シグネチャ検出が異常パターンをデータベースとして持ち、異常に当てはまるものを検出するのに対し、アノーマリ検出は、正常パターンをデータベースとして持ち、正常パターンでないものを異常として検出する。
アノーマリ検出の場合は、未知の手法を用いた攻撃も検出できる利点がある一方、検出された攻撃が本当に攻撃であるか調査する必要がある。