对网络中安全威胁的监测及其处理方法是网络安全研究的问题之一。当网络发生安全威胁事件时,往往会引发多米诺效应：网络链路流速呈异常变化、受影响的互连设备CPU使用率变高等。对网络流量监控一般采用固定预警阈值的机制来判断流量是否呈正常变化,对于威胁点则通过部署防火墙、入侵检测系统等设备来解决。前者中采用的机制会漏判部分流量异常变化现象,后者中防火墙等设备只能过滤由这个威胁点发出的并且流经防火墙的数据包,但威胁点仍然连接在网络中。因此,研究一种判断准确性好的流量监测方法和实现对网络中威胁点进行发现与定位的系统具有一定的应用价值。 利用简单网络管理协议并基于我校全网Cisco的网络环境,本文分析了新的流量监测方法应用于流量监控上的可能性,同时以解决网内ARP病毒为例,实现了威胁点地址定位系统,论文的主要内容包括： 1 总结了网络管理协议的发展过程,并以SNMP协议为重点,分析该协议各个版本的内容和相对应的网络管理模型,同时并研究SNMP++开发函数库的编程模式。 2 从流量的宏观角度即链路流速上,分析IP流量特征、流量采集方法、流速计算方法和流量刻画模型。并以建立校园网中骨干链路的AR(2)流量模型为例,证明了使用该模型替代固定流量预警阈值的机制来实施链路流量监控的可行性。 3 从流量的微观角度即网络中威胁点所表现出的流量特征上,以ARP病毒为例,分析了对其的发现方法以及在获知其地址信息的条件下进行地址定位的方法。通过分析第二层交换机的工作原理和基于STP协议发现网络链路层拓扑算法这两者的基础上,给出了本文中进行地址定位的原理。对该原理,讨论了其在异构网络环境下的可扩展性和在大型网络环境下的优化方法。此外,论文还详细地介绍了地址定位系统的实现。目前,威胁点定位系统已经实现并运行在我校校园网中,运行效果良好。