为维持园区内网络的稳定运行，本文提出综合NetFlow和SDN的园区网络流量行为分析方法。利用NetFlow技术对园区内的网络流量数据进行采集，并对采集的数据完成缓存、传输、超时释放及数据封装处理。SDN 控制器以NetFlow 技术处理后的流量数据为数据源，提取流量特征并检测异常行为，最终实现对园区网络流量行为的全面分析。实验结果表明，本文方法可有效识别DDoS攻击、IoT异常、ARP欺骗等多种异常行为，检测率均超过95%。在10次测试
中，该方法的漏检率均在 1%以内，检测用时均在 500 s左右。该方法不仅能有效识别网络流量异常行为，还具备较高的检测效率，适用于园区网络流量的精准检测和安全防护。