动态威胁防御系统的入侵检测/防御异常检测体系结构如图所示。异常检测技术是通过分析整个数据包进行的，它远比基于特征的IDS更强，检测范围包括包头、协议信息、应用信息、包内容和会话行为等。通过分别运用6个完全内容重组和关联的检测过程和动态威胁防御系统，会话信息被密切地跟踪和仔细的分析，以检测出最新冒出的威胁和未知的“零小时”（zero-hour）攻击。这些攻击包括：基于网络的蠕虫和木马，野蛮攻击，碎片，不良数据包，Cross-site脚本，目录穿越，拒绝服务，信息查询，会话劫持，欺骗 ，缓冲区溢出，无端注入等。先进的入侵检测/防御技术包括：

状态检测

内容重组

通信协议检测

应用协议检测

内容检测

行为检测