5.3　检测器的活化及激励机制

网络运行过程中时刻会出现各种各样的异常事件，例如噪声数据或偶然事件，零星地散布在模式空间内，因此一次异常事件的出现并不代表系统受到入侵行为的攻击。由于入侵引起的异常模式一般都以临时集束的形式出现，因此只有当异常事件在某一时段较频繁地出现在非我空间中某一区域时，就很有可能发生了入侵。鉴于此，检测器的激活通常有两种方式：基于阈值的激活机制和基于概率的激活机制：

＊基于阈值的激活机制。设定一个匹配阈值和匹配计数的衰减速率，如果一个检测器不是频繁检测出异常模式，则其匹配计数会在匹配间歇内衰减至0，不会达到激活阈值。如果检测器在短时间内连续检测到异常模式，则其匹配计数增长速度会超过衰减速率，导致检测器的匹配计数超过激活阈值，从而检测出一个入侵检测事件。

＊基于概率的激活机制。设定一个概率函数，检测器在一定的时间窗口内如果识别到一定数量且相似度较高（同时落在一个识别域内）的异常事件时，才会以较高的概率被激活并发出检测到入侵的信号，否则其被激活的概率很低。

基于阈值的激活机制是一种基于时间的频繁检测方式，对于缓慢的攻击行为（如R2L和U2R类）通常无能为力，而采用基于概率的激活机制使检测器仍有机会被异常事件发生频率较低的攻击行为激活，一旦形成记忆检测器就能有效地识别该类攻击，缺点是可能会增加误报率。本模型为了加强对隐蔽性进攻行为的检测，引入基于概率激活机制来类比免疫系统的亲和力阈值（Affinity Thresholds）机制。