4. Sistemas de detección de intrusos (HIDS)
Los principales HIDS libres

Logcheck
Monitorea periódicamente la bitácora
Mantiene en su configuración la caracterización de eventos normales y de eventos que indican un probable ataque
Envía los resultados por correo al administrador
Osiris
Diseñado para que un sistema se encargue de monitorear a otros
Verifica integridad del sistema de archivos, usuarios, módulos del kernel
Cuenta con un agente local en cada sistema a ser monitoreado, mas un agente interrogador central
Samhain
Incluye chequeo de integridad 
Búsqueda de binarios SUID no autorizados
Monitoreo centralizado en un sistema utilizando conexiones cifradas/autenticadas
Firma criptográficamente base de datos, configuración y reportes
Operación oculta ("stealth"), uso esteganográfico de la memoria
Sleuth Kit
Colección de utilidades para hacer análisis forense
Incluye herramientas de bajo nivel (por ejemplo, validar estructura de particiones)
Incluye el GUI Autopsy Forensic Browser