细微差别是微妙的，没有明确定义，但如果你真的想区分滥用和滥用，那么我会说滥用是“恶意滥用”。

例如，携带电动链锯跑步是误用；在拥挤的商场里故意这样做是虐待。

误用案例：

它描述了对系统执行恶意行为的过程，而用例可用于描述系统采取的任何行动。

滥用案例：

一个完整的滥用案例定义了参与者与系统之间的交互，该交互导致对与参与者之一、利益相关者之一或系统本身相关的资源造成损害。

与大多数人自然得出的结论相反，“滥用案例”需要恶意意图，而“滥用案例”则不需要。误用案例是用例的对立面，用户没有按照既定程序做他们应该做的事情。演员在“滥用”系统。“滥用案例”似乎来自“ab-use”一词的技术词源，意思是“在使用之外”。

“误用案例”是“不当行为者”故意违反系统的行为。误用案例分析用户/参与者对系统的威胁。

“滥用案例”在其分析中不包括意图。它侧重于可能造成伤害的一系列行为。滥用案例分析系统漏洞。

但这些术语是新的，从业者正在定义它们。

进一步阅读截至 2005 年的差异

误用可能是偶然的，并暗示您以非设计方式使用系统。

• 例如，rm -rf在您的文件系统上运行

虐待通常是有预谋和有目的的；您可以通过未经授权的方式进行合法活动来滥用系统而不滥用它。

• 例如，使用合法请求加载页面的 DDoS 攻击

您可能有兴趣阅读计算机欺诈和滥用法案 (CFAA) [美国] 的法律文本。

编辑：

我在NIST 的关键信息安全术语表中找到了“计算机滥用”的正式定义：

计算机滥用 – 故意或鲁莽滥用、更改、中断或破坏信息处理资源。

然而，尽管美国有“滥用”法案，但英国有“滥用”法案（1990 年计算机滥用法案）（另一个参考文献），Signapore（计算机滥用和网络安全法案（第 50A 章））听起来更接近于滥用的定义。

在非技术英语中，误用和滥用具有几乎相同的含义。我鼓励当代分析师避免使用这些术语。我们有更容易理解的术语：内部威胁、外部威胁和可用性缺陷。

但是...如果出于某种原因您真的想使用这些术语...这里是我的安全小组在 2004-6 年期间开发的定义，当时我们正在考虑如何扩展用例图以便它们会处理全方位的安全性、功能性和可用性要求。.
考虑：

• 导致系统执行某些操作的人要么获得他们想要的（重要）结果，要么有一些（重要）意外后果。注意：我们忽略没有重大后果的行为。
• 以某种方式访问​​系统的人可能被授权以这种方式访问​​它，否则他们是未经授权的。
• 访问系统的人可能打算造成伤害，或者他们的动机是有益的。注意：我们理解未经授权的用户可能认为自己的行为方式对系统所有者有利，或者对系统所有者以外的其他方有利；但是（按照安全分析的惯例）我们从系统中的主要利益相关者（为方便起见，我们称其为“所有者”）的角度定义系统需求，并将其留给系统所有者来决定谁是被授权使用他们的系统执行有益的行为，谁是未经授权的。

尽管三个布尔变量有八种可能性，但有一半是不重要的（或已被定义，如未经授权的用户打算进行有益使用）。这让我们在定义系统需求时只需要考虑四种主要类型的案例——我们为旧用例的这三个扩展选择了“可爱”的名称（???use）：

() [用例：]

来自授权用户的有益结果。

() [混淆案例：]

来自授权用户的有害但无意的结果，即用例中可用性缺陷的有害后果。

() [误用案例：]

由授权用户故意造成的伤害，即以有害意图行使用例的内部威胁。

() [滥用案例：]

未经授权的用户故意造成的危害，即访问控制不足的系统的外部威胁。

AFAIK 我们小组中没有人发布过这些定义。我记得Mike Stay在与Jas Nagra、Stephen Drape和我自己的讨论中提出了关键见解。2005 年我的 COMPSCI 725 课程中，一名学生撰写的一份经过精心研究的报告绝对指导了我们。而且我几乎可以肯定，迈克对“混淆案例”的命名是对混淆代理问题的语言参考。

我相信，在如何定义误用案例和滥用案例方面，学者们仍然没有达成普遍共识。但是——无论它们是如何命名的，或者它们是如何定义的，内部威胁、外部威胁和可用性缺陷带来的威胁的基本概念对所有安全从业者来说都很重要。一些从业者确实使用这些术语，例如Vector提供的可交付成果包括“Pentest 滥用、滥用和混淆场景”。