Опубликована уже достаточно давно написанная статья А.В.Лукацкого с рассказом о принципах функционирования ПО используемого для обнаружения сетевых атак (захват пакетов, фильтрация и сборка фрагментов, распознавание атак, реагирование на них)