它不看单个包的特征，而是观察一段时间内流量的整体行为。比如，一个用户平时访问网站A，突然间开始以极高的频率访问上百个不相关的IP地址，或者发起大量异常请求，这可能就是账户被盗用或者设备被感染的信号。这类防火墙产品，往往会利用统计学模型甚至一些简单的机器学习算法，去发现那些偏离正常“群体行为”的个体或连接。