基于异常的检测方法使用人工智能和机器学习,来创建并不断完善正常网络活动的基准模型。IPS 将正在进行的网络活动与模型进行比较并在发现偏差时做出响应,例如某个进程使用了比典型情况更多的带宽,或者某个设备打开了通常关闭的端口。
由于基于异常的 IPS 会对任何异常行为做出反应,因此它们通常可以阻止全新网络攻击,尽管这些攻击可能躲过了基于特征符的检测。它们甚至可能捕捉到零日漏洞,零日漏洞是指在软件开发人员知道存在软件漏洞或有时间修补漏洞之前,攻击者就已经利用软件漏洞进行攻击。
然而,基于异常的 IPS 可能更容易出现误判。即使是正常的良性活动,例如授权用户首次访问敏感网络资源,也可能触发基于异常的 IPS。因此,授权用户可能会被从网络中删除,或其 IP 地址被屏蔽。