Signaturen und Filter werden erstellt, um den Sensoren mitzuteilen, welchen Netzwerkverkehr sie aufzeichnen sollen.
Signaturen
Signaturen sind Beschreibungen von Verkehrsmustern, welche von Interesse sind. Diese Signaturen sind aufgezeichnete, bekannte Angriffsmuster, die dem ID-System zum Erkennen von Angriffen dienen. Die Signaturen dienen also zur Erstellung geeigneter Filter.
Filter
Der Filter selbst, dient dem ID-System, indem er den Netzwerkverkehr nach Signaturen durchsucht und Auffälligkeiten als Alarmmeldung ausgibt. Bei der Filtererstellung ist es wichtig, das der Analyst die Signatur des Angriffs, die Programmiersprache zur Filtererstellung kennt und mit den Prozeduren der Filtererstellung vertraut ist. Grundsätzlich sollte jedes ID-System, das Entwickeln von eigenen Filtern ermöglichen.