计算机网络高速发展和全方位渗透,推动了整个社会的信息化进程。然而随着互联网络的迅猛发展,网络安全方面的问题越来越突出,利用计算机网络的各种犯罪活动越来越多,造成了巨大的财产损失。因此,及时了解网络用户的当前行为并预测用户行为成为保障网络服务安全所急需解决的问题。为了对用户行为进行分析,结合网络本身的特征,本文提出了基于NetFlow信息的用户行为特征,它们定量描述了用户网络行为的特征,并通过综合计算最终取得网络总体用户行为模式。在得到用户行为模式后,我们就可以通过分析当前用户行为,对用户下一步行为进行预测。本文主要工作包括以下几个方面:(1)提出了一个基于K-均值的聚类挖掘算法;(2)设计并实现了用户行为带权有向图;(3)一个宏观网络预警及应急响应系统。针对用户行为分析,本文采取了数据挖掘的方法,具体为聚类挖掘同关联挖掘相结合的方法。面对大量NetFlow统计数据,聚类挖掘算法可将相似的数据最大限度的归为一类,为分析用户行为提供可靠依据。在分析传统K -均值聚类算法的基础上,针对其不足提出了相应的改进。针对用户行为预测,本文采取建立用户行为有向图的方法,建立用户行为间的相互关系,通过查找最大可能后继行为预测用户行为。接下来,本文分析了宏观网络预警及应急响应系统的设计工作,其中包括总体结构设计,数据库设计及界面设计,并着重描述了用户行为分析子系统的实现。该子系统主要包括构建用户行为序列和构建用户行为模式两大模块。构建用户行为序列主要负责分析当前用户行为,同此前用户行为构成用户行为序列,而构建用户行为模式从整体用户行为序列出发,挖掘频繁行为序列,构成用户行为模式。最后,对系统进行了测试,通过在实际网络环境中的运行,我们发现原型系统能够有效地分析用户行为,并可根据用户行为模式预测用户行为。