1 IDS -architektura generatory zdarzeń systemowych i zewnętrznych - analizują różne zlecenia kierowane do systemu operacyjnego analizatory zdarzeń systemowych i zewnętrznych bazy danych jednostki reagujące

2 IDS - klasyfikacja

3 Snort - architektura

4 Akcje w SNORT Zdefiniowano pięć rodzajów akcji:przepuszczenia pakietu (pass), zapisania informacji do dziennika (log), ogłoszenia alarmu (alert) i zapis do dziennika, alarmowania i aktywacji innej dynamicznej reguły (activate/dynamic), odrzucenie pakietu (drop), połączone z zapisem (sdrop - bez zapisu), odrzucenie pakietu (reject) połączone z: TCP – reset UDP – ICMP port unreachable.

5 Moduł sygnatur - SNORT Treść reguły pozwala wyspecyfikować postać wzbudzanych alarmów, zawiera też informacje dodatkowe (np. opisy danego naruszenia). Najprostsze sygnatury obejmują wskazanie akcji, protokołu, kierunku, adresów i portów będących przedmiotem obserwacji: log tcp ! any -> /24 110