振る舞い検知のアルゴリズムは、その対象となる脅威ごとに統計となる情報を決め、いくつかの統計情報を相関分析して判定する。ネットワーク全体への脅威としては、DoS攻撃、DDoS攻撃が挙げられるが、主にトランスポート層のプロトコルであるTCPやUDP、またネットワーク層のIPプロトコルの特性を悪用したものが多い。クライアントコンピュータの脅威としては、ワームやマルウェア、ボットの拡散行為が挙げられ、サーバコンピュータの脅威としては不正アクセスやアプリケーションへの過剰アクセス攻撃が挙げられる。

振る舞い検知のアルゴリズムでは、このTCPセッションにおけるフラグの分散具合と、ベースラインに対するトラフィックレートの変動率を相関分析し、攻撃が行われているかを判断する。SYNフラッディングが発生した場合は、そのTCPセッションの中でSYNパケットが100％になるため、トラフィックの量が増加したこととあわせて攻撃と判定し、該当するパケットを抜き出してフィルタを作成する。

ボットネットからの不正リクエストの特徴として、不特定多数のボットからの一連のトランザクションがすべて同じであることが挙げられる。図4の例でいうと、すべてのHTTPボットからのリクエストは「GET /search.php http/1.0」となっている。
　そこで振る舞い検知アルゴリズムでは、リクエスト文の長さごとに統計情報を収集し、サーバへのトラフィック全体の増減とあわせて相関分析を行う。同じ長さのリクエストが突出して多くスパイクしている場合は、ボットネットからのアクセスを疑って、すべてのボットごとにフィルタを作成、防御する。この方法により、ボットコマンダーがどのような動作の指令を出しても、振る舞い検知アルゴリズムで捕らえることが可能になる。

振る舞い検知型IPSでは、各アルゴリズムごとに作成したフィルタを適用し、フィルタ適用後のトラフィック推移も継続的に監視を続け、フィルタの効果を測定する。さらにフィルタのパラメータを自動的にチューニングしていき、自分自身でフォールスポジティブ（誤検知）やフォールスネガティブ（見逃し）を防ぐ仕組みを実装する。