Une alternative à l'utilisation d'un module monolithique pour la détection d'intrusions est la mise en oeuvre de processus indépendants.

Un agent mobile est un programme autonome qui peut se déplacer de son propre chef, de machine en machine sur un réseau hétérogène dans le but de détecter et combattre les intrusions. Cet agent mobile doit être capable de s'adapter à son environnement, de communiquer avec d'autres agents, de se déplacer et de se protéger. Pour ce dernier point, une des fonctions de l'agent doit être l'identification et l'authentification pour donner l'emplacement et l'identité de celui qui l'a lancé.
Chaque agent est un programme léger, insuffisant pour faire un système de détection d'intrusions entier car il n'a qu'une vision restreinte du système. Si plusieurs agents coopèrent, un système de détection plus complet peut être construit, permettant l'ajout et le retrait d'agents sans reconstruire l'ensemble du système.

Si les agents n'apportent pas fondamentalement de nouvelles capacités, ils apportent néanmoins des réponses aux imperfections soulignées précédemment. Les principaux avantages des agents mobiles peuvent être classés en quatre grandes classes :

il est possible d'adapter le nombre d'agents à la taille du système d'informations ainsi que d'avoir des agents entraînés en fonction du système surveillé ;

les agents affectent moins les performances de chaque machine puisqu'ils se contentent de travailler sur des ressources ciblées. Il est à noter que le gain en trafic réseau est particulièrement important.

en cas de mise hors service d’une agent, d’autres agents peuvent se reproduire. Le système de défense n'est pas annihilé par la compromission d'un seul agent, un agent corrompu ne donnant pas une image fausse de l'ensemble du système aux autres agents.

les agents supportent plus facilement les systèmes distribués. Il est à noter que ce système permet de détecter les attaques distribuées, c'est-à-dire dues aux attaques simultanées de plusieurs personnes réparties sur un réseau.
L'architecture par agents mobiles est naturelle et présente une plus grande résistance aux attaques puisqu'elle se base sur un système autre que hiérarchique. Qui plus est, elle est basée sur une exécution asynchrone et une certaine autonomie, ce qui fait que les agents mobiles sont désolidarisés du reste pour une plus grande tolérance aux fautes. Enfin, les agents mobiles présentent la capacité de s'adapter dynamiquement aux changements et peuvent donc réagir plus rapidement.

Si les systèmes par agents mobiles ont des avantages indéniables, ils ont également des inconvénients notables. Le codage et le déploiement de tels agents sont des taches difficiles permettant d’assurer à la fois un code sûr et un nombre important de fonctionnalités.

Ces mécanismes d’agents mobiles commencent à faire leur apparition au sein des successeurs des sondes de détection d’intrusion : les IPS (Intrusion Prevention Systems).