La détection d'anomalies dans le trafic réseau et leur caractérisation est un sujet d'importance depuis de nombreuses années. Une gestion efficace de grands réseaux dépend clairement de la capacité à identifier et limiter l'effet de ces anomalies. En particulier, les anomalies causées par une attaque de déni de service par inondation ont un très fort impact sur la qualité de service des réseaux, même lorsque les liens sont largement surdimensionnés et pas saturés par ces attaques. Bien que le domaine de la recherche sur la détection d'anomalies soit bien avancé, une classification automatique précise et efficace de ces anomalies reste toujours un problème d'actualité non résolu. En effet, avec les propositions actuelles, le nombre d'anomalies détectées submerge rapidement les opérateurs réseaux qui ne savent pas comment faire face à un tel afflux, surtout si des informations supplémentaires adaptées ne sont pas fournies. Certaines approches parmi les plus récentes identifient les flux anormaux, mais elles ne donnent pas suffisamment d'informations aux administrateurs réseaux pour prioritiser le temps à passer pour analyser manuellement ces anomalies. Cela fait de la classification automatique le besoin le plus important aujourd'hui et donc la prochaine étape logique pour les recherches à venir dans ce domaine. Dans cet article, un nouvel algorithme pour la classification automatique des anomalies du trafic est proposé. L'algorithme agit en 3 étapes : (i) après qu'une anomalie ait été détectée, il identifie tous (ou la plupart) des paquets ou flux en cause ; (ii) utilise ces informations sur les paquets et flux pour produire plusieurs métriques en rapport direct avec l'anomalie ; et (iii) classifie l'anomalie à partir de ces métriques en suivantune approche orientée signature. Nous montrons dans l'article (i) le caractère expressif nécessaire pour distinguer de façon fiable plusieurs types d'anomalies, (ii) un riche ensemble d'informations sur les anomalies détectées, et (iii) la flexibilité requise pour les administrateurs réseau afin de comprendre et dominer le processus de classification. Nous montrons également comment la phase de classification agit comme un filtre pour réduire le taux de faux positifs des algorithmes de détection. Cet algorithme a été validé sur deux bases de traces de trafic : la base produite dans le cadre du projet METROSEC, et la base MAWI.