1.2 国内外研究现状

网络行为研究主要是指对网络行为主体进行行为轮廓的描述和建模。根据目的是否具有安全威胁可将网络行为划分为异常行为和正常行为，正常行为指的是符合网络行为主体的正常行为规律的网络行为，异常行为指的是偏离正常行为规律和模式的网络行为，网络攻击行为是异常行为，异常行为中不只包含攻击行为。根据IP地址交互行为方式可将网络行为划分为一个IP地址对一个IP地址的网络行为、一个IP地址对多个IP地址的网络行为、多个IP地址对一个IP地址的网络行为和多个IP地址对多个IP地址的网络行为。根据网络行为主体的对象数目不同，可将网络行为划分为网络个体行为和主机群行为，主机群行为是由网络个体行为构成的，主机群行为离不开网络个体行为，但主机群行为并不是网络个体行为的简单相加；网络环境中存在主机群行为，每个主机群由很多网络个体构成的，最大的主机群相当于全体网络行为主体的集合，其网络活动的体现就是网络行为。

综上所述，本书系统总结了网络行为分析的相关研究背景和最新进展，探讨了该领域的发展趋势和存在的问题，重点针对“整体”“个体”“主机群”网络行为的研究现状进行了系统的对比和总结，分析了网络行为特征和异常检测方法在检测率、运行效率、全面性和新型异常行为的识别能力等方面的不足。