随着校园网规模的不断扩大和网络应用的日益开展，校园网安全性的管理变的复杂，同时对网络管理员的要求越来越高。校园网的安全管理和稳定运行已经成为计算机网络领域备受关注的问题之一。 从校园网体系结构来看，校园网安全威胁有来自外部的，也有来自内部的。这就意味着要改进现在广泛使用的网络安全防范技术，不仅要防外，还要管内。也就是说，在挡住外界攻击的同时，也应该强化对内部网络安全性的检查。防火墙和入侵监测系统可以阻止来自校园网外部的安全威胁，但是，对于来自校园网内部的安全威胁，还没有一个可行成熟的解决方案。 校园网是一个开放性的网络，用户可以随时通过校园网中的任一信息点接入网络。当用户接入校园网后，此用户上网行为可以通过其网络流量数据以及网络设备的状态数据表现出来，我们称这些数据为网络运行数据。所以，为解决来自校园网内部的安全威胁，本文提出了一个通过提取运行数据，分析用户行为来发现异常的方法。 在采集网络运行数据的基础上对用户行为进行提取和分析，把用户行为分为正常用户行为和异常用户行为，给出了相应的方法和识别机制，实现了对异常用户行为的分析。通过实验，证明本文提出的方法和机制是有效的，能够通过运行数据感知网络的状态。 本文研究题目的选择是以北京市科委科技项目“校园网可信运行保障系统研究”为主要背景。校园网可信运行保障系统目标是研究网络状态的感知技术，网络威胁的评估技术，以及协同网络设备和网络安全设备的处理和控制能力以应对网络异常事件。在可信运行架构下研究校园网的可用性以及可维护性，在国内尚属首次。