Разделение Host и Target
С появлением рабочих станций и персональных компьютеров в большинстве архитектур IDS предполагается выполнение IDS на отдельной системе, тем самым разделяя системы Host и Target. Это улучшает безопасность функционирования IDS, так как в этом случае проще спрятать существование IDS от атакующих.
Современные IDS, как правило, состоят из следующих компонент:
- сенсор, который отслеживает события в сети или системе;
- анализатор событий, обнаруженных сенсорами;
- компонента принятия решения.