В настоящее время разделяют два подхода к обнаружению вторжений:
обнаружение аномалий (поведение объектов системы сравнивается с нормальными профилями поведения)
обнаружение злоупотреблений (поведение объектов системы сравнивается с известными сценариями вторжений)