随着网络规模的不断扩大，异构化程度的不断增高，网络带宽的成倍增长，网络变得日益复杂。为了在复杂环境下提供有质量保证的网络服务，必需对网络行为进行深入的了解和分析。 传统的网络监控主要是通过用Sniffer，SNMP，RMON等技术手段来实现，针对特定的网络设备、特定的链路或者主机，监控各类运行状态，提供链路的负载率、丢包率、传输时延、CPU与内存使用率等数据，主要应用在个体设备或者个体链路的性能监控和故障检测上。但是，随着网络技术和网络应用领域的扩展，网络带宽的不断增大与传输数据的日趋复杂，特别是万兆网络的全面布署，原有的网络监控手段已难以能满足当前的需要。 本论文首先介绍了网络流量和网络行为学的基本概念以及相关理论。其次，对Sniffer，SNMP，RMON，Netflow和sFlow在流量监测进行了比较，并着重描述了本课题采用的sFlow技术，然后，以校园网流量为例，阐述了本课题中流量行为分析的整个过程。内容包括：基于sFlow的流量数据的采集、依据全网结构，对网络流量信息采集点的全局部署、采用C++语言编写sFlow流量数据采集程序、MS SQL数据库中流量数据的存贮表单设计等。尽管sFlow在流量数据采集上本身就使用抽样方法，但在大流量网络中心，单位时间内采集到的抽样流量数据量仍是非常大的。本研究中采用了流量采集过程中依据“数据流”对流量数据进行聚类的方法，减少了数据库收集存储的数据量，同时又保证了数据可准确地用以进行网络流量特征分析。 流量监控系统的数据分析端实现上，利用Python对数据库数据处理，通过WWW页面，将收集的各种实时数据和历史数据，用相应的表格、图形直观简洁地体现。在应用sFlow对网络流量进行监控、分析和研究的基础，本文进而提出了如何在网络层面对互联网异常流量采取预警与防护措施，讨论了基于sFlow技术的全网流量监管。 本文通过sFlow监控架构，对于大规模网络流量的监控与分析提供了一个良好的支持平台。并利用sFlow采集的数据，对流量相关行为的分析，提出NAT检测方法，对网络异常行为使用编写Expect程序，系统自动处理。 论文的最后，提出了今后进一步研究的方向。