Можно делать акцент на сетевых или системных сенсорах.

В среде EMERALD изначально существуют описания для элементов инфраструктуры (маршрутизаторы, межсетевые экраны) и прикладных сервисов (FTP, SMTP, HTTP и т. д.). Это означает, что, наряду с гибкостью и расширяемостью, EMERALD в достаточной степени удобен для быстрого развертывания в типичной информационной системе.

Одной из важнейших новаций системы EMERALD является статистический анализ сигналов тревоги, поступающих от разных мониторов. Такой анализ проводится по четырем категориям:

• выявление общих характеристик;

• исследование одного события с разных точек зрения;

• выявление связей между сигналами тревоги;

• выявление тренда (детерминированной составляющей). EMERALD годится не только для активного аудита, но и для решения других задач информационной безопасности и управления (например, поддержания высокой доступности или анализа поведения сети). Иерархическая организация мониторов и корреляционный анализ помогают выявлять скоординированные, распределенные атаки.

Система NFR (Network Flight Recorder) относится к числу сетевых систем, существующих в виде свободно распространяемого инструментария и коммерчески «упакованного» продукта NFR Intrusion Detection Appliance. С внешней точки зрения NFR представляет собой либо одну станцию, осуществляющую мониторинг сегмента сети, к которому она подключена, либо совокупность таких станций с центральной управляющей консолью.