基于规则的方法主要通过规则匹配,优点是准确率高,缺点在于很难分析出未知的安全事件,基于数理统计方法主要通过对实时数据的统计确定正常值的范围,优点的可以发现未知的安全事件,缺点是设定统计量阈值较难,安全事件类型也难于区别。基于有学习能力的数据挖掘方法是建立挖掘模型并不断改进迭代和调整,优点的可以减少规则手工编码和经验成分,缺点是算法复杂,要求较高