异常检测与误用检测的差异

1. 异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。

2. 根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。

3. 异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

4. 异常检测的局限在于并非所有的入侵都表现为异常，而且系统的轨迹难于计算和更新；

5. 误用检测是一种检测计算机攻击的方法。

6. 在误用检测方法中，首先定义异常系统行为，然后将所有其他行为定义为正常。它反对使用反向的异常检测方法：首先定义正常系统行为并将所有其他行为定义为异常。通过误用检测，任何未知的都是正常的。

7. 误用检测的一个例子是在入侵检测系统中使用攻击签名。误用检测也被更普遍地用于指各种计算机滥用。

8. 理论上，误用检测假设异常行为具有易于定义的模型。它的优点是可以简单地将已知攻击添加到模型中。它的缺点是无法识别未知的攻击。
   区别：
   异常检测是指通过攻击行为的特征库,采用特征匹配的方法确定攻击事件.误用检测的优点是检测的误报率低,检测快,但误用检测通常不能发现攻击特征库中没有事先指定的攻击行为,所以无法检测层出不穷的新攻击。