Sistemas de Detecção de Intrusão podem ser descritos em termos de três componentes funcionais fundamentais.

Fonte de Informação
As diferentes fontes de informações de eventos usadas para determinar quando uma intrusão ocorreu.

Análise
A parte dos SDI's que efetivamente organizam e tratam os dados coletados pelas fontes de informação, decidindo quando os eventos indicam que uma intrusão está acontecendo ou já aconteceu.

Resposta
Conjunto de ações que o sistema toma a partir do momento que intrusões forem detectadas.