Некоторые IDS способны следить за файловой системой, делая периодические «слепки» критически важных файлов. При этом используется технология подсчета контрольных сумм. Подсчет контрольной суммы — это алгоритм, результирующий математические значения всех символов файла. Если файл или его параметры были изменены, то вместе с этим изменится и контрольная сумма, отслеживаемая IDS, которая, в свою очередь, сигнализирует об этом администратору и/или выполняет соответствующую процедуру. Другие локальные системы IDS следят за трафиком компьютера, на котором установлены. Они открывают в режиме прослушивания часто используемые хакерами порты наподобие RPC(lll), NetBIOS (135-139) или порты, использующиеся «троянскими» системами (37337, 12345 и т. д.). Кроме того, полезно прослушивать порты 1 и 0, которые задействуются при сканировании TCP-стека. Любые соединения с этими портами воспринимаются IDS как «подозрительные», и данные об этом немедленно протоколируются. Существуют системы, следящие за пользовательской активностью (попытки неавторизованного доступа к файлам, программам и системам, запуск или передача вредоносного ПО и т. д.). Можно отслеживать время доступа к компьютеру или даже скорость и ошибки ввода того или иного пользователя. Важной особенностью локальной IDS является ее способность (или неспособность) «подстраиваться» под заданного пользователя, адекватно воспринимая его работу с машиной. Таким образом, IDS не дает ложной тревоги, а реагирует только в том случае, если с компьютером работает лицо, выдающее себя за авторизованного пользователя.
RealSecure — сетевая IDS от компании Internet Security Systems (Www. iss. net).
Система, о которой пойдет речь, разбита на две составляющие — сетевой датчик (RealSecure Network Sensor) и управляющую консоль (RealSecure Manager). Датчик представляет собой приложение, работающее на платформах Windows NT и Solaris (есть аналог plug-and-play — устройство от компании Nokia). Управляющая консоль работает на ОС Windows NT и Solaris.
