Respecto a SSL: la terminación SSL puede ocurrir antes de que el IDS examine el tráfico. El hecho de que un servidor web sea capaz de manejar SSL / TLS no significa que deba hacerse en el servidor web. Puede haber una máquina en el borde de su red que cifra y descifra el tráfico SSL.
Aparte de eso, un IDS no se limita a flujos de red individuales. Puede registrar todo el tráfico y generar estadísticas sobre lo que se considera normal. Luego, si los flujos de tráfico cambian repentinamente, por ejemplo, si la distribución de las direcciones de origen cambia significativamente, si el volumen de tráfico aumenta enormemente, o si hay un tráfico repentino entre máquinas que nunca se comunicaron antes, o cualquier otro patrón que se pueda imaginar, puede alertar a los humanos. . Todo esto se puede hacer sin mirar las cargas útiles de tráfico; mirar el encabezado TCP / IP y el volumen de tráfico y el tiempo es suficiente para este tipo de análisis.