O IDS que usa essa técnica estabelece uma base com padrões de uso normal, e tudo o que desviar bastante disso será marcado como uma possível intrusão. O que é considerado anomalia pode variar, mas normalmente, qualquer incidente que ocorra com freqüência de mais ou menos dois desvios padrões da norma estatística gera uma preocupação.  Esses detectores constroem um padrão de comportamento para os usuários, hosts e conexões de rede.         

Vantagens da detecção por anomalias:

            - Como detecta comportamentos não usuários, pode detectar um ataque sem conhecimento prévio do mesmo;
            - Gera informações que podem ser usadas para definir assintauras;

Desvantagens da detecção por anomalias:

            - É comum produzir grande numero de alarmes falsos, devido a comportamentos imprevisíveis dos usuários e de sistemas;
            - Devem ser realizadas muitas sessões para coletar dados para o sistema, com o intuito de caracterizar os padrões normais de comportamento;