基於審計的自動分析檢測工具可以是脫機的，也可以是聯機或在線的。分析工具實時地對審計跟蹤文件提供的信息進行同步處理，當有可疑的入侵行為時，係統提供實時的警報，在攻擊發生時就能提供攻擊者的有關信息。

對於信息係統安全強度而言，聯機或在線的攻擊檢測是比較理想的，能夠在案發現場及時發現攻擊行為，有利於及時采取對抗措施，使損失降低到最低限度。同時也為抓獲攻擊犯罪分子提供有力的證據。但是，聯機的或在線的攻擊檢測係統所需要的係統資源，幾乎隨著係統內部活動數量的增長呈幾何級數增長。

3．攻擊檢測方法

（1）基於審計的攻擊檢測

基於審計信息的攻擊檢測工具以及自動分析工具可以向係統安全管理員報告計算機係統活動的評估報告，通常是脫機的、滯後的。

對攻擊的實時檢測係統的工作原理是基於對用戶曆史行為的建模，以及在早期的證據或模型的基礎之上。審計係統實時地檢測用戶對係統的使用情況，根據係統內部保持的用戶行為的概率統計模型進行監測，當發現有可疑的用戶行為發生時，保持跟蹤並監測該用戶的行為。

係統應具備處理自適應的用戶參數的能力。能夠判斷使用行為的合法或可疑。係統應當能夠避免"肅反擴大／縮小化"的問題。這種辦法同樣適用於檢測程序的行為以及對數據資源（如文件或數據庫）的存取行為。

（2）基於神經網絡的攻擊檢測技術

如上所述，基於審計統計數據的攻擊檢測係統，具有一些天生的弱點，因為用戶的行為可以是非常複雜的，所以想要準確匹配一個用戶的曆史行為和當前的行為是相當困難的。錯發的警報往往來自於對審計數據的統計算法所基於的不準確或不貼切的假設。SRI的研究小組利用和發展神經網絡技術來進行攻擊檢測。神經網絡可能用於解決傳統的統計分析技術所麵臨的以下幾個問題：

●難於建立確切的統計分布

●難於實現方法的普適性

●算法實現比較昂貴

●係統臃腫難於剪裁

目前，神經網絡技術提出了對基於傳統統計技術的攻擊檢測方法的改進方向，但尚不十分成熟，所以傳統的統計方法仍將繼續發揮作用，也仍然能為發現用戶的異常行為提供相當有參考價值的信息。

（3）基於專家係統的攻擊檢測技術

進行安全檢測工作自動化的另外一個值得重視的研究方向就是基於專家係統的攻擊檢測技術，即根據安全專家對可疑行為的分析經驗來形成一套推理規則，然後再在此基礎之上構成相應的專家係統。由此專家係統自動進行對所涉及的攻擊操作的分析工作。

所謂專家係統是基於一套由專家經驗事先定義的規則的推理係統。例如，在數分鍾之內某個用戶連續進行登錄，且失敗超過三次就可以被認為是一種攻擊行為。類似的規則在統計係統似乎也有，同時應當說明的是基於規則的專家係統或推理係統也有其局限性，因為作為這類係統的基礎的推理規則一般都是根據已知的安全漏洞進行安排和策劃的，而對係統的最危險的威脅則主要是來自未知的安全漏洞。實現一個基於規則的專家係統是一個知識工程問題，而且其功能應當能夠隨著經驗的積累而利用其自學習能力進行規則的擴充和修正。

（4）基於模型推理的攻擊檢測技術

攻擊者在入侵一個係統時往往采用一定的行為程序，如猜測口令的程序，這種行為程序構成了某種具有一定行為特征的模型，根據這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖，盡管攻擊者並不一定都是惡意的。用基於模型的推理方法人們能夠為某些行為建立特定的模型，從而能夠監視具有特定行為特征的某些活動。根據假設的攻擊腳本，這種係統就能檢測出非法的用戶行為。一般為了準確判斷，要為不同的入侵者和不同的係統建立特定的攻擊腳本。

當有證據表明某種特定的攻擊模型發生時，係統應當收集其他證據來證實或者否定攻擊的真實，以盡可能的避免錯報。

為了防止過多的不相幹信息的幹擾，用於安全目的的攻擊檢測係統在審計係統之外一般還配備適合係統安全策略的信息采集器或過濾器。同時，還應當充分利用來自其它信息源的信息。在某些係統內可以在不同的層次進行審計跟蹤。如有些係統的安全機製中采用三級審計跟蹤，包括審計操作係統核心調用行為的跟蹤、審計用戶和操作係統界麵級行為的跟蹤、和審計應用程序內部行為的跟蹤。

總之，和經典安全措施相同，任何一種攻擊檢測措施都不能視之為一勞永逸的，必須配合有效的管理和組織措施，形成立體的和縱深有序的安全防禦體係。