Системы обнаружения атак строятся на основе двух архитектур: автономный агент и агент-менеджер. В первом случае на каждый защищаемый узел или сегмент сети устанавливаются агенты системы, которые не могут обмениваться информацией между собой, а также управляться централизованно с единой консоли. Этих недостатков лишена архитектура агент-менеджер. Она позволяет централизованно управлять модулями слежения с единой консоли (менеджера) и удаленно собирать регистрационные данные, не посещая каждый узел, на котором установлена система обнаружения атак. В небольших сетях это не имеет особого значения, однако является принципиальным моментом для крупных организаций, филиалы которых разнесены по разным территориям и даже городам.

На основе анализа существующих решений можно привести перечень компонентов, из которых состоит типичная система обнаружения атак.

Графический интерфейс. Даже очень мощное и эффективное средство не будет использоваться, если у него отсутствует дружественный интерфейс. В зависимости от операционной системы, под управлением которой функционирует система обнаружения атак, графический интерфейс должен соответствовать стандартам де-факто для Windows и UNIX.

Подсистема управления компонентами. Предназначена для управления различными компонентами системы обнаружения атак. Под термином «управление» понимается возможность изменения политики безопасности для различных компонентов системы обнаружения атак (например, модулей слежения), а также получение информации от этих компонентов (например, сведений о зарегистрированной атаке). Управление может осуществляться как при помощи внутренних протоколов и интерфейсов, так и посредством уже разработанных стандартов, например SNMP.

Подсистема обнаружения атак. Данная подсистема является основным модулем системы обнаружения атак. Она осуществляет анализ информации, получаемой от модуля слежения. По результатам этого анализа подсистема может идентифицировать атаки, принимать решения относительно вариантов реагирования, сохранять сведения об атаке в хранилище данных и т.д.

Подсистема реагирования. Осуществляет реагирование на обнаруженные атаки и иные контролируемые события. Варианты реагирования будут описаны более подробно далее.

Модуль слежения. Обеспечивает сбор данных из контролируемого пространства (журнала регистрации или сетевого трафика). Разные производители дают этому модулю следующие названия: сенсор (sensor), монитор (monitor), зонд (probe) и т.д. В зависимости от архитектуры построения системы обнаружения атак модуль слежения может быть физически отделен (архитектура агент-менеджер) от других компонентов, то есть находиться на другом компьютере.

База знаний. В зависимости от методов, используемых в системе обнаружения атак, база знаний может содержать профили пользователей и вычислительной системы, сигнатуры атак или подозрительные строки, характеризующие несанкционированную деятельность. База знаний может пополняться производителем системы обнаружения атак, пользователем системы или третьей стороной, например аутсорсинговой компанией, осуществляющей поддержку этой системы.

Хранилище данных. Обеспечивает хранение данных, собранных в процессе функционирования системы обнаружения атак.