Detecção por Assinatura
Esta é a técnica usada pela maioria dos sistemas comerciais. O SDI analisa as informações coletadas a procura de eventos ou sequências de eventos que se encaixem em um padrão predefinido de um ataque conhecido. Esta técnica é muito eficiente, já que não gera grande número de falsos positivos. Como desvantagem, há o fato de ela apenas detectar ataques conhecidos, necessitando, portanto, ser constantemente atualizado. Além disso, dependendo de como as assinaturas são definidas, ele pode não detectar também variações de ataques conhecidos.

Detecção de anomalia
O SDI procura por anomalias nos padrões de uso, assumindo que o comportamento de um atacante é diferente o bastante do de um usuário normal para ser percebido. Esta técnica pode detectar ataques não conhecidos previamente. Para isso, constrói os padrões de normalidade do sistema observado a partir da análise de dados coletados em um período de uso normal, precisando, portanto serem treinados. Apesar disso, geralmente uma quantidade elevada de falsos positivos são produzidas, devido a comportamentos imprevisíveis de usuários normais. As técnicas de análise por detecção de anomalia incluem desde apenas a contagem de certas atividades, com a emissão de alarmes quando um limiar é ultrapassado, passando por análise estatística, até modelos baseados em redes neurais, algoritmos genéticos e sistema imunológico.