Esta intrusión se refiere a aquella
que se lleva a cabo a partir de modelos de ataque bien definidos, que utilizan fallos
conocidos del sistema. Estos modelos pueden preeverse y son más fácilmente
detectables. Por ejemplo, la utilización de los bugs del sendmail y del
finger que llevó a cabo el ``gusano'' de internet, entraría dentro de este
tipo de ataques. Esta técnica pretende la detección de comportamiento anómalo
a partir del conocimiento de cómo puede ser dicho comportamiento. Intenta detectar la
intrusión de forma directa. Por contra, la detección de intrusión anómala
se basa en encontrar el complemento del comportamiento ``normal'' que es lo que conoce.
El fundamento de este sistema de detección, es la creencia de que existen ataques que pueden ser
codificados de forma precisa, de manera que se consiguen agrupar reorganizaciones y variaciones de
las actividades que explotan el mismo punto vulnerable. En la práctica no todas las posibles
formas de llevar a cabo un ataque puede ser codificada de la forma adecuada. La primera limitación de
esta idea el el hecho de que sólo va a buscar intrusiones que aprovechen brechas conocidas y por tanto no tendrán mucho uso en la detección
de futuras intrusiones desconocidas. Se dan otras limitaciones a la hora de decidir qué datos
van a ser recogidos.