异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

相关定义

1、异常检测是指通过攻击行为的特征库，采用特征匹配的方法确定攻击事件。误用检测的优点是检测的误报率低，检测快，但误用检测通常不能发现攻击特征库中没有事先指定的攻击行为，所以无法检测层出不穷的新攻击

2、异常检测是指根据非正常行为(系统或用户)和使用计算机非正常资源来检测入侵行为。其关键在于建立用户及系统正常行为轮廓(Profile),检测实际活动以判断是否背离正常轮廓

3、异常检测是指将用户正常的习惯行为特征存储在数据库中，然后将用户当前的行为特征与特征数据库中的特征进行比较，如果两者的偏差足够大，则说明发生了异常

4、异常检测是指利用定量的方式来描述可接受的行为特征，以区分和正常行为相违背的、非正常的行为特征来检测入侵

5、基于行为的入侵检测方法，通过将过去观察到的正常行为与受到攻击时的行为相比较，根据使用者的异常行为或资源的异常使用状况来判断是否发生入侵活动，所以也被称为异常检测

6、统计分析亦称为异常检测，即按统计规律进行入侵检测。统计分析先对审计数据进行分析，若发现其行为违背了系统预计，则被认为是滥用行为

7、统计分析亦称为异常检测。通过将正常的网络的流量。网络延时以及不同应用的网络特性(如时段性)统计分析后作为参照值，若收集到的信息在参照值范围之外，则认为有入侵行为

8、异常检测（Anomaly-based detection）方法首先定义一组系统处于“正常”情况时的数据，如CPU利用率、内存利用率、文件校验和等然后进行分析确定是否出现异常。

参考资料