[Pili]

ники, В данном случае IDS на домашнюю систму ставить нет смысла. Если вам нужна доп. защита, смотрите в сторону HIPS, например DefenseWall (платная) или бесплатной Real-time defender и др. HIPS (в поиск)

Цитата dmitryst:

IDS для нормального админа не нужны и даже вредны »

И не только вредны, но даже полезны На шлюзе (отдельно) до брандмауэра и после него уже в ДМЗ зоне. Только анализ логов - дело зачастую не благодарное )

Цитата dmitryst:

Другое дело- эксклюзивные атаки, алгоритм которых знает только сам атакующий, для анти-хак-системы такие атаки незнакомы, соответственно, они не распознаются и не блокируются. »

Этим занимается обычно блок обнаружения аномалий (обычно страдает большим кол-ом ложных срабатываний), по логам затем может принматься решение вносить такую сигнатуру атаки для блокирования или нет (например snort в своей время можно было интегрировать с уже ушедшим в прошлое blackice firewall)

[dmitryst]

Цитата Pili:

анализ логов - дело зачастую не благодарное »

и т.к. он

Цитата Pili:

обычно страдает большим кол-ом ложных срабатываний »

- вывод? Нужен администратор с серьёзным уровнем подготовки, но такой специалист, как правило, может обойтись и без IDS, не нагружая систему, фактически, дублирующим сервисом.

ЗЫ, Собственно атаки, по статистике, составляют небольшой процент, а вот использование дыр в настройках и взлом примитивных паролей - основная проблема. Один SQL-inject чего стОит . Но на него не обращают внимания, как правило. А зря - запрос к SQL не трактуется как атака, надо анализировать логи самостоятельно. Но если человек может вручную анализировать лог, то и прикрыть такую дырищщу он тем более сможет (сам, без использования стороннего софта)

[Pili]

dmitryst, кол-во ложных срабатывания для конкретной ИС можно постепенно снижать, внося сигнатуры в исключения, или ещё лучше детектировать атаки только по определенным портам, напр. на порт 80 для веб сервера (в Snort это все гибко настраивается, а сигнатуры довольно часто обновляются часто, плюс свои сигнатуры можно вписывать), IDS можно ставить непосредственно перед самим веб сервером. И потом, можно собирать статистику, говорить, что нужны такие-то меры защиты, обосновывать затраты и предлагать решения руководству (иногда финансирования добиться) В некоторых продуктах, напр. cisco pix, ids уже есть, для крупных организаций применение IDS обоснованно. Например можно создать правила для детекта червя kido. Для домашнего использования, имхо, достаточно персональных firewall.
Для общего развития, кому-то м.б. полезно Intrusion Detection Systems ( IDS )

[dmitryst]

Цитата Pili:

обосновывать затраты и предлагать решения руководству »

тут можно вообще показать листинг сканирования портов

Цитата Pili:

напр. на порт 80 для веб сервера »

по статистике, "бажных" сервисов обычно бывает много

Цитата Pili:

Например можно создать правила для детекта червя kido »

можно

[Pili]

Цитата ники:

как укрепить границы? »

Почитайте
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor доп. см. здесь
И проверить программное обеспечения на безопасность и наличие обновлений с помощью Secunia Online Software Inspector (OSI)

Цитата ники:

враг уже внутри(малварь). »

Тогда вам сюда