Архитектура. 
Способы обнаружения компьютерных атак

Системы ASAX и Snort являются нераспределенными, остальные системы имеют распределенную архитектуру. Детальное описание архитектуры каждой из систем приводится в разделе 6.

Расширяемость

Все рассмотренные системы, кроме SHADOW, являются расширяемыми за счет добавления новых модулей со стандартизированным интерфейсом, а также за счет использования стандартных протоколов обмена сообщениями. AAFID имеет открытый интерфейс для добавления новых агентов и фильтров. ASAX имеет открытый интерфейс для добавления новых источников информации. NetSTAT имеет открытый интерфейс для добавления новых агентов и фильтров.

Prelude имеет открытый интерфейс для добавления новых модулей анализа и реагирования, ведения журналов регистрации. Обмен сообщениями происходит по стандарту IDMEF (Intrusion Detection Message Exchange Format), оптимизированному для высокоскоростной обработки.

Snort имеет открытый интерфейс для добавления новых модулей анализа, имеется модуль, реализующий протокол SNMPv2.

SnortNet аналогична системе Snort, а также использует стандарт обмена сообщениями IAP (Internet Alert Protocol). В дальнейшем планируется реализовать обмен сообщениями в формате IDMEF.

Наиболее расширяемыми являются системы Prelude и Snort.