随着互联网社会化程度不断提高,网民数量持续增长,互联网普及率已高达53.2%,俨然成为信息社会的基本工具之一。不仅普通网民享有互联网的便捷服务,多数不法分子也具有使用互联网的行为习惯,针对或利用网络实施犯罪,甚至使用网络彼此联络、传播违法犯罪信息。因此在打击防控违法犯罪过程中,对特定对象进行网络行为分析具有重要意义。在对国内外关于网络用户行为分析的成果进行研究后,本文针对当前公安犯罪防控工作现状,以犯罪防控需求为出发点,提出一种用户行为分析方法,并对其中的关键技术进行了研究,主要工作包括以下几个方面:首先提出一种用户流量行为分析模型:读取用户数据包,采用基于端口匹配与深度包检测的方法分析了用户流量类别;在提取用户会话数据的基础上,建立协议状态机,得到了用户的流量交互行为过程;通过构建通信主机列表,获取了用户的通信主机拓扑结构。模型改进了字符串多模匹配算法,提高了流量类别识别速率,并以吞吐率为参数测试了匹配算法的性能,符合模型的大范围部署要求。其次提出一种用户内容行为分析模型:以访问网页为例,设计了数据包重组算法,实现网络数据的重新组合;采用协议解析技术,还原了网页的组成元素;抽取用户行为信息,得到用户访问网页的时间、访问的网址、搜索的关键词、浏览网页的图文、浏览网页的脚本等内容信息;基于SharpPcap与PacketDotNet类库,采用C#语言对模型进行实现,经多次读取实验包文件完成模型功能测试。最后对用户犯罪行为倾向性分析进行了研究:采用多重分形的思想建立了用户行为模型,计算出某时间段内用户的行为过程,并预测下一时间段内用户的行为过程;以最小均方误差值作为估算误差指标,判定用户犯罪行为的倾向程度。