Riguardo a SSL: la risoluzione SSL può accadere prima che l'IDS guardi il traffico. Solo perché un server web è in grado di gestire SSL / TLS non significa che debba essere eseguito sul server web. Potrebbe esserci una macchina sul bordo della rete che crittografa e decrittografa il traffico SSL.
Oltre a ciò, un IDS non è limitato ai singoli flussi di rete. Potrebbe registrare tutto il traffico e creare statistiche su ciò che è considerato normale. Quindi se i flussi di traffico cambiano improvvisamente, ad esempio se la distribuzione degli indirizzi di origine cambia in modo significativo, o il volume di traffico aumenta in maniera massiccia, oppure c'è improvvisamente traffico tra macchine che non hanno mai comunicato prima, o qualsiasi altro modello puoi pensare alle modifiche, potrebbe avvisare gli esseri umani . Tutto ciò può essere fatto senza guardare i carichi utili del traffico; guardando l'intestazione TCP / IP e il volume del traffico e la tempistica sono sufficienti per questo tipo di analisi.