Primera respuesta, por favor no llames :-)
Si entiendo su pregunta correctamente, entonces sí, podría pensar en los ataques como un subconjunto de anomalías. En algunos casos esto es útil, pero no terriblemente. Si, por ejemplo, tienes un segmento de red muy silencioso que nunca ve tráfico y de repente te golpeas. El cambio de tráfico es una anomalía que podría ser un DoS intencional, o tal vez simplemente pone su sitio web en search-engine-x y finalmente obtuvo algo de tráfico. La realidad de la situación es contextual, una de las razones por las que es tan importante ajustar sus firewalls / ips / ids / etc. Sería mi consejo mirar a ambos de manera independiente y también considerarlos de manera integral. Afinar, ajustar, refinar.
Desde un punto de vista de análisis, incluso diría que los ataques coherentes, es decir, el estándar, que desaparecen repentinamente también provocan una bandera roja. Positivo: su red ha estado recibiendo sondas de bajo nivel de un rango de IP específico durante un mes consecutivo. Estos tipos de análisis de molestias a menudo se pasan por alto, pero hoy en día, sin ninguna razón que pueda decir, se detienen. Esto es una anomalía para los patrones de tráfico de la red, pero ¿es algo bueno o malo?
En cuanto a la última parte; La actividad de la red maligna (DoS, Sondas) y la detección de intrusión (al observar las actividades de u2r / r2l / etc) son dos clases diferentes de análisis de detección.
Hay un documento decente sobre esto en enlace aunque está un poco anticuado, creo que aún es relevante tu pregunta.