模式匹配 比较收集的信息和已知网络入侵数据库,从而发现违背安全策略的行为 统计分析 首先给系统对象(用户,文件,目录,设备等)建立正常使用时的特征文件,比较网络行为和特征文件,如果超出阈值,则认为入侵 数据完整性分析 监控文件或系统对象的属性是否被修改,此方法常用于时候的审计分析