A、基于异常检测的入侵检测系统在检测时，将系统检测到的行为与预定义的正常行为比较，得出是否有被攻击的迹象

B、由于正常行为模型相对固定，所以异常检测模式对网络环境的适应性不强，误报的情况比较多

C、异常检测模式的核心是维护一个入侵模式库

D、异常检测模式则无法准确判别出攻击的手法，但它可以判别更广泛、甚至未发觉的攻击