DNI Anomalía trabajo basado en el principio de que el intruso no entra en la red con el fin de llevar a cabo un trabajo regular. Todo el acceso autorizado tiene un propósito relacionado con la función de la organización servida por la red y así le siguen un patrón regular . Las actividades de la intrusión no se ajustan al patrón.
Método
NID anomalía basada recién instalado necesita tiempo para reunir información acerca de la actividad ordinaria en una red. Esta fase de aprendizaje genera una línea de base en la forma de una representación estadística de la actividad registrada . Una vez que la línea de base se ha establecido, el NID genera una alerta cada vez que la actividad se desvía de los patrones normales reconocido .
Problemas
DNI Anomalía basados
necesitan un tiempo para recopilar estadísticas sobre la actividad de la red " normal" . Durante este tiempo , el sistema es monitoreado y vulnerables a los ataques. Un ataque sin ser detectados puede llegar a ser incluido en la evaluación de la actividad normal, lo que reduce la eficacia de la estrategia .