7. 异常入侵检测是基于( )实现的。A. 入侵行为特征库B. 正常行为特C. 异常行为特征库D. 误用行为

异常入侵检测的核心在于识别偏离正常行为模式的异常现象，而非依赖已知的入侵特征库。其主要通过建立正常行为的基准模型，将实时行为与该模型对比，发现异常。本题需区分异常检测与误用检测的关键差异：前者关注行为是否异常，后者基于已知攻击特征匹配。错误选项往往混淆这两种机制。

题目要求找出错误描述异常入侵检测的选项。逐一分析如下：

选项A

正确。异常检测的核心是观察未知的异常现象，而非已知的入侵行为。例如，突然的高流量可能触发警报，即使未匹配具体攻击特征。

选项B

错误。此描述属于误用检测的逻辑（基于已知特征匹配），而异常检测不依赖已知特征库，而是通过行为偏离程度判断威胁。因此，B选项混淆了两种检测机制。

选项C

正确。异常检测可通过分析网络状态数据（如流量、登录频率）发现潜在攻击迹象，并报警。例如，检测到异常的登录尝试频率。

选项D

正确。异常检测能发现内部员工的恶意行为（如权限滥用），因为此类行为通常偏离正常模式，而误用检测可能因缺乏特征库而忽略。