伴随着互联网技术的高速发展,网络设备与计算机已经深入到国家机关、企业和千家万户中,我们对计算机网络的依赖性日益增强。同时我们要看到,许多计算机用户甚至网络管理人员安全意识薄弱,不能有效地保护自己的主机和网络。加上网络威胁层出不穷,不断变换着方式,严重威胁了计算机网络的安全。如何能保证计算机网络的安全,是一个富有挑战性的任务。僵尸木马、计算机病毒和蠕虫是目前网络中普遍存在的恶意代码。传统的基于应用层Payload的检测方法存在不能检测加密Payload或新出现的恶意代码,无法在Gbit/s级流量下进行检测和不能长期保存历史数据等不足。而且往往需要大量先验知识,在如今恶意代码更新迅速的情况下,该方法具有明显的滞后性。为此本文提出了一种基于流特征的恶意代码检测方法,能够较好地弥补上述不足。并且流作为标准(RFC 3917)已经被众多网络设备厂商支持,具备在真实环境下实验的条件。通过对校园网核心路由交换机发出的NetFlow数据的收集、统计与分析,本文发现了10余种网络漏洞扫描、3种蠕虫及1种僵尸木马的流特征,以及一些目前暂时无法定性的异常流特征。此外,本文还实现了图形化的流特征统计,包括常用协议分布、主机双向流量TOP N、主机对外SYN连接TOP N、校园网TCP_flag位统计、校园网实时流量等功能。通过多种角度对数据统计并以图形界面显示,能更直观地发现什么时候校园网出现了异常流量,并且可以通过进一步分析流数据,以确定是何种异常流量。本文通过真实环境下的实验证明了基于流特征的恶意代码检测技术是可行的,并且能够有效弥补基于应用层Payload检测方法的不足。