Según tengo entendido, un sistema de protección contra intrusiones (IPS) detecta un comportamiento anómalo, detecta anomalías de protocolo y realiza un filtrado de firmas que bloquea el malware, DDoS, etc. Un antivirus también analiza el tráfico y bloquea el malware.
Estoy confundido entonces, ¿cuál es la diferencia?
¿Es un IPS como Checkpoint, en última instancia, agregando una firma de antivirus solo en IPS, o está usando un software completamente nuevo?
¿Puede Suricata actuar como IPS y como antivirus si agrego firmas CLAMAV?