对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。通常使用的方法有异常检测和误用检测两种。

异常检测：又被称为基于行为的检测，其前提是假设所有的入侵行为都是“不同寻常”的。首先要建立系统或用户的正常行为特征，通过比较当前系统或用户的行为是否偏离正常值来判断是否发生了入侵，是一种间接的检测方法。

误用检测：又称为基于知识的检测，其前提是假定所有可能的入侵检测都是能被识别和表示的。对已知的攻击方法用一种特定的模式来表示，称为攻击签名。然后通过判断这些攻击签名是否出现来判断入侵行为是否发生，是一种直接的方法。