的级别下对网络流量数据进行聚类以计算估计值的同时，增加了新的步骤，即找出各聚类级别下包含大量流量变化较小的网络流的子集，对这些子集中包含的所有网络流按照ASTUTE算法进行估计值计算，从而判断这些网络流是否异常。此外，我们还将多条链路的数据结合起来进行分析，从而对检测出的异常进行确认。仿真结果表明，本文的改进有效提高了该算法在大背景流量环境下的异常检测率。2.针对现有方法对异常流在时间上的相关性利用不足的情况，本文提出了一种基于异常特征多时间序列的无监督分类方法以及一种有监督分类方法。仿真结果表明，无论异常流是否精确，两种分类方法都能取得较好的效果。其中，有监督的分类方法能够快速对检测到的异常进行分类，并能识别新类型的异常，具有一定的实用价值。