En IDS basados en firmas: mantiene una base de datos de firmas que podrían indicar un tipo particular de ataque.
Problemas:
- Nuevo ataque que se ha construido específicamente para no coincidir con las firmas de ataque existentes.
- El atacante que elabora el tráfico puede tener acceso a las mismas herramientas IDS que estamos utilizando y puede probar el ataque contra ellos para evitar específicamente nuestras medidas de seguridad.
IDS basados en detección heurística (anomalía): en lugar de buscar coincidencias, la detección de intrusión heurística busca un comportamiento fuera de lo común. Tomando una línea de base del tráfico normal y la actividad que tiene lugar en la red.
Problemas:
- Ver un mayor número de falsos positivos comparando IDSes basados en firmas.
- Si el tráfico en la red cambia de lo que estaba presente cuando tomamos nuestra línea de base, el IDS puede ver esto como un ataque para una actividad legítima que causa patrones de tráfico inusuales.
Entonces, en general, ¿cuál debería preferir?