Các tiến trình trong hệ thống được tạo ra bởi chính hệ thống hoặc các ứng dụng chạy trên đó, hoặc được sinh ra bởi một tiến trình khác. Vì thế, chỉ trong một máy tính cũng có rất nhiều tiến trình chạy khác nhau Tùy vào nội dung đoạn mã mà mỗi tiến trình sẽ thực thi những công việc cụ thể. Nếu không kiểm soát được các tiến trình được sinh ra, hacker có thể lợi dụng việc này để sinh ra những tiến trình chạy ngầm độc hại gây ảnh hưởng đến hệ thống.
Để kiểm soát các tiến trình được sinh ra trong hệ thống, ta sẽ định kỳ thu thập danh sách các tiến trình đang chạy. Điều này có thể giúp lưu lại thông tin các tiến trình được sinh ra nhằm giúp phân tích và phát hiện. Các hacker thường lợi dụng các tiến trình giống với các tiến trình đã biết, rồi sinh ra một tiến trình độc hại nhằm vượt qua bước sàng lọc của một số hệ thống phát hiện cũ. Sau khi đã có thông tin các tiến trình hoạt động thường xuyên trên máy chủ đó, các tiến trình bất thường sẽ dễ dàng bị nhận ra.
Với trường hợp này, chúng ta sẽ xét các đặc trưng liên quan đến tiến trình, như là tên của tiến trình, các tham số được truyền vào khi thực thi tiến trình và các tiến trình cha sinh ra tiến trình đó. Với các tiến trình này, ta có thể xét đến các yếu tố như: tên của tiến trình, các loại tham số thường thấy khi chạy, mối liên hệ giữa tiến trình cha và tiến trình con, …
Từ các đặc trưng đã nêu, các kĩ thuật có thể thực hiện là tạo profile cho tên của tiến trình, tạo profile cho mối quan hệ giữa cặp tiến trình cha - con, tạo profile các tham số cho tiến trình được chạy.