И как входные данные можно использовать информацию, собранную внешней утилитой, например tcpdump.

#netstat -a tcpdump_file

Для удобства параметры можно занести в provider_config:

interface eth0

или

auditfile /audit/file.tcpdump

Принцип работы остальных сенсоров STAT аналогичен и, думаю, ясен.

К сожалению, STAT только-только выбрался из концептуального состояния и еще не успел обзавестись полноценными средствами сбора и вывода данных, так что их придется создавать самому, а поэтому о массовом использовании разговор пока не идет. Проведенные тестовые испытания подтвердили жизненность методики STAT, были обнаружены не только уже известные атаки, но и тестировались уязвимости обнаруженные, после того как система была установлена, но все равно в отчетах одного из сенсоров появлялось предупреждающее сообщение. В этом проявляется одна из основных достоинств STAT, т.е. работающая IDS фактически не требует никаких обновлений и может эксплуатироваться большой промежуток времени без внимания администратора. Остается надеяться, что наработки не пропадут даром. Успехов.