网络给人们带来方便的同时,也出现了越来越多的安全问题。在所有的攻击事件中,DDOS攻击是一种破坏性较大、防范比较困难的攻击形式。近些年来,涌现了各种各样的攻击检测技术。如何更好和更快的检测到网络上的异常行为,是现代企业面临的一个重要问题。因此,网络行为异常分析及检测是网络安全领域的重要研究内容。网络行为研究在这种背景下应运而生,它把网络中技术型的数据变化看成是攻击行为在网络中的映射,而网络流量可以反映网络的运行状态,通过流量的异常分析能够检测出网络性能及安全的问题。本文阐述了网络流量与行为分析的整个过程,并对流量和DDOS攻击行为的特征进行了一系列的研究。主要工作和成果如下：利用攻击软件模拟了五种典型的DDOS攻击,在VC6.0的环境下利用Winpcap库实现了实时数据的采集,并对流量数据进行了图形化显示,从而可以直观的了解网络的运行状况,然后计算流量数据的最大值、平均值和方差,分析每种攻击的特征,建立了网络攻击行为库,库的特征字段为序号、类别、特征值、攻击名称、攻击行为描述,计算当前流量的特征值,和行为库的特征值进行比较,选取绝对差值最小的类别、攻击名称、攻击行为描述进行输出。