Bis vor Kurzem waren nur einige wenige, gut erforschte Evasion-Techniken bekannt. Die meisten Sicherheitssysteme konnten gut mit Ihnen umgehen. Eine neue Art bilden jedoch die so genannten Advanced Evasion Techniques (AETs), die der finnische Anbieter für Netzwerksicherheit Stonesoft im Sommer 2010 entdeckt hat. Diese kombinieren neue Tarnmethoden mit bekannten Evasion-Techniken und können so nahezu alle Netzwerk-Sicherheitslösungen umgehen. Ähnlich einem Tarnkappenbomber schleusen sie Attacken unentdeckt ins Netzwerk ein. Die Kombinationsmöglichkeiten von AETs sind quasi unbegrenzt, sodass sie selbst modernste IPS-Technologien einfach umgehen können.

Evasions sind in der IT-Security-Forschung seit Ende der 90er Jahre bekannt. So stellten 1998 Tim Newsham und Thomas Ptacek im Rahmen einer Forschungsarbeit mehrere Techniken vor, die dazu genutzt werden konnten, Sicherheitssysteme wirksam zu umgehen. Eine der bekanntesten Evasion-Technik basiert auf der so genannten IP-Fragmentierung. Dabei nutzt der Angreifer beispielsweise ungeordnete Datenfragmente oder überflutet das IPS-System mit einer Masse an Fragmenten. Darüber hinaus gibt es weitere Evasion-Techniken, die zum Beispiel auf IP- und TCP-Optionen sowie TCP-Sequenzen basieren.

Eine wichtige Rolle für den Einsatz von Evasion-Techniken spielt die Protokollsuite TCP/IP, die im Internet und in den meisten Computernetzwerken zum Einsatz kommt. Sie basiert auf dem IP-Standard RFC 791 aus dem Jahr 1981 und gibt vor, dass ein System ein konservatives Sende- und ein liberales Empfangsverhalten aufweisen muss. Das bedeutet, es darf nur formal fehlerfreie Datenpakete versenden, muss jedoch alle Datenpakete akzeptieren, die es interpretieren kann. Datenpakete können also unterschiedliche Formen aufweisen, die vom empfangenden Host jedoch alle auf dieselbe Weise interpretiert werden. Dieser liberale Ansatz sollte dazu dienen, die Interoperabilität zwischen Systemen so zuverlässig wie möglich zu gestalten.

Allerdings ebnet das auch zahlreichen Attacken den Weg ebenso wie Methoden, diese zu verschleiern. Denn verschiedene Betriebssysteme und Anwendungen verhalten sich beim Empfang von Datenpaketen auch unterschiedlich. Dadurch erkennt die Applikation des Zielsystems eventuell etwas völlig anderes als sich ursprünglich im Datenverkehr des Netzwerks befand. Zudem kann das Netzwerk selbst den Datenverkehr zwischen dem Sicherheitssystem und dem Host verändern. Dies kann beispielsweise dann passieren, wenn ein IPS-System vor dem Anlegen von Signaturen nicht genügend Datenfragmente speichern oder diese nicht richtig neu zusammensetzen kann. Dadurch fehlt dem IPS der ursprüngliche Kontext des Datenpakets und es schreibt den Datenstrom neu, bevor es diesen an das Zielsystem weiterleitet. Das IPS-System nimmt den Protokollstatus also anders wahr als der Zielhost. Diese Kontextveränderung zwischen dem IPS- und dem Zielsystem wird als „Status-Desynchronisierung“ bezeichnet. Evasion-Techniken machen sich das zunutze: Denn dadurch lassen sich normal und sicher erscheinende Datenpakete erstellen, die sich erst bei der Interpretation durch das Endsystem als Attacke entpuppen.