逐渐增长的网络流量产生了大量的IP流，了解产生这些流的IP主机的行为，有助于网络管理，例如:性能，安全，带宽，故障和审计等。　　本文的研究目标是针对IP主机，计算其流量行为，挖掘热点，提取通信模式，及时发现异常和攻击。　　论文提出了一种热点主机检测算法。从网络运行管理的角度出发，论文认为热点是一段测量时间内对网络资源占用大或是对服务可用性影响大的IP主机。算法据此选择了字节数和关联IP地址数这两个特征描述主机的流量行为，并将这两个特征综合成一个指标，作为判断主机是否是热点的依据。算法将这一指标称为主机的重要程度。然后算法使用信息论中的相对不确定性（也称为标准熵）作为测度，抽取出重要程度较高的主机，视作热点。实验证明，该方法结果可信，且具有自适应性。　　为了解释热点结果，为网络管理提供了更多判断依据。论文提出了一种主机行为分类方法。该方法根据目的IP地址、源端口、目的端口、通信协议、报文尺寸这五个方面的主机通信流量分布对主机进行标记，自然地将主机分类到不同的行为簇中。由此方法得到的行为簇受时间的影响较小，具有一致性和健壮性。并且每个行为簇都有相关的行为语义，表达了主机的角色和应用属性。　　论文在分类基础上，在一个与TCP网络扫描有相似特征的行为簇上进行异常检测。这样一种以分类为基础的精细化异常检测算法，不仅实现简单，并且经实验证明，对热点主机中的异常具有很好的检测性能。