新一代网络的变革式发展,也将网络安全带入了一个新的时代。病毒、木马、黑客攻击等各种安全威胁产生的非授权流量充斥着互联网。这些非授权流量一方面会侵犯网络用户自身的利益,另一方面也给网络整体的可用性带来影响。面对复杂的网络环境,主干网层级的监测与防护是非常重要的一环。面对大量级数据的网络流量,以IP流为基础的流量行为分析是一种有意义的工作方式。本论文以IP流记录为基础面向主干网针对一些常见非授权流量行为的检测展开研究。论文首先围绕非授权流量相关的定义进行了讨论,然后研究了基于热点流量事件的非授权流量检测和面向WEB服务器的非授权流量行为检测。两个研究工作均基于流记录展开。对于基于热点流量事件的非授权流量,论文通过分类的方式将热点流量主机归纳为具有不同特征行为的主机,并从中发现非授权流量。该方法从流记录中提取流属性作为分类属性,采用无监督方式生成分类目标,对网络内出方向流量热点主机进行行为分类,在此基础上发现并检测出产生非授权流量的主机。最后,实现该方法并在实际环境中部署运行,结果证实该方法有效。通过热点流量事件的检测,发现UDP DRDOS攻击的普遍存在,论文以基于Chargen协议的UDP DRDOS攻击为例,提出根据端口和流量放大比的检测算法的理论模型。对于面向WEB服务器的非授权流量,论文针对异常端口交互、流量异常、WEB扫描攻击等WEB服务器流量行为做了分类描述。提出了通过从流记录提取属性,根据流量行为进行特征匹配的误用检测算法,并通过实验证实算法有效。