互联网的迅速发展已使其成为人类日常生活中必不可少的组成部分。然而,扫描、DDoS攻击等各种安全威胁产生的大量非授权流量(Unwanted Traffic)严重影响着网络的稳定、性能和安全。从大规模的网络流量中识别并过滤掉这些流量是一项有意义的研究工作。从主机角度出发,许多非授权流量会导致发送方或接收方的流量行为发生较大变化,使之占用较大的网络或服务资源,成为热点主机。因此本论文将以IP流记录为基础,从热点主机角度展开非授权流量的识别研究。本论文首先讨论了非授权流量的定义,然后从两个角度对热点主机非授权流量的检测进行了研究,一个是基于热点主机地址的活跃性,另一个是基于热点主机的行为特征。两项研究工作均基于流记录展开。基于主机地址活跃性的检测将热点空间分为活跃地址空间和非活跃地址空间,并判定非活跃地址空间的热点流量是非授权流量。为了获取非活跃地址空间,本文提出基于流记录的地址活跃性判定算法,核心思路是将存在双向有效通信流量作为地址活跃判定条件,并讨论了抽样、伪造地址等问题对算法的影响以及相应的应对策略,通过实验,证明了该算法的准确性和有效性。对于活跃地址空间的热点,采用基于行为特征的方法进行非授权流量识别。对于已知角色和应用的主机(DNS服务器),论文分析了其正常行为时的流量特征,并总结出相应的检测规则；对于未知角色的主机,论文提出了主机行为分类算法,选取源端口分布、目的端口分布、目的IP地址分布和通信协议分布这四个测度来描述主机的行为特征,并通过各测度值对主机进行标记,自动将主机分到不同的行为类中。每个行为类都有相关的行为语义,表达了主机的角色和应用属性。通过对行为类的属性以及热点主机行为动态性的深入分析,从中总结出面向行为类和热点主机的非授权流量检测规则。本论文最终在NBOS平台上实现了热点非授权流量检测。首先对系统现有非授权流量检测功能进行改进,保证了检测结果的唯一性。然后基于以上两个研究点总结出的检测规则,设计并实现了基于热点主机的非授权流量检测算法,最后通过对检测结果的分析验证了算法的有效性。