误用检测有哪些主要的分析方法?

1. 专家系统

是基于误用的检测中早期运用较多的一种方法。将有关入侵的知识转化成if-then结构的规则，即将构成入侵所要求的条件转化为if部分，将发现入侵后采取的相应措施转化成then部分。当其中某个或某部分条件满足时，系统就判断为入侵行为发生。其中的if-then结构构成了描述具体攻击的规则库，状态行为及其语义环境可根据审计事件得到，推理机根据规则和行为完成判断工作。专家系统一般不用于商业产品中，商业产品运用较多的是模式匹配(或称特征分析)。

2. 模式匹配与协议分析

也需要知道攻击行为的具体知识。但是攻击方法的语义描述不是被转化为抽象的检测规则，而是将已知的入侵特征编码成与审计记录相符合的模式，因而能够在审计记录中直接寻找相匹配的己知入侵模式。这样就不像专家系统一样需要处理大量数据，从而提高了检测效率。

3. 按键监视(Keystroke Monitor)

一种很简单的入侵检测方法，用来监视攻击模式的按键，这种系统很容易被突破。UNIX下许多shell命令都允许用户自己定义命令别名，这样就可能容易地逃脱按键监视。只有对命令利用别名扩展以及语法分析等技术进行分析，才可能克服其缺点。

这种方法只监视用户的按键而不分析程序的运行，这佯系统中恶意程序将不会被标识为入侵活动。对按键监视方法的改进是：监视按键的同时，监视应用程序的系统调用。这样才可能分析应用程序的执行，从中检测出入侵行为。