Ở đây một hành động tấn công được miiêu tả là một tập các mục tiêu và sự dịch chuyển cần đạt được từ những kẻ xâm nhập hệ thống để làm phá hoại hệ thống. Các dịch chuyển sẽ được biểu diễn bằng biểu đồ trạng thái.
2.3.4. Phân tích thống kê
Đây là kỹ thuật thường được sử dụng nhất. Những hành động của người sử dụng trên hệ thống được kiểm tra bởi một số biến theo thời gian. Nếu một hành động không tuân theo những dữ liệu đã có sẵn, hành động đó có thể bị coi là xâm nhập không hợp lệ. Ví dụ một số biến như số lần đăng nhập, thoát; số lần truy nhập tập tin trong một khoản thời gian; phần trăm sử dụng CPU, v.v… hệ thống sẽ lưu giữ giá trị cho mỗi biến, giá trị này được sử dụng để dò tìm những
giá trị mới vượt quá ngưỡng cho phép. Phương pháp này dựa vào việc tìm kiếm dữ liệu của người dùng được tập hợp theo nhóm các biến cũng không đạt được hiểu quả cao. Vì thế một mô hình phức tạp về các hoạt động của người dùng được phát triển sử dụng thuật ngữ profile người dùng. Những profile này được cập nhật thường xuyên để giữ được sự thay đổi trong hành động của người sử dụng. Lý thuyết về thống kê được thường xuyên sử dụng để xây dựng hệ thống IDS dựa trên các profile về hành động của người dùng.
2.3.5. Mạng Nơron
Sử dụng nguyên lý mạng nơron về mối quan hệ đầu vào và đầu ra vector và tổng hợp chúng để đưa ra mối quan hệ vào/ra mới. Với mạng nơron, để dò tìm xâm nhập, mục đích chính là học hành động của diễn viên trong hệ thống. Nó được biết đến là lý thuyết thống kê cục bộ tương đương mạng nơron. Lợi điểm của việc sử dụng mạng nơron thông qua thống kê tập trung là việc có một cách đơn giản để biểu diễn quan hệ không tuyến tính giữa các biến và học được quan hệ đó được một cách tự động. Thí nghiệm được tiến hành với mạng nơron dự đoán hành động của tài khoản có quyền cao nhất trên hệ thống (Super-User). Từ kết quả đó, chúng ta có thể nhận thấy rằng hành động của tài khoản (Super- User) đó trên mạng là có thể dự đoán được (bởi vì các tiến trình tự động của hệ thống là bình thường). Có một số ngoại lệ còn hầu hết hành động của người dùng thường trên mạng là dự đoán được. Mạng nơron vẫn là một kỹ thuật đòi hỏi thuật toán chuyên sâu và chưa dược dùng rộng rãi.
2.3.6. Xác định mục đích sử dụng
Kỹ thuật này mô hình hóa hành động của người dùng bởi một tập những nhiệm vụ mức cao. Chúng phải hoạt động trên hệ thống. Những nhiệm vụ này là một loạt những hoạt động mà lần lượt phải phù hợp với dữ liệu thích hợp được kiểm tra. Bộ phân tích giữ một tập những nhiệm vụ được chấp nhận bởi mỗi người sử dụng. Bất kỳ một sai lệch nào đều sinh ra một cảnh báo.
2.3.7. Miễn dịch máy tính
Tương tự hệ miễn dịch dẫn tới sự phát triển của một kỹ thuật mà dựa trên một mô hình những hoạt dộng thông thường của dịch vụ mạng, hơn là với từng
người sử dụng độc lập. Mô hình này chứa một chuỗi những lời gọi ngắn được tạo bởi các tiến trình. Hoạt động tấn công lợi dụng thiếu sót của mã nguồn ứng dụng cũng giống như thực hiện theo cách không thông thường. Đầu tiên, một tập những dữ liệu tham chiếu được thu thập mà nó biểu diễn những hành động phù hợp của dịch vụ. Khi kiến thức này được thêm vào với chuỗi biết trước các lời gọi hệ thống. Những mẫu này là được dùng để thường xuyên theo dõi những lời gọi hệ thống, kiểm tra khi nào chuỗi được phát ra là liệt kê trong những cơ sở có sẵn, nếu không có thì một tín hiệu cảnh báo được đưa ra. Kỹ thuật này có một lợi điểm là rất ít cảnh báo sai, nếu cơ sở kiến thức là đúng. Hạn chế của nó là không có khả năng dò tìm lỗi trong chương trình của dịch vụ mạng. Khi một kẻ tấn công sử dụng những hành động phù hợp trên hệ thống có thể đạt dược quyền truy nhập mà không có xảy ra cảnh báo.
2.3.8. Máy tự học
Đây là kỹ thuật của trí tuệ nhân tạo dùng lưu giữ dòng dữ liệu người dùng. Nhập vào các câu lệnh theo mẫu vector và dùng như tham chiếu của profile của người dùng. Các profile được nhóm lại thành các thư viện theo các câu lệnh có đặc điểm tương đồng, giống nhau.