Por volta das décadas de 1950 e 60, sistemas financeiros introduziram a prática da auditoria para inspecionar dados e verificar a existência de fraudes ou erros. Porém, surgiram questões como o que deveria ser detectado, como analisar o que foi detectado e como proteger o sistema de vigilância e seus dados. Essas questões permanecem sendo o alvo principal das pesquisas na área de SDI.

Na década de 1970, diversas iniciativas de segurança computacional foram criadas. A auditoria continou a ser alvo dos estudos. Nos anos 80, os dados coletados das auditorias eram revisados manualmente à procura de informações que indicassem violações na segurança. Porém, com o aumento do volume de dados a serem revisados, esta tarefa começou a tomar muito tempo. Outra complicação é que por muitas vezes a informação necessária não era coletada, ou muita informação desnecessária era coletada e algumas informações eram coletadas muitas vezes.

Deste modo, foi proposto um método de redução da quantidade de dados a serem analisados através da comparação de dados estatísticos de comportamento de usuário e de grupo com observações resumidas.

Um dos mais significativos projetos de pesquisa na área nos anos 80 foi o IDES (Intrusion Detection Expert System) da SRI (Stanford Research Institute), que resultou em um dos artigos seminais sobre o assunto. O modelo proposto nesse artigo se tornou a base de sistemas de detecção de intrusão.

O modelo IDES baseia-se no pressuposto de que o padrão de comportamento de um intruso é diferente o bastante de um usuário legítimo para ser detectado por análises de estatísticas de uso. Ele tenta criar um modelo de comportamento de usuários em relação a arquivos, programas ou dispositivos, tanto em longo quanto curto prazo para fazer a detecção, além de alimentar um sistema especialista que usa uma base de regras para representar violações conhecidas.

No final dos anos 1980, muitos sistemas foram desenvolvidos, pricipalmente baseados em uma abordagem que combinava estatística e sistemas especialistas. Merecem destaque Haystack e NADIR, cujo mecanismo de análise era incorporado a sistemas comerciais de gerenciamento de banco de dados, como Oracle e Sybase, tirando vantagem da sua capacidade de organizar os dados de auditoria e gerando alertas quando certos críterios eram cumpridos pelos dados.

Wisdom and Sense, desenvolvido em Los Alamos e Oak Ridge, foi outro sistema híbrido de estatística e especialista. Ele usava técnicas estatísticas não paramétricas para obter a sua base de regras a partir dos dados históricos de auditoria. Como muitos outros sistemas com aprendizagem, ele sofreu uma série de problemas, incluindo a dificuldade em obter dados para treiná-lo contra intrusão, alta taxa de alarmes falsos, e requisitos de memória excessiva para manipular a sua base de regras. Os primeiros dois problemas permanecem até os dias atuais.

Até agora, os sistemas SDI apresentados utilizavam algum tipo de auditoria dos dados coletados de alguma máquina que deveria ser protegida. O Network System Monitor (NSM), desenvolvido na Universidade da Califórnia mudou isso. O NSM monitorava diretamente o tráfego da rede em um segmento Ethernet e usava isso como principal fonte de dados para análise. Hoje, a maioria dos sistemas SDI comerciais usa os dados obtidos diretamente pela rede como sua principal (ou única) fonte de dados.