LA IDEA (Arquitectura de Cambio de Descubrimiento de Intrusión) el servidor recibe alarmas de XML de sensores de Resoplido los almacena en un buffer para la revisión adicional por clientes. La consola proporciona una vista de tiempo real de la actividad IDS.

LA IDEA es una arquitectura para poner en práctica un sistema de descubrimiento de intrusión distribuido en una red de ordenador. Esto proporciona un modo de incorporar muchos sensores IDS diferentes en una arquitectura, y hacerlos hacer un informe a un servidor IDS central.

Este servidor se reúne, conjuntos, y correlaciona datos de los sensores, proporcionando una vista unificada de la actividad de red. Especificando API abierto, muchos clientes diferentes pueden unirse con el servidor de IDEA "y suscribirse" al servicio de notificación de acontecimiento de modo que el cliente sea notificado cualquier tiempo una nueva alarma es recibida de cualquiera de los sensores.

Este tipo de la arquitectura puede realzar enormemente a unos administradores de seguridad la conciencia circunstancial de acontecimientos de red, permitiendo la respuesta más rápida a la actividad malévola.

Actualmente, la IDEA ha puesto en práctica una arquitectura para alarmas de recepción/procesamiento/demostración del Resoplido servidor de IDS. Otros sistemas IDS (tanto anfitrión - como basado en la red) son planeados para la inclusión en la arquitectura de IDEA.

Rasgos "de IDEA":

Los rasgos corrientes del servidor de IDEA incluyen:
· Administrador tamaño parachoques despierto definible (especifican el número de alarmas para sostener)
· transporte de mercancías de Alarma (permite la creación de jerarquías de IDEA)
· Administrador usuarios de máximo definibles
· mandos de acceso de Seguridad (especifican qué usuarios y los anfitriones pueden unirse)
· Java/CORBA basado (permite conexiones de muchos tipos diferentes de clientes)
· Keepalives (impide a clientes muertos o colgados negar el acceso a otros clientes)
· autenticación Segura - desafío/respuesta de MD5 la autenticación de usuario basada asegura que ningunas contraseñas van por en el claro

Los rasgos corrientes de la aplicación de cliente de Java son:
· Alarmas mostró en de tiempo real cuando ellos son recibidos de sensores
· Filtrando / la clasificación de la capacidad le muestra sólo los datos youre referido por
· Colorization de alarmas de IPs/networks especificado por el usuario mejora la conciencia
· notificación e-mail/pager Automatizada de acontecimientos prioritarios (usuario definible)
· Graphical/geospatial demostración de acontecimientos en de tiempo real
· dirección de Sensor - almacenan la información sobre cada sensor en su red
· conectividad de Base de datos (actualmente MySQL, los otros planearon) - capacidad de preguntar para lo siguiente: alarmas dentro de una variedad de tiempo especificado, alarmas que emparejan modelos definidos por el usuario, demostración gráfica de 10 primera fuente & direcciones de destino & puertos, los sensores más activos, número de alarmas, y 10 primeras firmas despiertas
· capacidad Independiente - puede recibir alarmas directamente de sensores, más bien que del servidor de IDEA
· la pregunta Rápida de alarmas relacionadas - al instante ven si hes golpean su red antes
· Colaboración - el servidor de IDEA proporciona la capacidad "de charlar" con otra seguridad admins quiénes están relacionados con el mismo servidor de IDEA - reúnen sus esfuerzos y reúnen sus sesos.
· consulta de información de Anfitrión - un chasquido whois y NSLookup devuelven la información sobre el tráfico sospechoso
· resúmenes de alarma de correo electrónico - rápidamente envían un resumen de una alarma a un colaborador.
· Sensor no hacen caso de la lista - permite la división del trabajo entonces los analistas sólo reciben alarmas "de sus" sensores

Los rasgos corrientes del cliente de web (servlet) son:
· resumen Rápido, basado en la web de alarmas en el escondite de servidores de la IDEA
· Capacidad de perforar abajo y ver información despierta: red e información de capa de transporte, información de sensor, e información sumaria rápida
· web ARIN-basada consultas de Whois para direcciones de IP
· consultas de base de datos de puerto Snort.org-basadas para información de referencia de puerto TCP/UDP
· información de estadística de Servidor
· Relaciones a varios sitios relacionados con la seguridad