随着高速网络的快速发展和普及,网络的使用范围逐渐深入基层,结构日趋复杂,网络中的安全威胁也变的多种多样。网络行为分析可以监测到网络外部的攻击和网络内部的异常,成为入侵检测后检测网络异常的新手段。传统的网络异常分析技术已无法满足在数据量巨大的网上进行高速、实时、全方位分析的要求,而采样技术和数据流挖掘能够适应这种挑战。本文深入研究了数据流挖掘方法,同时将其用于网络异常行为分析,力图建立一种高效的网络行为分析框架。首先分析了数据采样技术的有效性,对数据流挖掘技术进行研究和分析,说明基于采样数据流挖掘的方法以单遍扫描、有限内存的优点在高速、连续、有序、变化的网络环境下有独特的优势。随后,提出基于数据流的网络行为分析模型及其总体设计和系统结构,并描述其数据准备模块、网络行为规则挖掘及管理模块的设计方案和功能组成。改进了数据流聚类算法,使用基于密度的两阶段聚类并加入时间衰减机制,更有效反映数据流的变化。将本文的网络行为分析方案和算法应用于高校校园网网络安全管理的实践中,试验结果表明,该方法弥补了传统入侵检测技术的不足,可以有效降低网络数据分析的负担,提高数据分析的速度和实时性,具有一定的应用和推广价值。