¿Hay alguna diferencia entre ellos? En google, puedo encontrar muchas descripciones sobre IDS basados en anomalías. Pero no puedo encontrar ninguna descripción sobre el IDS basado en el estado del protocolo.
Como puede haber descubierto, los sistemas de detección de intrusos basados en anomalías funcionan desarrollando un perfil de actividad normal y marcando "tráfico de ataque" que se desvía de su perfil. Una de las desventajas de este tipo de IDS es que puede tener una alta tasa de falsos positivos; es decir, puede informar incorrectamente que se ha producido un ataque.
Los sistemas de detección de intrusos basados en protocolo (PIDS) adoptan un enfoque diferente. Específicamente, se instalan en un servidor web y se usan para monitorear y analizar el protocolo (en lugar del perfil de actividad normal que ha construido) utilizado por ese sistema informático. La ventaja aquí es que los protocolos están relativamente bien definidos (en comparación con los perfiles de "actividad normal"), por lo que los casos de uso normales se pueden crear con mayor precisión. Un ejemplo es el monitoreo de una secuencia HTTP / HTTPS. El inconveniente es que esto provoca un aumento de la informática en el servidor web, pero proporciona una mayor protección.
Este artículo hace un buen trabajo explicando la Detección de anomalías en el protocolo: enlace