Виявлення на основі аномалій процес порівняння визначень того, яка діяльність вважається нормальною, із спостережуваними подіями для виявлення значних відхилень. IDPS, що використовує виявлення аномалій, має профілі, які представляють нормальну поведінку таких речей, як користувачі, хости, мережеві підключення або програми.
Ці виявлення також використовують алгоритми машинного навчання, призначені для профілювання користувачів і шаблону входу, щоб зменшити помилкові спрацьовування. Аномалії виявляються шляхом сканування активності користувача. Ризик оцінюється за більш ніж 30 різними показниками ризику, згрупованими у такі фактори ризику: Ризикова IP-адреса.
Виявлення аномалії є вивчення конкретних точок даних і виявлення рідкісних випадків, які здаються підозрілими, оскільки вони відрізняються від встановленої моделі поведінки.
Виявлення аномалій передбачає спочатку навчання системи нормалізованому базовому рівню, а потім порівняння активності з цим базовим рівнем. Як тільки подія з’являється незвичайна, спрацьовує сповіщення.
Виявлення аномалій – це неконтрольований метод навчання, який може ідентифікувати аномалії, які не належать до категорій навчальних даних. однак, виявлення аномалій не може розрізнити різні несправності.
Однак ці типи мікрокластерів часто можна легше ідентифікувати за допомогою алгоритму кластерного аналізу. Існує три основні класи методів виявлення аномалій: без нагляду, напівнагляду та нагляду.