IDS -architektura generatory zdarzeń systemowych i zewnętrznych - analizują różne zlecenia kierowane do systemu operacyjnego analizatory zdarzeń systemowych i zewnętrznych bazy danych jednostki reagujące
IDS - klasyfikacja
Snort - architektura
Akcje w SNORT Zdefiniowano pięć rodzajów akcji: przepuszczenia pakietu (pass), zapisania informacji do dziennika (log), ogłoszenia alarmu (alert) i zapis do dziennika, alarmowania i aktywacji innej dynamicznej reguły (activate/dynamic), odrzucenie pakietu (drop), połączone z zapisem (sdrop - bez zapisu), odrzucenie pakietu (reject) połączone z: TCP – reset UDP – ICMP port unreachable.
Moduł sygnatur - SNORT Treść reguły pozwala wyspecyfikować postać wzbudzanych alarmów, zawiera też informacje dodatkowe (np. opisy danego naruszenia). Najprostsze sygnatury obejmują wskazanie akcji, protokołu, kierunku, adresów i portów będących przedmiotem obserwacji: log tcp !192.168.22.1 any -> 192.168.1.0/24 110