シグネチャ検知はブラックリストに記述したものがあればNGとして、 アノマリ検知は「この範囲であればOK」というしきい値をホワイトリスト(的)に準備してそこから外れたものをNGとする。 アノマリ検知は誤検知等のトラブルが一定数ありそうですねえ。
