Bất kỳ một hệ thống IDS nào cũng có thành phần lõi là một bộ cảm biến (phân tích), có nhiệm vụ dò tìm những hành động xâm nhập mạng. Bộ cảm biến này có cơ chế để tạo ra những quyết định về một hành động có phải là hành động xâm nhập mạng hay không? Bộ phân tích này sẽ thu nhận tín hiệu gốc từ ba nguồn chính: Cơ sở dữ liệu trong hệ thống IDS, từ hệ thống syslog, từ nhật ký của mạng. Hệ thống syslog có thể chứa cả thông tin cấu hình, thông tin xác thực người dùng, v.v… Những thông tin này tạo cơ sở cho quá trình tạo ra luật hoạt động xác định hành động xâm nhập.
Bộ cảm biến được tích hợp với các thành phần khác, như bộ phản hồi dữ liệu thu được, bộ tạo sự kiện (hình 2.4). Bộ thu nhận dữ liệu sử dụng chính sách của bộ tạo sự kiện, trong đó có định nghĩa các kiểu lọc thông tin cảnh báo. Bộ tạo sự kiện thường tạo ra những dữ liệu giống như hệ điều hành, lưu lượng
mạng, ứng dụng, những dữ liệu này được xử lý và ghi lại bởi hệ thống ghi nhật ký. Tập các dữ liệu thông tin này được lưu giữ trong hay ngoài hệ thống được bảo vệ tùy thuộc vào chính sách an ninh của từng mạng. Trong một số trường hợp dữ liệu không được lưu giữ mà được truyền trực tiếp tới bộ phân tích (cảm biến), ví dụ như gói tin mạng.
Hình 2. 4: Cấu trúc khối hệ thống IDS
Hình 2. 5: Các thành phần của IDS
Bộ phân tích có nhiệm vụ lọc những tín hiệu phù hợp từ tập các dữ liệu được chuyển tới để dò tìm những hoạt động khả nghi. Bộ phân tích sử dụng cơ sở dữ liệu những chính sách an ninh để dò tìm, bao gồm các dữ liệu về các hoành động tấn công, dữ liệu về hoạt động bình thường, các tham số cần thiết. Ngoài ra, cơ sở dữ liệu này còn chứa những tham số cấu hình của hệ thống IDS,
bao gồm cả phương thức liên hệ với module phản hồi. Bộ cảm biến cũng có thể sử dụng dữ liệu riêng cho những hoạt động phức tạp hơn, ví dụ đa nhiệm v.v...