Análise de Anomalias
Este tipo de análise visa detectar comportamentos que fujam do padrão, para tal o sistema possuirá um histórico das atividades “comuns” do sistema, desta forma, são construídos os perfis de todas das entidades ligadas ao sistema, a partir destas o sistema é monitorado. A utilização fora dos parâmetros normais, definidos estatisticamente, é sinalizada como uma intrusão. Uma questão chave para maximizar a precisão deste tipo de sistema é o conjunto de dados presentes no histórico, desta forma, uma coleta bem feita, com uma quantidade de dados que permita uma boa análise estatística é fundamental.
Vantagens e Desvantages
Por apenas comparar com comportamentos, este sistema pode detectar intrusões com assinaturas ainda não previstas, fornecendo, além de segurança, conhecimento para ser aplicado futuramente na detecção por assinaturas, entretanto, este tipo de sistema pode gerar um grande número de alarmes falsos, já que nem todas as anomalias são ocorridas durante intrusões.
Outro método de Análise:
Assinatura