2)入侵檢測技術

異常檢測：基于異常的入侵檢測是根據系統或用戶的非正常行為或者對于計算機資源的非正常使用檢測出入侵行為的檢測技術。在異常檢測中，觀察到的不是已知的入侵行為，而是系統運行過程中的異常現象。異常檢測需要建立一個系統的正常活動狀態或用戶正常行為模式的描述模型，操作時將用戶當前行為模式或系統的當前狀態與該正常模型進行比較，如果當前值超出了預設的閾值，則認為存在著攻擊行為。

誤用檢測：基于誤用入侵檢測根據已知入侵攻擊的信息（知識、模式等）來檢測系統中的入侵和攻擊。誤用檢測需要對現有的各種攻擊手段進行分析，建立能夠代表該攻擊行為的的特征集合，操作時將當前數據進行處理后與這些特征集合進行匹配，如果匹配成功則說明有攻擊發生。