随着网络技术的发展和网络规模日益扩大，网络拓扑结构和网络设备日益复杂，承载的业务种类也逐渐增多，这些都使得网络出现各种故障或性能问题的可能性大大增加，然而用户要求的服务质量却进一步提高，如何保障网络的有效运行成为网络管理者迫切需要解决的问题。 与互联网规模迅速发展相伴随的还有网络安全攻击的频繁涌现。其中危害较大的攻击方式主要有两种：DDoS（Distributed Denial of Service）攻击和蠕虫病毒。它们的攻击原理虽然不同，但攻击都会表现为网络流量的突然急剧增大，迅速耗尽网络的所有带宽资源，造成普通用户的正常通信阻断，进而瘫痪用户业务甚至整个互联网。这两种恶意攻击方式，近年来频繁造成大范围网络瘫痪和巨大经济损失对Internet的发展造成极大的不良影响。 如何迅速发现网络中出现的突发流量异常，并及时确定异常通信的准确技术参数(如攻击的来源，异常通信的具体流向和流量信息，占用的网络端口，持续的时间等)是管理员能否在短时间内对网络安全攻击做出正确响应，减少其对运营商网络和用户业务影响的一个关键因素。 本文就上述问题提出了基于改进残差比异常检测算法的流量异常监控系统模型。残差比检测是一种利用残差和滑动窗的比较来进行预测的统计方法，国内外实践证实这是当前一种比较有效的流量检测方法，对网络流量中短时间内突发的异常行为检测能力很高，而且具有较短的检测延迟时间，适用于网络监测中的实时异常检测。在对算法改进的基础上，我们同时对算法需处理的数据源及流量数据存储方式进行了优化，在该系统模型中结合自回归滑动平均模型预测（ARMA）和异常信息融合的技术手段来识别突发流量过载。异常和报警信息的相关性分析能够降低信息间的冗余度，减少误检率。最后本文在研究流量预测和异常判别的基础上，设计了该检测模型在RRD(Round Robin Database)存储环境下的应用方案。 本文的网络异常监测系统模型主要分为四个模块:数据采集类分析模块、流量预测模块、异常判定模块和告警分析模块。模拟分析结果表明，这种基于改进残差比异常检测算法的流量异常监控系统模型对于短时间内的突发流量能有效地检测、判别、实时报警。