检测的作用点：

         行为进行中；也就是对行为进行检测；
         行为结束，结果已经形成；也就是对结果进行检测；
 

检测的效力：

　　作为防御者的角度，作为ＰＤＲ的基于时间安全的要求，肯定是期望检测结论能够尽早地获得以便能够为响应争取时间。从这个角度看，如果仅仅检测结果，那么我们只能进行事后处理了，难于进行事前防御。或者，至少要做到对于中间结果进行检测。总之，还是要尽量做到对于过程的检测，对于未完成攻击的检测，甚至于对于未发生攻击的检测。

检测的复杂度：

　　从因果的角度来说，检测因来预测果是一个比较复杂的问题。

　　对于行为的检测，我们最常见的方法就是特征匹配检测和统计异常检测。这些检测方法的准确度都遭到质疑，而要从这个思路开始增加准确度，就要提高检测相关的分析复杂度。在提高准确度的方法中，有一种就是对于检测出来的过程进行行为模拟，这样能够计算出来其可能的结果，再对这个结果进行检测从而判断前面的过程。比如，对于碎片攻击的检测、对于伪码攻击的检测，都要借助于对于被攻击系统的模拟计算，才能很好地检测。

　　规避特征匹配的生硬、统计异常检测的无针对性，模拟结果检测可能就成为一个解决方向。比如，对于具有算法性、语言性的攻击，这就是一个很好的方法；比如，上面提到的伪码隐蔽攻击就需要伪码解码；比如，ＳＱＬ注入攻击的语法可能就需要语言模拟解释和执行；比如，业务协议分析就必须有业务模拟的过程。

　　而模拟计算，也就是检测系统模拟被攻击系统的行为，从而对结果进行检测，这在检测理论上是可行的。所以，我以前常说，漏洞扫描就是模拟攻击，而入侵检测就是模拟被攻击。但是，模拟就会有一个度的问题，模拟到什么程度决定了检测系统的计算压力。完全的模拟式不可能的。能够很好的把握这个度，能够很好地把握如何模拟，就是检测的水平。