Az IEC 60870-5-104, közismertebb (és rövidebb) nevén a 104-es protokoll elsősorban Európában terjedt el széles körben az ICS rendszerek közötti kommunikáció eszközeként. A Talos, a Cisco biztonsági laborja december második felében 33 új Snort szabályt tett elérhetővé, kifejezetten a 104-es protokollon történő kommunikáció jobb elemzésének támogatására. Ezekkel az új szabályokkal az ipari folyamatirányító rendszereket üzemeltető szervezetek egy újabb eszközt kapnak, hogy képesek legyenek ellenőrizni a 104-es protokollon történő adatforgalmazást és a lehető leggyorsabban tudják feltárni a különböző (szándékos vagy véletlen hibából bekövetkező) incidensek hátterét. Annak érdekében, hogy ezek a szabályok a lehető leghatékonyabb forgalomelemzést biztosítsák, körültekintően kell konfigurálni őket, az egyes hálózatok egyedi karakterisztikáit figyelmbe véve. Például a SIDS 41053-41077-es szabály számos TypeID-t képes azonosítani, ezt a szabályt akkor célszerű engedélyezni, ha a védendő ICS rendszerben nem használják ezeket a TypeID-kat. A SIDS 41078-41079-es szabály az ICS hálózatba be- illetve onnan kilépő 104-es protokoll alapú kommunikációt figyeli. Amennyiben az adott ICS rendszernél az üzemszerű működéshez nem szükséges a 104 protokollra alapuló kommunikációnak elhagynia az ICS hálózatot, ezt a szabályt javasolt bekapcsolni.

A Cisco még 2013-ban jelentette be a SourceFire felvásárlását, azóta tartozik a portfóliójukba a FirePower termékcsalád, amelyeknél ezeket az új szabályokat is használni lehet.

Természetesen a különböző ICS rendszerek esetén az IPS-ek blokkolás funkcióját csak nagyon körültekintően szabad alkalmazni, azonban ezek az eszközök (még az inline IPS-ek is) alkalmasak IDS-módban is működni, amikor nem blokkolják, csak észlelik (és a beállítások szerint akár riasztanak is) gyanús hálózati forgalom esetén. Ezek az eszközök nagy segítséget jelenthetnek az ICS rendszerek elleni támadások mielőbbi felfedezése során, így mindenképp célszerű megfontolni az alkalmazásukat.