入侵检测的过程可以分为两个部分：信息收集和信号分析。
（1）信息收集。入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自以下四个方面：系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
（2）信号分析。对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。