Разница между обнаружением аномалий и обнаружением поведения

В системе обнаружения вторжений есть два метода: обнаружение аномалий и обнаружение поведения. Я реализую IDS с нуля и проверял некоторые подписи, и с какого-то сайта они были указаны как разные типы методов обнаружения. Какая в них принципиальная разница? Мне кажется, что оба они одинаковы, и поэтому одни и те же сигнатуры должны уметь обнаруживать подобные атаки.

Пример обнаружения аномалии, приведенный на сайте: Обнаружение вызова функции, не являющейся частью обычного профиля

Пример обнаружения поведения, приведенный на сайте: поиск любого удаленного вызова cmd.exe.

Мне кажется, что оба являются одними и теми же вещами, то есть отклонением от нормального поведения, так почему они были охарактеризованы как разные методы ??