Системи за откриване на проникване, базирани на откриване на аномална активност
Вместо да използват статични подписи, които могат да открият само изрично злонамерена дейност, системите от следващо поколение проследяват нормалните нива за различни видове мрежова активност. Ако има внезапен скок в FTP трафика, системата ще ви предупреди. Проблемът при системите от този тип е, че те са силно предразположени към фалшиви положителни резултати - т.е. Например, в примера за FTP трафик, изтеглянето на особено голям файл ще предизвика аларма.
Трябва също така да се има предвид, че системата за откриване на проникване, основана на откриването на аномална активност, отнема време за изграждане на точен мрежов модел. В началото системата генерира толкова много аларми, че е от малка полза. В допълнение, такива системи за откриване на проникване могат да бъдат измамени, като се познава добре мрежата. Ако хакерите са достатъчно дискретни и използват протоколи, които се използват активно в мрежата, те няма да привлекат вниманието на системи от този вид. От друга страна, важно предимство на такива системи е, че не е необходимо постоянно да се актуализира наборът от подписи. Когато тази технология достигне зрялост и интелигентност, тя вероятно ще се превърне в обикновен метод за откриване на проникване.
Въпреки че тази нова технология непрекъснато се развива и усъвършенства, тя все още е твърде далеч от анализа и вземането на решения на човешко ниво.
Недостатъци на мрежовите IDS. Проблемът с фалшивите положителни резултати в мрежовите системи за откриване на проникване