Der Server der IDEE (Eindringen-Befund-Austausch-Architektur) empfängt XML Warnungen von den Snortfühlern puffert sie für weitere Zusammenfassung durch Klienten. Die Konsole liefert eine Echtzeitansicht der Identifikation-Aktivität.

IDEE ist eine Architektur für die Implementierung eines verteilten EindringenErfassungssystems in einem Computernetz. Sie liefert eine Methode, viele verschiedenen Identifikation-Fühler in eine Architektur zu enthalten und läßt sie einen zentralen Identifikation-Server berichten.

Dieser Server montiert, Gesamtheiten und aufeinander bezieht Daten von den Fühlern und bereitstellt eine vereinheitlichte Ansicht der Netzaktivität ichte. Indem sie eine geöffnete API spezifizieren, können viele verschiedenen Klienten an den IDEEN-Server anschließen und den Ereignismitteilungsservice „abonnieren“, damit der Klient benachrichtigt, daß jederzeit eine neue Warnung von irgendwelchen der Fühler empfangen.

Dieser Typ der Architektur kann ein umstandsbezogenes Bewußtsein der Sicherheitsverwaltungsraten der Netzereignisse groß erhöhen und schnellere Antwort zur böswilligen Aktivität erlauben.

Aktuell implementiert IDEE eine Architektur für das Empfangen/das Aufbereiten/Warnungen anzeigend vom Server des Snort Identifikation. Andere Identifikation-Systeme (Host und network-based) geplant für Einbeziehung in die IDEEN-Architektur.

Merkmale „der IDEE“:

Aktuelle Merkmale des IDEEN-Servers umfassen:
· Verwaltungsratdefinierbare Alarmpuffergröße (die Zahl Warnungen spezifizieren, um anzuhalten)
· Alarmversenden (erlaubt Kreation der IDEEN-Hierarchien)
· Definierbare maximale Benutzer des Verwaltungsrat
· Sicherheitszugriffskontrollen (spezifizieren, welche Benutzer und Hosts anschließen können)
· Java/CORBA gründete (erlaubt Anschlüsse von vielen verschiedenen Typen Klienten)
· Keepalives (hindert die toten oder gehangenen Klienten am Verweigern des Zugriffs zu anderen Klienten)
· Sichere Authentisierung - Herausforderung MD5/Antwort gegründete Benutzerauthentisierung garantiert, dass keine Kennwörter vorbei in den freien Raum gehen

Aktuelle Merkmale der Java-Klientenanwendung sind:
· Warnungen angezeigt in der Istzeit, wie sie von den Fühlern empfangen
· Die Entstörung/, die Fähigkeit sortiert, zeigt Ihnen nur das Daten youre, das mit betroffen
· Farbauftrag von Warnungen von benutzerspezifischer IPS/von Netzen verbessert Bewußtsein
· Automatisierte eMail-/Pagermitteilung der prioritären Ereignisse (Benutzer definierbar)
· Graphische/geospatial Anzeige von Ereignissen in der Istzeit
· Fühlermanagement -- Informationen über jeden Fühler in Ihrem Netz lagern
· Datenbank- Anschlußfähigkeit (aktuell MySQL, andere geplant) -- Fähigkeit, für das folgende abzufragen: Warnungen innerhalb einer spezifizierten Zeitenfolge, die Warnungen, die benutzerbestimmte Muster abgleichen, die graphische Anzeige der Quelle der Oberseite 10 u. der Zieladressen u. der Öffnungen, die meisten aktiven Fühler, Zahl von Warnungen und übersteigen 10 Alarmunterzeichnungen
· Unabhängige Fähigkeit - kann Warnungen direkt von den Fühlern eher als vom IDEEN-Server empfangen
· Schnelle Abfrage der in Verbindung stehenden Warnungen -- sofort sehen wenn hes, Ihr Netz vorher zu schlagen
· Zusammenarbeit -- IDEEN-Server versieht die Fähigkeit „zum Schwätzchen“ mit anderen Sicherheit admins, die an den gleichen IDEEN-Server angeschlossen -- Ihre Bemühungen vereinigen und Ihre Gehirne zusammenfügen.
· Info-Look-up bewirten -- ein Klicken-WHOIS und NSLookup Umsatzinformationen über mißtrauischen Verkehr
· EMail-Alarmzusammenfassungen -- eine Zusammenfassung einer Warnung schnell schicken einem Mitarbeiter.
· Fühler ignorieren Liste -- erlaubt Arbeitsteilung, also empfangen Analytiker nur Warnungen von „ihren“ Fühlern

Aktuelle Merkmale des web client (servlet) sind:
· Schnelle, web-basiert Zusammenfassung von Warnungen im Idee-Servers Cache
· Fähigkeit, unten zu bohren und Alarminformationen zu sehen: Netz und Transportschichtinformationen, Fühlerinformationen und schnelle zusammenfassende Informationen
· ARIN-gegründete Web WHOIS-Look-ups für IP address
· Snort.org - gegründete Backborddatenbank- Look-ups zu TCP/UDP Backbordbezugsinformation
· Serverstatistikinformationen
· Links zu einigen sicherheitsbezogenen Sites