Il a déjà était mentionné plus haut qu'il existe diffèrentes signatures qui peuvent être utilisées pour détecter les port scans; elles sont diffèrentes par le nombre de fausses positives et de fausses négative. La signature d'attaque que nous choisirons devra garder les fausses positives aussi bas que possible ainsi que de conserver raisonnablement bas les fausses négative. Toutefois il est difficile d'estimer ce qui est raisonnable. A mon avis, cela dépend de la sévérité de l'attaque que nous allons détecter (le coût de fausses négative), et les actions prisent pour une attaque détectée (le coût de fausses positive). Ces deux coûts sont diffèrents d'un site à l'autre, ainsi un IDS devra être configurable selon les utilisateurs.
Dans le programme accompagnant cet article, la signature d'attaque suivante est utilisée: ``au moins N ports ont besoin d'être scannés venant de la même adresse source, sans plus de DELAI entre chaque ports''. Où N et DELAI sont configurables. Un port TCP est considéré comme scanné lorsqu'il reçoit un paquet sans le bit ACK positionné.