Systemy, które rozpoznają dobre zachowanie

o tym, co dzieje się w zwykłych okolicznościach. System tego rodzaju rozpoznałby skanowanie portów jako atak, ponieważ wie, że gdy ktoś łączy się z portem, to zazwyczaj wykorzystuje go do zwykłej komunikacji. Podczas skanowania portów napastnik łączy się, uzyskuje odpowiedź, po czym natychmiast się rozłącza i wypróbo wuje inny port. Zachowanie to odbiega od normy, a zatem zostanie uznane za atak.

Problem z sygnaturami ataków polega na tym, że system może wykryć tylko te ataki, które zna. Jeśli powstaną nowe ataki, system nie będzie mógł ich rozpoznać, dopóki nie uzupełni się go o nową sygnaturę. Co więcej, sygnatury mogą występować w przebraniu. Na przykład sygnatury skanowania portów odzwierciedlały liczne połączenia z różnymi portami, nawiązywane przez ten sam host źródłowy, więc obecnie napastnicy używają wielu współpracujących hostów źródłowych.

Systemy oparte na profilach użycia mają problemy z tak zwanymi „fałszywymi alarmami”, czyli przypadkami, w których wykrywają nieistniejący atak. Wzorce użycia zmieniają się z czasem, a każdy profil na tyle specyficzny, by wychwycić znaczną liczbę ataków, będzie wywoływał wiele alarmów. Dobre systemy mają obecnie stosunek fałszywych alarmów oscylujący w granicach od 1 do 3 procent niestety, dotyczy to wszystkich ocenianych przez nie zdarzeń, co w przypadku sieci zwykle oznacza od 1 do 3 procent pakietów.