Architecture

• Les capteurs sont des entités de détection capables de remonter des alertes à un manager Prelude.
• Le manager (il peut y en avoir plusieurs) accepte les connexions en provenance des différents capteurs et collecte leurs alertes. Il assure les fonctions suivantes : Le logging qui permet de transformer une alerte au format Prelude en un format lisible par l'analyste. La contre-mesure qui permet à l'utilisateur de définir une réaction à une attaque.
• Les agents de contre-mesure sont placés sur les machines devant opérer la réaction à une attaque (fonction en cours de développement).
• Le frontend est une interface d'administration web permettant d'aider les administrateurs sécurité à analyser plus facilement les alertes et les statistiques, sachant que cette tâche ne peut être complètement automatisée à l'heure actuelle.
• La communication entre les différents programmes se fait au format IDMEF (Intrusion Detection Message Exchange Format). Ce format fondé sur XML est suffisamment générique pour permettre aux composants hybrides de Prelude d'émettre des alertes décrivant des événements de tous types : attaques réseau, buffer-overflow local, ...