C'è qualche differenza tra loro? Su google, posso trovare molte descrizioni sull'IDS basato sull'anomalia. Ma non riesco a trovare alcuna descrizione sull'IDS basato sullo stato del protocollo.
Come forse avete scoperto, i sistemi di rilevamento delle intrusioni basati sull'anomalia funzionano sviluppando un profilo di attività normale e segnalando il "traffico di attacco" che si discosta dal suo profilo. Uno dei lati negativi di questo tipo di IDS è che potrebbe avere un alto tasso di falsi positivi; cioè, potrebbe erroneamente riportare che un attacco ha avuto luogo.
I sistemi di rilevamento delle intrusioni basati su protocollo (PIDS) adottano un approccio diverso. Nello specifico, sono installati su un server Web e utilizzati per monitorare e analizzare il protocollo (anziché il profilo della normale attività che ha costruito) utilizzato da quel sistema informatico. Il vantaggio è che i protocolli sono relativamente ben definiti (rispetto ai profili di "attività normale"), quindi è possibile creare casi di utilizzo normali con maggiore precisione. Un esempio è il monitoraggio di un flusso HTTP / HTTPS. Il rovescio della medaglia è che questo causa un aumento del computing sul server web, ma fornisce una protezione maggiore.
Questo articolo fa un buon lavoro spiegando Protocol Anomaly Detection: link