2)入侵檢測技術(shù)

異常檢測：基于異常的入侵檢測是根據(jù)系統(tǒng)或用戶的非正常行為或者對于計算機資源的非正常使用檢測出入侵行為的檢測技術(shù)。在異常檢測中，觀察到的不是已知的入侵行為，而是系統(tǒng)運行過程中的異?，F(xiàn)象。異常檢測需要建立一個系統(tǒng)的正?；顒訝顟B(tài)或用戶正常行為模式的描述模型，操作時將用戶當前行為模式或系統(tǒng)的當前狀態(tài)與該正常模型進行比較，如果當前值超出了預(yù)設(shè)的閾值，則認為存在著攻擊行為。

誤用檢測：基于誤用入侵檢測根據(jù)已知入侵攻擊的信息（知識、模式等）來檢測系統(tǒng)中的入侵和攻擊。誤用檢測需要對現(xiàn)有的各種攻擊手段進行分析，建立能夠代表該攻擊行為的的特征集合，操作時將當前數(shù)據(jù)進行處理后與這些特征集合進行匹配，如果匹配成功則說明有攻擊發(fā)生。