Аннотация:Рассмотрен способ проектирования и реализации простейшего и легко расширяемого программного комплекса системы обнаружения проникновений (IDS), совмещающий эффективность сигнатурного подхода с гибкостью и производительностью адаптивного обучения. Цель данного подхода состоит в снижении ресурсоемкости задач IDS, избавлении от необходимости хранения лишних данных благодаря оптимизации алгоритма отбора данных для периодического повторного обучения сигнатурных классификаторов. Для обнаружения аномального трафика предлагается использовать подход из систем DLP с применением существующих методов обнаружения аномалий с последующим обновлением тренировочных данных и повторным обучением сигнатурного классификатора. Такой подход позволяет не только оперативно обнаруживать проведение атаки на целевую систему, но и адаптировать сигнатурные классификаторы к новым атакам.