在滥用检测方法中，首先通过某种方式（从已知的攻击中提取特征字段作为规则或训练样本）预先定义攻击行为，并提取这些攻击行为的特征，将这些行为特征转化为检测规则存储至规则库中，然后对访问计算机系统的相关行为进行监视，如果待检测行为与规则库中的检测规则相匹配，则说明该行为是违法系统规则的，并根据检测规则判定该行为是哪种攻击行为。

滥用检测系统能够更准确地检测已知攻击模式，其检测准确率高，误报率低，比异常检测更具优势，因此在早期的入侵检测系统中有着广泛的应用。滥用检测也有其应用局限性，即它只能发现已知的攻击，对未知的或新的攻击则是无能为力的。因此，面对攻击行为层出不穷的新型网络环境，仅采用滥用检测作为入侵检测方案的计算系统将面临巨大的安全威胁。