Protocolos como IP, TCP, UDP, ICMP y RPC, de acuerdo con las redes de Juniper podrían ser útiles para los objetivos de IDS de determinar la dirección y las condiciones de prueba. En cierto modo, el IDS basado en anomalías de protocolo se considera más práctico que otros métodos, ya que utiliza los datos de encabezado TCP básicos disponibles y otros atributos. ¿Es este enfoque realmente práctico en la realidad?
El problema al que se enfrentan hoy las identificaciones es el cifrado. Una vez que recibe un flujo de información cifrada, solo puede intentar darle sentido a su comportamiento.
Se basan en los valores predeterminados (un puerto o protocolo predeterminado para un servicio), en los puntos finales conocidos y en algunas actividades de cifrado previo (por ejemplo, handshakes).
Así que diría que es más una de las pocas posibilidades que quedan hoy, en lugar de ser "más práctico".
Lea otras preguntas en las etiquetas protocols anomaly-detection ids