Le serveur d'IDÉE (architecture d'échange de détection d'intrusion) reçoit des alertes de XML des détecteurs de Snort les met en mémoire tampon pour davantage de révision par des usagers. La console fournit une vue en temps réel d'activité d'identification.

L'IDÉE est une architecture pour mettre en application un système de détection d'intrusions distribué sur un réseau d'ordinateurs. Elle fournit une voie de comporter beaucoup de différents détecteurs d'identification à une architecture, et les fait faire rapport à un serveur central d'identification.

Ce serveur se rassemble, des ensembles, et marque des caractéristiques des détecteurs, fournissant une vue unifiée d'activité réseau. En spécifiant un api ouvert, beaucoup de différents usagers peuvent brancher au serveur d'IDÉE et « souscrire » au service d'avis d'événement de sorte que l'usager soit avisé que n'importe quand une alerte neuve est reçue des détecteurs l'uns des.

Ce type d'architecture peut grand augmenter une conscience situationnelle d'administrateurs de garantie des événements de réseau, permettant une réaction plus rapide à l'action malveillante.

Actuel, l'IDÉE a mis en application une architecture pour recevoir/traitement/manifestant des alertes du serveur d'identification de Snort. D'autres systèmes IDS (serveur et network-based) planification pour l'inclusion dans l'architecture d'IDÉE.

Caractéristiques de « IDÉE » :

Les caractéristiques actuelles du serveur d'IDÉE comprennent :
· Tailles du tampon alertes définissables d'administrateur (spécifier le nombre d'alertes pour se maintenir)
· Expédition alerte (permet la création des hiérarchies d'IDÉE)
· Usagers maximum définissables d'administrateur
· Contrôles d'accès de garantie (spécifier quels usagers et serveurs peuvent brancher)
· Java/CORBA a basé (permet des connexions de beaucoup de différents types d'usagers)
· Keepalives (empêche les usagers morts ou pendus de refuser l'accès à d'autres usagers)
· Authentification bloquée - l'enjeu MD5/l'authentification de l'utilisateur basée par réaction s'assure que mot de passe n'entre pas près dans l'espace libre

Les caractéristiques actuelles de l'application de client java sont :
· Alertes manifestées en temps réel comme elles sont reçues des détecteurs
· Le filtrage/triant la capacité te montre seulement le youre de caractéristiques concerné par
· La colorisation des alertes de l'IPS/des réseaux personnalisés par l'utilisateur améliore la conscience
· Avis automatisé d'email/pagineur des événements prioritaires (usager définissable)
· Étalage graphique/geospatial des événements en temps réel
· Management de détecteur -- stocker les informations sur chaque détecteur dans votre réseau
· Connectivité de base de données (actuel MySQL, d'autres planification) -- habileté de questionner pour ce qui suit : les alertes dans une marge de temps spécifique, les alertes appariant les configurations définies pour l'utilisateur, l'étalage graphique de la source du principal 10 et les adresses et les ports de destination, la plupart des détecteurs actifs, numéro des alertes, et principal 10 signatures alertes
· Capacité autonome - peut recevoir des alertes directement des détecteurs plutôt que de serveur d'IDÉE
· Requête rapide des alertes relatives -- voir immédiatement si des hes heurter votre réseau avant
· Collaboration -- Le serveur d'IDÉE fournit à la capacité à la « causerie » d'autres admins de garantie qui sont branchés au même serveur d'IDÉE -- mettre vos efforts et remonter en commun vos cerveaux.
· Accueillir la consultation d'information -- un WHOIS de cliquetis et l'information de renvois de NSLookup sur la circulation soupçonneuse
· Résumés d'alerte par e-mail -- envoyer rapidement un résumé d'une alerte à un collaborateur.
· Le détecteur ignorent la liste -- permet la répartition des tâches ainsi les analystes reçoivent seulement des alertes de « leurs » détecteurs

Les caractéristiques actuelles du web client (servlet) sont :
· Résumé rapide et basé sur le WEB des alertes dans la cache d'Idée-serveurs
· Habileté de percer vers le bas et de voir l'information alerte : réseau et information de couche transport, information de détecteur, et information de rapide résumé
· consultations ARIN-basées de WHOIS d'âme pour des IP address
· Snort.org - consultations gauches basées de base de données pour les informations de référence gauches de TCP/UDP
· L'information de statistiques de serveur
· Tiges à plusieurs sites liés à la sécurité