Desde a década de 80 o SDI saiu da teoria e começaram a se desenvolver sistemas comerciais. Hoje, existe um próspero mercado comercial em constante fluxo, porém alguns problemas decorrem desse desenvolvimento comercial. Mesmo após pesquisas exaustivas é quase certo que o sistema esteja desatualizado quando for finalizado. Além disso, dados de pesquisa sobre o desempenho dos sistemas são de difícil acesso, e a informação normalmente é mais orientada para marketing do que técnica. Na maioria dos casos os algoritmos, arquivos, entre outras partes do sistema SDI usados comercialmente são proprietários.

Nos próximos anos poderemos acompanhar a fusão de empresas de SDI acompanhadas pela rápida evolução desta área. Há também um movimento que busca a interoperabilidade dos componentes de múltiplos vendedores. O IETF Intrusion Detection Working Group (IDWG) está em processo de definição de um protocolo de troca de informação de alertas entre os sistemas SDI.

Algumas pesquisas foram feitas para avaliar a satisfação dos clientes destes sistemas. Os resultados mostraram que a maioria dos sistemas possuem uma configuração e instalação difíceis. Em geral, não existe uma acessibilidade por parte dos usuários às assinaturas usadas para definir intrusões, de forma que eles pudessem inspecioná-las e modificá-las de acordo com as suas necessidades. Atualizações de assinaturas não são frequentes e em alguns casos requerem uma nova versão do sistema, dificultando a rápida reação a novos ataques. Alarmes falsos também foi um problema encontrado na maioria dos sistemas comerciais.

Os parágrafos seguinte descrevem brevemente alguns SDI existentes.

ISS [6]

O Internet Security System é um SDI em tempo real. Sua arquitetura consiste de três partes, um mecanismo de reconhecimento baseado na rede (SDIR), um mecanismo baseado em máquinas (SDIE) e um módulo administrador.

O mecanismo de reconhecimento da rede é executado em estações dedicadas, cada uma responsável por um segmento da rede. Este mecanismo procura identificar pacotes que possuem características de ataque. Quando uma detecção de atividade de intrusão é feita algumas medidas podem ser tomadas, como terminar a conexão, enviar um alerta, gravar a sessão, reconfigurar o firewall, entre outras. Um alerta também é passado para o módulo administrador.

O mecanismo de reconhecimento em máquinas analisa o registro dos dados para identificar ataques. Estes registros podem conter informações que seriam difíceis ou impossíveis de serem detectadas em pacotes na rede. Este mecanismo também possui ações pós-detecção de intrusão similares ao mecanismo de rede.

O módulo administrador é abastecido com dados de ambos os mecanismos de detecção. Este módulo permite uma fácil configuração e administração do sistema por ser centralizado.

Sistema Cisco [7]

Com o passar dos anos os produtos de SDI da Cisco foram evoluindo de uma plataforma de hardware e software autônomos conhecido com NetRanger para um sistema de escala empresarial consistindo da instalação de sensores e mecanismos de gerência. Além de aumentar os alarmes ou alertas, os produtos SDI da Cisco podem também ser usados para reconfigurar a tabela de rotas a fim de bloquear uma fonte de ataques.

É preciso certa cautela ao configurar o mecanismo de resposta a ataques. Se o sistema reage automaticamente recusando a conexão de um cliente que foi identificado como responsável por uma intrusão, os atacantes tem a oportunidade de criar ataques de negação de serviço ao falsificar a fonte dos ataques de intrusão para uma fonte de uso crítico. Alarmes falsos tem o efeito similar.

Tripwire [8]

Tripwire é uma ferramenta de avaliação de integridade de arquivos que pode ser útil para detectar os efeitos de uma intrusão. Tripwire cria uma base de dados com informações dos arquivos críticos de um sistema, que incluem tamanho do arquivo e um código de checagem criptográfica baseado no conteúdo do arquivo. Ele compara a informação atual com a gerada anteriormente e identifica mudanças nos arquivos, que podem ser identificadas como uma intrusão, cabe ao usuário decidir se tal alteração foi originada por um ataque ou não.

Para obter resultados confiáveis a base de dados do Tripwire deve ser protegida contra falsificações. Isso pode ser feito mantendo-a desconectada da rede ou utilizando um sistema de armazenamento de somente leitura. A configuração do Tripwire pode ser problemática para grandes sistemas multi-usuários, pois é preciso identificar se tais arquivos estão associados a algum serviço ou aplicativo e se são esperadas mudanças ou não nesses arquivos.

Snort [9]

Snort é um sistema de código aberto construído para oferecer uma ferramenta leve, eficiente e que pode ser implementada em uma grande variedade de plataformas Unix. O Snort é baseado em um mecanismo de avaliação dos pacotes da rede. Ele possui um registro de regras podendo executar um protocolo de análise com base neste registro, buscando por conteúdo e também pode ser usado para detectar uma variedade de ataques, como buffer overflows, stealth port scan, ataques de CGI, entre muitos outros. O Snort possui a capacidade de alerta em tempo real, com alertas sendo enviados para o syslog, um arquivo de alertas separado, ou como uma janela de mensagem na tela do usuário.

A grande vantagem do Snort por ser de código aberto é a contribuição da comunidade de usuários com novas assinaturas. Como resultado, novos ataques são rapidamente identificados e armazenados em sua base de dados.