침입 탐지 시스템은 외부 뿐만이 아닌 내부 사용자의 불법적인 사용 남용 오용 또한 탐지하는데 목적이 있다.

총 6가지의 침입 탐지 시스템의 오용탐지 기법은 전문가 시스템, 시그니처 분석, 페트리넷, 상태전이분석, 신경망, 유전알고리즘이 있으며
침입탐지시스템은 분석 대상에서 추출한 정보를 이용해서 침입 여부를 판단하는데, 
이때 사용하는 침입탐지 방식에 따라 오용 탐지(Misuse Detection) 방식과 비정상 행위 탐지(Anomaly Detection) 방식으로 나눌 수 있다.
오용 탐지 방식은 알려져 있는 공격 행위로부터 특정 시그니처를 추출해내고, 
분석 대상에 그런 시그니처가 존재하는지를 확인하여, 
존재할 경우 침입임을 판단하는 방식이다. 
알려져 있는 공격에 대한 시그니처 목록을 유지해야 하고, 
이 목록을 얼마나 최신의 버전으로 유지하느냐에 따라 새로 나온 공격의 탐지율이 달라지게 된다. 
바이러스 백신이 알려진 바이러스의 시그니처를 유지하고, 그 시그니처를 기반으로 탐지하는 것과 유사한 방식이다. 
오용 탐지 방식은 비정상 행위 탐지 방식에 비해 상대적으로 False Positive 율은 낮지만, 
시그니처 목록에 없는 공격을 탐지하지 못하는 False Negative 율은 높다.
비정상 행위 탐지 방식은 기존의 네트워크 사용 상황을 기반으로 정상적인 행위의 범위를 정의해두고 이러한
정상적인 행위에 어긋나는 모든 행위를 비정상 행위로 규정하고 탐지한다. 
비정상 행위 탐지 방식은 정상적인 행위의 범위를 정의하는 것이 가장 중요하면서도 모호한데, 
가장 쉽게 접근할 수 있는 방법이 통계적인 방법에 기반을 두는 것이다. 
일정 시간 네트워크 상황을 모니터링하면서 모니터링하는 네트워크의 사용 상황을 통계적으로 분석하여, 
통계에 비해 비정상적인 상황이 나타날 경우를 탐지하는 방식이다.
전통적으로 비정상 행위 탐지 방식은 오용 탐지 방식에 비해 False Negative 율이 낮은 반면 False Positive 율이 너무 높아서
실제 환경에서 사용하기가 힘들었기 때문에 주로 연구 범주에 많이 머물러 있었고 상용 침입탐지시스템에 적용되지 못했었다.
최근에는 비정상 행위 탐지 방식에 대한 연구가 많이 이루어져서 비정상 행위 탐지 방식에 기반을 둔 침입탐지시스템이 많이 개발되는 편이지만
기존의 상용 침입탐지시스템은 오용 탐지 방식의 한계를 극복하기 위해 부분적으로 제한적인 비정상 행위 탐지 방식을 채용하고 있다.

오용 탐지 방식(Misuse Detection)
정해진 공격 모델과 일치하는 경우를 침입으로 간주하는 가장 많이 사용하는 형태를 말한다. 즉 알려진 침입 행위를 탐지하는 것이다.

장점
- 잘못된 탐지 가능성이 적다.
- 탐지 내용이 확실하다.
- 침입에 사용된 특정 도구나 기술에 대한 분석이 가능하다.
- 신속하고 정확한 침해 사고 대응에 도움이 된다.

단점
- 다양한 우회 가능성이 존재한다.
- 새로운 침입 유형에 대한 탐지가 불가능하다.(다양한 침입 패턴 수집이 어렵다.)
- 새로운 공격에 대한 시그니처를 지속적으로 업데이트하는 것은 필수이다.
- 오탐을 줄이기 위한 세밀한 패턴 정의가 필요하다.