IDS (IDPS) Un concetto
Hai ragione quando dici:
it is an area of study, not a particular technology
Spero che tu abbia già letto questo articolo di wikipedia su IDS
Quindi il lavoro deve essere fatto passo dopo passo, per ogni tipo di servizio che si deve assumere e con un diverso livello di scala: dal protocollo dettagliato fino all'intero significato del servizio fornito.
Applicazioni IDS
Ma poiché alcuni tipi di attacco sono ampiamente usati e conosciuti, è nato uno strumento per prevenire questo.
Per esempio, fail2ban è uno strumento finalizzato (applicazione) che lavora per tracciare i file di log per vietare l'IP che prova forza bruta attacco.
Ma questo è solo uno strumento, per un tipo di attacco.
IDS mantieni un concetto e usa solo lo strumento finalizzato senza avere forti studi su ciò che è necessario, cosa potrebbe accadere, come le cose potrebbero essere simulate o interpretate da ogni servizio ... ecc. Non è chiaramente sufficiente .
Monitoraggio
Più dettagli registri, più possibilità hai di capire come potrebbe funzionare una parte indesiderata (forse brutta).