Baseados em rede:

Snort: Desenvolvido em 1998, o Snort é o IDS mais utilizado do mundo, possui 400 mil usuários regitrados e é open source. Monitora o tráfego de pacotes em tempo real. Trabalha tanto em detecção por assinatura quanto por anomalia. Possui cerca de 20 mil assinaturas por padrão e pode tomar medidas quando detectada uma possível invasão, agindo como um IPS.
Disponível em : <link>

Bro: Multitarefa, este software além de trabalhar como NIDS também pode ser configurado para gerar estatísticas do tráfego, ser utilizando para investigação forense, etc. Ele se divide em duas partes conceitualmente:

• Bro Event Engine: Utiliza um detector, escrito em C++ e baseado tanto em assinaturas quanto em anomalia. Este detector gera eventos “neutros”, que a princípio não são bons ou ruins, e são repassados a próxima camada.
• Bro Policy Scripts: Trata os eventos a partir de uma política predefinida. Por padrão ele apenas gera logs, porém pode ser configurado para, por exemplo, enviar um e-mail, executar uma rotina de comandos, etc.

Disponível em : <link>

Baseados em host:

OSSEC: Elaborado pelo brasileiro Daniel Cid, fundador da “Sucuri, inc”, foi nomeado pela Linuxworld como a melhor ferramenta de segurança open source daquele ano. Pode atuar de três formas:

• Local: Monitora apenas o host em que foi instalado.
• Servidor: Faz análise das informações ou logs repassados pelo agentes.
• Agente: Apenas gera logs e envia ao servidor responsável.

Assim o consumo de recursos para a auditoria dos sistemas fica concentrado em apenas um ponto, modo mais eficiente. Funciona em tempo real e pode atuar como IPS.
Disponível em : <link>

Tripwire: Este é um IDS altamente conhecido. Ele mantêm registro de arquivos e pastas de relevância para o sistema operacional ou servidor - registros como hash, tamanho do arquivo, metadado, etc. Portanto seu funcionamento se resume em monitorar a integridade de determinados arquivos. Ele é passivo, costuma ser executado esporadicamente por seus usuários, para verificar se ocorreu alguma invasão ou mal uso no sistema.
Disponível em : <link>

Híbridos:

ISS RealSecure: Comercializado pela IBM, trabalha em tempo real monitorando rede e host, sua arquitetura se resume em: um módulo baseado em rede, outro em host e um administrador.

O módulo de rede atua em estações dedicadas monitorando diferentes fragmentos da rede. O módulo de host atua como um HIDS fazendo auditoria do sistema. E o módulo administrador é responsável por analisar e retirar informação dos dados produzidos pelos dois anteriores. Disponível em : <link>

Alguns destes softwares possuem versões mais dedicadas a forma de ação de um IPS, como:

Snort Inline.
ISS Managed ID/IPS Service.