反射攻击是最近较为流行的一种分布式DDoS攻击,对互联网的正常运行造成了比较严重的危害；扫描通常作为所有网络入侵行为的起点在互联网上普遍存在。本文的研究工作将以反射式DDoS攻击和扫描现象作为研究对象。研究工作的目标是利用流记录提供的信息,设计检测算法并基于一个以流记录为分析数据源的精细化网管平台NBOS (Network Behavior Observation System)检测CERNET(中国教育和科研计算机网)实际网络环境中有反射攻击和扫描行为的主机。在反射攻击的研究方面,论文首先分析了UDP协议的反射攻击的攻击场景,并从流特征的角度给出了反射攻击的定义。在此基础上,从反射攻击中放大器端口的使用方式角度对攻击协议分为三类：(1)反射端口单一的攻击协议；(2)反射端口随机的攻击协议；(3)攻击使用基于TCP服务的协议。论文对第一类反射攻击的协议进行了分析,选择了5种可以导致反射攻击的基于UDP服务的协议作为研究对象,进行进一步深入的研究。研究工作从反射攻击的定义出发,设计了基于流记录的反射攻击行为主机检测算法并在NBOS平台部署该算法。论文还讨论了在算法部署过程中所遇到流记录数据源缺陷问题,针对这一问题给出了“分片端口-地址列表”和“基于NBOS角色函数”两个解决方案,将解决方案运用到检测算法中。检测算法在CERNET全网检测出了大量的反射DDoS攻击和导致攻击的放大器地址。另外,论文根据反射攻击原理和协议的漏洞,通过构造导致攻击的请求报文对检测出的放大器进行了模拟攻击实验并获得了回复,从而证实了放大器的存在和检测结果的正确性。在此基础上,论文进一步对反射攻击中放大器的带宽放大系数BAF (bandwidth amplification factor)进行了详细的研究。BAF是衡量放大器流量放大特点的一个指标。首先讨论了传统BAF计算方法的合理性和指出相关研究在计算BAF时未能考虑攻击报文分片的问题,给出了使用一次攻击中回复和请求的全报文长度计算BAF的计算公式。然后利用本文检出的CERNET内有反射攻击行为的主机以及构造出的攻击报文,设计了一个BAF数据获取实验。最后对于实验所获取的数据计算主机BAF,从统计性、稳定性、聚类等角度对BAF进行了特征分析,结果表明：161端口与1900端口的放大器稳定性较高,但总体BAF值偏小；123和19端口的放大器稳定性较差,但放大器的BAF值较大。论文对扫描行为的研究主要关注的是水平扫描行为。首先讨论了基于流记录进行扫描检测的可行性,在此基础上设计了一个以流记录为分析数据源的基于端口匹配的水平扫描检测算法,将该算法部署到NBOS平台上,并检测到了大量的TCP SYN和UDP水平扫描。这个结果表明基于抽样流记录进行扫描检测的是可行的,并证实了扫描行为在互联网上是普遍存在的这一事实。