dmitryst, кол-во ложных срабатывания для конкретной ИС можно постепенно снижать, внося сигнатуры в исключения, или ещё лучше детектировать атаки только по определенным портам, напр. на порт 80 для веб сервера (в Snort это все гибко настраивается, а сигнатуры довольно часто обновляются часто, плюс свои сигнатуры можно вписывать), IDS можно ставить непосредственно перед самим веб сервером. И потом, можно собирать статистику, говорить, что нужны такие-то меры защиты, обосновывать затраты и предлагать решения руководству (иногда финансирования добиться)
В некоторых продуктах, напр. cisco pix, ids уже есть, для крупных организаций применение IDS обоснованно. Например можно создать правила для детекта червя kido. Для домашнего использования, имхо, достаточно персональных firewall.
Для общего развития, кому-то м.б. полезно
Intrusion Detection Systems ( IDS )
