当前网络中存在着许多诸如网络扫描、拒绝服务攻击等以网络入侵或网络破坏为目的的网络异常行为,严重影响了网络的正常运行。虽然目前已经有了基于阀值过滤、特征匹配、统计检测等网络异常检测方法,但这些方法主要专注于网络异常的发现以及如何实现防护,忽略了对所发现的异常进行必要的深入分析。因此,提出一种网络异常分析方法具有重要的理论意义和实用价值。论述了分析网络异常成因所涉及的技术与相关概念。从TCP(Transmission Control Protocol)连接建立和连接拆除报文的完整性入手,选取了五类TCP报文作为分析网络异常产生原因的观测报文,给出了理想状况下五类TCP报文间数量上的关系,着重分析了现有网络中常见的网络异常行为,如网络扫描、拒绝服务攻击等。说明了如何借助相关系数矩阵来表示TCP流中多类报文间的相关关系密切程度,并建立了正常状况下五类TCP报文的相关关系判定准则。给出了基于相关系数矩阵的网络异常行为分析方法的基本思路,说明了统计时间粒度、采样个数对相关系数计算结果的影响,分析了常见的TCP流异常行为对相关系数矩阵计算结果的影响。实验结果表明,基于相关系数矩阵的网络异常行为分析方法能够较为准确地区分TCP Maimon扫描、DDoS(Distributed Denial of Service)攻击等网络异常行为,具有一定的实用价值。