优点是针对不同操作系统特点捕获应用层入侵，误报少；
缺点是依赖于主机及其审计子系统，实时性差。

包括：
1、监视、分析用户及系统活动；审计系统构造和弱点；
2、识别、反映已知进攻的活动模式，向相关人士报警；
3、统计分析异常行为模式；
4、评估重要系统和数据文件的完整性；
5、审计、跟踪管理操作系统，识别用户违反安全策略的行为。

是对用户历史行为建立模型。根据该模型，当发现有可疑的用户行为发生时保持跟踪，并监视和记录该用户的行为。这种方法的优越性在于它应用了成熟的概率统计理论；
缺点是由于用户的行为非常复杂，因而要想准确地匹配一个用户的历史行为非常困难，易造成系统误报、错报和漏报；
定义入侵阈值比较困难，阈值高则误检率增高，阈值低则漏检率增高。

用户数据报协议（UserDatagramProtocol，UDP）是一个面向数据报的传输层协议。UDP协议的规则：如果接收到一份目的端口并没有处于侦听状态的数据报，则发送一个ICMP端口不可到达报文，否则不作任何响应。
缺点：
1）这种方法很不可靠，因为路由器和防火墙都有可能丢弃UDP数据报。
2）逐一扫描UDP端口通常是很慢的，因为RFC1812的4.3.2.8节对路由器产生ICMP错误消息的速率作了规定。
优点：它可以使用IP广播地址，如果向广播地址的高端端口发送一个UDP数据报，在没有防火墙过滤的情况下，将收到很多来自目标网络的ICMP端口不可到达的错误消息。当然，这也可能造成扫描者出现自己的DoS。